基于關聯規則的網絡安全審計技術研究

網絡安全審計是實現安全管理的最重要的因素，它是一個安全的網絡必須支持的功能特性。目前的安全審計系統中普遍采用的特征檢測的方法，需要預先定義出一系列特征模式來識別異常行為。這種方法的問題是過分依賴模式庫，而模式庫的更新又很困難，在安全審計的過程中就不能很好地識別那些模糊的、未知類型的攻擊，導致了誤報、漏報問題頻繁發生。而且，隨著網絡應用的普及，網絡數據流量急劇增加，而有些審計記錄本身包含了大量的無關信息，所以，當網絡數據流量很大的時候，特征檢測的方法就會出現數據過載或檢測速度過慢的問題。 基于以上原因，本文把關聯規則技術和網絡安全審計技術有效地相結合。這樣，在系統審計網絡數據信息的同時，也可以利用關聯規則的方法，不斷的形成新的、更有效的規則，并用這些新的規則來豐富規則集合，做到最有效的檢測出網絡中的異常行為。同時，本文還引入了相似度判斷的方法，在遇到未知類型數據的時候，可以采用相似度方法來判斷數據是否有異常，減少了系統中潛在的異常行為。在此基礎上，本文提出了基于關聯規則的網絡安全審計系統的設計方案，從理論分析和實踐操作兩個方面證明了關聯規則與安全審計相結合的可行性。而且證明了，在網絡流量很大的情況下，對比普通的特征檢測，基于關聯規則的安全審計具有更加明顯的優勢。