， ，

(第二軍醫(yī)大學(xué) 基礎(chǔ)醫(yī)學(xué)部，上海 200433)

基于改進(jìn)Apriori的網(wǎng)絡(luò)安全感知方法

陸江東，鄭奮，戴卓臣

(第二軍醫(yī)大學(xué)基礎(chǔ)醫(yī)學(xué)部，上海200433)

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估過(guò)程中存在數(shù)據(jù)源單一、實(shí)時(shí)性不強(qiáng)、準(zhǔn)確率不高的問(wèn)題，提出一種基于改進(jìn)關(guān)聯(lián)規(guī)則算法(Apriori算法)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法;通過(guò)對(duì)數(shù)據(jù)的分析，發(fā)現(xiàn)在網(wǎng)絡(luò)中存在關(guān)于安全態(tài)勢(shì)的關(guān)聯(lián)規(guī)則；通過(guò)網(wǎng)絡(luò)攻擊影響熵值序列的分析，對(duì)關(guān)聯(lián)規(guī)則進(jìn)行分類(lèi)為空間正常和異常空間，進(jìn)而對(duì)關(guān)聯(lián)規(guī)則進(jìn)行聚類(lèi)分析；根據(jù)聚類(lèi)后的規(guī)則劃分網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí);將改進(jìn)后的算法應(yīng)用到網(wǎng)絡(luò)安全態(tài)勢(shì)感知當(dāng)中，實(shí)驗(yàn)結(jié)果表明，該方法滿(mǎn)足了網(wǎng)絡(luò)安全危險(xiǎn)預(yù)警和實(shí)時(shí)監(jiān)控的要求;改進(jìn)的算法用于安全態(tài)勢(shì)感知是可行的、有效的。

網(wǎng)絡(luò)安全；關(guān)聯(lián)規(guī)則；Apriori算法；態(tài)勢(shì)感知

0 引言

網(wǎng)絡(luò)安全態(tài)勢(shì)分析(NSSA)[1]是一門(mén)出現(xiàn)在網(wǎng)絡(luò)當(dāng)中的新興技術(shù)，能夠輔助安全專(zhuān)家對(duì)自己的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)、準(zhǔn)確地安全評(píng)估。但是，由于網(wǎng)絡(luò)安全的影響因素復(fù)雜多變，并且具有較大的不確定性，因此，構(gòu)建一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行評(píng)估和預(yù)測(cè)成為一項(xiàng)重要的研究問(wèn)題。

針對(duì)這一問(wèn)題，研究者們提出了多種解決方法。Tim Bass[2]建立了融合多傳感器數(shù)據(jù)的入侵檢測(cè)框架，并且將其應(yīng)用于新一代網(wǎng)絡(luò)態(tài)勢(shì)感知和入侵檢測(cè)系統(tǒng)中。后來(lái)，Jason Shifflet等[3]人也提出了類(lèi)似的模型。2006年，美國(guó)國(guó)防部預(yù)研發(fā)展署在本年的研究中，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)所要研究的目的和一些相關(guān)技術(shù)做了詳細(xì)的說(shuō)明。陳秀真[4]等人通過(guò)研究提出了具有層次化的網(wǎng)絡(luò)安全威脅衡量方法。趙國(guó)生等人[5]通過(guò)研究提出了基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性衡量方法，將灰理論應(yīng)用到網(wǎng)絡(luò)態(tài)勢(shì)感知中的態(tài)勢(shì)預(yù)測(cè)模型中。

然而，現(xiàn)有方法仍然存在諸多問(wèn)題。這類(lèi)算法依賴(lài)于Apriori算法[7-8]，該算法有以下幾個(gè)主要問(wèn)題：1)多次掃描不是頻繁項(xiàng)集的選項(xiàng)；2)進(jìn)行候選間的自連接時(shí)，相同項(xiàng)目過(guò)多；3)未對(duì)數(shù)據(jù)庫(kù)中的記錄進(jìn)行優(yōu)化，重復(fù)掃描無(wú)用記錄。因此，這類(lèi)方法難以處理數(shù)據(jù)來(lái)源多樣的情景，在實(shí)踐中往往準(zhǔn)確率較低、實(shí)時(shí)性較差。

