收稿日期:2019⁃12⁃02;修回日期:2020⁃03⁃12㊀㊀
电视互联网化
作者简介:赵静(1987⁃),女,甘肃武威人,工程师,博士研究生,主要研究方向为网络安全技术(jingzhao@cnic.cn);李俊(1968⁃),男,安徽人,博士,主要研究方向为计算机网络;龙春(1979⁃),男,湖北人,主要研究方向为网络安全;万巍(1982⁃),男,湖北人,博士,主要研究方向为计算机网络安全;杨帆(1980⁃),女,北京人,工程师,硕士,主要研究方向为项目管理.
赵㊀静,李㊀俊,龙㊀春,万㊀巍,杨㊀帆
(中国科学院计算机网络信息中心,北京100190)
摘㊀要:当前网络攻击方法和手段日趋复杂,网络日志深度分析和挖掘是发现异常行为的主要技术手段,针对缺乏对 长期潜伏在系统中周期性发起特定攻击的入侵者行为的准确高效判断的问题,提出了一种适用于长周期有间隔日
志序列的频繁项集挖掘算法,能够出有间隔的所有频繁项集,支持这些项集的有效剪枝;并设计了基于KNN分类的异常检测模型㊂实验结果表明,在对有间隔长周期的日志序列分析中,此方法在时间复杂度㊁误报率㊁漏报率方面表现较优,验证了其有效性和合理性㊂关键词:频繁项集挖掘;异常检测;分类 0㊀引言
unproper随着信息化技术的不断发展,攻击方法和手段日趋复杂和多样化,对防火墙㊁入侵检测系统等安全设备的日志进行关联分析㊁模式分析㊁深度挖掘能够发现潜在的隐患,同时建立多样化的异常检测模型反馈于安全设备,从而降低安全设备的误报率㊂然而,受算法效率等因素限制,对于蓄谋已久长周期的恶意行为,当前的研究点并不深入,这种行为往往在一个危害很大的网络安全事件发生前,具备高度的隐蔽性㊂因此,如何从长时间的日志中挖掘出长周期关联的异常行为,是网络安全领域的一个热点和难点问题㊂
频繁项集挖掘一直是海量安全日志异常分析检测的有利工具,经典算法如Apriori,它采用候选项目集生成筛选方法,必须耗费大量时间处理规模巨大的候选项目集,同时必须多次扫描数据库,对候选项目集进行筛选㊂当频繁模式长度较短和数据集较稀疏㊁规模较小时,Apriori算法的性能不错㊂但是,对于存在长模式㊁密集型或海量数据集,Apriori算法的时间效率和空间可
汪文勤伸缩性都面临挑战㊂为提高Apriori算法的有效性,针对Apriori的缺陷,当前研究提出了许多Apriori算法的优化方法,主要在于控制候选集的规模和减少数据扫描次数等方面提高算法的效率,但依旧无法实现长周期的行为挖掘㊂
Ding等人[1]提出了一种改进的Apriori算法,该算法能自动从训练数据中到频繁序列,用于发现攻击场景序列㊂Sadoddin等人[2]提出了一个及时告警关联的框架,将挖掘攻击行为的问题简化为挖掘数据库中频繁攻击序列的问题,使用经典的频繁项集挖掘算法FP⁃Growth来挖掘频繁模式㊂文献[3]使用了增量方法来构造攻击场景,使用改进的AprioriAll(序列模式挖掘算法)来发现多步攻击序列㊂Lagzian等人[4]提出了警报实时关联的框架,该框架包括预处理和攻击场景构建两个阶段㊂预处理阶段接受连续插入的告警流㊂在攻击场景构建阶段,把告警流根据时间划分窗口,通过Bit⁃AssocRule算法[5]定期对各个窗口进行频繁模式挖掘㊂相较于传统的Apriori算法,Bit⁃AssocRule算法使用位运算,效率更高㊂该文献提出的框架需要预先定义攻击的详细信息,且没有考虑窗口中的攻击顺序,存在较大的局限性㊂文献[6]提出了一个由规则生成阶段和攻击检测阶段组成的多步攻击检测框架㊂在规则生成阶段,通过改进的Apriori算法挖掘可疑流量的主要攻击模式生成多步攻击规则,在攻击检测阶段,根据输入的流量与生成的多步攻击规则进行匹配㊂
总体来讲,频繁项集挖掘是数据挖掘中一个非常重要的方向,常常被用于各个行业数据集的分析,反
