基于關聯(lián)規(guī)則的網(wǎng)絡安全入侵檢測方法

摘要：為提高計算機網(wǎng)絡運行的安全性針對目前網(wǎng)絡安全入侵檢測時效性與準確性不理想的問題文章提出了基于關聯(lián)規(guī)則的網(wǎng)絡安全入侵檢測方法。首先將網(wǎng)絡數(shù)據(jù)映射到同一維度提取計算機網(wǎng)絡運行數(shù)據(jù)特征;在此基礎上最后利用相關性因子計算網(wǎng)絡數(shù)據(jù)的相似度通過設置閾值判斷網(wǎng)絡運行數(shù)據(jù)的相似度大小;對網(wǎng)絡數(shù)據(jù)進行聚類處理以實現(xiàn)網(wǎng)絡數(shù)據(jù)的預處理。最后利用關聯(lián)規(guī)則方法挖掘網(wǎng)絡入侵數(shù)據(jù)實現(xiàn)入侵檢測。實驗發(fā)現(xiàn)文章所設計的方法具有較高的響應度耗時較短且準確率較高為后續(xù)的深度挖掘網(wǎng)絡安全入侵節(jié)點提供了理論基礎與參考價值。

關鍵詞：關聯(lián)規(guī)則;數(shù)據(jù)挖掘;網(wǎng)絡安全性;入侵檢測

中圖法分類號：TP399文獻標識碼：A

Network security intrusion detection method based on association rules

LIU Gang

（Chongqing Chemical Industry Vocational College，Chongqing 401220，China）

Abstract：In order to improve the security of computer network operation， the network security intrusion detection method based on network security intrusion detection is proposed.Firstly， the network data is mapped to the same dimension and the characteristics of computer network operation data are extracted by using the correlation factor to calculate the similarity of network data and cluster the network operation data to realize the preprocessing of network data.The association rules are used to mine the network intrusion data and realize the intrusion detection.The experiment finds that the designed method has high responsiveness， short time consuming and high accuracy， which provides the basic theory and reference for the subsequent deep mining of network security invasion nodes，and has certain practical value.

Key words：association rules， data mining， network security， intrusion detection

1? 引言

互聯(lián)網(wǎng)的高速發(fā)展為人們處理日常工作和生活出行提供了便利，使得計算機網(wǎng)絡逐漸深入人們的工作與生活，也是目前社會基礎設施的主要構(gòu)成部分之一 [1～ 2]。然而，目前黑客攻擊的水平也逐漸提高，網(wǎng)絡入侵事件時有發(fā)生，由此給網(wǎng)絡安全造成了不同程度的威脅。段仁武[3]通過改進 Apriori 算法，增強規(guī)則關聯(lián)度，提高了數(shù)據(jù)挖掘能力，提升了網(wǎng)絡入侵檢測的準確率。李新新[4]通過分析網(wǎng)絡入侵檢測現(xiàn)狀，研究網(wǎng)絡入侵方式，利用大數(shù)據(jù)挖掘技術將網(wǎng)絡入侵要點進行定位，提高了檢測效果。上述方法在一定程度上，均可以有效提高網(wǎng)絡安全入侵檢測能力。但是，隨著網(wǎng)絡遭受病毒感染的可能性增加，受入侵攻擊的速度急速提升等因素的影響，導致網(wǎng)絡防火墻或現(xiàn)有的入侵檢測方法響應時間較長，無法快速有效地檢測與識別網(wǎng)絡入侵。因此，入侵檢測是對計算機網(wǎng)絡的一種動態(tài)監(jiān)控，可以有效為預防或抵抗計算機網(wǎng)絡受到的入侵提供借鑒與參考。

2? 計算機網(wǎng)絡數(shù)據(jù)預處理

2.1? 計算機網(wǎng)絡運行數(shù)據(jù)特征提取

設定計算機網(wǎng)絡運行過程中產(chǎn)生 n 個數(shù)據(jù)樣本，整個數(shù)據(jù)集合表示為 J={j1，j2，jn }，為了保證數(shù)據(jù)的維度一致，將所有的數(shù)據(jù)集合映射到統(tǒng)一的高維空間。設定映射函數(shù)為f （ x ），則數(shù)據(jù)集 J 的映射結(jié)果為：

