数据挖掘在网络入侵检测系统中的应用
数据挖掘技术在网络入侵检测中的应用
第3 o卷第 1 期 2O 年 1 O6 月
江西师范 大学学报 ( 自然科学 版)
J U N LO A G I O M IU IE ST ( A U IS IN E O R A FJ N X R A . N V R IY N T RA.CE C ) I N
V0 . o N . J3 o 1
Jn 0 6 a .2 0
文章编号 :00 82 20 )1 04— 4 10 —56 (0 6 0 —05 0
数 据挖 掘 技 术 在 网 络入 侵 检 测 中的应 用
邱舟 强 , 滕 少华 , 李振 坤 , 陈平华 , 张 巍
13 响应单元 响应单元是系统检测到有异常行为或遭受到攻击时作出响应 的模块 , . 具体响应根据分析器 产生的分析结果而定 . 本系统可以作出如下响应 : 记录异常信息 、 发送 日志文件到指定邮箱 、 断开某个 T P C
连接 、 停止非法进程运行或删除某个应用程序 .
14 事件分析器 . 事件分析器是入侵检测系统的核心部件, 它从其它组件接收 GD , IO 根据所采用的技术不
网络数据 包 / 主机 日志/ 其他信息 图 l 入侵检 测系统体 系Байду номын сангаас构
以表示分析事件后得出的一些结论 , 或表示执
行某个行动的一些指令 .
12 事件产生器 事件产生器是整个人侵检测系统的信息源 , . 从入侵检测系统以外更大 的计算环境 中获取 数据 , 对数据进行初步处理和过滤, 并转化为 GD IO标准格式提交给系统 的其它组件使用 . 据信息 的来源 根
1 入侵检测 系统结构
11 入侵检测系统总体结构 本文的入侵检 . 测系统符合 C F I 标准l , D 8 由事件产生器 、 j 事件
数据挖掘技术在网络入侵检测中的应用探讨
0引 言
2数 据 挖掘技 术在 网络 入侵检 测 中的应 用探讨
2 1数 据挖掘 技术 与 网络入侵 检测 系统 的融合 .
的协 同作 用 ;对 子系 统调 用序 列数 据 ,可 以采 用序 列模 式挖 掘 算法 ;对 于
果能够 为 用户 和系 统 的所有 正常 行 为总 结活 动规 律 并建立 行 为模 型 ,那 么
入 侵检 测 系统 可 以将 当前捕 获到 的 网络行 为 与行 为模 型相 对 比 ,若入 侵 行 为偏 离 了正常 的行 为轨 迹 ,就可 以被 检测 出来 。它主 要存 在 以下 缺 点: 误 报 率高 、行为 模型 建立 困难 、难 以对 入侵 行为 进行 分类和 命名 等 。
一
个 入侵 信 息库 ,那 么入 侵检 测 系统 可 以将捕 获 的网络 行 为特 征与 入侵 信
数据 广——_ 。 据 ,
挖 掘 数据 J
息库 中 的特征 信 息相 比较 ,如 果 匹配 ,则 当前 行为 就被 认 定为 入侵 行 为 , 这种 方法 与大 部 分杀毒 软 件采 用 的特 征码 匹配 原理 类似 ,但 它 也存 在很 多 缺 陷,如 不能 检测 出新 的 入侵 行为 、完 全依 赖 于入 侵特 征 的有 效性 、维 护
哥伦 比亚大 学和 北卡 罗来纳 州立 大 学 的研 究人 员于 20 年首 先提 出将 00
数据 挖 掘 的方法 用于 入侵 检 测 。与基 于模 式 匹配 的入 侵检 测技 术不 同 ,基
于数 据 挖掘 的入 侵检 测 技术 可 以 自动 地从 训 练数据 中提取 出可 用于 入侵 检
数据挖掘算法在入侵检测中的应用
个非常活跃 的研究领域 。入侵检测(n ui e I rs nD — t o
t tn 是检测任何企图危及资源的完整性 、 ei ) co 机密性
和可用性的活动 , 并采取相应的对抗措施 。18 90年
Jm s l r n a e Ad s 首先提 出入侵检测的概念 , eo 他对入侵
范的 IS 以共享检测信息 , D 可 相互通信、 同工作 ; 协
