基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)入侵檢測應(yīng)用研究

董天宇 黃云

（安徽繼遠(yuǎn)檢驗(yàn)檢測技術(shù)有限公司 安徽省合肥市 230088）

就目前情況而言，隨著我國社會科技的發(fā)展，我國計算機(jī)技術(shù)、信息技術(shù)得到了快速的發(fā)展，而大數(shù)據(jù)技術(shù)則是計算機(jī)技術(shù)與信息技術(shù)發(fā)展的產(chǎn)物。大數(shù)據(jù)技術(shù)是一種信息收集、分析、整理與存儲技術(shù)，其能夠?qū)崿F(xiàn)對多種信息數(shù)據(jù)的管理，在網(wǎng)絡(luò)入侵檢測中應(yīng)用大數(shù)據(jù)技術(shù)，不僅能夠提高網(wǎng)絡(luò)入侵檢測的精準(zhǔn)度與準(zhǔn)確度，同時還能夠?qū)崿F(xiàn)自動化、智能化的網(wǎng)絡(luò)入侵檢測管理，這對于保證計算機(jī)網(wǎng)絡(luò)能夠安全、穩(wěn)定的運(yùn)行具有十分重要的現(xiàn)實(shí)意義。

1 相關(guān)理論概述

1.1 大數(shù)據(jù)技術(shù)概述

大數(shù)據(jù)技術(shù)是現(xiàn)代信息化社會發(fā)展的必然產(chǎn)物，同時也是推進(jìn)我國現(xiàn)代社會發(fā)展的重要技術(shù)。大數(shù)據(jù)是一種數(shù)據(jù)的集合，能夠?qū)崿F(xiàn)海量信息的分析、整理與存儲，是以信息數(shù)據(jù)為本質(zhì)的信息技術(shù)，同時，在對大數(shù)據(jù)中數(shù)據(jù)信息挖掘的過程中，能夠?qū)崿F(xiàn)對理念、模式、技術(shù)及應(yīng)用的創(chuàng)新，從而達(dá)到不斷優(yōu)化、創(chuàng)新大數(shù)據(jù)技術(shù)的目的，促使大數(shù)據(jù)技術(shù)更適用于現(xiàn)代信息化社會發(fā)展的需求，為現(xiàn)代社會發(fā)展提供輔助型的力量。大數(shù)據(jù)其實(shí)就是一種數(shù)據(jù)庫，在該數(shù)據(jù)庫內(nèi)存儲了各行各業(yè)的各類數(shù)據(jù)信息，相關(guān)工作人員在數(shù)據(jù)庫收集數(shù)據(jù)信息時，便可通過相應(yīng)的技術(shù)收集到想要的信息，提高了信息收集的時效性。大數(shù)據(jù)技術(shù)即通過互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及企業(yè)數(shù)據(jù)等建立一個數(shù)據(jù)源，經(jīng)過提取、轉(zhuǎn)化、加載完成數(shù)據(jù)的收集，并能夠?qū)?shù)據(jù)存儲與系統(tǒng)當(dāng)中，在該系統(tǒng)中，能夠?qū)崿F(xiàn)對信息數(shù)據(jù)的自動化管理，當(dāng)使用用戶想要收集相關(guān)數(shù)據(jù)時，可根據(jù)權(quán)限在數(shù)據(jù)庫中提取，從而使得數(shù)據(jù)變得可視化[1]。

