鄭哲淵，劉 淵

（江南大學(xué) 數(shù)字媒體學(xué)院，江蘇 無(wú)錫214000）

0 引 言

入侵檢測(cè)技術(shù)［1］（IDS）是一種對(duì)入侵行為進(jìn)行檢測(cè)的技術(shù)，是包括技術(shù)、人、工具3 方面因素的一個(gè)整體。但人們大多為了追求IDS的低漏報(bào)率，都以犧牲其效率作為代價(jià)，這在大規(guī)模大數(shù)據(jù)量的網(wǎng)絡(luò)環(huán)境中，無(wú)疑是不可取的。所以，研究如何從大規(guī)模告警數(shù)據(jù)中篩選出有用的入侵信息，是當(dāng)前的關(guān)鍵問(wèn)題。相關(guān)研究工作如下：

文獻(xiàn) ［2］介紹了TACC組件，該組件的中心思想是對(duì)告警數(shù)據(jù)中的某一屬性相同的告警的歸并操作，從而降低了告警的數(shù)量，但是對(duì)于冗余信息的 “誤報(bào)”問(wèn)題，卻沒(méi)有得到解決；文獻(xiàn) ［3］在TACC組件的基礎(chǔ)上，加入了因果關(guān)系的關(guān)聯(lián)方法，介紹TIAA，其基本思想是每個(gè)攻擊都有前后關(guān)聯(lián)，需要分別建立攻擊的前奏和后續(xù)知識(shí)庫(kù)，通過(guò)告警匹配的方法完成關(guān)聯(lián)，此方法的缺陷是需要大量攻擊的先驗(yàn)知識(shí)，這就限制了其可擴(kuò)展性和實(shí)時(shí)性；文獻(xiàn)［4］介紹了WINEP，其思想是采用短頻繁集遞歸產(chǎn)生長(zhǎng)頻繁集的方式，取得了不錯(cuò)的效果，但是忽略了告警的 “正?！毙袨槟Ｊ剑沟媒Y(jié)果會(huì)出現(xiàn)偏差；文獻(xiàn) ［5］提出了A3PC系統(tǒng)，該系統(tǒng)能較好的濾除冗余信息，但是在大規(guī)模數(shù)據(jù)下，其核心算法Apriori［6］由于要多次掃描數(shù)據(jù)庫(kù)，會(huì)使得系統(tǒng)的性能急劇下降，難以適應(yīng)信息篩選的實(shí)時(shí)性要求。

鑒于當(dāng)前信息篩選方法難以滿足面向大規(guī)模數(shù)據(jù)的實(shí)時(shí)性處理需求，本文提出面向大規(guī)模告警數(shù)據(jù)的快速篩選系統(tǒng) （rapid screening system for large－scale alarm data，RSS），能快速有效的篩選出有用信息，并為網(wǎng)絡(luò)管理者提供宏觀的視圖展示。為提升系統(tǒng)性能，本文重點(diǎn)研究高性能數(shù)據(jù)挖掘算法［7］。

1 面向大規(guī)模告警數(shù)據(jù)的快速篩選系統(tǒng)

經(jīng)研究表明，根原因 （root cause）會(huì)使得IDS產(chǎn)生大量的告警，并且由于根原因的穩(wěn)定性，大量重復(fù)性的告警信息會(huì)不斷的產(chǎn)生，直至相應(yīng)的根原因被移除。然而，根原因都是由于用戶或者系統(tǒng)的正常行為產(chǎn)生的，因此產(chǎn)生的告警都可以看成是IDS的誤報(bào)。由此，可以得出如下結(jié)論：少量的根原因產(chǎn)生絕大部分告警；無(wú)論真實(shí)攻擊存在與否，告警的產(chǎn)生都有一定的周期性和趨勢(shì)性。因此，假設(shè)A 為全部告警信息，則存在A 的一個(gè)子集A｀，即使在沒(méi)有真實(shí)攻擊的情況下，也會(huì)頻繁或周期性的出現(xiàn)，這部分告警就能看成是由根原因產(chǎn)生的，因此能認(rèn)為是告警的“正常”行為模式，相對(duì)的， （A－A｀）部分的告警能認(rèn)為是“異常”行為模式。這些 “異常”行為模式是網(wǎng)絡(luò)安全管理者需要關(guān)注的重點(diǎn)，為此本文研究如何從全部告警信息提取出少量的不定期出現(xiàn)的具有 “異?！毙袨槟Ｊ降哪遣糠指婢蕴嵘岣逫DS的效率，并降低其誤報(bào)率。