針對(duì)這類(lèi)問(wèn)題，本文對(duì)經(jīng)典的關(guān)聯(lián)規(guī)則算法(Apriori算法)進(jìn)行改進(jìn)，分別對(duì)候選項(xiàng)集的產(chǎn)生和判斷過(guò)程進(jìn)行優(yōu)化，降低不必要的計(jì)算和存儲(chǔ)過(guò)程。 在此基礎(chǔ)上提出了一種新網(wǎng)絡(luò)安全態(tài)勢(shì)的感知模型。該模型首先生成信息熵序列。接著對(duì)序列進(jìn)行離散化，并運(yùn)用本文改進(jìn)的Apriori算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘。然后對(duì)這些規(guī)則進(jìn)行分類(lèi)。最后根據(jù)分類(lèi)后的關(guān)聯(lián)規(guī)則進(jìn)行態(tài)勢(shì)風(fēng)險(xiǎn)指數(shù)生成。

為驗(yàn)證本文算法的有效性，通過(guò)在校園局域網(wǎng)上設(shè)計(jì)實(shí)驗(yàn)，進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)。實(shí)驗(yàn)結(jié)果表明，本文提出的算法可以有效的達(dá)到實(shí)時(shí)監(jiān)測(cè)要求。

1 改進(jìn)的關(guān)聯(lián)規(guī)則算法

傳統(tǒng)的Apriori算法[7-8]面臨以下幾個(gè)主要問(wèn)題：1)多次掃描不是頻繁項(xiàng)集的選項(xiàng)；2)進(jìn)行候選間的自連接時(shí)，相同項(xiàng)目過(guò)多；3)未對(duì)數(shù)據(jù)庫(kù)中的記錄進(jìn)行優(yōu)化，重復(fù)掃描無(wú)用記錄。針對(duì)這些問(wèn)題，本文從候選集產(chǎn)生、頻繁項(xiàng)集判斷及數(shù)據(jù)庫(kù)操作3個(gè)方面對(duì)該算法進(jìn)行改進(jìn)。

1.1 候選項(xiàng)集產(chǎn)生過(guò)程的改進(jìn)

從k項(xiàng)集生成k+1項(xiàng)時(shí)，由于Lk的自連接操作中會(huì)產(chǎn)生很多與k項(xiàng)集相同的候選項(xiàng)，只要在生成前進(jìn)行判斷，如果兩個(gè)項(xiàng)集的前k-1項(xiàng)不同，則直接放棄對(duì)該記錄的計(jì)算，移置下一個(gè)記錄進(jìn)行計(jì)算。

1.2 頻繁項(xiàng)集判斷過(guò)程的改進(jìn)

首先，計(jì)算出|LK-1(ij)|，同時(shí)，計(jì)算出LK-1中所有事務(wù)項(xiàng)集的頻率；然后，計(jì)算頻率小于k+1的所有項(xiàng)集，即I’={i|<|LK-1(ij)|

1.3 數(shù)據(jù)庫(kù)的優(yōu)化

由于每次進(jìn)行項(xiàng)集判斷時(shí)，會(huì)頻繁的對(duì)數(shù)據(jù)庫(kù)進(jìn)行連接，這將消耗大量資源、浪費(fèi)很多時(shí)間。這是本文通過(guò)對(duì)事務(wù)進(jìn)行標(biāo)記，從而達(dá)到減少連接數(shù)據(jù)庫(kù)的目的。

1.4 算法步驟

第一步：設(shè)置最小支持度min_support和最小置信度min_confidence，連接數(shù)據(jù)庫(kù)，獲取1項(xiàng)集合的各種支持度，生成1項(xiàng)集合L1。

第二步：候選項(xiàng)集的產(chǎn)生。依據(jù)2.2節(jié)當(dāng)中所描述的改進(jìn)方法，對(duì)第一步所產(chǎn)生的L1進(jìn)行項(xiàng)集頻率的排序(升序或者降序均可)，生成k-1項(xiàng)集Lk-1。

第三步：頻繁項(xiàng)集判斷。按照2.3節(jié)所描述的改進(jìn)方法，獲取Lk-1中所有項(xiàng)集的頻率信息，記錄所有頻率小于k+1的項(xiàng)目I’={i|<|Lk-1(ij)|

第四步：添加標(biāo)記信息。根據(jù)2.4節(jié)所描述的改進(jìn)方法，為不在Ck中的項(xiàng)集的事務(wù)添加標(biāo)記信息，比如用“1”表示，然后刪除標(biāo)記為“1”的所有項(xiàng)集，得到新的候選項(xiàng)集信息。