1.2 網(wǎng)絡(luò)入侵檢測概念

網(wǎng)絡(luò)入侵檢測是保證網(wǎng)絡(luò)運(yùn)行安全的重要技術(shù)，網(wǎng)絡(luò)入侵檢測主要是檢測的是網(wǎng)絡(luò)的運(yùn)行狀態(tài)，即計算機(jī)用戶使用計算機(jī)網(wǎng)絡(luò)的行為，并辨別用戶的行為是否能夠?qū)W(wǎng)絡(luò)產(chǎn)生入侵威脅，若用戶的行為將對計算機(jī)網(wǎng)絡(luò)產(chǎn)生入侵傷害，則網(wǎng)絡(luò)入侵檢測能夠?qū)θ肭中袨檫M(jìn)行攔截，并上報網(wǎng)絡(luò)用戶，從而最大程度上保證網(wǎng)絡(luò)的安全性，確保了網(wǎng)絡(luò)能夠平穩(wěn)運(yùn)行。網(wǎng)絡(luò)入侵檢測是計算機(jī)網(wǎng)絡(luò)的內(nèi)部系統(tǒng)，是一種重要的網(wǎng)絡(luò)安全管理技術(shù)，利用網(wǎng)絡(luò)入侵檢測技術(shù)，能夠?qū)崿F(xiàn)對不同系統(tǒng)源的信息收集，并通過對這些數(shù)據(jù)信息的分析判斷計算機(jī)網(wǎng)絡(luò)的運(yùn)行狀況，并辨別計算機(jī)網(wǎng)絡(luò)是否存在入侵危險，是否存在他人網(wǎng)絡(luò)入侵攻擊的問題。此外，利用網(wǎng)絡(luò)入侵檢測能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)的運(yùn)行數(shù)據(jù)實(shí)現(xiàn)全面的監(jiān)控，當(dāng)網(wǎng)絡(luò)開始運(yùn)行時，網(wǎng)絡(luò)入侵檢測便開展工作，直至計算機(jī)網(wǎng)絡(luò)停止運(yùn)行，在此過程中，網(wǎng)絡(luò)入侵檢測能夠根據(jù)自動收集的網(wǎng)絡(luò)運(yùn)行狀況制作成網(wǎng)絡(luò)檢測記錄，并自動上傳至系統(tǒng)保存，相關(guān)工作人員在進(jìn)行網(wǎng)絡(luò)管理時便可到系統(tǒng)中搜尋網(wǎng)絡(luò)檢測記錄，從而為計算機(jī)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行提供判斷支持。同時，當(dāng)網(wǎng)絡(luò)入侵檢測發(fā)現(xiàn)存在入侵攻擊時，可自動生成反應(yīng)報告，并上報給相關(guān)工作人員，部分威脅網(wǎng)絡(luò)入侵檢測可以利用防火墻自動地域，而對于抵御難度系數(shù)較大的入侵行為，需要相關(guān)工作人員根據(jù)反應(yīng)報告及時制定入侵抵御計劃，從而保證計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性[2]。

1.3 常見的網(wǎng)絡(luò)入侵方式

網(wǎng)絡(luò)入侵是影響計算機(jī)網(wǎng)絡(luò)使用穩(wěn)定性與使用安全性的關(guān)鍵因素，其不僅可以導(dǎo)致計算機(jī)網(wǎng)絡(luò)正常運(yùn)行受到影響，同時也能夠盜取網(wǎng)絡(luò)用戶計算機(jī)中的數(shù)據(jù)信息，使得網(wǎng)絡(luò)計算機(jī)用戶的數(shù)據(jù)信息泄露，使得網(wǎng)絡(luò)計算機(jī)用戶的信息安全無法得到保證，甚至有可能損壞企業(yè)的經(jīng)濟(jì)效益。據(jù)筆者調(diào)查研究顯示，現(xiàn)階段常見的網(wǎng)絡(luò)入侵主要包括三種，分別為網(wǎng)絡(luò)病毒入侵、網(wǎng)絡(luò)黑客入侵及拒絕服務(wù)攻擊。

（1）從網(wǎng)絡(luò)病毒入侵的角度來分析。網(wǎng)絡(luò)病毒入侵是最為常見的網(wǎng)絡(luò)入侵方式，其主要是在計算機(jī)網(wǎng)絡(luò)中植入木馬病毒，導(dǎo)致計算機(jī)網(wǎng)絡(luò)無法正常的使用。網(wǎng)絡(luò)病毒入侵對網(wǎng)絡(luò)運(yùn)行的損害較大，且修復(fù)難度較大，同時，現(xiàn)階段由于我國網(wǎng)絡(luò)入侵檢測技術(shù)還不夠成熟，且木馬病毒具有較大的感染性與隱蔽性，很多木馬病毒無法順利的被檢測出來，致使計算機(jī)網(wǎng)絡(luò)很容易受到網(wǎng)絡(luò)病毒的侵害。

（2）從網(wǎng)絡(luò)黑客入侵的角度來分析。網(wǎng)絡(luò)黑客入侵主要是入侵技術(shù)人員根據(jù)計算機(jī)網(wǎng)絡(luò)中的漏洞深入計算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中，并對計算機(jī)網(wǎng)絡(luò)實(shí)行修改、植入木馬病毒等攻擊行為。網(wǎng)絡(luò)黑客入侵的主要目的為盜取計算機(jī)網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù)，或利用計算機(jī)網(wǎng)絡(luò)發(fā)布指令等。

