一种基于关联规则分类的网络入侵检测方法技术

一种基于关联规则分类的网络入侵检测方法，包括网络数据预处理，关联规则提取，网络连接数据分类和分类结果展示。本发明专利技术以改进的Apriori算法(Apriori-index)为基础，以国际标准数据集KDDCup99网络连接数据集为例，首先对选自其中的网络连接数据提取关联规则，然后根据关联规则实现对测试网络连接数据的分类，从而判断出当前网络连接是否为攻击连接以及具体攻击类型，并将相关统计数据展示出来。Apriori-index算法更适用于KDDCup99数据集，大大提高了关联规则提取和网络连接分类的速度，检测结果的准确度也有提升，一定程度上改善了传统入侵检测系统分类慢，误报率高的缺陷。

【技术实现步骤摘要】

本方法涉及网络入侵检测系统领域，尤其涉及到一种基于关联规则分类的网络入侵检测方法。
技术介绍
入侵检测通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。它对于网络系统安全发挥着非常重要的作用，是防火墙的重要补充，入侵检测能够在不影响网络系统性能指标的情况下完成对网络系统的保护。将数据挖掘技术应用于网络入侵检测已成为一个研究的热点,国内外已出现不少这方面的研究成果,但仍存在如下一些不足和难点:多数数据挖掘的入侵检测系统集中于异常检测或误用检测,而异常检测具有较高的误报率,误用检测具有较高的漏报率；目前,多数系统属于准实时系统,不能及时对入侵做出检测并响应；面对不同的网络环境,以及不断改变的入侵类型,当前的网络入侵检测系统缺乏自适应性。将数据挖掘技术中的Apriori算法应用到入侵检测领域具有很强的理论基础，在技术上具有可行性。Apriori算法提取的关联规则由频繁项集生成，规则具有很强的置信度，分类结果精确度较高，很好地避免了异常检测高误报率和误用检测高漏报率的缺陷。
技术实现思路
本专利技术针对传统入侵检测系统的缺陷，提出了一种基于关联规则分类的网络入侵检测方法，通过采用Apriori-index算法来处理大量网络连接数据，提高入侵检测的及时性和准确性。通过在10％KDDCup99实验数据集上测试，对比其他入侵检测算法，该算法的整体检测效果较优。本专利技术技术方案：一种基于关联规则分类的网络入侵检测方法，该方法包括以下步骤：第1步、对国际标准数据集10％KDDCup99预处理，将预处理后的数据集分成训练集和测试集两部分数据。第2步、采用改进的Apriori算法(Apriori-index)对选取的训练集中的网络连接数据进行训练，提取到关联规则，将关联规则存放到关联规则库中，同时将关联规则库中的关联规则展示出来。第3步、测试集中的每条网络连接数据逐条匹配关联规则库中关联规则，根据不同关联规则的条件长度和网络连接类型分别计算权值，找出最大权值所对应的网络连接类型即为最终分类得到的结果。第4步、保存第3步中分类结果，将上述分类过程和分类得到的结果展示出来；同时为保证该方法良好的自学习特性，测试集的数据在根据关联规则分类得到具体的网络连接类型后，训练集数据连同对应的网络连接类型重新加入到训练集数据中，为后续关联规则提取提供新的训练集数据源，保证关联规则的动态更新。第1步中所述的数据集预处理包括以下步骤：将关联规则算法应用到入侵检测方法中，主要是一种以数据为中心的观点，对于网络连接数据的采集处理不在本专利技术的考虑范围之内。本专利技术中以国际标准网络连接数据集10％KDDCup99为例，以数据挖掘的思想为理论依据对入侵网络连接进行分类。第1.1步、为每列数据添加位置参数。因为10％KDDCup99数据集中有大量相同的数据，比如，“0”和“1”，数据集中处于不同列的数据有不同的含义，而原始的Apriori算法在处理数据集中不同列的相同数据项时将他们视为同样的数据，因此直接使用原始的Apriori算法处理数据集会影响提取规则速度和分类结果的准确度。为避免出现以上问题，需要在数据预处理阶段为每条网络连接数据的每个数据项添加位置参数。第1.2步、采用交叉验证的方法选取经过第1.1步预处理后的10％KDDCup99数据集中60％的连接数据作为训练集，剩余的40％的连接数据作为测试集。由于改进后的Apriori算法能够处理字符类型数据，同时数值类型的数据也能够视为字符类型数据，所以无需对网络连接数据中的字符类型数据进行数值化和归一化处理。第2步所述采用Apriori-index算法提取关联规则需要经过以下步骤：第2.1步、初始化最小支持度阈值Min_Support，最小置信度阈值Min_Confidence。通过查阅文献资料和实验验证，最小支持度阈值和最小置信度阈值分别设定为25％和78.5％可以获得较高的分类准确度。初始化最小支持度阈值Min_Support＝25％，最小置信度阈值Min_Confidence＝78.5％。第2.2步、找出所有的频繁项集。遍历训练集中的所有的网络连接数据，统计每个属性值对应的连接类型及其出现的频度，形成候选项集合C1。在此基础上，根据支持度公式Support(X)=Occur(X)Count(D);]]>计算支持度。其中Occur(X)表示训练集中所有网络连接数据中包含频繁项{X本文档来自技高网...