还可 以与其它系统 配合 实施统一 的配置 响应 和恢 复策略。CD IF的主要 作用在于集成各种 IS使之 D 协同工作 , 实现各 I S 间的组件重用 , 以 CD D 之 所 IF 也是构建分布式 IS的基础 。 D
是所 有 IS所 需 要 的 , D 同时也 是 可 以重用 的。
事件分析器 ( vn aa zr)从其他组件接收 E et nl e : y s g o, i s分析得到的数据 , d 并产生新 的 g o。如分析 is d 器可以是一个轮廓特征引擎 。 响应单元 ( epne n s)是对分析结果做出 R sos u i : t 反应的功能单元 , 它可以终止进程 、 重置连 接、 改变 文件属性等 , 也可以只是简单 的报警 。 事件数据库 ( vn dt a s : E et a bs ) 是存放各种中间 a e 和最终数 据 的地 方 的统称 , 它可 以是 复杂 的数 据
入侵检测。
32 1 异 常入侵 检测 ..
3 人侵检测系统的主要分类
n ●
该方法主要是建立计算 机系统 中正 常行 为的
模式库 , 然后根据采集的统计数据 , 检查偏差 , 以确
性 。在 网络 安全产 品 中发 展 最 早 , 最 成 熟 的是 防 也
数据挖掘在入侵检测中的应用
很好地解决这个问题, 现有的数据挖掘算法通 过发掘数据之间的关系, 可以为我们的分析提 供各个不同侧面的数据特征。特别是我们可 以将以前的结果和最新的数据加以综合, 这样
可以大大减少不必要的数据。
经过深入分析发现, 尽管基干数据挖掘的 入侵检测模型在检测性能和通用性方面具有 但在采用此类系统时仍然存在一定困难 ds _b t , g 共7项组成, 务的唯一 t y e f s l a 事 标识 优势, 于是对大量历史 数据处理, 检测 符为time , 其中service 为服务 (或目 的的端 检测效率: 由 实时性 口 srcellost 为源主机,t _hos 为目 ), s ds t 的主机, 模型在学习和评价阶段的计算成本高, dst‘y e 为源主机发出的数据包大小, g 为 实施困难。使用性能: 系统需要大量的训练数 1t s 〕 a i f 据, 而且比传统系统更加复杂。 标记。
择过程。
4 数据挖掘技术在入俊检测中的应用
4 . 1 关联规则挖掘 关联规贝是数据挖掘中最为广泛应用的 ] 1 技术之一, 也是最早用于人侵检测的技术。 最早运用这种技术是作为一种工具去产生关 干网络流的报告。 发现关联规则问题就是发现所有支持度 和可信度均超过规定闭值的关联规则, 这个发
由干应用数据挖掘技术的异常检测不墓于信 号匹配模式, 它并不就每一个特别的信号进行 检测, 所以就不存在这个问题, 表现出一定程 度的实时性。 5. 2 误警率低 现有的系统过度依赖于单纯的信号匹配, 它发出的警报可能远远多于实际的情况, 在某 种正常的工作中 如果包含这种信号的话, 就必 然产生误警。采用数据挖掘的系统可以从等 报发生的序列发现某种规律从而滤出那些正 常的行为产生的信号。数据挖掘方法还可以 有效地剔除重复的攻击数据, 因而具有较低的
数据挖掘技术在计算机入侵检测中的应用
摘
要: 分析 了聚类 、 分类 、 关联规 则等在 I D S 中常用 的数 据挖掘 算法 , 并 介绍 了D A I D 这种 以数据库 为
中心 的数据挖 掘体系架构模 型 , 对其数据处理过程进行展现 。 关键词 : 数据挖 掘 ; 入侵 检测 系统 ; 数据库 ; 算 法
Q Ai h u a , S o n g S h u c a i
( He b e i I n s t i t u t e o f A r c h i t e c t u r e C i v i l E n g i n e e i r n g, Z h a n g j i a k o u 0 7 5 0 0 0 , C h i n a )
