本文是利用模糊關聯規則來設計並實作一個異常網路入侵偵測系統。所謂異常偵測是根據網路行為來判斷,有別於誤用偵測是根據特定字串或特徵來做判斷。由於網路行為本身容許一定程度的變動,傳統資料探勘中使用的關聯規則無法有效處理,導入模糊的觀念來強化關聯規則的適應性,更能符合異常偵測的實際需要。網路攻擊行為形形色色、種類繁多,本研究主要是以阻斷式服務攻擊(Denial of Services, DoS)作為實驗的對象。實驗結果證實在適當調整系統参數之後,對於所有測試的DoS攻擊,我們的系統皆能正確的辨識出來。瞬間大量封包是DoS攻擊的一個重要特徵,我們的實驗也驗證在瞬間大量FTP正常封包流量情況下,本系統不會造成誤判。若攻擊可以確定來源,本系統還能立刻通知防火牆即時更改規則以切斷連線。