本文提出的面向大規(guī)模告警數(shù)據(jù)的快速篩選系統(tǒng)（RSS系統(tǒng)）框架如圖1所示。該系統(tǒng)位于IDS的后端，主要目的是從大規(guī)模IDS告警信息中快速有效的篩選出有用的告警信息，提升系統(tǒng)的時(shí)效性。系統(tǒng)主要由3部分組成：預(yù)處理模塊、實(shí)時(shí)處理模塊和輸出模塊。

圖1 RSS模型框架

1.1 預(yù)處理模塊

Snort［8］是目前運(yùn)用最廣泛的IDS系統(tǒng)之一，本系統(tǒng)也是基于Snort進(jìn)行的研究。本系統(tǒng)預(yù)處理模塊位于Snort的告警輸出端，對(duì)告警數(shù)據(jù)進(jìn)行預(yù)處理。

（1）Snort產(chǎn)生的告警數(shù)據(jù)庫(kù)包含Shcema、Sensor、Event、Signature等15張表，每張表中又有若干告警屬性，而其中有些屬性對(duì)于告警的后續(xù)處理用處不大，若是全部作為RSS的輸入，會(huì)增加系統(tǒng)的開(kāi)銷?；谝陨峡紤]，預(yù)處理模塊對(duì)原始告警屬性進(jìn)行精簡(jiǎn)，選取其中一部分屬性進(jìn)行研究。本文提取了組號(hào)、組內(nèi)編號(hào)、告警大類信息、rules種類、源地址、目的地址、源端口、目的端口、時(shí)間、協(xié)議等10 個(gè)屬性的屬性集，對(duì)原始告警進(jìn)行歸一化處理。

（2）當(dāng)用戶在短期內(nèi)進(jìn)行某些重復(fù)操作或是遭受拒絕服務(wù)攻擊等情況時(shí)，Snort會(huì)在段時(shí)間內(nèi)產(chǎn)生大量告警，這些告警的共同特征是除了組內(nèi)編號(hào)和時(shí)間這兩個(gè)屬性不同之外，其他各屬性均相同，這樣的告警數(shù)據(jù)集合可看成是“同一”告警。當(dāng)這種告警數(shù)據(jù)大量出現(xiàn)時(shí)，就會(huì)增大告警數(shù)據(jù)庫(kù)的規(guī)模。為了解決此問(wèn)題，預(yù)處理模塊在告警屬性集中增加一個(gè)告警條數(shù)屬性，用于表征在一個(gè)短時(shí)間段內(nèi)的 “同一”告警的條數(shù)，這樣就將 “同一”告警合并成一條，減小數(shù)據(jù)庫(kù)規(guī)模。

1.2 實(shí)時(shí)處理模塊

實(shí)時(shí)處理模塊位于預(yù)處理模塊后，是對(duì)告警數(shù)據(jù)的進(jìn)一步處理。該模塊分為兩個(gè)部分：快速篩選 （rapid screening，RS）子 模 塊 和 實(shí) 時(shí) 在 線 聚 類 分 析 （real－time online clustering analysis，ROCA）子模塊。