1 I D S中的数据 挖掘算法
入侵检 ̄ J t ( I D S ) 是一种积极 主动 的安全防护技术 ,
的度 量和共 同的特征对属 于该集 群 的数 据进行建 模 。 聚类被用 于检测混合性 的入侵攻击 ,它是一 种无人值
守 的机器 自学 习机制 。 在 聚类算法 中, K — M E A N S 是一种常用 的简单有 效
第2 9卷 第 1 O期
2 0 1 3年 l 0月
科 技 通 报
BUL L E T I N 0F S C I ENC E AN D I ECHN0L 0GY
V o I . 2 9 No . 1 0
0c t .2 01 3
数据挖 掘技术在计算机入侵检测 中的应 用
祁爱华 , 宋淑彩
的算法 。 它采用距离作为相似性 的评价指标 , 利用函数 求极值 的方法得到迭代运算 的调整规则 。 K — ME A N S 算 法把r t 个对象根据他们 的属性分为k 个分割 , k < n 。它与 处理混合正态分布 的最大期望算法很相 似 ,因为他们 都试 图找到数据 中 自然聚类 的中心【 l 1 。 其公式可 以表达
数据挖掘在入侵检测系统中的应用
Ap l a in o aami i gi tu in d tci n s se p i t f t nn i r so ee t y tm c o d nn o
CUIT n LI —o g i g, ln Yu
(.C l g f l t nc a d noma o n ier g az o atn i r t L n h u 3 0 0 C ia 1 ol e Ee r is n fr t n g ei ,L nh uJ oo g v sy az o 0 7 , hn ; e o co I i E n n i Un e i , 7
dt t n sh sac betn h e n t r cr .T e aic ne tadrl ateh iu s fnrs n e c o s m ee i e eerhs jc itef l o e ks ui c o it r u i d f wo e t h s cps n e n cnq e o it i t t ns t y b co ev t uo d ei y e
Ab t a t I t s nd t ci ni i d o n t r e u t c n lg p e rn c n e r . Daami ig c mb n n t tu in s r c : n r i ee t a n f ewo k s c r yt h o o ya p a g i r e t a s u o o s k i e i n e y t n n o i i gwi i r so hn
s se p ro ma c y tm e f r n ei i r v d s mp o e .
Ke r s aamiig itu ind tcin ewo ksc rt; as cainrls Ap ir ag rt ywo d :d t nn ; nr so ee t ;n t r e u i o y so it e; o u roi loi m h
数据挖掘方法在入侵检测系统中的应用
摘
要 : 绍 了入 侵 检 测 的 概 念 及 其 技 术 方 法 , 较 了异 常 检 测 与 误 用 检 测 方 法 的 优 缺 点 , 讨 了数 据 挖 掘 技 术 在 介 比 探
异 常 检 测 中 的应 用 , 析 了数 据 挖 掘 方 法 中 的 关 联 分 析 、 列 模 式 分 析 和 分 类 分 析 在 入 侵 检 测 系 统 中 的 协 同工 作 方 式 , 分 序 通 过 对用 户 行 为 模 式 的挖 掘 。 到 入 侵 规 则 . 得 关 键 词 : 侵 检 测 l异 常 检 测 ; 用 检 测 ;数 据 挖 掘 ; 联规 则 ;序列 规 则 ;分 类 分 析 规 则 入 误 关 文 献标 识 码 : A 文章 编 号 :0 0—19 (0 6 0 10 8 12 0 )1—0 7 0 6一O 3
