基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的改進(jìn)與實現(xiàn)

1 引用作用度的Apriori_lift算法
1．1 作用度
作用度是采用相關(guān)分析描述規(guī)則內(nèi)在價值的度量，它描述的是項集X對Y的影響力的大小。作用度越高表示X的出現(xiàn)對Y出現(xiàn)的可能性影響越大，作用度度量的是X與Y之間蘊(yùn)涵的實際強(qiáng)度。
作用度表示為：

1．2 Aprior=>lift算法的描述
第一步：大項集的生成；
第二步：采用作用度找出強(qiáng)關(guān)聯(lián)規(guī)則。
使用第一步找到的所有頻繁項集產(chǎn)生期望的規(guī)則。為了獲取強(qiáng)有效關(guān)聯(lián)規(guī)則，在使用信任度的基礎(chǔ)上增加作用度計算來度量規(guī)則的有效性。具體描述過程如下：
(1)對于每個頻繁K(K≥2)項集L，產(chǎn)生L的所有非空子集S；
(2)對于項集L的每個非空子集S，規(guī)則：
如果lift[S=>(L-S)]>1，則規(guī)則“S=>(L-S)”是強(qiáng)有效關(guān)聯(lián)規(guī)則，輸出。

2 算法性能比較
在局域網(wǎng)環(huán)境中(如圖1所示)捕獲網(wǎng)絡(luò)數(shù)據(jù)包2 000個，分別采用Apriori，Apriori_lift算法挖掘，其挖掘過程及結(jié)果如下：

表3是實驗采用的兩個數(shù)據(jù)集Tcppro，Udppro。

表4是二種算法在不同支持度(Supp)信任度(Conf)下的挖掘結(jié)果統(tǒng)計。

由表4可知，在相同的作用度與支持度的情況下，Apriori，Apriori_lift算法挖掘得到的規(guī)則逐漸遞減；在不同的作用度與支持度情況下，參數(shù)值越低挖掘出的規(guī)則越多，這主要體現(xiàn)在Apriori算法的挖掘上，而對于Apriori_lift算法當(dāng)參數(shù)值達(dá)到一定閾值時，改變參數(shù)值對其挖掘結(jié)果影響不大，改善了挖掘規(guī)則遺漏的情況。
由表4可以看出，Apriori算法和Apriori_lift算法的運行時間隨挖掘規(guī)則變化的比較情況。Apriori算法隨著挖掘結(jié)果中規(guī)則數(shù)的增長，時間上有數(shù)量級的提高，而Apriori_lift隨著時間的增長，其挖掘出的規(guī)則數(shù)量增幅不大。而Apriori_lift存在額外的作用度比較的開銷，在高支持度時，由于要處理的頻繁項目及模式數(shù)目都較少，此時從挖掘結(jié)果上看Apriori_lift表現(xiàn)了比Apriori更好的性能。