映大量数据之间隐藏的关联关系,从而发现一些有价值的隐含意义㊂在安全领域,频繁项集挖掘通常用于网络流量及日志的分析,以发现新型攻击或降低入侵检测系统误报率为目的㊂这些工作都对网络异常检测㊁网络入侵检测能力有一定提升,但从实用性来讲,依旧存在很多问题:a)随着网络环境变化和新的攻击模式的不断出现,传统的数据挖掘算法不能完整出攻击者的行为序列,会使漏报现象越来越严重;b)现有的大多数挖掘算法并不适用于长期潜伏㊁间隔攻击的攻击手段,而且一旦数据量急剧增加,算法表现极差㊂因此,本文拟解
决以上问题,提出基于频繁项集挖掘的长周期行为的异常检测算法,该算法能够在长时间的行为日志中挖掘出有间隔的㊁有规划的异常行为,具有较强的实用性,并在时间复杂度方面有较好的表现㊂
1㊀长周期的频繁项集挖掘算法
本章主要聚焦解决这样一个问题,当攻击者长期潜伏有目的地攻陷目标时,每一个步骤都会相隔一定的时间,当单独分析某一个或某几个步骤时与正常行为无意,只有将整个行为链条挖掘出来,才会发现隐蔽的异常㊂这种有间隔长周期的行为挖掘不符合常规挖掘算法的模式,如Apriori㊂举例如下:假设一个行为序列为S,其具体行为集合表示为{A,C,T},P为S的子模式,其中S=ACTTT,P1=AT,P2=A,P2是P1的子模式,在具有周期性要求[1,3]的条件里,可以看出P1的支持度为3,P2的支持度为1,因此,Apriori剪枝的原理在这里是不成立的㊂
1.1㊀数据定义与数据抽象
为解决以上问题,本文将创新应用一个符合有间隔长周期行为的频繁项集挖掘算法㊂首先,需要对该问题进行明确的数据定义和数据抽象㊂
a)定义一个待检测的行为日志序列为S,该序列内存在n种行为特征,表示为一个集合S={K1,K2, ,Kn}㊂
常熟地震b)定义异常行为序列为P,长度为l,P序列是一个有间隔的长周期序列,该序列表示为P={P1,P2, ,Pl},每个特征行为之间的间隔为G,G是一个间隔范围记作g(N,M)㊂
基于以上的定义,可以定义要解决的问题是,在长度为L的行为序列S中挖掘长度为l的长周期频繁序列P,P表示为
P1g(N,M),P2g(N,M), ,P(l-1)g(N,M)Pl
(1)
P序列是否是频繁出现的,需要对频率进行明确的定义,本文定义ρ为频率的阈值,如果超过这个频率,则认为P为频繁序列㊂
确定一个长度为l的模式P为什么是频繁的,需要两个参数:a)Nl,在S中长度为l的偏移序列的个数;b)P的支持度sup(P),相当于P在偏移序列中出现的次数㊂如果sup(P)/Nl大于等于ρ,则P是一个频繁序列㊂
1.2㊀算法描述1.2.1㊀Nl的计算
对于一个有间隔的序列P,其间隔一般不是一个固定的数值,最小间隔与最大间隔差异可以认为是间隔的灵活度W,W=M-N㊂可以很明显看出,W越大,则满足序列P间隔模式的序列越多,Nl则越大㊂
当间隔为N时,序列P的长度最小,记为l1,当间隔为M时,序列P的长度最大,记为l2㊂对于长度为L的序列S,则l1ɤ(L+M)/(M+1),l2ɤ(L+N)/(N+1),l2ȡl1㊂Nl的计算方法如下:
a)当l>l2时,Nl=0;当lɤl1时,
Nl=L-(l-1)M+N2+1æèçöø÷éëêêùû
úúWl-1
(2)
当l1<l<l2时,Nl是由文献[7]中的计算方法得出的㊂
㊃122㊃㊀第37卷增刊赵㊀静,等:基于频繁项集挖掘的长周期异常行为检测
㊀㊀㊀
1.2.2㊀剪枝策略
传统的剪枝方法可以大量减少被遍历的模式的数量,诸如Apriori属性,其原理是:如果某个项集是频繁项集,那么它所有的子集也是频繁的,而本文在前面已说明,对于长周期有间隔的行为序列,传统剪枝方法是无效的㊂
在长度为L的行为日志序列中,符合长度为l,间隔为[M,N]的序列P有k种模式,每个模式都至少有一个序列,因此,长度为l-d子序列Q的支持度S(Q)ȡk㊂对于子序列Q,在每个模式中可能会在不属于Q且只属于P的位置上不同,每个位置存在M-N种可能,所以每个模式最多有(M-N)d个序列,则kȡS(P)/(M-N)d,因此S(Q)ȡkȡS(P)/(M-N)d㊂
从以上的推导可以得出长周期有间隔序列的剪枝策略㊂如果sup(P)/Nlȡρ,则P是频繁序列,从而得出
S(Q)
Nl-dȡS(P)Nl-d(M-N)dȡNlNl-d(M-N)d