维普资讯
大
庆 石 油 Nhomakorabea学
院
学
报
第3 O巷
Vo.3 1 O
第 1期
No .1
2 0 年 2月 06
F b 2 0 e. 06
J OuRNAL O AQI E OL UM NS I FD NG P TR E I T TUTE
常操作 建立 精确 的行 为模 式 , 一 个 自动 的过程 , 是 不需 要 人 工 分 析 和 编码 入 侵 模 式.此 外 , 同的算 法可 相
用于多 种证 据数据 , 增强 系统 的 可适 应 性.数 据 挖 掘 方 法 的关 键 在 于 选 取算 法 和建 立 体 系 结 构.根据 可
精确度 较 高 ; 点是 不能检 测 未知 的入 侵 , 不 能 检 测 已知 入 侵 的 变 种 , 此 可能 发 生 漏 报.常 用 的 检测 缺 也 因 方法 有模 式 匹配 、 家 系统 、 型推 理 、 专 模 状态 转换 分 析和 P ti er网等 .②异 常检 测 ( o l tcin 针对 AnmayDeet ) o 异常入 侵 ( 由用 户 的异常 行为 和对 计算 机资 源 的异 常使用 产 生 )建立 目标 系统 及用 户 的正 常活 动模 型 , , 基 于该模 型对系统 和用 户 的实 际活动 进行 审计 , 以判 定 用 户 的 行 为是 否 对 系 统构 成 威 胁 .异 常检 测 的 优点
数据挖掘技术在入侵检测系统中的应用
随 机 的 数据 集 中 识 别 有 效 的 、新 颖 的 、 潜在 有 用 的 , 以及 最 终 可 理 解 的 模 式 的 过 程 。它 是 一 门涉 及 面很 广 的 交 叉 学 科 , 包 括 机 器 学 习 、数 理 统 计 、神 经 网络 、 数据 库 、 模 式 识 别 、
粗糙集 、模糊数学等相关技术 。 将 数据挖 掘技术应用于入侵检测 能够广泛地审计数据来 得 到模 型 , 从 而 精 确 地 捕 获 实 际 的 入侵 和 正 常 行 为 模 式 。这
流 ,有利于建造适应性强 的入侵检测系统。 入 侵 检 测 领 域 的 一 个 研 究 重 点 是在 收集 到 网 络 的 原 始 数 据后 ,如何从大量的原始数据属性 中有效地区分正常行为和 异常行 为, 以及如何 自动有效地 生成入侵 规则。要完成这项 工作必 须研 究各种数据挖掘算法 ,例如 关联分析数据挖掘算 法 、序 列分析数据挖掘算法 、分类 分析 数据 挖掘算法等等 。 关联 分析 数据挖 掘算法可用于 发现 网络连 接记录各属性之间 的关系 ,序列分析数据挖掘算法 能发现 网络连接记录 问的时 序关系 。使用关联分析数据挖掘和 序列分析数据挖掘算法可 以得到 正常行为的模式 ,用于异常入侵检 测。分类分析数据 挖掘算法可 以从训练 数据 中挖掘 出能识别出正常行为和入侵 行为的规则 。
这 种 行 为 是 入 侵 。这 种 检 测模 型 误 报 率 低 ,但 漏 报 率 高 。对 于 已知 的攻 击 ,它 可 以详 细 、 准 确 地 报 告 出攻 击 类 型 , 但 是 对 未 知 攻击 却效 果 有 限 ,而 且 特 征 库 必 须 不 断 更 新 。 个优 秀 的 入 侵 检 测 系 统 应 具 有 有 效 性 、 自适 应 性和 可 扩 展 性 ,常 用 的入 侵 检 测 系 统 多 属 于 基 于 规 则 的 误 用 检 测 ,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第19卷第3期重庆电子工程职业学院学报Vol.19No.32010年5月Journal of Chongqing College of Electronic EngineeringMay 2010随着计算机网络技术不断发展,对网络上包含重要资料的数据库服务器的各种入侵问题也随之大量产生。
