徐開勇 龔雪容 成茂才

摘要：針對安全審計系統(tǒng)中存在的智能程度低、日志信息沒有充分利用的問題，提出一個基于關(guān)聯(lián)規(guī)則挖掘的安全審計系統(tǒng)。該系統(tǒng)充分利用已有審計日志，結(jié)合數(shù)據(jù)挖掘技術(shù)，建立用戶及系統(tǒng)的行為模式數(shù)據(jù)庫，做到及時發(fā)現(xiàn)異常情況，提高了計算機的安全性。在傳統(tǒng)Apriori算法的基礎(chǔ)上提出一種改進的EApriori算法，該算法可以縮小待掃描事務(wù)集合的范圍，降低算法的時間復(fù)雜度，提高運行效率。實驗結(jié)果表明基于關(guān)聯(lián)規(guī)則挖掘的審計系統(tǒng)對攻擊類型的識別能力提升在10%以上，改進的EApriori算法相比經(jīng)典Apriori算法和FPGROWTH算法在性能上得到了提高，特別是在大型稀疏數(shù)據(jù)集中最高達到51%。

關(guān)鍵詞：

安全審計系統(tǒng)；審計日志；數(shù)據(jù)挖掘；關(guān)聯(lián)規(guī)則挖掘；Apriori算法

中圖分類號： TP391.4 文獻標志碼：A

0引言

隨著計算機技術(shù)的快速發(fā)展，網(wǎng)絡(luò)傳播帶來開放性，計算機操作系統(tǒng)也面臨著越來越多的安全威脅。計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)甚至整個信息技術(shù)基礎(chǔ)設(shè)施的安全性，成為一個亟待解決的問題。除卻防火墻隔離、入侵檢測，安全領(lǐng)域的另一個重要的技術(shù)研究方向就是安全審計[1]。伴隨著一系列新的攻擊的產(chǎn)生，對于審計技術(shù)的要求隨之提高。目前，安全審計的主要工作是在事前記錄、事后追蹤，記錄用戶的操作行為作為證據(jù)[2]，這對于獲悉用戶行為、檢測安全隱患、進行事后追查和分析都具有十分重要的意義。安全審計員為系統(tǒng)管理員提供及時的警告信息，實現(xiàn)對系統(tǒng)事件的追蹤、審查、統(tǒng)計和報告[3]。

審計系統(tǒng)對用戶及操作系統(tǒng)的行為判斷都是基于采集到的用戶相關(guān)操作以及系統(tǒng)各關(guān)鍵路徑上的狀態(tài)，最終生成審計日志。雖然審計系統(tǒng)不斷地進行記錄，擁有豐富的數(shù)據(jù)信息，但是對這些數(shù)據(jù)的利用卻仍然非常有限，這事實上是一種資源的浪費。本文提出通過建立獨立于用戶平臺的用戶審計模塊，使用改進的Apriori算法，縮短運行時間，提高算法效率，提取出可靠性強的關(guān)聯(lián)規(guī)則，挖掘?qū)徲嬋罩局刑N藏的狀態(tài)信息，建立行為規(guī)則庫并及時更新，提升用戶平臺識別攻擊的能力，為審計系統(tǒng)追溯攻擊者提供證據(jù)，進一步提高操作系統(tǒng)的安全性。

1關(guān)聯(lián)規(guī)則挖掘

1.1數(shù)據(jù)挖掘

數(shù)據(jù)挖掘作為一種從大量初級數(shù)據(jù)中發(fā)現(xiàn)潛在規(guī)則和有價值知識信息的技術(shù)，是數(shù)據(jù)庫知識發(fā)現(xiàn)（Knowledge Discovery in Database， KDD）中的一個步驟[4]，也是基于多個領(lǐng)域的理論和技術(shù)方法，例如人工智能、機器學(xué)習(xí)、并行計算、數(shù)學(xué)分析等。在當今信息爆炸的時代環(huán)境下，數(shù)據(jù)量呈指數(shù)增長，數(shù)據(jù)挖掘技術(shù)變得越來越流行，就是為了從大量的數(shù)據(jù)源中獲取有用的信息。過去的十年間，很多挖掘方法都被提出并得到應(yīng)用，關(guān)聯(lián)規(guī)則挖掘得益于它的廣泛適用性而備受關(guān)注。在安全操作系統(tǒng)中同樣存在許多沒有充分利用的知識數(shù)據(jù)，本文結(jié)合安全操作系統(tǒng)的審計日志，利用數(shù)據(jù)挖掘的方法獲取用戶和系統(tǒng)的行為模式[5]。