㊀ρ=λl,dˑρs
(3)
根据式(2)(3),可以得出以下的挖掘算法:
首先,给出对S序列中频繁项集最长长度的估算为m,计算所有小于等于m的频繁模式㊂根据以上所述,首先到支持率大于λm,m-1ˑρs的长度为1的所有模式,再把这些符合条件的模式连接,产生长度为2的模式的候选集,以此类推,在第i次迭代中确定一个集合(表示为Ui)㊂这个集合由长度为i的模式组成,这些模式满足支持率大于等于λm,m-iˑρs㊂在i+1次迭代中,把Ui中的模式连接产生i+1的候选集(表示为Ui+1)㊂Ui+1中的模式到符合支持率大于其阈值λm,m-(i+1)ˑρs的模式,该过程不断重复,直到出现以下两种情况:a)候选集为空;b)i=m+1㊂
在第二种情况下,本文方法相当于返回了所有长度小于等于m的频繁项集㊂而对于更长的频繁项集,则回归到类Apriori算法,即:对于i>m的每次迭代,在Ui-1的基础上生成候选集Ui
㊂然后检查Ui中的模式,收集其中支持率大于等于ρs的模式组成Ui+1㊂这个过程不断重复,直到产生的候选集为空停止㊂需要注意的是,仅当有一个m长度的子模式Q的支持率大于等于阈值ρs时,才会产生一个长度为m+k的模式P㊂对于一个长度m+k的模式,当它的长度为m的子模式支持率达到λm+k,kˑρs时,才可能是频繁的,这个值是小于ρs的㊂即有可能会有长度为m+k的频繁模式没有被产生而被忽略㊂因此,本文算法只能保证到长度小于等于m的频繁模式㊂
2㊀基于分类的异常检测模型
本文将设计基于分类的异常检测模型,该模型分为训练阶段和检测检测两个阶段㊂训练阶段主要对日常的正常行为和异常行为提取特征,建立模型㊂a)在完全无攻击的日志行为中提取特征,挖掘频繁项集,建立正常行为模型;b)在存在攻击的日志行为中,选取一定周期的数据进行攻击特征的提取㊁频繁项集挖掘,并建立异常行为模型,需要注意的是,选取的时长周期是可变的㊂检测阶段将捕获新的日志数据,利用训练阶段同样的方式出频繁项集,将其与正常行为模型和攻击行为模型进行比较,出异常㊂
具体的检测方法包括以下步骤:
a)日志预处理㊂一般安全设备的日志包括IPS㊁IDS㊁防火墙等告警日志,这些源数据由于厂商㊁业务㊁监控内容及范围的不同,造成数据结构各异,日志预处理的最终目标就是将日志处理为统
一㊁完整㊁格式化的事件㊂首先,对日志进行清洗,主要包括填写缺失值,光滑噪声数据,识别或删除离点,并解决不一致性㊂其次数据集成,代表同一概念的数据通过不同安全设备告警可能使用不一样的形式和命名,因此主要解决数据识别㊁冗余及相关性分析等问题㊂然后进行数据规约,主要对数据特征进行简化,利用降维等方式压缩数据集的规模㊂最后对日志进行数据变化,实现完整有效的格式化数据集㊂
b)训练阶段㊂一般情况下,安全设备产生的日志可以认为是有风险但没有发生真正攻击的数据,因此,日常平稳的日志分布可以认为是一种无攻击的状态㊂而当日志分布出现异常不能完全匹配正常状态时,则认为出现了异常攻击㊂基于以上思想,检测方法包括训练正常日志和攻击日志两个阶段㊂
对预处理后的每条日志提取特征,针对安全设备日志,主要包括以下七个元素,记为R(Ts,Event,SrcIP,SrcPort,DstIP,DstPort,Protocol)㊂其中:Ts代表时间;Event代表TCP的连接状态;SrcIP代表源IP;SrcPort代表源端口;DstIP代表目的IP;DstPort代表目的端
口;Protocol代表协议类型㊂
通过对正常日志的训练建立无攻击模型,首先建立一个可移动的时间窗口作为周期变量,利用本文的创新算法挖掘出最大频繁项集,得出正常行为事件库㊂通过对有攻击的日志进行训练建立异常模型,
利用同样的算法挖掘出最大频繁项集,得出异常行为事件库㊂
土耳其开局c)检测阶段㊂当收到待检测日志时,首先利用长周期的频繁项集挖掘算法产生频繁项集,接着用训练阶段生成的无攻击模型作为学习数据,利用经典KNN分类算法对这些频繁项集进行分类,出与无攻击模型不一致的频繁项集,并与异常模型的频繁项集进行相似度对比,出于不属于异常模型的频繁项集㊂最后,利用专家经验等方式,准确判断这些频繁项集,如果是异常行为,则加入异常模型完成在线更新㊂
