基于模糊集的安全事件关联算法研究与实现

摘要

随着网络技术的不断发展和Internet的日益普及，计算机网络的安全问题也变得越来越突出，多样化的入侵手段和应用环境使得网络更为脆弱，威胁日益增加。面对复杂网络环境中的各种安全事件，防火墙、入侵检测系统等网络安全设备每时每刻都会产生大量的告警，如何从这些告警中，发现有价值的信息和潜在的攻击威胁成为一个重要的问题。本文针对各种告警数量巨大的特点，引入了模糊集理论，对一定时间内各种告警出现的次数进行模糊集划分，并通过数据挖掘技术中的模糊关联规则挖掘发现其中潜在的攻击。本文首先介绍了数据挖掘的相关背景，以及其中与本文相关的关联规则知识，分析了经典的Apriori算法及其在性能上的缺点。其次，本文分析了传统关联规则只能针对布尔型数据的局限。对于更多的数量型数据，引入了模糊集理论和应用于数量型关联规则挖掘的模糊关联规则。然后，本文提出了一种基于模糊矩阵的模糊关联规则挖掘算法，比起传统的算法，在性能上取得了一定的改进。最后，本文重点研究了模糊关联规则挖掘算法在安全事件关联中的应用，根据告警产生的特点，对算法进一步改进，增加了时间窗属性，并通过挖掘具有一定时间顺序的最长的告警模糊频繁属性集，发现攻击步骤。通过对MIT林肯实验室Darpa2000 DDOS1.0数据集的测试，本文所提出的方案取得了良好的效果。

目录

摘要

ABSTRACT

第一章 绪论

1.1 引言

1.2 研究背景

1.3 论文主要工作内容及论文结构

1.4 本章小结

第二章 数据挖掘及关联规则介绍

2.1 数据挖掘概述

2.1.1 数据挖掘的概念

2.1.2 数据挖掘的任务

2.1.3 数据挖掘的方法和技术

2.2 关联规则介绍

2.2.1 频繁项目集的定义及性质

2.2.2 关联规则的定义

2.2.3 关联规则的挖掘步骤

2.3 经典的关联规则挖掘算法

2.3.1 Apriori 算法

2.3.2 一种基于0-1 矩阵的关联规则挖掘改进算法

2.4 本章小结

第三章 模糊集理论及模糊关联规则介绍

3.1 模糊集理论简介

3.1.1 模糊数学的起源

3.1.2 模糊集的基本概念

3.1.3 确定隶属函数的思想

3.1.4 模糊数学的应用

3.2 模糊关联规则介绍

3.2.1 传统关联规则的局限

3.2.2 数量型关联规则

3.2.3 模糊关联规则

3.3 本章小结

第四章 基于模糊矩阵的模糊关联规则挖掘算法

4.1 基于APRIORI 算法的模糊关联规则挖掘算法

4.2 基于模糊矩阵的模糊关联规则挖掘改进算法

4.2.1 算法思想

4.2.2 模糊矩阵的定义

4.2.3 基于模糊矩阵的模糊关联规则挖掘算法

4.2.4 算法的进一步改进

4.3 本章小结

第五章 模糊关联规则挖掘算法在安全事件关联中的应用

5.1 安全事件关联

5.1.1 安全事件关联的定义

5.1.2 黑客的一般攻击步骤

5.2 模糊关联规则挖掘算法在安全事件关联中的修改

5.2.1 模糊关联规则应用于安全事件关联中的合理性分析

5.2.2 模糊关联规则挖掘算法在安全事件关联中的修改

5.3 模糊关联规则挖掘算法在安全事件关联中的实现

5.3.1 方案目标

5.3.2 总体架构

5.3.3 模块流程

5.3.4 重要数据表

5.4 数据集测试及分析

5.4.1 数据集简介

5.4.2 实验结果及分析

5.5 本章小结

第六章 全文总结

6.1 主要结论

6.2 研究展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文