數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用

馮耀

（山西工商學(xué)院 山西省太原市 030006）

進入網(wǎng)絡(luò)信息時代以來，我國的現(xiàn)代化信息技術(shù)水平不斷提高，人們的生活與工作方式都出現(xiàn)了很大的變化，網(wǎng)絡(luò)應(yīng)用范圍越來越廣，網(wǎng)絡(luò)技術(shù)帶來的行業(yè)變革十分明顯，與此同時，網(wǎng)絡(luò)的應(yīng)用也伴隨著更多的安全隱患，例如木馬病毒感染、DDOS 攻擊等，導(dǎo)致網(wǎng)絡(luò)環(huán)境風(fēng)險事件激增，對網(wǎng)絡(luò)用戶的個人信息安全以及機密文件安全造成了嚴重的影響，急需找到的有效的途徑，加強對網(wǎng)絡(luò)安全態(tài)勢的分析，保證網(wǎng)絡(luò)運行環(huán)境安全。

1 數(shù)據(jù)挖掘技術(shù)概述

數(shù)據(jù)挖掘技術(shù)從廣義的角度上看就是數(shù)據(jù)庫中的知識發(fā)現(xiàn)，其技術(shù)核心是數(shù)據(jù)庫技術(shù)，它的應(yīng)用原理是對某一個范圍內(nèi)的海量數(shù)據(jù)進行挖掘與分析，從而收集各種有效的數(shù)據(jù)，并在整理數(shù)據(jù)的過程中找到數(shù)據(jù)的內(nèi)在聯(lián)系與客觀規(guī)律，以此對其進行準確判斷與預(yù)測[1]。目前，隨著網(wǎng)絡(luò)的高速發(fā)展，數(shù)據(jù)挖掘技術(shù)的應(yīng)用范圍越來越廣泛，尤其是在網(wǎng)絡(luò)完全態(tài)勢分析中的應(yīng)用，獲得了良好的應(yīng)用成效。數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用具有較大的優(yōu)勢，可以很好的發(fā)現(xiàn)日常風(fēng)險檢測技術(shù)所無法發(fā)覺的數(shù)據(jù)間關(guān)聯(lián)，準確找到隱蔽的病毒以及安全攻擊行為等，以此快速的完成未知入侵行為的檢測，對網(wǎng)絡(luò)服務(wù)器和代理服務(wù)器實施高效檢測與防護。

2 網(wǎng)絡(luò)運行安全主要風(fēng)險問題及特點

現(xiàn)如今，隨著我國網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為了人們普遍關(guān)注的熱點話題，網(wǎng)絡(luò)運行過程中存在的風(fēng)險種類也逐漸增多，包括木馬病毒感染、拒絕服務(wù)攻擊、網(wǎng)絡(luò)協(xié)議缺陷以及系統(tǒng)漏洞等，對網(wǎng)絡(luò)用戶的信息安全造成嚴重威脅[2]。網(wǎng)絡(luò)風(fēng)險問題具有隱蔽性、突發(fā)性、傳染性強、破壞性大等特點，如果無法對其進行有效的防護與安全態(tài)勢分析，就可能會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，讓更多的網(wǎng)絡(luò)用戶受到侵害。

2.1 木馬病毒感染

網(wǎng)絡(luò)安全問題中最常見的就是木馬病毒感染，其具有病毒類型多、傳播性強、破壞性大以及隱蔽性強等特點，其本質(zhì)上是一種惡意的攻擊程序，攻擊性很強，并且是主動性的攻擊行為。木馬病毒通常情況下會隱蔽在電腦程序的后臺，并利用部分程序的系統(tǒng)漏洞，在程序運行的同時入侵到電腦系統(tǒng)中，破壞電腦系統(tǒng)的運行環(huán)境，盜取電腦有效數(shù)據(jù)或者破壞電腦系統(tǒng)等。

2.2 拒絕服務(wù)攻擊（DDOS攻擊）

拒絕服務(wù)攻擊也被稱為DDOS 攻擊，其攻擊方式是向攻擊對象發(fā)出大量的服務(wù)請求，以此去擠占網(wǎng)絡(luò)用戶的大量資源，致使該對象無法正常的處理服務(wù)請求，導(dǎo)致網(wǎng)絡(luò)通道堵塞或者網(wǎng)絡(luò)系統(tǒng)癱瘓[3]。拒絕服務(wù)攻擊發(fā)出的各種服務(wù)請求都是合理的，因此很難被一般的網(wǎng)絡(luò)安全防護技術(shù)所阻擋。拒絕服務(wù)攻擊的攻擊特點包括分布范圍廣與規(guī)模大等，是一種主動性的攻擊行為。拒絕服務(wù)攻擊在實施攻擊行為的過程中，首先需要對攻擊對象進行確定與控制，然后會開展攻擊，最后完成后期處理。