1.2關(guān)聯(lián)規(guī)則

關(guān)聯(lián)規(guī)則最早由Agrawal等[6-7]提出，是一個用來從原數(shù)據(jù)中發(fā)現(xiàn)令人感興趣的規(guī)則的方法，是近年來數(shù)據(jù)挖掘的研究方向之一。經(jīng)典的Apriori算法用于關(guān)聯(lián)規(guī)則挖掘，但由于該算法在產(chǎn)生關(guān)聯(lián)規(guī)則時需要首先生成大量的規(guī)則集，效率不高，在2000年由Han等[8]提出了基于FPTREE生成頻繁項目集的FPGROWTH算法，只需要掃描兩次原始數(shù)據(jù)庫，提高了頻繁項目集的挖掘效率。把原始數(shù)據(jù)庫映射成內(nèi)存中的一棵FPTREE，采用共享前綴對原數(shù)據(jù)庫進行極大的壓縮，使得較小的數(shù)據(jù)庫可以在內(nèi)存中完成挖掘。類似的算法也有提出，比如COFITREE[9]，但是這些算法都需要駐留在內(nèi)存中，所以會受到系統(tǒng)內(nèi)存不足的限制。

關(guān)聯(lián)規(guī)則可以在評價重要關(guān)聯(lián)時提供有意義的信息，比如：從心肌梗塞的病例登記中找出血液和疾病史之間的關(guān)系[10]，Khalili等[11]利用Apriori算法建立利用臨界狀態(tài)測定工業(yè)入侵的系統(tǒng)檢測方法，在不訪問數(shù)據(jù)庫的情況下推理產(chǎn)生所有關(guān)聯(lián)規(guī)則[12]，在保護各自隱私的情況下進行分布式數(shù)據(jù)庫的數(shù)據(jù)挖掘[13]，Rozenberg等[14]研究了垂直分區(qū)分布式數(shù)據(jù)庫的關(guān)聯(lián)規(guī)則挖掘，Ding等[15]提出一種基于目標關(guān)聯(lián)挖掘的惡意軟件快速檢測算法。

2基于日志挖掘的審計系統(tǒng)

當前的審計系統(tǒng)存在信息記錄過于簡單、機械，對日志信息利用率低，系統(tǒng)智能程度低，警告功能缺失等問題[16]，因此需要結(jié)合其他技術(shù)，如人工智能、數(shù)據(jù)挖掘等，為安全審計提供更多解決方法，理想的審計系統(tǒng)基于這樣一個理論基礎(chǔ)，任何一種偏離預(yù)期的系統(tǒng)狀態(tài)和違反規(guī)定的操作行為都應(yīng)該被記錄下來，并在事后及時發(fā)現(xiàn)危險進行彌補。然而，這是建立在對歷史攻擊方法和系統(tǒng)漏洞知識積累的基礎(chǔ)上的方法，因此需要建立包含上述知識信息的行為模式數(shù)據(jù)庫。

圖1所示為基于日志挖掘的安全審計系統(tǒng)，該安全審計系統(tǒng)可以提供以下功能：審計事件統(tǒng)計、異常情況分析、系統(tǒng)報警等，并對上述審計記錄進行統(tǒng)一檢索、分析處理，提供有效的日志檢索查詢機制，發(fā)現(xiàn)潛在的攻擊征兆，為系統(tǒng)安全事件的事后追蹤提供證據(jù)。

安全審計系統(tǒng)由硬件及軟件組成，通過收集和分析計算機系統(tǒng)中各關(guān)鍵點的日志信息，建立用戶的行為模式，同數(shù)據(jù)庫中已知的行為模式進行比對，檢查系統(tǒng)可能遭受的入侵或攻擊，描述違規(guī)操作中各步驟之間的關(guān)系，及時發(fā)現(xiàn)系統(tǒng)中用戶的行為是否違反安全策略。該系統(tǒng)包括用戶平臺審計代理、信息收發(fā)處理模塊和用戶審計模塊3個部分。