常规防火墙只能通过限制数据库服务器部分网络功能的方法来保证安全,而对于在开放服务内的入侵却无能为力。
传统的入侵检测技术有两种,即滥用检测和异常检测。
其中,滥用检测是分析各种类型的攻击手段,找出可能的“攻击特征”集合,可有效检测到已知攻击,产生误报较少,缺点是只能检测到已知的入侵类型,而对未知的入侵类型无能为力,需要不断更新攻击特征库;异常检测的假设条件是通过观察当前活动与系统历史正常活动情况之间的差异来检测攻击行为,其优点是可检测到未知攻击,缺点是误报和漏报较多。
针对现有网络入侵检测系统的一些不足,将数据挖掘技术应用于网络入侵检测,可实现入侵检测自动化,提高检测效率和检测准确度。
1入侵检测系统引入数据挖掘的好处最早将数据挖掘技术应用于入侵检测领域的是Wenke Lee 研究小组,他们在1998年首次将数据挖掘技术应用于入侵检测系统。
从他们提供的大量实验和测试结果表明,将通用的数据挖掘技术应用于入侵检测系统,在理论上和技术上是完全可行的。
基于数据挖掘的入侵检测分析技术与其他分析技术不同之处在于,该方法是以数据为中心,将入侵检测看成一种海量安全审计记录数据的分析与处理过程,即使根本不知道各种攻击手段的作用机制,也可以从安全审计数据本身所隐藏的规律中发现异常行为,从而使入侵检测系统具有更好的自学习、自适应和自我扩展的能力。
与传统入侵检测力法相比,基于数据挖掘的入侵检测分析技术有以下几个特点:(1)智能性好,自动化程度高。
基于数据挖掘的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取手工难以发现的行为模式,从而减少人的参与,减轻入侵检测分析员的负担,同时也提高了检测的准确性。
(2)检测效率高。
数据挖掘可以通过对数据进行预处理,抽取数据中的有用部分,有效的减少数据量,因而检测效率较高,对于现在数据库和网络庞大数据量的入侵检测系统来说,这一点在实际应用中也是至关重要的。
(3)自适应能力强。
应用数据挖掘方法的检测系统不是基于预定义的检测模型,所以自适应能力强,可以有效地检测新型的攻击以及已知攻击类型的变种。
2基于数据挖掘的入侵检测系统模型构思针对现有入侵检测系统挖掘速度慢和挖掘准确度不高的缺点,利用Snort 入侵检测系统模型和Apriori 算法为基础,提出一种基于数据挖掘的入侵检测系统模型,该模型的结构如下图1所示。
图1基于数据挖掘的入侵检测系统模型2.1模块功能简述收稿日期:2010-03-10作者简介:蔡勇(1979—),男,重庆永川人,重庆大学软件工程学院软件工程专业2008级硕士研究生;鄢志辉(1982—),男,四川邻水人,重庆大学软件工程学院软件工程专业2008级硕士研究生。
数据挖掘在网络入侵检测系统中的应用蔡勇,鄢志辉(重庆大学软件工程学院,重庆400019)摘要:探讨了网络入侵检测中应用数据挖掘技术的可行性和必要性,提出一种基于数据挖掘的入侵检测系统模型,并对该模型中数据挖掘算法进行研究,提出该系统应用Apriori 算法的改进思路,实现入侵检测自动化,提高检测效率和检测准确度。
关键词:入侵检测;数据挖掘;数据库安全;Apriori 算法中图分类号:TP39文献标识码:A文章编号:1674-5787(2010)03-0164-03重庆电子工程职业学院学报第19卷(1)嗅探器主要进行数据收集,它是检测系统中抓取信息的接口。
(2)解码器解码分析捕获的数据包。
并把分析结果存到一个指定的数据结构中。
(3)数据预处理负责将网络数据、连接数据转换为挖掘方法所需的数据格式,包括:进一步的过滤、噪声的消除、第三方检测工具检测到的已知攻击。
利用误用检测方法对已知的入侵行为与规则库的入侵规则进行匹配,从而找到入侵行为,进行报警。