2.3 網(wǎng)絡(luò)協(xié)議缺陷

隨著P2P 網(wǎng)絡(luò)技術(shù)的發(fā)展與創(chuàng)新，我國的網(wǎng)絡(luò)環(huán)境越來越開放，網(wǎng)絡(luò)用戶的信息共享性也得到了很大的提升，在一定程度上為網(wǎng)絡(luò)用戶的上網(wǎng)行為提供了便利的條件，但是網(wǎng)絡(luò)協(xié)議缺陷問題也嚴峻起來，給網(wǎng)絡(luò)用戶的隱私安全造成了巨大的危害。網(wǎng)絡(luò)協(xié)議缺陷也是目前比較常見的網(wǎng)絡(luò)安全問題，并且因為現(xiàn)階段網(wǎng)絡(luò)的動態(tài)性以及開放性特征等，使得網(wǎng)絡(luò)協(xié)議缺陷的防護困難很大，容易給不法分子可乘之機，利用網(wǎng)絡(luò)協(xié)議缺陷去攻擊網(wǎng)絡(luò)，造成較大的網(wǎng)絡(luò)危害。

2.4 系統(tǒng)漏洞

系統(tǒng)漏洞可以說是網(wǎng)絡(luò)安全問題中最典型、最常見的，具有多種類型，并且?guī)缀趺恳粋€系統(tǒng)軟件都會存在系統(tǒng)漏洞，給網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)系統(tǒng)提供了條件。目前，應(yīng)對網(wǎng)絡(luò)系統(tǒng)漏洞的主要方式是防火墻技術(shù)，但是其在具體的應(yīng)用過程中仍然存在一些不足，防火墻雖然可以阻止以IP 包頭為基礎(chǔ)的攻擊行為，使得不被防火墻信任的訪問以及地址等進行中斷，但是卻不能阻止以數(shù)據(jù)為基礎(chǔ)的攻擊行為[4]。同時黑客還可以利用防火墻自身的漏洞繞過它對帶網(wǎng)絡(luò)進行攻擊，因此防火墻的應(yīng)用是具有一定限制性的，缺少必要的靈活性。

3 基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)安全態(tài)勢分析

3.1 數(shù)據(jù)關(guān)聯(lián)技術(shù)

數(shù)據(jù)關(guān)聯(lián)技術(shù)可以將網(wǎng)絡(luò)行為中的具體抽象邏輯思維有效的轉(zhuǎn)化為數(shù)據(jù)關(guān)系，該技術(shù)應(yīng)用的原理本質(zhì)是一種人類大腦的推理行為。即數(shù)據(jù)關(guān)聯(lián)技術(shù)認定兩個數(shù)據(jù)之間是具備關(guān)聯(lián)的，就可以通過其中一個數(shù)據(jù)去推理另一個數(shù)據(jù)，利用數(shù)據(jù)之間的關(guān)聯(lián)性去挖掘多維度的數(shù)據(jù)信息。目前，數(shù)據(jù)關(guān)聯(lián)技術(shù)的主要應(yīng)用方面是回歸技術(shù)與信息網(wǎng)絡(luò)分析方式等，是一種應(yīng)用比較廣泛的數(shù)據(jù)挖掘技術(shù)。

3.2 數(shù)據(jù)聚類技術(shù)

基于數(shù)據(jù)挖掘的數(shù)據(jù)聚類技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用，是根據(jù)一些特定的網(wǎng)絡(luò)規(guī)律將海量的數(shù)據(jù)包分成多個類別，并且不同類別下的數(shù)據(jù)包擁有差異化的規(guī)律特征，以此利用這些差異規(guī)律去分析數(shù)據(jù)包的分布特點以及整體的疏密情況等，進而識別出這些不同屬性數(shù)據(jù)包之間的彼此關(guān)聯(lián)。數(shù)據(jù)聚類技術(shù)的應(yīng)用目的是進行數(shù)據(jù)總結(jié)，根據(jù)聚類分析算法的思路不同可以將其分成五個類別，分別為基于劃分的聚類分析、基于密度的聚類分析、基于模型的聚類分析、基于層次的聚類分析以及基于網(wǎng)絡(luò)的聚類分析[5]。該技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用，可以通過聚類分析的方法過濾網(wǎng)絡(luò)中正常的數(shù)據(jù)，將異常數(shù)據(jù)識別出來，進行對其進行入侵檢測。

3.3 數(shù)據(jù)分類技術(shù)