（3）從拒絕服務(wù)攻擊的角度來分析。拒絕服務(wù)攻擊是指利用相關(guān)技術(shù)手段使得計算機(jī)網(wǎng)絡(luò)拒絕為用戶提供服務(wù)，導(dǎo)致用戶的數(shù)據(jù)信息無法被保存，造成用戶的計算機(jī)網(wǎng)絡(luò)癱瘓或停止運(yùn)行，從而引起用戶的數(shù)據(jù)丟失[3]。

1.4 網(wǎng)絡(luò)入侵檢測的重要作用

近年來，伴隨著我國社會科技的發(fā)展，我國網(wǎng)絡(luò)入侵檢測技術(shù)在大數(shù)據(jù)技術(shù)、云計算機(jī)技術(shù)的支持下得到了快速的發(fā)展，但由于我國網(wǎng)絡(luò)入侵檢測技術(shù)起步較晚，目前仍處于發(fā)展中階段，很多網(wǎng)絡(luò)入侵檢測產(chǎn)品并不完善，致使其在實(shí)際使用過程中還存在諸多的問題。首先，就目前情況而言，我國很多網(wǎng)絡(luò)入侵檢測產(chǎn)品的精準(zhǔn)度不高，難以實(shí)現(xiàn)對入侵行為的精準(zhǔn)把控，存在較大的漏洞，很多入侵行為發(fā)現(xiàn)不及時或未發(fā)現(xiàn)導(dǎo)致計算機(jī)網(wǎng)絡(luò)運(yùn)行受到了損害。其次，針對網(wǎng)絡(luò)入侵行為的拒絕服務(wù)攻擊的處理能不強(qiáng)，且未有完善的自動修復(fù)技術(shù)，致使還是存在較大的數(shù)據(jù)信息丟失威脅。再次，現(xiàn)階段我國大部分網(wǎng)絡(luò)入侵檢測產(chǎn)品的獨(dú)立性較強(qiáng)，未能實(shí)現(xiàn)與計算機(jī)網(wǎng)絡(luò)其他安全部件的良好聯(lián)動，致使網(wǎng)絡(luò)入侵檢測功能大打折扣，且成本增加。最后，我國大部分網(wǎng)絡(luò)入侵檢測產(chǎn)品未具備完善的測試評估便上市發(fā)行，致使在實(shí)際使用中適用性與功能性不強(qiáng)，且對于網(wǎng)絡(luò)入侵產(chǎn)品的檢測標(biāo)準(zhǔn)不統(tǒng)一，致使市場上網(wǎng)絡(luò)入侵產(chǎn)品質(zhì)量參差不齊。

由此可見，加強(qiáng)對網(wǎng)絡(luò)入侵檢測技術(shù)的優(yōu)化，提升網(wǎng)絡(luò)入侵產(chǎn)品的質(zhì)量是尤為重要的。網(wǎng)絡(luò)入侵檢測可以說是計算機(jī)網(wǎng)絡(luò)防火墻的補(bǔ)充技術(shù)，其在一定程度上能夠幫助防火墻實(shí)現(xiàn)抵御入侵，同時，網(wǎng)絡(luò)入侵檢測技術(shù)還能夠通過對計算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)控發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)運(yùn)行中存在的問題，辨別是否存在入侵跡象和入侵行為，根據(jù)實(shí)際網(wǎng)絡(luò)運(yùn)行狀態(tài)精準(zhǔn)辨別入侵方式及入侵部位，幫助相關(guān)工作人員及時發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的漏洞，從而便于實(shí)現(xiàn)計算機(jī)網(wǎng)絡(luò)的漏洞修補(bǔ)順利完成，這對于保證計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性具有十分重要的現(xiàn)實(shí)意義[4]。

2 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

數(shù)據(jù)挖掘技術(shù)是大數(shù)據(jù)技術(shù)的重要組成部分，結(jié)合業(yè)內(nèi)相關(guān)研究成果與工作經(jīng)驗(yàn)來看，該技術(shù)在網(wǎng)絡(luò)入侵檢測的應(yīng)用中具有良好表現(xiàn)。具體來講：

