1.一種基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法，包括頻繁片段規(guī)則庫(kù)生成過程和網(wǎng)絡(luò)入侵檢測(cè)過程；所述頻繁片段規(guī)則庫(kù)生成過程具體包括以下步驟：

步驟1、選取一條具有已知行為屬性為正常或者異常的數(shù)據(jù)流D(d₁d₂d₃…d_n)，其中n表示數(shù)據(jù)流D(d₁d₂d₃…d_n)由n個(gè)數(shù)據(jù)包構(gòu)成；

步驟2、設(shè)定由2-6個(gè)不同行為特征組成的行為特征集合S-(行為特征1，行為特征2，…行為特征j)|T，其中：2≤j≤6；T表示該數(shù)據(jù)流的行為屬性，即該數(shù)據(jù)流為正常行為數(shù)據(jù)流或異常行為數(shù)據(jù)流；

步驟3、根據(jù)步驟2所設(shè)定的行為特征集合S，對(duì)步驟1所選取的數(shù)據(jù)流D(d₁d₂d₃…d_n)的每個(gè)數(shù)據(jù)包，提取其行為特征值集合G-(|行為特征1|，|行為特征2|，…，|行為特征j|)|T，其中：“|*|”表示行為特征“*”的具體值，當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí)，令該行為特征的值為“空”；當(dāng)該數(shù)據(jù)包所屬的數(shù)據(jù)流為正常行為數(shù)據(jù)流時(shí)，令T＝1；當(dāng)該數(shù)據(jù)包所屬的數(shù)據(jù)流為異常行為數(shù)據(jù)流時(shí)，令T＝0；這樣，對(duì)于由n個(gè)數(shù)據(jù)包構(gòu)成的數(shù)據(jù)流，一共可得到n個(gè)行為特征值集合G；

步驟4、對(duì)于步驟3產(chǎn)生的n個(gè)行為特征值集合G，將其中任意k個(gè)，2≤k≤8，相鄰數(shù)據(jù)包所產(chǎn)生的k個(gè)行為特征值集合G組合在一起，得到一個(gè)頻繁片段H-(G₁，G₂，G₃，…，G_k)，一共得到n-k+1個(gè)頻繁片段；

步驟5、重復(fù)步驟1-步驟4，提取下一條已知行為屬性數(shù)據(jù)流的每個(gè)數(shù)據(jù)包的行為特征值集合G并得到所有頻繁片段，當(dāng)已知行為屬性數(shù)據(jù)流的條數(shù)m≥50時(shí)進(jìn)行下一步操作；

步驟6、對(duì)步驟5所得的所有頻繁片段進(jìn)行分類，將所有k個(gè)行為特征值集合G完全相同的頻繁片段歸屬于同一類頻繁片段；

步驟7、經(jīng)步驟6對(duì)所有頻繁片段進(jìn)行分類后，設(shè)所有頻繁片段的數(shù)量為A，所有頻繁片段的類型的數(shù)量為B，分別計(jì)算每一類型頻繁片段的置信度：

某一類型頻繁片段的置信度＝該類型頻繁片段的重復(fù)個(gè)數(shù)/(該類型頻繁片段的重復(fù)個(gè)數(shù)+與該類型頻繁片段相類似的頻繁片段的重復(fù)個(gè)數(shù))×100％；這里，與該類型頻繁片段相類似的頻繁片段指的是頻繁片段的所有k個(gè)行為特征值集合G中，所有的行為特征值相同而T值相反的另一類型的頻繁片段；

經(jīng)上述處理之后，得到具有相應(yīng)置信度的頻繁片段—頻繁片段規(guī)則，將所有頻繁片段規(guī)則置于一個(gè)庫(kù)中，形成頻繁片段規(guī)則庫(kù)；

所述網(wǎng)絡(luò)入侵檢測(cè)過程包括以下步驟：

步驟8、輸入待測(cè)數(shù)據(jù)流D′(d₁d₂d₃…d_n)；

步驟9、對(duì)待測(cè)數(shù)據(jù)流D′(d₁d₂d₃…d_n)的每個(gè)數(shù)據(jù)包，提取其行為特征值集合G′-(|行為特征1|，|行為特征2|，…，|行為特征j|)，其中：“|*|”表示行為特征“*”的具體值，當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí)，令該行為特征的值為“空”；一共可得到n個(gè)行為特征值集合G′；

步驟10、對(duì)于步驟9產(chǎn)生的n個(gè)行為特征值集合G′，將其中任意k個(gè)，2≤k≤8，相鄰數(shù)據(jù)包所產(chǎn)生的k個(gè)行為特征值集合G′組合在一起，得到一個(gè)頻繁片段H′-(G₁′，G₂′，G₃′，…，G_k′)，一共得到n-k+1個(gè)頻繁片段；

步驟11、將步驟10所得的n-k+1個(gè)頻繁片段與步驟7所得的頻繁片段規(guī)則庫(kù)中的頻繁片段在不考慮T值和置信度的情況下進(jìn)行比對(duì)，若在頻繁片段規(guī)則庫(kù)中找到一個(gè)T值為“0”且置信度＞50％的頻繁片段規(guī)則所對(duì)應(yīng)的在不考慮T值和置信度的情況下的頻繁片段與步驟10所得的n-k+1個(gè)頻繁片段中的某一個(gè)頻繁片段相同，則認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流D′(d₁d₂d₃…d_n)為異常數(shù)據(jù)流，并進(jìn)行報(bào)警；否則，認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流D′(d₁d₂d₃…d_n)為正常數(shù)據(jù)流，不進(jìn)行報(bào)警。