与异常模型的频繁项集相似度对比方法如下:利用计算每个特征距离的方式,如果一个频繁项集的每个事件元素都包含在异常模型中,则认为属于异常模型;否则,则认为是新增异常,需由专家判断或其他方式进行深入判断,如果是,则加入异常模型㊂
3㊀实验
本文将采用中国科技网的真实网络环境数据进行演示验证㊂中国科技网是中国互联网早期四大骨干网之一,主要提供科研网络服务和科研信息化应用服务,开展未来互联网络技术与先进应用的研究和开发,与国内三大运营商及互联网交换中心都有高速互联链路,同时拥有多条高速国际科研出口,主要为科研用户提供大带宽㊁高速科研传输服务㊂因此,中国科技网很容易遭到黑客攻击,并具有丰富的数据资源㊂
本文的实验数据来自旁路连接在中国科技网骨干网核心路由器上的入侵检测设备IDS,IDS的报警往往是异常行为的提醒,并没有真正造成危害,误报率达90%以上,在没有安全威胁的情况下,它的报警日志分布是常态,因此,本文假设在中国科技网没有收到攻击的一段时间内,IDS的日志是无攻击状态的日志,而当发生安全事件时,它的日志会出现新的模式,显现出明显的异常㊂
预处理之后的实验数据如下:
Time:Oct1916:36:16,EVENT:RSTR:t,SrcIP:210.77.83.75,SrcPort:26599,DstIP:45.9.148.125,DstPort:443,Protocol:TCP㊂
本文用Python实现异常监测算法进行实验,实验首先选择不同的时间窗口,即待检测日志序列的长度㊂本实验分别选取1000㊁2000㊁ ㊁10000条日志进行实验,经过白名单过滤及归并之后的事件类型共九种,设定最大频繁项集长度为5,最小间隔M=10,最大间隔N=15㊂支持度阈值为4(根据统计出现次数的平均值),得到的频繁项集如下所示㊂
5-8-7-1-5,8㊀㊀㊀1-3-9-2,8㊀㊀㊀1-9,318-6-3-3-7,84-1-6-5,85-2,319-6-7-5-4,85-8-7-8,87-3,316-7-5-4-4,85-3,345-1,316-1-6-3-2,85-6,342-7,302-
7-8-7-7,83-8,348-1,304-8-9-5-4,82-3,334-6,302-2-1-7,106-7,331-8,293-9-2-2,106-5,329-9,297-8-7-7,91-4,326-9,282-5-3-1,99-2,321-7,283-1-5-3,87-9,319-7,284-3-7-3,85-9,317-1,231-6-5-7,83-6,316-6,17
考虑到每天的日志数量不一样,为更明显地观察算法效率,选取等长的日志序列进行实验㊂实验结果如图1所示㊂从实验结果可以看出,随着日志序列长度的增加,算法时长线性增长,这是由算法特性所决定的㊂
本文频繁项集挖掘算法要求先给定最大频繁项集的长度m,m的取值是非常关键的,m值过大会使算法时效降低,m过小又存在频繁项集遗漏的问题㊂选取长度为2000的日志序列,时间间隔为[10,15],根据枚举法得到真正的最大频繁项集长度为15,本实验选取不同的m值进行验证㊂实现结果如图2所示㊂
实验结果表明,选取合适的m值,会极大地提升算法的效率,
㊃
222㊃计算机应用研究2020年㊀
可以看出,当m=15时,算法所用时长最短;当m<15时,因为不能一次返回所有的频繁项集,所以算法需要重复不止一次,总体算法时长较长;当m>15时,算法时长会随着m的增大而呈现指数增长㊂该实验说明,当m的值比较小时,猜测m是比较有效的,但当m的值较大时,算法代价取决于m的取值㊂
同时,本文对日志序列的间隔[M,N],即灵活度W进行了实验㊂选取长度为2000的日志序列,m=15,M=10,灵活度W=5,6,7,8,9,10,得到的实验结果如图3所示㊂
实验结果表明,灵活度W越大,算法时效性的表现越差㊂这是因为W越大,在S中长度为l的偏移序列的个数Nl越大,则需要剪枝的频繁项集越多㊂
