模糊关联规则及其应用研究(7)
图一 隶属函数的定义
用相同的方法,我们分别对其余的属性进行模糊化,并对相应的隶属函数进行定义,把原数据库中的数据转化为隶属度的新数据库及相应的模糊属性集。对于这个数据库中的纪录,采用相关的模糊关联规则挖掘算法,定义最小信任度0.4,最小支持度0.1,通过DARPA2000 数据集的属性所定义的模糊属性及每小时获取的记录库T得出初始矩阵,依次求出长度为1,2,……的所有模糊频繁属性集,根据所定义的最小信任度和最小支持度,对全部模糊频繁属性集最终得出安全事件关联规则(下面为部分示例):
规则1:TelnetTerminaltype.high Email_Echo.high
规则2:Email_Almail_Overflow.high Email_Echo.high
规则3:FTP_User.high Email_Echo.high
规则4:TelnetEnvAll.high Mastream_Zombie.high
规则5:Mastream_Zombie.high Stream_Dos.high
规则6:TelnetEnvAll.high,Mastream_Zombie.high Stream_Dos.high
........
以规则1为例,表示当事件TelnetTerminaltype在一段时间内发生次数为高时,在相同的时间,事件Email_Echo发生的次数也为高的概率相当大。而规则4、5、6则反映了在DOS攻击过程中,一种比较常见的攻击步骤。由于当某个属性为低时,即表示此安全事件发生次数较少,较为安全,因此这类规则就可以过滤掉。对模糊关联规则挖掘,能够对网络中各类安全事件全面的进行分析,得出的关联结果不仅能验证以往已知的攻击场景,同时又能发现未知的变化的攻击事件,从而有效地预防和发现网络攻击。
5.结论及展望
实验证明,对于不可预知性强、重复性高的各类网络安全事件,利用相应模糊关联规则能够有效地将其抽象成定性的描述,并寻找出其中存在的规律,重构出攻击场景,有效地提高了网络的安全性。
模糊的关联规则能够有效挖掘出数据中蕴含的模糊关系,并且挖掘出的结果使用户理解起来更容易,模糊关联规则可以用于专家系统等应用中,而且在利用规则进行推理时,比其他数据挖掘的关联规则,模糊关联规则将能够得出更准确更详细的答案。其发现内容还可以拓展到周期关系的发现,序列关系的发现;其算法还可以扩展到多概念层次的关系规则挖掘,事务数据库增量文护,分布式环境下关联规则采集等方面。将模糊数学与数据挖掘技术相结合是一项非常有意义的工作。将模糊关联规则应用于信息处理这一领域是一个很有意义的课题,有着广泛的使用价值。