(4)异常分析器通过使用关联分析和序列分析找到新的攻击,利用异常检测方法将这些异常行为送往规则库。
(5)日志记录保存2种记录:未知网络正常行为产生的数据包信息和未知入侵行为产生的数据包信息。
(6)规则库保存入侵检测规则,为误用检测提供依据。
(7)当偏离分析器报告有异常行为时,报警器通过人机界面向管理员发出通知,其形式可以是E-mail。
控制台报警、日志条目、可视化的工具。
(8)特征提取器对日志中的数据记录进行关联分析,得出关联规则,添加到规则库中。
2.2异常分析器简述异常分析器使用聚类分析模型产生的网络或主机正常模型检测数据包。
它采用K-Means算法作为聚类分析算法,其异常分析流程如图2所示。
图2异常分析流程异常分析器的检测过程为:(1)网络或主机数据包标准化;(2)计算网络数据包与主类链表中聚类中心的相似度:(3)若该网络数据包与某一主类的相似度小于聚类半径R,则表明其是正常的网络数据包,将其丢弃;(4)若该网络数据包与所有主类的相似度大于聚类半径R,则表明其是异常的网络数据包,发现异常。
2.3特征提取器简述特征提取器用于分析未知的异常数据包,挖掘网络异常数据包中潜在的入侵行为模式,产生相应的关联规则集,添加到规则库中。
该模块采用Apriori算法进行关联规则的挖掘,其工作流程下图3所示。
图3特征提取器工作流程特征提取器的工作过程可分为数据预处理和产生关联规则。
(1)数据预处理特征提取器的输入为日志记录,包含很多字段,但并非所有字段都适用于关联分析。
在此仅选择和Snort规则相关的字段,如SrcIP,SrcPort,DstIP,Dst-Port,Protocol,Dsize,Flags和CID等。
(2)产生关联规则首先根据设定的支持度找出所有频繁项集,一般支持度设置得越低,产生的频繁项集就会越多;而设置得越高,产生的频繁项集就越少。
接着由频繁项集产生关联规则,一般置信度设置得越低,产生的关联规则数目越多但准确度不高;反之置信度设置得越高,产生的关联规则数目越少但是准确度较高。
2.4系统模型特点该系统在实际应用时,既可以事先存入已知入侵规则,以降低在开始操作时期的漏报率,也可以不预先存入已知规则。
虽然该系统有较强的自适应性,但在操作初期会有较高的误报率。
因此该系统模型有如下特点:(1)利用数据挖掘技术进行入侵检测;(2)利用先进的挖掘算法,使操作接近实时;(3)具有自适应性,能根据当前的环境更新规则库;(4)不但可检测到已知的攻击,而且可检测到未知的攻击。
3Apriori算法的基础思想及改进思路关联规则技术是最早应用于入侵检测中的数据挖掘技术,关联规则技术用来获得系统审计数据中各属性之间的关系,确定构造入侵检测系统所需要的合适属性,提出某种操作和入侵行为之间,或者是各种入侵行为之间的相互关系。
作为分析数据间隐含的相互关联关系的有力工具,关联规则技术在入侵检测领域中已显现出极大的优越性。
在该入侵检测模型中,就采用比较成熟的Apriori算法进行运算,运用到实际中,可以将该算法进行一些改进。
3.1算法思想165Apriori 算法是一种最有影响的挖掘布尔型关联规则的算法,其基本思想是将关联规则的挖掘分为如下两步:第一步,从事务数据库D 中找出所有支持度不小于用户指定的最小支持度阀值的频繁项目集;第二步,使用频繁项目集产生所期望的关联规则,产生关联规则的基本原则是其置信度不小于用户指定的最小置信度阀值。
第一步挖掘出所有的频繁项目集合是该算法的核心,占据整个计算量的大部分。
在挖掘频繁项目集的过程中主要利用了两个性质:频繁项目集的所有非空子集也是频繁项目集;非频繁项目集的任何超集都是非频繁项目集。
Apriori 算法使用了一种逐层搜索的迭代方法,首先找出所有频繁1-项目集L1,L1用来找频繁2-项目集L2,L2用来找频繁3-项目集L3,如此下去,直到不能找到频繁项目集为止。