2.1 系統(tǒng)模型與檢測方法

數(shù)據(jù)挖掘技術(shù)是現(xiàn)階段我國網(wǎng)絡(luò)入侵檢測中普遍使用的一種檢測技術(shù)，其能夠幫助網(wǎng)絡(luò)入侵檢測提高檢測的精準(zhǔn)度，促使網(wǎng)絡(luò)入侵檢測能夠真正的發(fā)揮其功能與價值，同時具有成本低、流程簡便的優(yōu)勢。數(shù)據(jù)挖掘技術(shù)是基于大數(shù)據(jù)技術(shù)下的數(shù)據(jù)信息自動收集技術(shù)，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)入侵檢測中，能夠?qū)崿F(xiàn)與計算機(jī)網(wǎng)絡(luò)其他安全部件的良好配合，達(dá)到1+1>2 的目的，同時，在大數(shù)據(jù)技術(shù)的支持下，數(shù)據(jù)挖掘技術(shù)還能夠?qū)崿F(xiàn)自我學(xué)習(xí)、自我創(chuàng)新，從而達(dá)到優(yōu)化技術(shù)的目的，促使數(shù)據(jù)挖掘技術(shù)更具備適用性。

就目前情況而言，現(xiàn)階段我國常用的網(wǎng)絡(luò)入侵檢測系統(tǒng)主要包括兩種，一種是在主機(jī)上安裝網(wǎng)絡(luò)入侵檢測產(chǎn)品，而另一種則是在網(wǎng)絡(luò)上安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)，但無論是那種方式都存在一定的漏洞，而基于大數(shù)據(jù)的數(shù)據(jù)挖掘技術(shù)主要是將兩種系統(tǒng)向融合，構(gòu)建一個Agent 檢測系統(tǒng)，在該系統(tǒng)中，既能夠?qū)崿F(xiàn)對主機(jī)的入侵檢測，又能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)的入侵檢測，同時，能夠?qū)崿F(xiàn)智能化、自動化的檢測，從而滿足不同環(huán)境下入侵檢測對檢測系統(tǒng)的需求。同時，利用數(shù)據(jù)挖掘技術(shù)構(gòu)建的網(wǎng)絡(luò)入侵檢測產(chǎn)品可以說是一種新型的網(wǎng)絡(luò)入侵檢測產(chǎn)品，其并不需要進(jìn)行對硬件、軟件的調(diào)整，而是直接將系統(tǒng)輸入到網(wǎng)絡(luò)系統(tǒng)當(dāng)中，具有較強(qiáng)的適應(yīng)力，且具備自主學(xué)習(xí)功能，能夠應(yīng)對多變的網(wǎng)絡(luò)入侵手段與形式，故而能夠提升網(wǎng)絡(luò)入侵檢測水平。

2.2 系統(tǒng)架構(gòu)設(shè)計

現(xiàn)階段，國內(nèi)外常用的網(wǎng)絡(luò)入侵系統(tǒng)構(gòu)架主要有兩種形式，第一種為設(shè)計一個中心管理平臺，在在該平臺對入侵檢測進(jìn)行管理與控制，但該系統(tǒng)構(gòu)架適用于小心網(wǎng)絡(luò)管理中，若將其應(yīng)用于大型網(wǎng)絡(luò)管理中容易存在檢測數(shù)據(jù)信息準(zhǔn)確度降低的劣勢。第二種網(wǎng)絡(luò)系統(tǒng)構(gòu)架為分布式體系構(gòu)架，該構(gòu)架主要是在子網(wǎng)上構(gòu)建一個獨(dú)立的系統(tǒng)，每一個區(qū)域均有一個系統(tǒng)負(fù)責(zé)入侵檢測，且每一個系統(tǒng)均可以看做是一個個體，該種方式的系統(tǒng)構(gòu)架能夠全面、細(xì)致的檢測到每一個子網(wǎng)絡(luò)上的入侵行為，故而更適用于網(wǎng)絡(luò)入侵檢測系統(tǒng)的構(gòu)架當(dāng)中。