利用主成分分析的方法提取計算機網(wǎng)絡數(shù)據(jù)的主成分特征，得到具體的結(jié)果為：

式（2）中，T 表示主成分特征的提取時間;θ表示特征向量;ji 表示任何一個計算機網(wǎng)絡數(shù)據(jù);χ表示冗余系數(shù);jj 表示冗余數(shù)據(jù)。

根據(jù)計算機網(wǎng)絡數(shù)據(jù)主成分特征，得到計算機網(wǎng)絡數(shù)據(jù)特征結(jié)果為：

式（3）中，b 表示特征分量。

在將數(shù)據(jù)映射到同一維度的基礎上，利用主成分分析法提取數(shù)據(jù)的主成分特征，從而獲取計算機網(wǎng)絡的運行數(shù)據(jù)特征，為后續(xù)計算網(wǎng)絡運行數(shù)據(jù)的相似度提供基礎條件。

2.2? 計算機網(wǎng)絡運行數(shù)據(jù)相似度計算

只有將數(shù)據(jù)統(tǒng)一劃分到同一維度內(nèi)，才能實現(xiàn)不同數(shù)據(jù)之間的相關程度計算。在2.1節(jié)的基礎上，計算同一個維度內(nèi)的數(shù)據(jù)集合 J1 和 J2 之間的相關性因子：

式（4）中，L1 表和 L2 分別表示數(shù)據(jù)集合 J1 和 J2 之間的關聯(lián)系數(shù)和差異性系數(shù)。由此，設定各數(shù)據(jù)集間的相關程度的閾值為 Y（J1，J2） ，則將相關性因子與所設定的閾值進行比較：

當 g（J1，J2）≥Y（J1，J2）時，說明兩個數(shù)據(jù)集之間的關聯(lián)程度較強;當 g（J1，J2）

2.3? 計算機網(wǎng)絡運行數(shù)據(jù)的聚類分析

假設ki 為不同數(shù)據(jù)類型的屬性集，表述為：

式（5）中，win 表示第 n 個數(shù)據(jù)樣本的權值。根據(jù)不同數(shù)據(jù)屬性的差異性，進行網(wǎng)絡數(shù)據(jù)的模糊聚類，得到聚類結(jié)果為：

由此，實現(xiàn)計算機網(wǎng)絡數(shù)據(jù)的聚類，從而完整完成計算機網(wǎng)絡運行數(shù)據(jù)的預處理，為后續(xù)檢測入侵節(jié)點提供基礎條件。

3? 計算機網(wǎng)絡入侵數(shù)據(jù)的檢測方法

3.1? 關聯(lián)規(guī)則設計

通過逐層搜索信息數(shù)據(jù)的方式獲取數(shù)據(jù)頻繁項集，將第一個項集定義為 S，通過 S 搜索帶有信息數(shù)據(jù)特征的下一層項集，定義為 S+1，依次逐層識別數(shù)據(jù)集，直到所有頻繁項集都被定義標記，完成頻繁項集的入侵數(shù)據(jù)檢測。根據(jù)頻繁項集檢測結(jié)果，生成強關聯(lián)規(guī)則，具體產(chǎn)生過程如下。

每一個頻繁項集中，都存在一定數(shù)量的網(wǎng)絡入侵信息數(shù)據(jù)特征，通過識別數(shù)據(jù)關聯(lián)度能夠提高運算速度。頻繁項集表達式為：

式（7）中，r 代表項集，D 代表前件與后件之間的相關度。頻繁項集進行表達式的求解后，利用缺陷關聯(lián)規(guī)則挖掘方法的定義關聯(lián)規(guī)則，給定一組處理完成的計算機網(wǎng)絡數(shù)據(jù)信息，并挖掘出關聯(lián)頻繁項 F，其表達

式為：

式（8）中，g 代表關聯(lián)規(guī)則參數(shù)，κ代表可能的入侵數(shù)據(jù)，γ代表規(guī)則合理判斷參數(shù)。

通過上述公式對每一個頻繁項集構(gòu)造關聯(lián)規(guī)則，選取滿足類最小置信度以及相關度大于1 的強關聯(lián)規(guī)則，對于小于最小支持度的頻繁項集不予考慮，以壓縮搜索空間。然后給定入侵路徑，進行實時入侵跟蹤，其表達式為：

