基于数据挖掘的入侵检测系统的改进与实现

由表4可以看出，Apriori算法和Apriori_lift算法的运行时间随挖掘规则变化的比较情况。Apriori算法随着挖掘结果中规则数的增长，时间上有数量级的提高，而Apriori_lift随着时间的增长，其挖掘出的规则数量增幅不大。而Apriori_lift存在额外的作用度比较的开销，在高支持度时，由于要处理的频繁项目及模式数目都较少，此时从挖掘结果上看Apriori_lift表现了比Apriori更好的性能。

3 挖掘结果分析

以Apriori_lift算法挖掘数据集udppro为例，挖掘过程如下：

过程一：挖掘数据源的生成。

Udppro数据集经过数据预处理后生成了挖掘数据源Udpsource．txt，共计7 585条描述网络连接的记录，其记录格式如下：

pro：UDP sip：192．168．0．1

sport：67 dip：255．255．255．255 dport：68 lenth：315ttl：128

过程二：算法挖掘

(1)find association rules with the apriori algorithm (2)reading f：＼mining＼udpsource．txt…[163 item(s)，7585 transaction(s)]done[0．13s]．

(3)sorting and recoding items…[21 item(s)]done[0．01s]．

(4)creating transaction tree…done[0．04s]．

(5)checking subsets of size 1 2 3 4 5 done[0．00s]．

(6)writing f：＼mining＼apriori．txt…[540 rule(s)]done[0．37s]．

过程三：挖掘结果分析

挖掘出540条规则，经过规则合并以及多属性并存的原则过滤之后筛选出17条规则如下：

Apriori_lift挖掘结果

(1)lenth：58 sport：137 dip：202．198．178．255 ttl：128 dport：137 pro：UDP

(2)sip：192．168．0．22 dport：161 ttl：128pro：UDP dip：202．198．181．65

(3)dport：138 sport：138 dip：202．198．178．255 ttl：128 pro：UDP

(4)dip：202．198．181．65 ttl：127 sip：202．198．178．131 dport：161 pro：UDP

(5)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128

(6)sport：2039 ttl：127 sip：202．198．178．131 dip：202．198．181．65 dport：161 ttl：127

(7)lenth：58 sport：137 dip：202．198．178．255 dport：137

(8)sip：192．168．0．22 dip：202．198．181．65 dport：161ttl：128

(9)sport：138 dip：202．198．178．255 dport：138 ttl：128 pro：UDP

(10)sip：202．198．178．131 sport：4126 dip：202．198．181．65ttl：127 dport：161 pro：UDP

(11)sip：202．198．178．131 sport：2039 dip：202．198．181．65dport：161 ttl：127 pro:UDP

(12)sport：137 dip：202．198．178．255 dport：137 lenth：58ttl：128

(13)sip：192．168．0．22 dip：202．198．181．65 dport：161 ttl：128 pro：UDP

(14)sport：138 dip：202．198．178．255 dport：138 lenth：58ttl：128

(15)sip：202．198．178．131 dip：202．198．181．65 dport；161ttl：127 pro：UDP

(16)sport：4126 sip：192．168．0．22 dip：202．198．181．65dport：161 ttl：128 pro：UDP

(17)sip：202．198．1 78．65 sport：2039 dip：202．198．178．131dport：161 ttl：127 pro：UDP

对于以上挖掘结果归类如下：

规则归类：

类一：规则1，3，7，9，12，14。

类别特征：dip：202．198．178．255 sport：137／138dport：137／138(sport=dport)

pro：udp ttl：127／128 lenth：58

类二：规则4，6，10，11，15，17。

类别特征：sip／dip：202．198．178．131 sport：2300／4126 dip／sip：202．198．181．65

dport：161 ttl：128／127 pro：udp

类三：规则2，5，8，13，16。

类别特征：sip／dip：192．168．0．22 sport：4126 dip／sip：202．198．181．65 dport：161

ttl：128／127 pro：udp

根据图1网络实验环境可知202．198．178．131是IP192．168．0．22的网关，故规则类二与类三可以合并为一类规则。

过程四：挖掘结果说明

规则类一说明：137，138是UDP端口，当通过网上邻居传输文件时用这两个端口，137端口是NetBIOS名称UDP。138端口是NetBIOS数据报UDP

规则类二说明：子网主机192．168．0．22通过网关202．198．178．131与外部网主机202．198．181．65进行SNMP通信。

4 结 语

对基于支持度一信任度挖掘的关联规则有效性进行了分析，指出在挖掘过程中仅考虑支持度和信任度的不足．产生的关联规则不一定是有效有趣的，甚至可能是欺骗性的，具有误导作用。因此引入相关性分析来衡量规则，大大增强了规则的有效性。

作者：关德君 林丽 来源：现代电子技术