1）用戶平臺審計代理。部署于用戶平臺，用于收集用戶的日志文件，按照策略定期從日志文件中取出這些批量數(shù)據(jù)，封裝打包后傳輸給位于安全域的用戶審計模塊，為其提供數(shù)據(jù)支持。同時，將當前記錄日志同數(shù)據(jù)庫中行為模式進行匹配，根據(jù)判定結(jié)果作出適當響應(yīng)。操作系統(tǒng)主要對用戶平臺的啟動、軟件安裝/加載/卸載和運行、設(shè)備打開/關(guān)閉、網(wǎng)絡(luò)連接、文件輸出/拷貝/修改、密鑰/算法管理等關(guān)鍵操作以及操作系統(tǒng)關(guān)鍵動作進行記錄，將這些數(shù)據(jù)實時地存入用戶平臺日志文件并進行匯總和分析。

2）信息收發(fā)處理模塊。部署于安全域，負責接收用戶平臺審計代理發(fā)送的審計日志，確認它們是安全可信的，然后上傳給用戶審計模塊，經(jīng)過分揀和預(yù)處理后，提交審計處理；下載用戶審計模塊的挖掘結(jié)果，即用戶審計模塊的行為模式數(shù)據(jù)庫，為安全監(jiān)控提供保障。

3）用戶審計模塊。部署于安全域，可進一步劃分為審計數(shù)據(jù)預(yù)處理、審計數(shù)據(jù)分析和行為模式數(shù)據(jù)庫3個部分：第1部分負責將信息收發(fā)處理模塊發(fā)送的用戶平臺審計數(shù)據(jù)進行過濾、分揀、重組，形成統(tǒng)一的格式存入安全數(shù)據(jù)庫；第2部分負責對審計日志數(shù)據(jù)進行挖掘、分析，提取審計日志的特征集和規(guī)則集，同時提供多條件下的審計日志查詢；第3部分負責建立操作系統(tǒng)中安全或危險的用戶行為模式，及時更新數(shù)據(jù)庫中的用戶行為模式信息。

3關(guān)聯(lián)規(guī)則挖掘算法

關(guān)聯(lián)規(guī)則挖掘可以用來在數(shù)據(jù)中發(fā)現(xiàn)各項集之間可信的、有代表性的關(guān)聯(lián)規(guī)則，挖掘過程可以分為以下兩個步驟：1）發(fā)現(xiàn)頻繁項集。找出所有支持度不低于最小支持度的最大頻繁項集。2）生成強關(guān)聯(lián)規(guī)則。從最大頻繁項集中找出滿足最小可信度的規(guī)則[17]。事實上，第1）步尋找所有最大頻繁項集是整個過程的關(guān)鍵步驟。

3.1傳統(tǒng)的Apriori算法

該算法采用廣度優(yōu)先搜索找出頻繁1項集，經(jīng)過多次迭代，將（k-1）項集同自身連接得到候選k項集，k=2，3，…，l；l代表最大頻繁項集的長度，并根據(jù)最小支持度剪枝，最終得到滿足條件的頻繁項集。Apriori算法是挖掘頻繁項集的一個重要算法，它有一個經(jīng)常應(yīng)用于剪枝的定理[18]。

定理1頻繁項集的子集也必須是頻繁項集，非頻繁項集的超集肯定是非頻繁項集。

Apriori算法為了生成所有頻繁項集，使用了遞歸的方法，該算法的偽代碼可以表示如下。

min_support表示最小支持度；L1表示所有頻繁1項集組成的集合；Ck表示所有候選k項集組成的集合；Lk表示所有頻繁k項集組成的集合；D表示事務(wù)數(shù)據(jù)庫；ck表示候選項集的第k個集合元素。

有序號的程序——————————Shift+Alt+Y

程序前

1）

C1 ← {{i}|i∈I}

2）

K ← 1

3）

While Ck≠ do

4）

for each transaction T∈D do

5）

for each candidate itemset ck∈Ck do

6）

if ckT then

7）

support（ck） ← support（ck）+1//支持度計數(shù)