RS是通過(guò)高性能數(shù)據(jù)挖掘算法，利用告警數(shù)據(jù)集挖掘得到若干關(guān)聯(lián)規(guī)則，然后依據(jù)這些規(guī)則對(duì)后續(xù)的告警進(jìn)行篩選，得到我們需要的具有 “異?！毙袨槟Ｊ降母婢，F(xiàn)在常見(jiàn)的數(shù) 據(jù)挖掘 算法有Apriori、FP－Growth［9］、COFITree［10］等。此外，考慮到告警數(shù)據(jù)流具有實(shí)時(shí)性，系統(tǒng)定義了關(guān)聯(lián)規(guī)則的有效時(shí)間，并對(duì)數(shù)據(jù)流進(jìn)行實(shí)時(shí)抽樣。當(dāng)規(guī)則失效時(shí)，對(duì)抽樣得到的小數(shù)據(jù)集進(jìn)行挖掘，產(chǎn)生新的規(guī)則，以保證關(guān)聯(lián)規(guī)則的有效性。

ROCA 模塊布置在RS模塊之后，對(duì)篩選出來(lái)的告警數(shù)據(jù)進(jìn)行深入分析，以挖掘其內(nèi)在聯(lián)系。根據(jù)告警數(shù)據(jù)流的實(shí)時(shí)性、連續(xù)性和順序性等特性，ROCA 使用了實(shí)時(shí)在線數(shù)據(jù)流增量聚類方法LOCALSEARCH［11］，使得聚類形態(tài)能實(shí)時(shí)的反映出數(shù)據(jù)流的變化情況。

1.3 輸出模塊

實(shí)時(shí)處理模塊最終得到各個(gè)聚類的結(jié)果，輸出模塊的目的是將這些抽象的聚類結(jié)果轉(zhuǎn)換成精簡(jiǎn)的視圖，方便網(wǎng)絡(luò)管理者觀察。每一個(gè)聚類代表一種可能的攻擊，該模塊任務(wù)就是根據(jù)該聚類的特征，如告警個(gè)數(shù)、告警屬性等，與攻擊特征庫(kù)進(jìn)行比對(duì)，并得到該聚類屬于各種攻擊的可能性 （百分比）。輸出模塊將結(jié)果用餅狀圖顯示，讓管理人員直觀看到每個(gè)聚類可能存在的攻擊類型，并將每次的結(jié)果存入結(jié)果數(shù)據(jù)庫(kù)，與最近兩次的結(jié)果集做比較，按照攻擊種類連續(xù)出現(xiàn)的次數(shù)將其威脅指數(shù)分別定為一級(jí)、二級(jí)和三級(jí) （三級(jí)最高）。按威脅指數(shù)從高到低的排序方式將攻擊類型用表格形式列出，以便管理人員優(yōu)先處理威脅指數(shù)高的攻擊類型。

RSS是針對(duì)IDS系統(tǒng)的低漏報(bào)率和系統(tǒng)效率之間的矛盾，對(duì)IDS告警數(shù)據(jù)進(jìn)行快速篩選，挖掘其內(nèi)在聯(lián)系，從大規(guī)模告警數(shù)據(jù)中得到有用的信息。該系統(tǒng)考慮到告警數(shù)據(jù)的實(shí)時(shí)性，加入了時(shí)間有效性；并運(yùn)用實(shí)時(shí)的在線聚類分析方法，周期性的挖掘數(shù)據(jù)間的聯(lián)系，確保聚類結(jié)果能正確反映當(dāng)前告警數(shù)據(jù)的特征。RSS系統(tǒng)的開(kāi)銷主要集中在數(shù)據(jù)篩選的部分，因此數(shù)據(jù)挖掘算法的性能也就直接決定了系統(tǒng)的整體性能。在大規(guī)模告警數(shù)據(jù)的環(huán)境下，數(shù)據(jù)挖掘算法的性能顯得非常關(guān)鍵，下面將圍繞與RSS有關(guān)的數(shù)據(jù)挖掘算法進(jìn)行分析研究。