具体来讲,Apriori 算法的第一步是简单统计所有含一个元素的项目集出现的频率,来决定频繁1-项目集;在第k 步,分两个阶段,首先调用函数Apriori-Gen ,通过第(k-1)步中生成的频繁(k -1)-项目集Lk-1来生成候选频繁k-项日集Ck ,其次扫描事务数据库D 计算候选频繁k-项日集Ck 中各元素在D 中的支持数或支持度。
3.2算法改进可以利用数据划分技术来挖掘频繁项目集,从而只需扫描整个数据库两次。
包含两个主要处理阶段第一阶段,算法将交易数据库D 分为n 个互不相交的部分,若数据库D 中的最小支持阀值为min_sup ,对于每个划分(部分),挖掘其中所有的频繁项集,它们被称为是局部频繁项集。
可以利用一个特别的数据结构记录包含这些频繁项集的交易记录的TID 以便使得在一次数据库扫描中就能够发现所有的局部频繁k-项集,k=1,2,…。
就整个数据库D 而言,一个局部频繁项集不一定就是个局频繁项集,但是任何全局频繁项集一定会出现在从所有划分所获得的这些局部频繁项集中,这一点可通过反证获得。
因此可以将从n 个划分中所挖掘出的局部频繁项集作为整个数据库D 中频繁项集的候选项集。
在第二阶段中,再次扫描整个数据库以获得所有候选项集的支持频度,以便最终确定各频繁项目集各划分大小和数目可以以每个划分大小能够整个放入内存为准,因此每个阶段只需读入一次数据库内容,而整个挖掘就需要两次扫描整个数据库。
4结语借助数据挖掘技术在处理大量数据特征提取方面的优势,基于数据挖掘的入侵检测系统模型可使入侵检测更加自动化,提高检测效率和检测准确度。
目前,基于数据挖掘的入侵检测已得到快速发展,但仍未得到广泛应用,虽然已经提出了基于Apriori 算法的各种实施办法,但尚未具备完善的理论体系。
因此,解决数据挖掘的入侵检测实时性、正确检测率、误警率等方面问题还有待大规模应用后的实践测评,通过测评数据来丰富和发展现有理论,完善入侵检测系统使其全面投入实际应用。
参考文献:[1]徐兴元,傅和平,熊中朝.基于数据挖掘的入侵检测技术研究[J].微计算机信息,2007(9).[2]朱海霞.数据挖掘在入侵检测中的应用[J].科技资讯,2009(25).[3]刘荫铭,李金海,刘国丽.计算机安全技术[M].北京:清华大学出版社,2000.责任编辑王荣辉Comment on the Application Technique of Date Mining in IDSCAI Yong ,YAN Zhihui(School of Software Engineering,Chongqing University,Chongqing 400019,China )Abstract:The essay discussed the feasibility and necessity of applying Date Mining in intrusion detection,and advanced a IDS model basing on Date Mining,researching the basic algorithm of the model in Date Mining,putting forward the improvement approach of the system applying Apriori algorithm,which was in order to accomplish the automate of intrusion detection and improve the detective efficiency and detective accuracy.Key words :intrusion detection;Date Mining;access security;Apriori algorithm蔡勇,等:数据挖掘在网络入侵检测系统中的应用第3期166。