8）

Lk ← {ck|ck∈Ck，s（ck）≥min_support}

//利用最小支持度剪枝

9）

Ck+1 ←

10）

for each l1，l2∈Lk，|l1∩l2|=k-1 do

11）

M ← l1∪l2//對頻繁項集進行自連接

12）

if JM，|J|=k and J∈Lk then

//性質(zhì)1對得到的候選（k+1）項集篩選

13）

Ck+1 ← Ck+1∪M//生成頻繁（k+1）項集

14）

k ← k+1

15）

return Lk

程序后

在利用頻繁（k-1）項集生成k項集時，如果頻繁（k-1）項集數(shù)量很多，Apriori算法需要進行大量的I/O操作并占用CPU，掃描事務(wù)數(shù)據(jù)庫，計算候選k項集的支持度會占用大量資源，算法的效率低。下面對Apriori算法復(fù)雜度進行分析。

N表示事務(wù)數(shù)據(jù)庫D的交易數(shù)，E表示最大交易長度，則第一遍數(shù)據(jù)庫掃描時間為O（E×N），在每一步中，連接時間開銷是O（|Lk-1|×|Lk-1|），剪枝時間開銷是O（|Ck|），掃描計數(shù)時間是O（N×|Ck|）。所以Apriori算法總的時間開銷為：

O（E×N）+∑k≥2（O（|Lk-1|×|Lk-1|）+O（|Ck|）+O（N×|Ck|））

由于頻繁-22是否應(yīng)該是“2-”？請明確。后面的“-3”也是如此。項集是在L1上進行連接和剪枝，頻繁-33項集是在L2上進行連接和剪枝，且|Li|>|Lj|，2≤i， j≤k，i

3.2改進的EApriori算法

算法1Ck的生成算法。

步驟1掃描所有的事務(wù)，生成候選集C1，根據(jù)設(shè)定的最小支持度，生成頻繁1項集的表F1（項，支持度，事務(wù)號）；

步驟2將頻繁（k-1）項集同自身進行連接操作得到候選k項集，Lk-1*Lk-1=Ck；

步驟3利用頻繁1項集表F1進行篩選，確定目標事務(wù)；

步驟4掃描目標事務(wù)集合。

改進的EApriori算法減少了傳統(tǒng)Apriori算法在掃描事務(wù)數(shù)據(jù)庫時所花費的大量時間。該算法首先掃描所有事務(wù)生成C1，根據(jù)最小支持度剪枝后生成頻繁1項集F1表，它包括項、支持度和事務(wù)號3個內(nèi)容，接著使用L1來幫助產(chǎn)生L2，L3，…，Lk。通過自連接操作L1*L1得到候選2項集C（x，y），x和y都是C2中的項，將x和y分開來單獨進行分析。在掃描數(shù)據(jù)庫中所有事務(wù)，產(chǎn)生候選2項集的支持度之前，利用表F1找出x和y中支持度較小的項，然后根據(jù)它在表F1對應(yīng)的事務(wù)決定候選2項集C2中待掃描的事務(wù)集合，在該集合中統(tǒng)計x和y的支持度。對于C3采取同樣的辦法，L2*L2得到候選3項集C（x，y，z），其中x、y、z都是C3中的項，將x、y、z看作獨立的元素去分析，利用表F1找出項集中支持度最小的項，由它在表F1對應(yīng)的事務(wù)決定候選3項集C3中待掃描的事務(wù)集合，在該集合中統(tǒng)計x、y、z的支持度，重復(fù)上述步驟，直到?jīng)]有新的頻繁項集產(chǎn)生。

算法2EApriori算法。

步驟1L1=find_1_itemsets（T），生成表F1//生成頻繁1項集

步驟2for（k=2；Lk-1≠；k++）{

步驟3Ck=Lk-1*Lk-1//利用Lk-1執(zhí)行自連接操作生成Ck

步驟4x=Getitem_minsup（Ck，F(xiàn)1）

//利用F1從Ck的k個項中找到支持度最小的項x

步驟5Target=get_Transaction_ID（x）

//查詢表F1得到含有項x的目標事務(wù)

步驟6統(tǒng)計Ck中各項在目標事務(wù)Target中的支持度

步驟7根據(jù)最小支持度進行篩選剪枝}

改進的EApriori算法時間復(fù)雜度分析如下：針對Apriori算法中計算候選項集支持度的部分作出改進，每次迭代的掃描計數(shù)時間復(fù)雜度降低為O（ak×N×|Ck|），其中ak=Target/N，表示支持度最小的項x對應(yīng)的目標事務(wù)數(shù)在總事務(wù)數(shù)中所占比例。改進的EApriori算法總時間開銷為：