重復(fù)第二步到第五步的計(jì)算過(guò)程，當(dāng)所有事務(wù)均不能產(chǎn)生新的頻繁項(xiàng)集的時(shí)候，停止循環(huán)。得到的結(jié)果即挖掘出來(lái)的規(guī)則。通過(guò)與最小置信度min_confidence進(jìn)行對(duì)比，得到有效的關(guān)聯(lián)規(guī)則。

2 新的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法

圖1 基于改進(jìn)Apriori算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法

網(wǎng)絡(luò)當(dāng)中受到的攻擊進(jìn)行檢查和反饋的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是加強(qiáng)網(wǎng)絡(luò)安全的一種手段。針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的要求，本文在改進(jìn)的關(guān)聯(lián)規(guī)則的基礎(chǔ)上提出了一種新的網(wǎng)絡(luò)安全趨勢(shì)的預(yù)知模型，如圖1所示。該模型首先生成信息熵序列。接著對(duì)序列進(jìn)行離散化，并運(yùn)用本文改進(jìn)的Apriori算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘。然后對(duì)這些規(guī)則進(jìn)行分類(lèi)。最后根據(jù)分類(lèi)后的關(guān)聯(lián)規(guī)則進(jìn)行態(tài)勢(shì)風(fēng)險(xiǎn)指數(shù)生成。

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的數(shù)據(jù)源分析

為了合理高效的使用收集到的網(wǎng)絡(luò)數(shù)據(jù)，本文引入信息熵[6-8]這一概念及其技術(shù)。信息源被看作是一組隨機(jī)事件的集合，該集合具有不確定性和隨機(jī)性的特點(diǎn)。通信系統(tǒng)具有統(tǒng)計(jì)特征性，各個(gè)信息源信號(hào)出現(xiàn)的幾率就形成了信息熵。

將流經(jīng)某一個(gè)地址的不同類(lèi)型事件進(jìn)行分類(lèi)，每一類(lèi)視為一組隨機(jī)事件，那么，這樣運(yùn)用信息理論的相關(guān)技術(shù)對(duì)這一系列隨機(jī)事件進(jìn)行分析。假設(shè)p(xi)為某一隨機(jī)事件的概率分布，i=1,2,…n，那么信息熵表示為：

(1)

而p(xi)由某一種測(cè)量數(shù)據(jù)中某個(gè)地址發(fā)生的次數(shù)ni進(jìn)行計(jì)算：

(2)

將NetFlow數(shù)據(jù)源與信息理論中的信息熵進(jìn)行映射，形成新的數(shù)據(jù)源信息，下文的分析主要基于轉(zhuǎn)換后的數(shù)據(jù)源信息。

2.2 信息熵?cái)?shù)據(jù)源的生成

要通過(guò)信息論算法[9]進(jìn)行處理，首先要將NetFlow數(shù)據(jù)轉(zhuǎn)化為信息熵序列。網(wǎng)絡(luò)信息被視為與時(shí)間相關(guān)的函數(shù)，將信息熵H假定為與時(shí)間t的函數(shù)：H=f(t)。通過(guò)計(jì)算時(shí)間t0前所發(fā)生的信息熵時(shí)間序列規(guī)律，對(duì)時(shí)間t0以后的信息熵進(jìn)行預(yù)測(cè)，從而達(dá)到對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知。信息熵時(shí)間序列表示為：

x={xi|xi∈R,i=1,2,…,L}

2.3 信息熵的離散化

信息熵序列[10]是一組連續(xù)的信息，即一組連續(xù)函數(shù)，而在計(jì)算機(jī)當(dāng)中，連續(xù)值的形式不易于處理，故要進(jìn)行離散化處理。離散化是一個(gè)將連續(xù)模型或者函數(shù)轉(zhuǎn)化為相同效果的離散值的過(guò)程。

2.4 關(guān)聯(lián)規(guī)則挖掘與分類(lèi)

該步驟使用2.4節(jié)所描述的改進(jìn)后的Apriori算法對(duì)3.2節(jié)所獲取的離散化后的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)規(guī)則的挖掘與分類(lèi)。