【技术保护点】
一种基于关联规则分类的网络入侵检测方法包括以下步骤：第1步、对国际标准数据集10％KDDCup99预处理，并将预处理后的数据集分成训练集和测试集两部分数据；第2步、采用改进的Apriori算法(Apriori‑index)对选取的训练集中的网络连接数据进行训练，提取到关联规则，将关联规则存放到关联规则库中，同时将关联规则库中的关联规则展示出来；第3步、测试集中的每条网络连接数据逐条匹配关联规则库中关联规则，根据不同关联规则的条件长度和网络连接类型分别计算权值，找出最大权值所对应的网络连接类型即为最终分类得到的结果；第4步、保存第3步中分类结果，将上述分类过程和分类得到的结果展示出来；同时为保证该方法良好的自学习特性，测试集的数据在根据关联规则分类得到具体的网络连接类型后，训练集数据连同对应的网络连接类型重新加入到训练集数据中，为后续关联规则提取提供新的训练集数据源，保证关联规则的动态更新。

【技术特征摘要】
1.一种基于关联规则分类的网络入侵检测方法包括以下步骤：
第1步、对国际标准数据集10％KDDCup99预处理，并将预处理后的数据集分成训练集和测试集两部分数据；
第2步、采用改进的Apriori算法(Apriori-index)对选取的训练集中的网络连接数据进行训练，提取到关联规则，将关联规则存放到关联规则库中，同时将关联规则库中的关联规则展示出来；
第3步、测试集中的每条网络连接数据逐条匹配关联规则库中关联规则，根据不同关联规则的条件长度和网络连接类型分别计算权值，找出最大权值所对应的网络连接类型即为最终分类得到的结果；
第4步、保存第3步中分类结果，将上述分类过程和分类得到的结果展示出来；同时为保证该方法良好的自学习特性，测试集的数据在根据关联规则分类得到具体的网络连接类型后，训练集数据连同对应的网络连接类型重新加入到训练集数据中，为后续关联规则提取提供新的训练集数据源，保证关联规则的动态更新。
2.根据权利要求1所述的基于关联规则分类的网络入侵检测方法，其特征在于：第1步中数据集预处理的方法是：
第1.1步、为每列数据添加位置参数；因为10％KDDCup99数据集中有大量相同的数据，数据集中处于不同列的数据有不同的含义，而原始的Apriori算法在处理数据集中不同列的相同数据项时将他们视为同样的数据，因此直接使用原始的A...

【专利技术属性】
技术研发人员：王劲松，莫敬涛，黄玮，杨传印，
申请(专利权)人：天津理工大学，
类型：发明
国别省市：天津;12