O（E×N）+（O（|Lk-1|×|Lk-1|）+O（|Ck|）+O（ak×N×|Ck|））

每次迭代中各步驟的算法時間復(fù)雜度比較如表1所示，其中第1遍掃描數(shù)據(jù)庫時間開銷O（E×N）只計算1次。

由表1可知，算法總的時間開銷由4個部分組成：第1遍掃描數(shù)據(jù)庫、項集連接、掃描計數(shù)和篩選剪枝。其中，在總時間開銷中占據(jù)比例最大的就是掃描計數(shù)，其次是項集連接和篩選剪枝。在改進算法當中，掃描計數(shù)階段的時間復(fù)雜度增加了一個變量ak，而ak和k成反比關(guān)系，即隨著迭代次數(shù)k的增加，目標事務(wù)Target在事務(wù)數(shù)據(jù)庫中所占的比例越來越小，時間復(fù)雜度也隨之下降。由于處理的審計日志數(shù)據(jù)庫和購物籃數(shù)據(jù)庫類似，都屬于稀疏型數(shù)據(jù)，因此變量ak的下降速度會非常快，而掃描時間在總時間開銷中占有較大的比例，因此改進算法的時間復(fù)雜度較傳統(tǒng)算法有較大程度的降低，特別是在大型稀疏數(shù)據(jù)庫中，迭代次數(shù)越多，數(shù)據(jù)庫的稀疏程度越高，改進算法的效率提升越明顯。

4實驗分析

4.1算法功能測試

為了驗證上述改進算法的有效性，采用Snort 2.4.2版本在alert_full模式下輸出報警。實驗采用MIT Lincoln實驗室提供的DARPA 1999數(shù)據(jù)集[19]。共有38種攻擊類型分別歸屬于收集信息攻擊（probe）、獲取訪問權(quán)限攻擊（UsertoRoot， U2R）、拒絕服務(wù)攻擊（Denial of Service， DoS）和遠程未授權(quán)訪問攻擊（RemotetoLogin， R2L）四種類型。

記錄按時間分為50份，首先對前20份數(shù)據(jù)進行關(guān)聯(lián)規(guī)則挖掘，建立攻擊模式數(shù)據(jù)庫。測試階段包括兩組，分別對原有的安全審計系統(tǒng)和結(jié)合數(shù)據(jù)挖掘的安全審計系統(tǒng)進行測試。測試共有117次攻擊事件，從實驗結(jié)果可以看出，原有的審計系統(tǒng)對常見的Probe和U2R類型攻擊的發(fā)現(xiàn)效率是比較高的；但對R2L和DoS攻擊類型的審計判別不是很準確。原因是前兩種攻擊出現(xiàn)時，審計系統(tǒng)已經(jīng)可以較好地發(fā)現(xiàn)和記錄攻擊特征，對于后兩種攻擊類型，審計系統(tǒng)對攻擊的特征描述不夠全面，所以檢測準確率低。在結(jié)合關(guān)聯(lián)規(guī)則挖掘技術(shù)之后，建立全面的攻擊模式數(shù)據(jù)庫，審計系統(tǒng)對攻擊類型的識別能力提升在10%以上，檢測結(jié)果對比如圖2所示。

4.2算法性能測試

1）實驗環(huán)境。本文采用Java編程實現(xiàn)算法，操作系統(tǒng)為Windows XP SP3，實驗機器配置因特爾酷睿2四核處理器，CPU頻率為3.0GHz，RAM 3.17GB，使用懷卡托智能分析環(huán)境（Waikato Environment for Knowledge Analysis）即Weka軟件平臺完成，實驗數(shù)據(jù)最終由Matlab進行匯總制圖和分析。

2）測試數(shù)據(jù)。為測試改進后的EApriori算法的性能，本文選用數(shù)據(jù)挖掘領(lǐng)域用來對比不同算法性能的標準數(shù)據(jù)UCIMLRepository中的4個數(shù)據(jù)集進行實驗，可以較全面地驗證改進的關(guān)聯(lián)規(guī)則挖掘方法在實際數(shù)據(jù)集上的性能，表2給出了所選用的4個數(shù)據(jù)集（http：//archive.ics.uci.edu/ml/about.html）的部分信息。