首先，設(shè)置合理的最小支持度和最小置信度。設(shè)置信息要根據(jù)不同的網(wǎng)絡(luò)和不同安全級(jí)別進(jìn)行設(shè)置。其次，在信息熵?cái)?shù)據(jù)中應(yīng)用2.4節(jié)改進(jìn)后的Apriori算法，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)關(guān)聯(lián)規(guī)則進(jìn)行挖掘，得到滿(mǎn)足關(guān)聯(lián)規(guī)則的最小可信度和最小支持度。然后，將關(guān)聯(lián)規(guī)則進(jìn)行相關(guān)分類(lèi)。劃分為正?？臻g和異?？臻g兩大類(lèi)，主要的依據(jù)：通過(guò)已知網(wǎng)絡(luò)攻擊的信息熵變化值進(jìn)行類(lèi)別判斷。

2.5 態(tài)勢(shì)的可視化

根據(jù)3.3節(jié)挖掘出來(lái)的關(guān)聯(lián)規(guī)則信息，雖然能夠很好的反應(yīng)網(wǎng)絡(luò)當(dāng)中的一些安全態(tài)勢(shì)，但是對(duì)于管理人員來(lái)說(shuō)，這種數(shù)值化的信息不能很直觀(guān)的進(jìn)行閱讀。故本文將已經(jīng)挖掘出來(lái)的關(guān)聯(lián)規(guī)則進(jìn)行可視化表示。主要是通過(guò)對(duì)關(guān)聯(lián)規(guī)則進(jìn)行等級(jí)劃分來(lái)實(shí)現(xiàn)。

要對(duì)已獲取的關(guān)聯(lián)規(guī)則進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行劃分，首先定義出安全級(jí)別的劃分標(biāo)準(zhǔn)。3.3節(jié)描述了如何將關(guān)聯(lián)規(guī)則劃分為兩大類(lèi)，即正常空間和異?？臻g，但是，兩個(gè)級(jí)別顯然不能描述網(wǎng)絡(luò)當(dāng)前的狀態(tài)，故還要進(jìn)行更進(jìn)一步的劃分。規(guī)定：若規(guī)則屬于正?？臻g，認(rèn)為網(wǎng)絡(luò)目前處于一個(gè)安全級(jí)別；若規(guī)則處于正?？臻g，但對(duì)攻擊行為不能確定，則判定網(wǎng)絡(luò)風(fēng)險(xiǎn)位于一個(gè)中等級(jí)別；否則，判定此時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)位于一個(gè)危險(xiǎn)級(jí)別。根據(jù)以上描述，依據(jù)網(wǎng)絡(luò)的具體情況，定義不同級(jí)別的風(fēng)險(xiǎn)指數(shù)，即：

如果目前網(wǎng)絡(luò)處于安全級(jí)別，此時(shí)網(wǎng)絡(luò)的風(fēng)險(xiǎn)指數(shù)值為0。如果某一時(shí)刻同時(shí)存在一種或一種以上的網(wǎng)絡(luò)攻擊，則風(fēng)險(xiǎn)指數(shù)等于各種威脅度之和。網(wǎng)絡(luò)安全專(zhuān)家通過(guò)對(duì)不同的網(wǎng)絡(luò)定義來(lái)設(shè)定危險(xiǎn)指數(shù)。根據(jù)風(fēng)險(xiǎn)指數(shù)，通過(guò)一些可視化軟件，生成描述風(fēng)險(xiǎn)級(jí)別的可視化信息。根據(jù)可視化信息，網(wǎng)絡(luò)的安全管理人員將能夠更直觀(guān)、便利的發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)中存在的威脅，能夠依據(jù)這些可視化信息進(jìn)行危險(xiǎn)預(yù)測(cè)。

3 實(shí)驗(yàn)與分析

為了驗(yàn)證本文提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的實(shí)踐性和合理性，本文在實(shí)際環(huán)境中設(shè)計(jì)網(wǎng)絡(luò)安全監(jiān)測(cè)實(shí)驗(yàn)。

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)通過(guò)校園局域網(wǎng)進(jìn)行安全性檢測(cè)。硬件設(shè)備包括Firewall，高性能千兆交換機(jī)，IDS系統(tǒng)，另外有模塊化的多業(yè)務(wù)交換機(jī)和路由器[11]。所使用的設(shè)備均支持設(shè)定的SNMP、日志文件、NetFlow等多源數(shù)據(jù)源[12-14]，滿(mǎn)足所提出模型數(shù)據(jù)源的要求。

