一種基于關聯規則分類的網絡入侵檢測方法，包括網絡數據預處理，關聯規則提取，網絡連接數據分類和分類結果展示。本發明以改進的Apriori算法(Apriori?index)為基礎，以國際標準數據集KDDCup99網絡連接數據集為例，首先對選自其中的網絡連接數據提取關聯規則，然后根據關聯規則實現對測試網絡連接數據的分類，從而判斷出當前網絡連接是否為攻擊連接以及具體攻擊類型，并將相關統計數據展示出來。Apriori?index算法更適用于KDDCup99數據集，大大提高了關聯規則提取和網絡連接分類的速度，檢測結果的準確度也有提升，一定程度上改善了傳統入侵檢測系統分類慢，誤報率高的缺陷。

技術領域

本方法涉及網絡入侵檢測系統領域，尤其涉及到一種基于關聯規則分類的網絡入侵檢測方法。

背景技術

入侵檢測通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。它對于網絡系統安全發揮著非常重要的作用，是防火墻的重要補充，入侵檢測能夠在不影響網絡系統性能指標的情況下完成對網絡系統的保護。

將數據挖掘技術應用于網絡入侵檢測已成為一個研究的熱點,國內外已出現不少這方面的研究成果,但仍存在如下一些不足和難點:多數數據挖掘的入侵檢測系統集中于異常檢測或誤用檢測,而異常檢測具有較高的誤報率,誤用檢測具有較高的漏報率；目前,多數系統屬于準實時系統,不能及時對入侵做出檢測并響應；面對不同的網絡環境,以及不斷改變的入侵類型,當前的網絡入侵檢測系統缺乏自適應性。

將數據挖掘技術中的Apriori算法應用到入侵檢測領域具有很強的理論基礎，在技術上具有可行性。Apriori算法提取的關聯規則由頻繁項集生成，規則具有很強的置信度，分類結果精確度較高，很好地避免了異常檢測高誤報率和誤用檢測高漏報率的缺陷。

發明內容

本發明針對傳統入侵檢測系統的缺陷，提出了一種基于關聯規則分類的網絡入侵檢測方法，通過采用Apriori-index算法來處理大量網絡連接數據，提高入侵檢測的及時性和準確性。通過在10％KDDCup99實驗數據集上測試，對比其他入侵檢測算法，該算法的整體檢測效果較優。

本發明技術方案：

一種基于關聯規則分類的網絡入侵檢測方法，該方法包括以下步驟：

第1步、對國際標準數據集10％KDDCup99預處理，將預處理后的數據集分成訓練集和測試集兩部分數據。

第2步、采用改進的Apriori算法對選取的訓練集中的網絡連接數據進行訓練，提取到關聯規則，將關聯規則存放到關聯規則庫中，同時將關聯規則庫中的關聯規則展示出來。所述改進的Apriori算法稱為基于索引的Apriori算法，用Apriori-index表示。

第3步、測試集中的每條網絡連接數據逐條匹配關聯規則庫中關聯規則，根據不同關聯規則的條件長度和網絡連接類型分別計算權值，找出最大權值所對應的網絡連接類型即為最終分類得到的結果。

第4步、保存第3步中分類結果，將上述分類過程和分類得到的結果展示出來；同時為保證該方法良好的自學習特性，測試集的數據在根據關聯規則分類得到具體的網絡連接類型后，訓練集數據連同對應的網絡連接類型重新加入到訓練集數據中，為后續關聯規則提取提供新的訓練集數據源，保證關聯規則的動態更新。

第1步中所述的數據集預處理包括以下步驟：

將關聯規則算法應用到入侵檢測方法中，主要是一種以數據為中心的觀點，對于網絡連接數據的采集處理不在本發明的考慮范圍之內。本發明中以國際標準網絡連接數據集10％KDDCup99為例，以數據挖掘的思想為理論依據對入侵網絡連接進行分類。