3）驗證方法。為突出算法改進效果，采用關(guān)聯(lián)規(guī)則挖掘中經(jīng)典的Apriori算法和FPGROWTH算法作為對比，對上述4個數(shù)據(jù)集合采用10折交叉驗證（10fold crossvalidation），將數(shù)據(jù)集分成10份S1，S2，…，S10，分別作為訓(xùn)練集和測試集進行10次實驗，即在第i次迭代，Si用作測試集，其余子集都用于訓(xùn)練規(guī)則庫的建立。每個數(shù)據(jù)集的正確預(yù)測數(shù)10次迭代正確次數(shù)的總和。

4）度量標準。正確的預(yù)測結(jié)果是衡量一個挖掘算法性能重要的標準，關(guān)聯(lián)規(guī)則挖掘方法的準確率可以估計一個給定的挖掘算法對未來數(shù)據(jù)正確預(yù)測的能力，定義如下：

accuracy=（∑10i=1Si）/Dataset

其中：|Dataset|表示數(shù)據(jù)樣本總數(shù)；|Si|表示每次迭代中正確的次數(shù)。

4.3實驗結(jié)果分析

1）實驗一。

從4個數(shù)據(jù)集中隨機抽取1000，6000，11000，16000個記錄，分別作為測試案例test1、test2、test3、test4，最小支持度定為18%，算法運行時間如圖3所示。

2）實驗二。

正確率和運行時間是評估算法性能的兩個重要指標，在Weka平臺下使用10折交叉驗證法，對經(jīng)典的FPGROWTH算法和改進的EApriori算法在4個訓(xùn)練數(shù)據(jù)集上的規(guī)則預(yù)測正確率進行比較。表3實驗結(jié)果表明改進后的EApriori算法在數(shù)據(jù)集關(guān)聯(lián)規(guī)則挖掘方面的準確率提升在8%到74%之間，實驗數(shù)據(jù)越多，準確率提升越明顯。

3）實驗三。

利用上述4個測試數(shù)據(jù)集，在不同的最小支持度下，運行傳統(tǒng)的Apriori算法、FPGROWTH算法和改進的EApriori算法，將得到的運行時間分別進行比較，使實驗結(jié)果更具充分性。在Matlab中進行數(shù)據(jù)分析和圖像化處理，X軸代表最小支持度的不同取值，Y軸代表當前數(shù)據(jù)集下的算法運行時間，包括輸入和輸出階段的時間。實驗結(jié)果如圖4所示。

從實驗數(shù)據(jù)繪制的結(jié)果圖4可以看出，改進的EApriori算法運行效率比前兩種算法有所提高，然而，將前兩個數(shù)據(jù)集同后兩個數(shù)據(jù)集的實驗結(jié)果進行比較可以發(fā)現(xiàn)，改進的EApriori算法對于稀疏型數(shù)據(jù)集的性能提升更為明顯，最高能夠達到51%。隨著最小支持度的提高，性能表現(xiàn)更加穩(wěn)定，這是由于稀疏數(shù)據(jù)集的密度較小，最小支持度增加，實際加入的計算數(shù)據(jù)卻比較少，因此算法運行時間沒有明顯的變化。相比之下，該算法對于密集型數(shù)據(jù)集的性能提升幅度較小，隨著最小支持度的增加，實際加入的計算數(shù)據(jù)明顯增多，導(dǎo)致運行時間的變化更加顯著。

5結(jié)語

本文在對關(guān)聯(lián)規(guī)則挖掘Apriori算法和FPGROWTH算法進行研究的基礎(chǔ)上，提出了一個改進的EApriori算法。該方法通過對掃描的事務(wù)集合進行限定，能夠較好地提高算法的運行效率，尤其是在大型稀疏數(shù)據(jù)集中；在此基礎(chǔ)上又提出了一個結(jié)合該算法進行關(guān)聯(lián)規(guī)則挖掘的安全審計系統(tǒng)，并對它的系統(tǒng)結(jié)構(gòu)進行了設(shè)計；最后對系統(tǒng)的有效性及算法的運行效率進行了分析。本文提出的基于關(guān)聯(lián)規(guī)則挖掘的安全審計系統(tǒng)可以提高計算機識別攻擊行為的能力。同時由于關(guān)聯(lián)規(guī)則挖掘自身的缺陷，無法對所有的攻擊模式進行學(xué)習(xí)，因此接下來的工作中，同其他的數(shù)據(jù)挖掘方法進行結(jié)合，比如序列模式挖掘等，提高審計系統(tǒng)的智能程度和運行效率是下一步工作的方向。