2 若干數(shù)據(jù)挖掘算法比較

由于告警數(shù)據(jù)的大規(guī)模性和實(shí)時(shí)性，系統(tǒng)在選取數(shù)據(jù)挖掘算法時(shí)必須在其時(shí)間復(fù)雜度和空間復(fù)雜度等性能上做綜合評(píng)判。本節(jié)就對(duì)幾種主流的數(shù)據(jù)挖掘算法進(jìn)行分析比較，并從中選出適合本系統(tǒng)的算法。

2.1 Apriori算法

Apriori算法由Agrawal R.等在1994年提出，使用逐層搜索的迭代方法找出最大頻繁項(xiàng)集。其算法的基本構(gòu)造：

（1）遍歷所有數(shù)據(jù)集中的項(xiàng)，找出所有滿足最小支持度 （minsup）的項(xiàng)，組成1－項(xiàng)頻繁集。

（2）從第2步開(kāi)始，循環(huán)處理直到?jīng)]有新的最大項(xiàng)集生成。循環(huán)過(guò)程：第K 步中，根據(jù)K－1步中生成的K－1維最大項(xiàng)集按照自連接的方式產(chǎn)生K 維候選項(xiàng)集，然后遍歷D中每個(gè)事務(wù)，得到各個(gè)項(xiàng)的支持度，找出支持度大于minsup的項(xiàng)，組成K 維頻繁項(xiàng)集。

（3）由最小置信度，在最大頻繁集中篩選出關(guān)聯(lián)規(guī)則。

顯而易見(jiàn)，該算法在實(shí)際應(yīng)用中存在兩個(gè)方面的不足：首先，在每次生成候選項(xiàng)集時(shí)，都需要遍歷整個(gè)數(shù)據(jù)集，當(dāng)最大項(xiàng)集的維數(shù)較高時(shí)，算法的時(shí)間開(kāi)銷會(huì)嚴(yán)重增加；其次，當(dāng)候選項(xiàng)集的規(guī)模很大時(shí)，會(huì)增加其空間開(kāi)銷。

2.2 FP－Growth算法

FP－Growth算法是J.Han等人提出的一種不產(chǎn)生候選集頻繁項(xiàng)集生成算法，稱為頻繁模式增長(zhǎng) （Frequent－Pattern Growth）。FP－Growth算法采用頻繁模式樹(shù) （FP－Tree）儲(chǔ)存數(shù)據(jù)集的信息，最大限度的壓縮了數(shù)據(jù)集并保證了數(shù)據(jù)的完整性，然后通過(guò)對(duì)FP－Tree的一次遍歷，得到最大頻繁集。

算法主要分為兩部分：生成頻繁模式樹(shù) （FP－Tree）和模式增長(zhǎng)算法。

2.2.1 構(gòu)建FP－Tree

輸入：數(shù)據(jù)集 （D）和最小支持度 （minsup）。

輸出：FP－Tree。

方法：

（1）遍歷D，根據(jù)minsup得到1－項(xiàng)頻繁集。

（2）再次遍歷D，將D 中的每個(gè)事務(wù) （T）都與1－項(xiàng)頻繁集進(jìn)行比較，選出T 中屬于1－項(xiàng)頻繁集中的項(xiàng)并按升序排列，得到項(xiàng)集L。將L 中的項(xiàng)與FP－Tree中的節(jié)點(diǎn)元素比較，若相等，則節(jié)點(diǎn)的支持度加1；若不相等，則將該項(xiàng)插入FP－Tree中，并將其支持度置1。如此重復(fù)，直至遍歷完整個(gè)D，得到完整的FP－Tree。

2.2.2 模式增長(zhǎng)