除此之外,本文对引入该算法后的误报率进行了统计对比,考虑到科技网的真实数据没有全部被标记,本次实验采用DARPA1999数据集,该数据集由麻省理工学院林肯实验室和空军研究实验室制作,包含了Probe㊁DoS㊁R2L㊁U2R以及Data等五大类一共58种典型的攻击行为,是一套经过充分的验证并已标记的数据㊂本实验选取了不同的时间段的数据,选取最大长度为15,间隔为[10,15]分别统计误报率和漏报率,结果如表1所示㊂
表1㊀误报率/漏报率对比
序列日志长度误报率/%漏报率/%
20004.20.98
400030.66
60001.80.61
80000.950.12
100000.450.02
㊀㊀从表1结果可以看出,在日志序列长度较短的时候,该算法的误报率较高,但是随着日志序列长度的增长,误报率明显下降,这可以反映出本文算法对于历史依赖度较强㊂而在漏报率方面,该算法表现整体较好,特别是序列日志长度越长,漏报率越低,这充分印证了该算法能够发现长时间隐藏㊁间隔行动的异常行为㊂
4 结束语
在当今复杂的网络信息环境下,黑客的攻击行为也越来越复杂与隐蔽,针对长期潜伏㊁间隔攻击的模式,传统的频繁项集挖掘算法不能完整出恶意行为序列,甚至根本不能解决该问题㊂本文提出基于频繁项集挖掘的长周期行为的异常检测方法,应用创新性的频繁项集挖掘算法,能够出有间隔的所
有频繁项集,并且支持有间隔频繁项集的有效剪枝;同时,设计了基于分类的异常检测模型,利用传统机器学习的思想,研判异常行为㊂基于真实的网络数据和完整的实验室验证,进行了大量的实验,实验说明了本文方法的有效性和合理性㊂
本文在算法推导的过程中,对最大频繁项集长度的预设值未进行深入的研究㊂实验结果表明,预设值的合理设定很大程度上影响了算法的效率,因此,在后续工作中将进一步修改算法模型,提高算法效率,并在入侵检测系统中进行实际应用㊂
参考文献:m序列
[1]DingYuxin,WangHaisen,LiuQingwei.Intrusionscenariosdetectionbasedondatamining[C]//ProcofInternationalConferenceonMa⁃chineLearningandCybernetics.Piscataway,NJ:IEEEPress,2008:1293⁃1297.
[2]SadoddinR,GhorbaniAA.Anincrementalfrequentstructureminingframeworkforreal⁃timealertcorrelation[J].Computers&Security,
2009,28(3⁃4):153⁃173.
[3]LiZhitang,ZhangAifang,LiDong,etal.Discoveringnovelmulti⁃stageattackstrategies[C]//Procofthe3rdInternationalConferenceonAdvancedDataMiningandApplications.2007:45⁃56.[4]LagzianS,AmiriF,EnayatiA,etal.Frequentitemsetmining⁃basedalertcorrelationforextractingmulti⁃stageattackscenarios[C]//Procofthe6thInternationalSymposiumonTelecommunications.Piscataway,NJ:IEEEPress,2012:1010⁃1014.
[5]LinTY,HuXiaohua,LouieE.Afastassociationrulealgorithmbasedonbitmapandgranularcomputing[C]//Procofthe12thIEEEInter⁃nationalConferenceonFuzzySystems.Piscataway,NJ:IEEEPress,2003:678⁃683.