3.2 實(shí)驗(yàn)過(guò)程及結(jié)果分析

本文將所提出的在關(guān)聯(lián)規(guī)則基礎(chǔ)上的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)知模型運(yùn)用到網(wǎng)絡(luò)安全監(jiān)測(cè)中。首先進(jìn)行NetFlow數(shù)據(jù)流量信息的收集，以便將其轉(zhuǎn)換為信息熵序列。在學(xué)校局域網(wǎng)中，取其中骨干網(wǎng)上面的一個(gè)節(jié)點(diǎn)Netflow數(shù)據(jù)進(jìn)行分析，選擇7天中的2 000個(gè)數(shù)據(jù)作為我們的測(cè)試樣本點(diǎn)。通過(guò)3.1節(jié)描述的方法，生成信息熵序列，部分信息如圖2和圖3所示。

圖2 源IP地址的部分信息熵序列

圖3 目標(biāo)端口號(hào)的部分信息熵序列

根據(jù)經(jīng)驗(yàn)，定義已知網(wǎng)絡(luò)攻擊對(duì)熵值序列的影響，如表1所示。

表1 已知網(wǎng)絡(luò)攻擊對(duì)熵值序列的影響

為了提高計(jì)算的效率，采用非均勻區(qū)間值離散化的方法，將每個(gè)信息熵序列分成5個(gè)區(qū)間A-E，每個(gè)區(qū)間的大小是不確定的。同時(shí)，對(duì)不同的序列，使用不同的序列號(hào)進(jìn)行標(biāo)注以示區(qū)別，分別為數(shù)字1-5。

然后，采用3.3節(jié)提出的方法對(duì)該離散化后的信息熵?cái)?shù)據(jù)進(jìn)行基于Apriori算法的關(guān)聯(lián)規(guī)則挖掘。根據(jù)以往經(jīng)驗(yàn)，設(shè)置最小支持度為0.01，最小置信度為0.02。通過(guò)計(jì)算，得到不同的項(xiàng)集信息，即不同項(xiàng)數(shù)的關(guān)聯(lián)規(guī)則信息。表2顯示了頻5-項(xiàng)集和相關(guān)的支持度計(jì)數(shù)結(jié)果。

表2 頻繁5-項(xiàng)集和支持度計(jì)數(shù)

通過(guò)選擇滿(mǎn)足最小置信度的項(xiàng)集，得到網(wǎng)絡(luò)安全態(tài)勢(shì)的感知信息，即將該實(shí)驗(yàn)結(jié)果結(jié)合表1當(dāng)中的信息，對(duì)當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行一個(gè)整體的評(píng)估。例如：{1A, 2B, 3C, 4B, 5E}的支持度為24，這個(gè)節(jié)點(diǎn)位置的目的端口地址熵值較大，但是目的地址的熵值相反，熵值非常小，由此可見(jiàn)，該節(jié)點(diǎn)的目的地址是比較聚集的，但是其目的端口卻是分散的，將其稱(chēng)之為端口掃描攻擊模式。

為了管理員更直觀(guān)地了解當(dāng)前網(wǎng)絡(luò)的安全狀況，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行可視化描述。根據(jù)3.4節(jié)所描述的方法，根據(jù)這些關(guān)聯(lián)規(guī)則對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行分級(jí)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的實(shí)時(shí)監(jiān)控信息如圖4所示。 可見(jiàn)，本文提出的方法可以在較短時(shí)間內(nèi)監(jiān)控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。最多可以在10秒內(nèi)監(jiān)控到11級(jí)風(fēng)險(xiǎn)。有效滿(mǎn)足網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)控的需求。

圖4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的實(shí)時(shí)監(jiān)控

4 結(jié)論

本文提出一種基于改進(jìn)關(guān)聯(lián)規(guī)則算法(Apriori算法)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法。首先，該方法對(duì)所使用的數(shù)據(jù)源進(jìn)行詳細(xì)的描述；然后，以Apriori算法為理論基礎(chǔ)，對(duì)相應(yīng)的理論進(jìn)行改善，得到改善后的Apriori算法。該算法通過(guò)對(duì)復(fù)雜項(xiàng)目集計(jì)數(shù)過(guò)程的中間結(jié)果進(jìn)行過(guò)濾，把無(wú)效的數(shù)據(jù)進(jìn)行刪除，以此減小數(shù)據(jù)庫(kù)規(guī)模。再者，基于改進(jìn)的Apriori算法，給出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的具體實(shí)施步驟。最后，用實(shí)驗(yàn)驗(yàn)證了該框架的可行性并進(jìn)行了結(jié)果分析。實(shí)驗(yàn)結(jié)果表明，本文提出的基于關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型能夠?qū)崿F(xiàn)了網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)控和危險(xiǎn)預(yù)警的需求。

