1、網(wǎng)絡(luò)入侵檢測系統(tǒng)研究已成為計算機網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點。建立網(wǎng)絡(luò)入侵檢測系統(tǒng)的核心是為正常行為或異常行為模式建模。由于大多數(shù)網(wǎng)絡(luò)行為表現(xiàn)為一組與時間相關(guān)的序列，而序列模式挖掘研究的正是與時間相關(guān)的數(shù)據(jù)。因此，采用序列模式挖掘算法構(gòu)建網(wǎng)絡(luò)入侵檢測模型，能夠更好地表現(xiàn)網(wǎng)絡(luò)行為。 本課題對多種序列模式挖掘算法進(jìn)行了深入分析，從算法基本思想、數(shù)據(jù)存儲結(jié)構(gòu)、算法執(zhí)行效率等方面對幾種經(jīng)典的序列模式挖掘算法進(jìn)行分析比較之后，發(fā)現(xiàn)等價類序列模

2、式算法(SPADE)具有較高的挖掘效率。它使用了等價類的概念和“垂直”數(shù)據(jù)庫的存儲思想，完全避免了經(jīng)典Apriori算法中多次掃描數(shù)據(jù)庫和采用哈希樹作為主要存儲結(jié)構(gòu)的缺點，使得掃描數(shù)據(jù)庫的次數(shù)大大減少，對序列支持度的計算也簡單高效。但SPADE算法效率仍然有提升的空間。由于在挖掘序列模式的過程中會產(chǎn)生大量冗余候選集，限制了算法效率的提高。我們借鑒通用序列模式(GSP)算法中候選集的產(chǎn)生過程，通過有針對性地對兩個序列進(jìn)行中間匹配來產(chǎn)生候選

3、集，達(dá)到了減少冗余候選集產(chǎn)生、提高算法效率的目的。本課題使用改進(jìn)后的SPADE算法從網(wǎng)絡(luò)連接記錄中挖掘序列模式，據(jù)此構(gòu)建網(wǎng)絡(luò)異常檢測模型。 多數(shù)網(wǎng)絡(luò)事件與時間相關(guān)，在為入侵檢測系統(tǒng)構(gòu)建檢測模型時，選取一些與時間相關(guān)的統(tǒng)計特征屬性來表示網(wǎng)絡(luò)連接記錄能夠改善模型的檢測精度。而這些統(tǒng)計特征屬性通常是數(shù)值型的，這就存在一個問題：對數(shù)值型屬性使用序列模式挖掘會出現(xiàn)所謂的“邊界過硬”問題，從而導(dǎo)致檢測模型的靈活性和適應(yīng)性都很差。同時網(wǎng)絡(luò)安全

4、事件本質(zhì)上也具有模糊性，正常行為和異常行為之間沒有非常明確的界線，它們之間應(yīng)當(dāng)有一個平滑的過渡。本文引入模糊邏輯理論來解決上述問題。為網(wǎng)絡(luò)連接記錄中的每個統(tǒng)計特征屬性劃分模糊集，指定隸屬函數(shù)，用隸屬度集合的形式來標(biāo)識統(tǒng)計屬性。然后用改進(jìn)的SPADE算法進(jìn)行模糊序列模式挖掘，在挖掘過程中，使用隸屬度貢獻(xiàn)來計算序列支持度，有效地解決了從網(wǎng)絡(luò)連接記錄定量屬性中挖掘序列模式的問題。 已有的檢測模型是用挖掘生成的全部序列模式規(guī)則來建立網(wǎng)絡(luò)

5、行為模式庫，這樣做的弊端在于：最后建立的行為模式庫中存在許多冗余低效規(guī)則，浪費了大量存儲空間；而且在檢測階段，這些規(guī)則也會參與模式比較，又浪費了大量檢測時間，甚至還會導(dǎo)致誤報。我們提出“短規(guī)則存在”原則，采用規(guī)則移項、消除屬性集合和去除可重組規(guī)則這三種規(guī)則裁減策略來剔除冗余規(guī)則，從而縮減了模式庫，加快了檢測過程，同時也降低了誤報率。 本課題主要是進(jìn)行了網(wǎng)絡(luò)入侵檢測建模方法的研究，并提出了一個基于模糊序列模式的網(wǎng)絡(luò)異常檢測模型。通