[6]ShinJY,ChoiSH,LiuPeng,etal.Unsupervisedmulti⁃stageattackdetectionframeworkwithoutdetailsonsingle⁃stageattacks[J].FutureGenerationComputerSystems,2019,100(11):811⁃825.[7]ZhangMinghua,KaoBen,CheungDW,etal.Miningperiodicpat⁃ternswithgaprequirementfromsequences[J].ACMTransonKnowledgeDiscoveryfromData,2007,1(2):articleNo.7.[8]AcharA,LaxmanS,SastryPS.AunifiedviewoftheApriori⁃basedalgorithmsforfrequentepisodediscovery[J].KnowledgeandInfor⁃mationSystems,2012,31(2):223⁃250.
[9]Casas⁃GarrigaG.Discoveringunboundedepisodesinsequentialdata[C]//ProcofEuropeanConferenceonPrinciplesofDataMiningandKnowledgeDiscovery.Berlin:Springer,2003:83⁃94.
[10]LaxmanS,SastryPS,UnnikrishnanKP.Afastalg
orithmforfindingfrequentepisodesineventstreams[C]//Procofthe13thACMSIGKDDInternationalConferenceonKnowledgeDiscoveryandDataMining.NewYork:ACMPress,2007:410⁃419.
[11]GuanJian,LiuDX,WangTong.Applicationsoffuzzydataminingmethodsforintrusiondetectionsystems[C]//ProcofInternationalConferenceonComputationalScienceandItsApplications.Berlin:Springer,2004:706⁃714.
[12]SuMingyang.Discoveryandpreventionofattackepisodesbyfrequentepisodesminingandfinitestatemachines[J].JournalofNetworkandComputerApplications,2010,33(2):156⁃167.
[13]SuMingyang,ChangKaichi,LinChunyuen.Attackpatternsdiscoverybyfrequentepisodesminingfr
omHoneypotsystems[C]//ProcofIn⁃ternationalConferenceonInformationSecurityandAssurance.Berlin:Springer,2009:301⁃306.
[14]NguyenDS,TongV,TranD,etal.MiningfrequentpatternsforscalableandaccuratemalwaredetectionsysteminAndroid[C]//Procofthe29thIEEEAnnualInternationalSymposiumonPersonal,IndoorandMobileRadioCommunications.Piscataway,NJ:IEEEPress,2018:370⁃375.
[15]WangLei,CaoShoufeng,WanLin,etal.Webanomalydetectionbasedonfrequentclosedepisoderules[C]//ProcofIEEETrustcom/BigDataSE/ICESS.Piscataway,NJ:IEEEPress,2017:967⁃972.[16]NagarajaA,KumarTS.Anextensivesurveyonintrusiondetection⁃past,present,future[C]//Procofthe4thInternationalConferenceonEngineering&MIS2018.NewY
ork:ACMPress,2018:articleNo.45.[17]ChandaAK,AhmedCF,SamiullahM,etal.Anewframeworkforminingweightedperiodicpatternsintimeseriesdatabases[J].ExpertSystemswithApplications,2017,79:207⁃224.
[18]王慧锋,段磊,左劼,等.免预设间隔约束的对比序列模式高效挖掘[J].计算机学报,2016,39(10):1979⁃1991.
[19]吴信东,谢飞,黄咏明,等.带通配符和One⁃Off条件的序列模式挖掘[J].软件学报,2013,24(8):1804⁃1815.
[20]JieXinchun,WangHaikuan,FeiMinrui,etal.Anomalybehaviorde⁃tectionandreliabilityassessmentofcontrolsystemsbasedonassocia⁃tionrules[J].InternationalJournalofCriticalInfrastructurePro⁃tection,2018,22:90⁃99.
[21]KhanMZA,ParkJ.ApplicationofdataminingonW
ebusagedataforsecurity:WebSecuDMiner[EB/OL].(2019).https://www.pre⁃prints.org/manuscript/201909.0040/v1/download.
[22]ZhaoYing,ChenJunjun,WuDi,etal.Networkanomalydetectionbyusingatime⁃decayclosedfrequentpattern[J].Information,2019,10(8):262.
[23]强继朋,谢飞,高隽,等.带任意长度通配符的模式匹配[J].自动化学报,2014,40(11):2499⁃2511.
[24]马文亭.基于Apriori⁃KNN算法的入侵检测误报过滤研究[D].哈尔滨:哈尔滨理工大学,2019.
㊃322㊃
㊀第37卷增刊赵㊀静,等:基于频繁项集挖掘的长周期异常行为检测㊀㊀㊀
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议