原文:Discovering Graph Temporal Association Rules—2017 CIKM
ABSTRACT
目的:检测时间图中复杂事件(由一类时间模式查询捕获)之间的规律
方法:将事件挖掘和规则发现整合成一个过程,并用它们的相互作用减少冗余计算
结果:验证了算法的有效性和可扩展性,证实了GTARs在现实网络中表现出高度可解释的关联
INTRODUCTION
时间关联规则捕获事务数据上项集间的规则:at a specified time
时间关联规则在网络事件上:
- 网络事件用图模式表示
- 在两事件P1、P2间的时间窗上发现时间关联,而不是时间戳上
“if event P1 occurs, then event P2 is likely to occur in ∆t time”
Masked Attack detection
分布式拒绝服务攻击DDoS,与超过45%的恶意软件事件 or 32%的网络入侵同时发生,这些事件经常被用作诱饵,以分散防御力并掩盖真正的入侵。
eg information breaches
- P1 是 DDoS 攻击,攻击者 u 控制多个 bots 以创建对目标 u` 的大量请求
- P2 是一个信息泄露事件,其中服务器 u` 从 bot 接收命令并浏览 compromised websites (引导数据泄露)。
- 如果主机 u` 在某个时候受 DDoS 攻击 (P1),那么该主机很可能在2分钟内成为 P2 攻击的受害者。
可用于攻击检测、推荐系统、活动预测。
·······················································略···细节懒得翻了···直接总结吧··················································································
DisGTAR:合并事件挖掘和规则发现—事件匹配和规则验证交替进行
○通过生成和验证 LHS 事件并动态“附加” RHS 事件(也是扩展事件格的过程)来生成 GTAR 后选事件,并仅在必要时验证生成的 GTAR 候选事件。
事件支持度、规则支持度
规则置信度:P1 发生后,△t内 P2 发生的可能
事件格:用两个优先级队列控制其生成,LHS queue L 和 RHS queue L[ P1 ]. R。具有更大规模、更小支持度的 L 事件优先。具有较大支持度的 R 事件优先。
最小发生 minimal occurrence
最大规则 maximal GTARs with size bound :the rules should also be ”informative“ and concise b该怎么确定??
剪枝:依据支持度的反单调性,置信度的条件反单调性、最大规则的定义来剪枝减少冗余验证。
创新点:
·····事件匹配 eMatch
·····事件挖掘和规则发现交替
·····剪枝
对比算法:
·····用与 eMatch 不同的事件匹配算法,对时间图进行 snapshots,对每个 snapshot进行事件匹配
·····整个事件挖掘完成后再枚举规则并验证
·····无剪枝操作
DisGTAR算法过程
初始化事件格和L列表(用单节点u`事件)
抽取最优 L 事件P1
如果P1是spawnable的(level<b),调用Ispawn生成一系列 LHS 事件 S(p1) [ level+1 ]
调用eMatch进行事件匹配得到删减后的C(e)
初始化 P1.R
抽取最优 R 事件 P2 组成规则 [ P1->P2,u,△t ]
验证规则(支持度、置信度、最大规则)
如果P2是spawnable的(level<b),调用rspawn生成一系列 RHS 事件 S(p2) [ level+1 ]
直到 P2.R 为空,返回抽取最优 L 事件
直到 L 为空