摘要：提出利用序列模式挖掘方法得到频繁入侵命令序列,将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为.为了消除误报,设计了一个基于入侵事件状态的关联引擎,将频繁入侵命令序列作为关联规则,并提出了一种新的入侵关联算法,该算法不仅考虑了每类主机入侵行为的序列特征,也反映了不同类型主机入侵行为之间的因果关系,体现了主机入侵行为的多样性和复杂性.实验结果表明,该入侵关联模型对各类主机入侵行为的检测效果良好,误报率明显降低,特别是下载类和信息获取类主机入侵行为的误报降低了20%左右.

关键词：网络安全 入侵检测 主机入侵行为 序列模式挖掘 

单位：西安交通大学电子与信息工程学院; 710049; 西安