數(shù)據(jù)分類技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用主要是依據(jù)特殊的邏輯思維，將現(xiàn)有的網(wǎng)絡(luò)數(shù)據(jù)信息進行分類處理，是現(xiàn)階段網(wǎng)絡(luò)安全態(tài)勢分析中應(yīng)用比較廣泛的一種新型技術(shù)。在對網(wǎng)絡(luò)運行環(huán)境進行安全性檢查的過程中，數(shù)據(jù)分類技術(shù)的應(yīng)用可以實現(xiàn)對海量數(shù)據(jù)信息的快速分類處理，分類的方式主要有分類模型與分類函數(shù)兩種[6]。另外，利用數(shù)據(jù)分類技術(shù)建立的分類模型可以將數(shù)據(jù)庫中現(xiàn)有的數(shù)據(jù)信息反映到其它種類的信息集合中，形成數(shù)據(jù)信息比對，以此獲取數(shù)據(jù)信息的實際身份。通常情況下，數(shù)據(jù)分類技術(shù)的應(yīng)用效果會受到數(shù)據(jù)自身特點的影響，不同的分類模型在分類特征上具有較大的差別，數(shù)據(jù)分類效果與數(shù)據(jù)本身之間存在明顯的關(guān)聯(lián)性。

3.4 數(shù)據(jù)偏差技術(shù)

數(shù)據(jù)偏差技術(shù)是數(shù)據(jù)思維中的一種常規(guī)形式，是十分常見的。數(shù)據(jù)偏差技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用目的是識別數(shù)據(jù)信息的合理性與安全性。從網(wǎng)絡(luò)數(shù)據(jù)分析的層次去看，在給予網(wǎng)絡(luò)運行環(huán)境動態(tài)監(jiān)測的時候，仍然會受到網(wǎng)絡(luò)攻擊的行為的入侵，這是因為部分攻擊行為具有一定的偽裝效果，可以隱藏在一些正常的系統(tǒng)程序或者服務(wù)指令下，利用網(wǎng)絡(luò)協(xié)議缺陷或者軟件漏洞等進入網(wǎng)絡(luò)發(fā)起主動攻擊，例如DDSO 攻擊以及木馬病毒等。而數(shù)據(jù)偏差技術(shù)的應(yīng)用正好可以在特定的數(shù)據(jù)信息標準上，找到數(shù)據(jù)之間的差異性，并將存在差異的數(shù)據(jù)信息進行重點研究，評價其合理性與安全性。

4 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用

4.1 分析準備

目前，隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)信息總量逐漸增多，數(shù)據(jù)信息類型也越來越豐富，網(wǎng)絡(luò)安全問題的復(fù)雜程度也有所提升，對網(wǎng)絡(luò)安全態(tài)勢分析提出了更高的要求，傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)已經(jīng)無法適應(yīng)當(dāng)前網(wǎng)絡(luò)環(huán)境對數(shù)據(jù)信息的需求。數(shù)據(jù)挖掘技術(shù)與分析技術(shù)的出現(xiàn)，有效解決了網(wǎng)絡(luò)安全態(tài)勢分析的技術(shù)問題，可以從海量數(shù)據(jù)信息中挖掘出有效的數(shù)據(jù)信息并進行處理[7]。在應(yīng)用數(shù)據(jù)挖掘技術(shù)之前，需要做好分析準備，對目標數(shù)據(jù)的分類、關(guān)聯(lián)性等進行明確，以此實現(xiàn)挖掘方向的改變。數(shù)據(jù)挖掘技術(shù)的應(yīng)用主要過程為數(shù)據(jù)收集、整理、選擇、處理以及壓縮，需要進行數(shù)據(jù)預(yù)處理，保證數(shù)據(jù)挖掘可以在全部的計算范圍內(nèi)。

4.2 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的具體應(yīng)用，核心的應(yīng)用階段是數(shù)據(jù)挖掘過程，目前可以使用的數(shù)據(jù)挖掘方式有很多種，可以根據(jù)網(wǎng)絡(luò)運行情況以及挖掘具體要求合理的選用。另外，在我國網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的推動下，再加上人們對網(wǎng)絡(luò)安全重視程度不斷提高，數(shù)據(jù)挖掘方式也越來越多，更多的新技術(shù)、新算法應(yīng)運而生，拓展了數(shù)據(jù)挖掘技術(shù)的應(yīng)用途徑。從當(dāng)前數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢分析中的應(yīng)用情況來看，應(yīng)用比多、應(yīng)用比較成熟的方法主要包括遺傳算法、決策樹算法以及神經(jīng)網(wǎng)絡(luò)算法等。不同的數(shù)據(jù)挖掘算法在應(yīng)用的過程中需要有對應(yīng)的挖掘程序。在應(yīng)用數(shù)據(jù)挖掘技術(shù)的過程中，首先需要根據(jù)數(shù)據(jù)庫知識去選擇挖掘目標，并根據(jù)挖掘目標的特征與規(guī)律去選擇合適的計算方法。其次，需要通過建立數(shù)據(jù)挖掘模型的方式去找到合適的參數(shù)，保證數(shù)據(jù)挖掘方法與挖掘?qū)ο蟊舜宋呛?。最后，要進一步驗證數(shù)據(jù)的可信度，確保挖掘過程以及計算工作可以順利進行。