參考文獻：

[1]

石文昌，孫玉芳.安全操作系統(tǒng)研究的發(fā)展[J].計算機科學(xué)，2002，29（6）：5-12.（SHI W C， SUN Y F. Development of secure operating system research [J]. Computer Science， 2002， 29（6）： 5-12.）

[2]

丁麗萍，周博文，王永吉.基于安全操作系統(tǒng)的電子證據(jù)獲取與存儲[J].軟件學(xué)報，2007，18（7）：1715-1729.（DING L P， ZHOU B W， WANG Y J. Capture and storage of digital evidence based on security operating system [J]. Journal of Software， 2007， 18（7）： 1715-1729.）

[3]

劉海峰，卿斯?jié)h.安全操作系統(tǒng)審計的設(shè)計與實現(xiàn)[J].計算機研究與發(fā)展，2001，38（10）：1262-1268.（LIU H F， QING S H. Design and realization of auditing in secure OS [J]. Journal of Computer Research and Development， 2001， 38（10）： 1262-1268.）

[4]

MORADI M， KEYVANPOUR M R. An analytical review of XML association rules mining [J]. Artificial Intelligence Review， 2015， 43（2）： 277-300.

[5]

SONG S J， KIM E H， KIM H G， et al. Querybased association rule mining supporting user perspective [J]. Computing， 2011， 93（1）：1-25.

[6]

AGRAWAL R， SRIKANT R. Fast algorithms for mining association rules [C]// Proceedings of the 20th International Conference on Very Large Data Bases. San Francisco， CA： Morgan Kaufmann， 1994： 21-30.

[7]

AGRAWAL R， IMIELINSKI T SWAMI A. Mining association rules between sets of items in large databases [J]. ACM SIGMOD Record， 1993， 22（2）： 207-216.

[8]

HAN J， PEI J， YIN Y. Mining frequent patterns without candidate generation [J]. ACM SIGMOD Record， 2000， 29（2）： 1-12.

[9]

ELHAJJ M， ZAIANE O R. COFI approach for mining frequent itemsets revisited [C]// Proceedings of the 2004 ACM SIGMOD Workshop on Research Issues in Data Mining and Knowledge Discovery. New York： ACM， 2004： 70-75.

[10]

DONG G L， RYU K S， BASHIR M， et al. Discovering medical knowledge using association rule mining in young adults with acute myocardial infarction [J]. Journal of Medical Systems， 2013， 37（2）： 1-10.

[11]

KHALILI A， SAMI A. SysDetect： a systematic approach to critical state determination for industrial intrusion detection systems using Apriori algorithm [J]. Journal of Process Control， 2015， 2776： 154-160.

[12]

SAHOO J， DAS A K， GOSWAMI A. An effective association rule mining scheme using a new generic basis [J]. Knowledge and Information Systems， 2015， 43（1）：127-156.

[13]

KESHAVAMURTHY B N， KHAN A M， TOSHNIWAL D. Privacy preserving association rule mining over distributed databases using genetic algorithm [J]. Neural Computing & Applications， 2013， 22（Supplement 1）： 351-364.

[14]

ROZENBERG B， GUDES E. Association rules mining in vertically partitioned databases [J]. Data & Knowledge Engineering， 2006， 59（2）： 378-396.

[15]

DING Y， YUAN X， TANG K， et al. A fast malware detection algorithm based on objectiveoriented association mining [J]. Computers & Security， 2013， 39（4）： 315-324.

[16]

GARCKE J， GRIEBEL M. On the parallelization of the sparse grid approach for data mining [C]// LSSC 2001： Proceedings of the Third International Conference on LargeScale Scientific Computing， LNCS 2179. Berlin： Springer， 2001： 22-32.

[17]

CZIBULA G， MARIAN Z， CZIBULA I G. Detecting software design defects using relational association rule mining [J]. Knowledge and Information Systems， 2015， 42（3）： 545-577.

[18]

HILLS J， BAGNALL A， IGLESIA B D L， et al. BruteSuppression： a size reduction method for Apriori rule sets [J]. Journal of Intelligent Information Systems， 2013， 40（3）： 431-454.

[19]

LIPPMANN R， HAINES J W， FRIED D J， et al. The 1999 DARPA offline intrusion detection evaluation [J]. Computer Networks， 2000， 34（4）： 579-595.