在進(jìn)行網(wǎng)絡(luò)入侵檢測系統(tǒng)的構(gòu)架設(shè)計時，首先需要收集預(yù)處理數(shù)據(jù)源，并將預(yù)處理數(shù)據(jù)源轉(zhuǎn)移到數(shù)據(jù)倉庫存儲，隨后利用數(shù)據(jù)挖掘技術(shù)建立一個數(shù)據(jù)挖掘引擎，隨后將數(shù)據(jù)信息分別輸送到檢測模塊與規(guī)則庫當(dāng)中，且規(guī)則庫同時需要收集管理控制模塊，經(jīng)過規(guī)則庫分析與處理的信息也需要傳送到檢測模塊當(dāng)中，隨后檢測模塊通過對數(shù)據(jù)信息的檢測判斷是否存在網(wǎng)絡(luò)入侵行為，若發(fā)現(xiàn)存在入侵規(guī)則行為后，需要將信息傳遞到入侵相應(yīng)模塊當(dāng)中，從而完成對網(wǎng)絡(luò)入侵檢測的全流程。

2.3 數(shù)據(jù)挖掘算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用主要利用的是數(shù)據(jù)挖掘算法，數(shù)據(jù)挖掘算法主要是利用關(guān)聯(lián)規(guī)則建立數(shù)據(jù)集合，由此可見，數(shù)據(jù)挖掘算法主要是挖掘網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中的關(guān)聯(lián)性，從而分析入侵屬性之間的聯(lián)系，利用相應(yīng)規(guī)則建立數(shù)據(jù)排列，并剔除無用數(shù)據(jù)信息，從而提升了數(shù)據(jù)信息分析的準(zhǔn)確性。

關(guān)聯(lián)規(guī)則在網(wǎng)絡(luò)入侵檢測中應(yīng)用的主要機(jī)理為：通過應(yīng)用相應(yīng)的關(guān)聯(lián)規(guī)則算法，可在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中快速發(fā)現(xiàn)很多未知的網(wǎng)絡(luò)入侵檢測方式，為網(wǎng)絡(luò)入侵檢測和防范提供必要的數(shù)據(jù)支撐，從而更好地保護(hù)計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性和穩(wěn)定性。和其他網(wǎng)絡(luò)入侵檢測方式相比，利用關(guān)聯(lián)規(guī)則算法能夠快速有效的挖掘出那些未知的網(wǎng)絡(luò)入侵方式，同時顯示目前計算機(jī)用戶的各種信息及行為方式，檢測現(xiàn)有的行為方式和歷史數(shù)據(jù)及行為是否一致，如果二者之問存在較大的差距，則可判定為入侵行為。在網(wǎng)絡(luò)入侵檢測方中，用戶在使用計算機(jī)系統(tǒng)時，需要先進(jìn)行登錄，每登錄一次可看作是一個事務(wù)，用t 來表示，隨著用戶登錄次數(shù)的更多，會形成t 的事務(wù)數(shù)據(jù)庫，用D 來表示，D 數(shù)據(jù)庫有很多個不同類型的表組成。用戶登錄計算機(jī)系統(tǒng)記錄樣本的集合，可用T 來表示；特征項(xiàng)的集合，用z 來表示.關(guān)聯(lián)規(guī)則的蘊(yùn)含式為A 一B，無論是A，還是B，屬于z 的子集，而且A 和B 不存在相互關(guān)聯(lián)，二者之問的交集為空集。A 在D 中是成立的，其支持度為S，置信度為C。其中S 為D 中事務(wù)包含AUB 的百分比，可看作是一個概率。而C 則是D 包含A 事務(wù)的同時也包含B 事務(wù)的百分比，可以看作是一個條件概率。

3 結(jié)論

綜上所述，網(wǎng)絡(luò)入侵檢測技術(shù)直接影響著計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性，因此，為了提升我國網(wǎng)絡(luò)入侵檢測技術(shù)的水平，提升網(wǎng)絡(luò)入侵檢測產(chǎn)品的質(zhì)量，保護(hù)計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全，需要在網(wǎng)絡(luò)入侵檢測中融入大數(shù)據(jù)技術(shù)，并合理的運(yùn)用數(shù)據(jù)挖掘算法實(shí)現(xiàn)對入侵?jǐn)?shù)據(jù)信息的精準(zhǔn)信息，從而提升網(wǎng)絡(luò)入侵檢測的精準(zhǔn)度，確保不會存在入侵信息的漏失，這對于提升我國網(wǎng)絡(luò)入侵檢測產(chǎn)品的發(fā)展十分重要，同時也是滿足我國現(xiàn)代信息化社會發(fā)展的必然選擇。