其主要算法思想如下：

輸入：生成的FP－Tree，最小支持度閾值minsup。

輸出：最大頻繁集。

方法：調(diào)用FP－Growth （Tree，a）

可見(jiàn)，此算法只需兩次遍歷數(shù)據(jù)集，但是需要不斷的遞歸尋找短模式，然后連接其后綴，最終得到最大頻繁集。

2.3 COFI－Tree算法

COFI－Tree算法同樣基于FP－Tree，并為1－項(xiàng)頻繁集中的每個(gè)項(xiàng)都創(chuàng)建一個(gè)COFI－Tree，具體算法思想如下：

輸入：FP－Tree，1－項(xiàng)頻繁集。

輸出：最大頻繁集。

方法：

（1）for 1－項(xiàng)頻繁集中的每個(gè)項(xiàng)xido｛

（2） 根據(jù)指針找到FP－Tree中的所有xi所在位置，并以它為底自底向上搜索這一支上的所有節(jié)點(diǎn)，同一支上所有節(jié)點(diǎn)的支持度與該支中的xi的支持度一致。然后構(gòu)造xi的COFI－Tree，根據(jù)minsup得到的結(jié)果放入最大頻繁集候選集｝

（3）對(duì)最大頻繁集候選集進(jìn)行查看，若有存在包含關(guān)系的項(xiàng)，就進(jìn)行合并，獲得最大頻繁集。

該算法的特點(diǎn)是某一時(shí)間在內(nèi)存中只有一個(gè)COFITree，這樣占用內(nèi)存空間較小，使得算法運(yùn)行速度快。

2.4 算法性能比較

本文從空間復(fù)雜度和時(shí)間復(fù)雜度這兩個(gè)方面對(duì)以上3個(gè)算法進(jìn)行分析。

從時(shí)間復(fù)雜度的角度，主要看算法遍歷數(shù)據(jù)集的次數(shù)。設(shè)1－項(xiàng)頻繁集中項(xiàng)的個(gè)數(shù)為L(zhǎng)1，數(shù)據(jù)集事務(wù)個(gè)數(shù)為S，首先，Apriori算法中，需要構(gòu)造候選項(xiàng)集，對(duì)候選項(xiàng)集中的每一項(xiàng)都遍歷數(shù)據(jù)集，其中K 維候選項(xiàng)集的項(xiàng)個(gè)數(shù)CK可用 （LK－1－1）LK－1／2大致表示。為了結(jié)果表示方便，用C表示候選項(xiàng)集的平均數(shù)，當(dāng)最大頻繁集的維數(shù)為M，則Apriori算法的時(shí)間復(fù)雜度可表示為O（M＊C＊N）。其次，F(xiàn)P－Growth和COFI－Tree算法都只需要遍歷數(shù)據(jù)集兩遍，所以它們的時(shí)間復(fù)雜度可看成是一致的，都是O（N＊L1）。

從空間復(fù)雜度的角度，首先給出空間復(fù)雜度的定義：空間復(fù)雜度是對(duì)一個(gè)算法在運(yùn)行過(guò)程中臨時(shí)占用存儲(chǔ)空間大小的量度。Apriori算法每次只處理一個(gè)事務(wù)，所以空間復(fù)雜度記為O（1）。FP－Growth 需要要遞歸建立條件FPTree，要用到臨時(shí)堆棧存儲(chǔ)數(shù)據(jù)，其空間復(fù)雜度記為O（N）。COFI－Tree同一時(shí)間在內(nèi)存中只需要建立一棵COFITree，所以空間復(fù)雜度是O（1）。

由表1，從時(shí)間復(fù)雜度來(lái)看，F(xiàn)P－Growth和COFI－Tree算法至少要比Apriori算法低一個(gè)數(shù)量級(jí)；從空間復(fù)雜度來(lái)看，F(xiàn)P－Growth要比其他兩種算法高。因此，相比之下，COFI－Tree算法在綜合性能方面要優(yōu)于其他兩種算法。