4.3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測

在網(wǎng)絡(luò)安全態(tài)勢預(yù)測過程中應(yīng)用數(shù)據(jù)挖掘技術(shù)的目的是在海量數(shù)據(jù)目標中找到異常數(shù)據(jù)，并且需要通過合理的挖掘算法對數(shù)據(jù)目標的內(nèi)容進行挖掘與計算，進而為網(wǎng)絡(luò)安全態(tài)勢預(yù)測提供強有力的參考依據(jù)。網(wǎng)絡(luò)安全態(tài)勢預(yù)測過程中，可以分成三個階段，第一個階段是直接顯示數(shù)據(jù)挖掘結(jié)果，在一般情況下，直接顯示數(shù)據(jù)挖掘結(jié)果可以讓用戶更好的理解網(wǎng)絡(luò)安全態(tài)勢以及合理使用網(wǎng)絡(luò)，為其上網(wǎng)行為提供便利條件。第二個階段是數(shù)據(jù)挖掘結(jié)果評價，即在數(shù)據(jù)挖掘目標的基礎(chǔ)上，給予數(shù)據(jù)挖掘結(jié)果適當(dāng)?shù)?、客觀的評價[8]。第三個階段是預(yù)測網(wǎng)絡(luò)安全態(tài)勢，需要在完成數(shù)據(jù)挖掘以后對數(shù)據(jù)信息進行分析，以此評價與反映網(wǎng)絡(luò)安全態(tài)勢。所以，在進行網(wǎng)絡(luò)安全態(tài)勢預(yù)測的時候，需要將挖掘到的知識與系統(tǒng)進行融合，顯示并評價知識的機制，以此對異常數(shù)據(jù)進行準確的判斷，將篩選出的異常數(shù)據(jù)與可信度較高的知識進行對比，有效解決網(wǎng)絡(luò)安全的具體問題。

4.4 創(chuàng)建網(wǎng)絡(luò)入侵檢測模型

在網(wǎng)絡(luò)安全態(tài)勢分析中應(yīng)用數(shù)據(jù)挖掘技術(shù)，可以針對現(xiàn)有的網(wǎng)絡(luò)安全常見問題創(chuàng)建網(wǎng)絡(luò)入侵檢測模型，并利用數(shù)據(jù)挖掘技術(shù)幫助網(wǎng)絡(luò)用戶在海量的數(shù)據(jù)信息中了解人們從未涉及到的數(shù)據(jù)規(guī)律與知識，對異常數(shù)據(jù)類型進行快速響應(yīng)與分析?；跀?shù)據(jù)挖掘技術(shù)創(chuàng)建的網(wǎng)絡(luò)入侵檢測模型由預(yù)檢測模塊、行為分析模塊以及特征提取模塊三大模塊組成。以公司網(wǎng)絡(luò)運行環(huán)境為例，使用網(wǎng)絡(luò)入侵檢測系統(tǒng)可以實現(xiàn)對員工上網(wǎng)行為的實時監(jiān)測，查看其登錄的網(wǎng)頁信息，以此確保企業(yè)內(nèi)部的網(wǎng)絡(luò)安全，保障企業(yè)信息數(shù)據(jù)安全，避免數(shù)據(jù)泄露或者丟失。同時，網(wǎng)絡(luò)入侵檢測模型的創(chuàng)建還可以對計算機設(shè)備或者網(wǎng)絡(luò)的運行狀況進行動態(tài)分析，準確預(yù)測網(wǎng)絡(luò)安全態(tài)勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)運行過程中出現(xiàn)的異常數(shù)據(jù)，及時進行處理，進而保障網(wǎng)絡(luò)安全、穩(wěn)定的運行。

5 結(jié)論

綜上所述，隨著我國網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)總量越來越多，數(shù)據(jù)類型逐漸豐富，再給人們的生活與工作帶去便利條件的同時，也帶來了更多的網(wǎng)絡(luò)安全隱患，需要做好網(wǎng)絡(luò)安全態(tài)勢分析。合理的應(yīng)用數(shù)據(jù)挖掘技術(shù)，可以提高網(wǎng)絡(luò)安全態(tài)勢分析的效率與準確性，對網(wǎng)絡(luò)安全問題進行準確預(yù)測與處理，并且可以通過創(chuàng)建網(wǎng)絡(luò)入侵檢測模型主動開展防御，進而提高網(wǎng)絡(luò)安全性，保障網(wǎng)絡(luò)用戶的正常使用。