【论文笔记】Discovering Graph Temporal Association Rules 时间关联规则

原文：Discovering Graph Temporal Association Rules—2017 CIKM

ABSTRACT

目的：检测时间图中复杂事件（由一类时间模式查询捕获）之间的规律
方法：将事件挖掘和规则发现整合成一个过程，并用它们的相互作用减少冗余计算
结果：验证了算法的有效性和可扩展性，证实了GTARs在现实网络中表现出高度可解释的关联

INTRODUCTION

时间关联规则捕获事务数据上项集间的规则：at a specified time
时间关联规则在网络事件上：

1. 网络事件用图模式表示
2. 在两事件P1、P2间的时间窗上发现时间关联，而不是时间戳上

“if event P1 occurs, then event P2 is likely to occur in ∆t time”

Masked Attack detection
分布式拒绝服务攻击DDoS，与超过45%的恶意软件事件 or 32%的网络入侵同时发生，这些事件经常被用作诱饵，以分散防御力并掩盖真正的入侵。
eg information breaches

1. P1 是 DDoS 攻击，攻击者 u 控制多个 bots 以创建对目标 u` 的大量请求
2. P2 是一个信息泄露事件，其中服务器 u` 从 bot 接收命令并浏览 compromised websites (引导数据泄露)。
3. 如果主机 u` 在某个时候受 DDoS 攻击 (P1)，那么该主机很可能在2分钟内成为 P2 攻击的受害者。

可用于攻击检测、推荐系统、活动预测。

·······················································略···细节懒得翻了···直接总结吧··················································································

DisGTAR：合并事件挖掘和规则发现—事件匹配和规则验证交替进行
○通过生成和验证 LHS 事件并动态“附加” RHS 事件（也是扩展事件格的过程）来生成 GTAR 后选事件，并仅在必要时验证生成的 GTAR 候选事件。
事件支持度、规则支持度
规则置信度：P1 发生后，△t内 P2 发生的可能
事件格：用两个优先级队列控制其生成，LHS queue L 和 RHS queue L[ P1 ]. R。具有更大规模、更小支持度的 L 事件优先。具有较大支持度的 R 事件优先。
最小发生 minimal occurrence
最大规则 maximal GTARs with size bound ：the rules should also be ”informative“ and concise b该怎么确定？？
剪枝：依据支持度的反单调性，置信度的条件反单调性、最大规则的定义来剪枝减少冗余验证。
创新点：
·····事件匹配 eMatch
·····事件挖掘和规则发现交替
·····剪枝
对比算法：
·····用与 eMatch 不同的事件匹配算法，对时间图进行 snapshots，对每个 snapshot进行事件匹配
·····整个事件挖掘完成后再枚举规则并验证
·····无剪枝操作

DisGTAR算法过程

初始化事件格和L列表(用单节点u`事件)
抽取最优 L 事件P1
如果P1是spawnable的（level<b），调用Ispawn生成一系列 LHS 事件 S(p1) [ level+1 ]
调用eMatch进行事件匹配得到删减后的C(e)
初始化 P1.R
抽取最优 R 事件 P2 组成规则 [ P1->P2，u，△t ]
验证规则（支持度、置信度、最大规则）
如果P2是spawnable的（level<b），调用rspawn生成一系列 RHS 事件 S(p2) [ level+1 ]
直到 P2.R 为空，返回抽取最优 L 事件
直到 L 为空