表1 數(shù)據(jù)挖掘算法的復(fù)雜度比較

3 實(shí)驗(yàn)驗(yàn)證與分析

3.1 實(shí)驗(yàn)環(huán)境

為了驗(yàn)證不同算法運(yùn)用于RSS上的性能差異，本文在CentOS 5.3 上 進(jìn) 行 測(cè) 試，測(cè) 試 環(huán) 境 為DELL 服 務(wù) 器（CPU：E5520 2.27GHz＊16，內(nèi)存：8G）。本實(shí)驗(yàn)使用的是MIT Lincoln實(shí)驗(yàn)室開(kāi)發(fā)的DARPA 1999年IDS測(cè)試數(shù)據(jù)集，該數(shù)據(jù)集包含了5周的測(cè)試數(shù)據(jù)，其中包括不含任何攻擊的正常數(shù)據(jù)和包含多種攻擊類型的攻擊數(shù)據(jù)。這也使得實(shí)驗(yàn)環(huán)境更貼近實(shí)際的網(wǎng)絡(luò)環(huán)境，所以也保證了測(cè)試結(jié)果的正確性。

利用Snort 的默認(rèn)規(guī)則分別對(duì)這五周的outside.tcpdump測(cè)試文件進(jìn)行檢測(cè)，得到相應(yīng)的告警數(shù)據(jù)集，并在不同告警數(shù)的情況下在RSS中分別使用Apriori算法和COFI－Tree算法進(jìn)行測(cè)試，并從時(shí)間、CPU 利用率、內(nèi)存占用率等方面對(duì)系統(tǒng)性能進(jìn)行測(cè)試。

3.2 實(shí)驗(yàn)結(jié)果分析

本實(shí)驗(yàn)運(yùn)用了前二周、前三周和前五周的outside.tcpdump產(chǎn)生告警 數(shù)據(jù)集，分別得到2.5 萬(wàn)、13.8 萬(wàn)和16.2萬(wàn)的告警數(shù)據(jù)。圖2、表2和表3分別是當(dāng)告警數(shù)不同情況下Apriori算法和COFI－Tree算法對(duì)CPU 的占用率、系統(tǒng)時(shí)間的開(kāi)銷和系統(tǒng)內(nèi)存消耗的對(duì)比。

圖2 CPU 占用率比較

由圖2可看出，COFI－Tree算法在計(jì)算時(shí)CPU 的占用率明顯比Apriori算法低很多。

表2 時(shí)間開(kāi)銷比較

表3 內(nèi)存開(kāi)銷比較

表2和表3分別從時(shí)間和空間開(kāi)銷將兩算法進(jìn)行了對(duì)比，結(jié)果顯而易見(jiàn)，COFI－Tree在時(shí)間開(kāi)銷上遠(yuǎn)比Apriori算法要少，且隨著告警數(shù)量的增加基本維持在1 秒左右，而Apriori算法隨告警數(shù)量的增加時(shí)間的開(kāi)銷也隨之增加，且漲幅很大，最后已經(jīng)接近2000 秒；空間開(kāi)銷方面，COFI－Tree算法的優(yōu)勢(shì)也是很明顯。

表4為兩種算法在不同告警數(shù)量的情況下得到的最大頻繁項(xiàng)集，括號(hào)內(nèi)的是項(xiàng)的支持度。比較后可得出，使用Apriori算法和COFI－Tree算法的結(jié)果近似完全一致。

表4 最大頻繁集比較

由上分析可得，無(wú)論是從CPU 占用率、時(shí)間開(kāi)銷還是空間開(kāi)銷的角度，COFI－Tree算法都比Apriori算法有著明顯的改進(jìn)，且最后得到的最大項(xiàng)集基本一致。由此，充分說(shuō)明了基于COFI－Tree算法的RSS系統(tǒng)具有高性能。

4 結(jié)束語(yǔ)