式（9）中，N 代表入侵路徑信息中的完備信息，z 代表入侵路徑區(qū)域的概率，δ代表概率大小排序參數(shù)。

將信息加權系數(shù)設定為φ，利用主成分分析算法構(gòu)建頻繁項集最小信任度，其表達式為：

式（10）中，fi 代表網(wǎng)絡入侵鏈路檢測門限，pi 代表網(wǎng)絡入侵數(shù)據(jù)映射，p（ t ）代表最小信任度。

3.2? 關聯(lián)規(guī)則下網(wǎng)絡入侵數(shù)據(jù)的檢測

計算機網(wǎng)絡數(shù)據(jù)節(jié)點中的異常特征為 Ti ，則通過 Ti 可以判定網(wǎng)絡節(jié)點 i 的偏離程度，數(shù)據(jù)節(jié)點異常計算式為：

式（11）中，f（ i ）為特征提取函數(shù);distance（? ）表示偏離程度計算函數(shù);Θ表示計算機網(wǎng)絡數(shù)據(jù)線性擬合程度。利用計算機網(wǎng)絡數(shù)據(jù)節(jié)點中的異常特征 Ti ，通過糾正節(jié)點的偏移量，實現(xiàn)計算機網(wǎng)絡入侵數(shù)據(jù)檢測。數(shù)據(jù)節(jié)點偏離計算式為：

式（12）中，ui 表示計算機網(wǎng)絡鏈路邊數(shù)，ζ表示冪律分布的擬合參數(shù)，x （ t ）表示節(jié)點偏移量。

4? 實驗驗證

4.1? 不同攻擊類型的檢出結(jié)果

在不同類型的入侵攻擊下，計算機網(wǎng)絡入侵類型涵蓋認證入侵、連接入侵、偽裝用戶入侵以及斷開連接入侵等，測試三種方法的檢出結(jié)果如表1 所列。

由表1 可以看出，對于不同入侵類型造成的入侵后果，本文方法均可以有效檢出，而利用文獻[3]和文獻[4]中的兩種方法可以檢測出大部分入侵后果，卻無法有效檢測出所有入侵后果，說明本文方法具有一定的有效性。

4.2? 不同方法的檢測響應時間

對于計算機網(wǎng)絡的安全入侵檢測而言，不僅要求檢測算法具有較高的檢測準確率，還需要具有較短的響應時間，使得計算機系統(tǒng)可以進行快速防御與抵制入侵。通過迭代方式，進行600次實驗，計算本文方法與文獻[3]方法。文獻[4]方法的檢測響應時間，響應時間越短表明網(wǎng)絡安全入侵檢測效果越好，實驗結(jié)果如表2 所列。

分析表2 可以看出，采用本文方法檢測響應時間最短，且遠低于文獻[3]方法。文獻[4]方法雖然響應時間較短，但由于其入侵檢測準確率較低，仍存在一定的缺陷。實驗結(jié)果表明，本文所設計的基于關聯(lián)規(guī)則的方法對計算機網(wǎng)絡安全入侵檢測具有響應速度快的優(yōu)點。

5? 結(jié)論

計算機網(wǎng)絡易受到黑客入侵攻擊，不僅影響計算機安全運行的穩(wěn)定性與安全性，也造成人們工作效率較低以及容易泄露個人信息的劣勢。由此，本文提出了基于關聯(lián)規(guī)則的計算機網(wǎng)絡安全入侵檢測方法。實驗發(fā)現(xiàn)，本文所設計的方法不僅具有較高的準確率，而且耗時較短，響應速度快，具有一定的實際應用價值，為后續(xù)的計算機網(wǎng)絡入侵攻擊檢測提供一定的參考與借鑒。

參考文獻：

[1 ] 董天宇，黃云.基于大數(shù)據(jù)技術的網(wǎng)絡入侵檢測應用研究[J].電子技術與軟件工程，2021（ 24）：238?239.

[2] 程顯生，楊珍，王俊.計算機網(wǎng)絡入侵跳頻數(shù)據(jù)關聯(lián)規(guī)則挖掘方法[J].計算機仿真，2021，38（3）：259?263.

[3 ]段仁武.基于 Apriori 優(yōu)化算法的計算機網(wǎng)絡入侵數(shù)據(jù)挖掘[J].九江學院學報（自然科學版），2021，36（2）：75?77.

[4] 李新新.大數(shù)據(jù)技術在網(wǎng)絡入侵檢測的應用[J].信息技術與信息化，2021（ 5）：235?237.

作者簡介：

劉崗 （1977—） ，本科，助理講師，研究方向：網(wǎng)絡安全與技術。