[1] 郭方方, 唐勻龍, 修龍亭, 等. 基于云計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究[J]. 計(jì)算機(jī)學(xué)報(bào),2014,47(11):149-151.

[2] Bass T. Intrusion detection system and multisensor data fusion: creating cyberspace situational awareness[J]. Communications of the ACM,2012,43(4):99-105.

[3] Shifflet J. A technique independent fusion model for network intrusion detection[A]. Proceedings of the Midstates Conference on Undergraduate Research in Computer Science and Mathematics[C].2012,3(1):13-19.

[4] 陳秀真,鄭慶華,管曉宏,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào), 2013, 17(4): 885-897.

[5] 趙國(guó)生,王慧強(qiáng),王 健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估研究[J].小型微型計(jì)算機(jī)系統(tǒng),2012, 27(10):156-864.

[6] 楊啟昉,馬廣平.關(guān)聯(lián)規(guī)則挖掘Apriori算法的改進(jìn)[J].計(jì)算機(jī)應(yīng)用,2012,28(12):217-218.

[7] Shifflet J. A technique independent fusion model for network intrusion detection[A]. Proceedings of the Midstates Conference on Undergraduate Research in Computer Science and Mathematics[C].2013,3(1):13-19.

[8] 張春生.改進(jìn)的數(shù)據(jù)庫(kù)一次掃描快速Apriori算法[J].計(jì)算機(jī)工程與設(shè)計(jì),2013,30(16):3811-3813.

[9] Ling X, Ren A S. Analysis on factors affecting quantity safety of agricultural products based on DEMATEL method [J]. Science & Technology and Economy,2012.22(1): 65-68.

[10] Sun B, Liu W, Tian D, et al. Application of time series date mining on security analysis[J].Journal of Jilin University: Information Science Edition,2013,28(3):270-274.

[11] 劉華婷,郭仁祥,姜 浩.關(guān)聯(lián)規(guī)則挖掘Apriori算法的研究與改進(jìn)[J].計(jì)算機(jī)應(yīng)用與軟件,2012,26(l):146-148.

[12] Yu M, Hu M,Jin G,et al. Association rules algorithm applied to telecommunication network alarms [J]. Journal of Jilin University: Information Science Edition,2014, 281(3):264-269.

[13] 錢(qián)光超,賈瑞玉,張 然,等.Apriori算法的一種優(yōu)化方法[J].計(jì)算機(jī)工程,2012,34(23):196-198.

[14] Tang H Y, Zhan X Y. The research of the accessibility website design based log mining [J].Computer Knowledge and Technology,2013,7(4):3261-3262.

NetworkSecuritySituationAwarenessMethodBasedonImprovedAprioriAlgorithm

Lu Jiangdong， Zheng Fen， Dai Zhuochen

(College of Basic Medical Sciences，Second Military Medical University，Shanghai 200433,China)

For the existing problems that data source is single, real-time is not strong, the accuracy rate is not high in the process of network security situation assessment, a network security situation awareness method based on algorithm of association rules is proposed. Through the analysis of the data, association rules about the security situation in the network can be found; based on network attack effect of entropy sequence analysis, association rules are classified for the space of normal and abnormal, and then the cluster analysis to association rules is carried on. Levels of network security situation are divided according to the clustered rules, the improved algorithm is applied to network security situational awareness, experimental results show that, the model can meet the requirements of the network security hazard warning and real-time monitoring. The improved algorithm used for security situational awareness is feasible and effective.

network security; association rule; Apriori algorithm; situation awareness

2017-04-26；

2017-05-11。

陸江東(1983-)，男，江蘇鹽城人，碩士，講師，主要從事計(jì)算機(jī)教學(xué)，數(shù)據(jù)挖掘方向的研究。

1671-4598(2017)10-0244-03

10.16526/j.cnki.11-4762/tp.2017.10.062

TP393

A