本文提出了一種位于IDS后端的通用系統(tǒng)RSS，主要是對(duì)告警數(shù)據(jù)進(jìn)行篩選并挖掘出其內(nèi)部聯(lián)系，最后利用精簡(jiǎn)的視圖展現(xiàn)結(jié)果。相對(duì)于以往的IDS系統(tǒng)為了降低漏報(bào)率而犧牲效率的做法，本系統(tǒng)在保證了IDS的低漏報(bào)率的情況下，對(duì)系統(tǒng)的效率進(jìn)行提高。同時(shí)，從時(shí)間和空間復(fù)雜度這兩個(gè)方面分析了幾種數(shù)據(jù)挖掘算法性能上的差異，從理論上證實(shí)了COFI－Tree的優(yōu)越性。并且結(jié)合現(xiàn)在大規(guī)模告警數(shù)據(jù)的環(huán)境，分別將Apriori算法和COFI－Tree算法用于本系統(tǒng)，在兩者實(shí)驗(yàn)結(jié)果基本相同的情況下，使用COFI－Tree的系統(tǒng)在時(shí)間開(kāi)銷和空間開(kāi)銷上都有明顯改善。

［1］CAI Hongmin，WU Naiqi，CHEN Su，et al.Research and implement of distributed intrusion detection system ［J］.Computer Engineering and Design，2009，30（6）：1383－1386 （in Chinese）.［蔡洪民，伍乃騏，陳素，等.分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（6）：1383－1386.］

［2］Alexander Hofmann，Bernhard Sick.Online intrusion alert aggregation with generative data stream modeling ［J］.IEEE Transactions on Dependable and Secure Computing，2011，8（2）：282－294.

［3］Ganapathi Reddy K L，Srinivas K.GDS－an efficient approach for online intrusion alert aggregation ［J］.International Journal of Computer Application，2012，2 （1）：131－139.

［4］Kimmo H¨at¨onen.Data mining for telecommunications network log analysis ［M］.Department of Computer Science Series of Publications，2009.

［5］TIAN Zhihong，ZHANG Yongzheng，ZHANG Weizhe，et al.An adaptive alert correlation method based on pattern mining and clustering analysis［J］.Journal of Computer Research and Development，2009，46 （8）：1304－1315 （in Chinese）.［田志宏，張永錚，張偉哲，等.基于模式挖掘和聚類分析的自適應(yīng)告警 關(guān) 聯(lián) ［J］. 計(jì) 算 機(jī) 研 究 與 發(fā) 展，2009，46 （8）：1304－1315.］

［6］CUI Guanxun，LI Liang.Research and improvement on Apriori algorithm of association rule mining［J］.Journal of Computer Applications，2010，30 （11）：2952－2955 （in Chinese）.［崔貫勛，李梁.關(guān)聯(lián)規(guī)則挖掘中Apriori算法的研究與改進(jìn) ［J］.計(jì)算機(jī)應(yīng)用，2010，30 （11）：2952－2955.］

［7］WANG Aiping，WANG Zhanfeng.Common algorithms of association rules mining in data mining ［J］.Computer Technology and Development，2010，20 （4）：105－108 （in Chinese）. ［王愛(ài)平，王占鳳.數(shù)據(jù)挖掘中常用關(guān)聯(lián)規(guī)則挖掘算法 ［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20 （4）：105－108.］

［8］Go＇mez J，Gil C，Padilla N，et al.Design of a snort－based hybrid intrusion detection system ［C］／／Proceedings of the 10th International Work－Conference on Artificial Neural Networks，2009：515－522.

［9］Wang Lei，F(xiàn)an Xingjuan.Mining data association based on a revised FP－growth algorithm ［C］／／IEEE Conference Publications，2012：91－95.

［10］Virendra Kumar Shrivastava，Dr Parveen Kumar.FP－tree and COFI based approach for mining of multiple level association rules in large databases［J］.International Journal of Computer Science and Information Security，2010，7 （2）：273－279.

［11］Wu Ou，Hu Weiming.Efficient clustering aggregation based on data fragments［J］.IEEE Transaction on Systems Man and Cybernetics Part B－Cybernetics，2012，42 （3）：913－926.