曹陽

摘要：簡要敘述了大數(shù)據(jù)技術在構建全新網(wǎng)絡入侵檢測體系中的應用情況，分析、研究了基于大數(shù)據(jù)技術的全新網(wǎng)絡入侵檢測防御體系構建策略，以期能為相關工作提供參考。

關鍵詞：計算機網(wǎng)絡；入侵檢測體系；大數(shù)據(jù)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）15-0021-02

隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡用戶的數(shù)據(jù)保護技術、網(wǎng)絡計算機的入侵檢測技術也隨之不斷發(fā)展進步。目前計算機網(wǎng)絡已經(jīng)進入大數(shù)據(jù)時代，數(shù)據(jù)量以幾何形式增長，如何在大數(shù)據(jù)環(huán)境下構建一個全新的網(wǎng)絡防御體系，挖掘相關的安全規(guī)則，分析協(xié)調由各種異構數(shù)據(jù)組成的安全事件，有效防御非法網(wǎng)絡入侵，保證網(wǎng)絡用戶的隱私數(shù)據(jù)安全，成為網(wǎng)絡安全需要著重考慮的問題。

1 大數(shù)據(jù)技術

大數(shù)據(jù)技術是指對規(guī)模非常龐大的數(shù)據(jù)進行快速地組織、分析、處理的技術。因此大數(shù)據(jù)首先包括數(shù)據(jù)處理，也就是數(shù)據(jù)的收集、清洗、集成；其次是對數(shù)據(jù)進行數(shù)據(jù)挖掘或者分析處理。大數(shù)據(jù)有4個特點，一般被稱為4V特性 ：volume、velocity、variety、veracity， 分別表示數(shù)據(jù)量大、數(shù)據(jù)處理速度快、數(shù)據(jù)結構復雜、信息價值密度小。大數(shù)據(jù)技術的發(fā)展前景和應用領域非常廣闊，對計算機網(wǎng)絡技術、通信網(wǎng)路技術等的應用具有重要的價值。

2 大數(shù)據(jù)技術的應用

2.1 用于入侵檢測防御體系的可能性

為了更好地將大數(shù)據(jù)技術應用在入侵檢測領域，需要進一步了解入侵檢測的相關機制，為大數(shù)據(jù)的使用提供依據(jù)。入侵檢測（Intrusion Detection）是指計算機用戶在使用網(wǎng)絡的過程中，對網(wǎng)絡中非法用戶或者非法程序針對計算機系統(tǒng)入侵行為的檢測。它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為[1]。

在入侵檢測中，監(jiān)視、分析用戶及系統(tǒng)活動，并予以迅速地反應，正是大數(shù)據(jù)技術的核心內容，因此將大數(shù)據(jù)技術應用于網(wǎng)絡安全的入侵檢測是可行并且有效的。

2.2 在入侵檢測體系構建中的應用

基于大數(shù)據(jù)技術形成的計算機網(wǎng)絡入侵檢測防御體系，是全新的計算機網(wǎng)絡安全防御方式，它能夠更加全面、有效地處理計算機網(wǎng)絡信息的安全問題。具體來講，可以分為如下幾個步驟： 首先是數(shù)據(jù)抽取，對網(wǎng)絡中的各種行為進行行為特征的抽??；其次是數(shù)據(jù)預處理，將抽取得到的行為特征數(shù)據(jù)進行清洗、集成、轉換預處理，形成相對一致性的數(shù)據(jù)格式；然后通過構建模型，建立入侵檢測的行為模型；最后是安全防護檢測，對非法的網(wǎng)絡行為進行攔截和響應。在數(shù)據(jù)抽取和預處理中，由于數(shù)據(jù)來源復雜，數(shù)據(jù)格式不統(tǒng)一，數(shù)據(jù)量巨大，因此需要對數(shù)據(jù)設置有效的處理規(guī)則，保證數(shù)據(jù)的完整性與有效性，提高數(shù)據(jù)的質量，這是大數(shù)據(jù)技術的基礎。通過對收集到的數(shù)據(jù)進行入侵模型的構建，得到相關的入侵行為特征，然后通過入侵行為特征進行網(wǎng)絡行為的判別處理。

2.3 大數(shù)據(jù)技術下的入侵防御

基于大數(shù)據(jù)技術的入侵防御系統(tǒng)可以采取多樣化的行為特征分析方式?；旧蠑?shù)據(jù)挖掘成熟的分析方法都可以在大數(shù)據(jù)背景下的入侵檢測中得到應用，主要有以下幾種方式：①異類分析。分析行為規(guī)則中明顯偏離正常網(wǎng)絡行為的數(shù)據(jù)，這些數(shù)據(jù)往往嚴重偏離了正常用戶的上網(wǎng)特征，而這些有違常理的行為特征的分析，可能會發(fā)現(xiàn)一些更有價值的結果。②聚類分析。分析行為數(shù)據(jù)中的行為分類，將各個行為自動按照一定的規(guī)則歸納成幾個組別，形成全局的行為模式分布模型，從而展現(xiàn)各個行為模式之間的關系。③序列分析。對用戶的行為模式進行動態(tài)化的統(tǒng)計，研究行為模式背后的先后序列歸納的情況，從而區(qū)分正常的網(wǎng)絡行為模式與入侵的網(wǎng)絡行為模式，針對不同的入侵模式，進行不同的處理。

3 構建網(wǎng)絡入侵防御體系的策略

構建基于大數(shù)據(jù)技術的網(wǎng)絡入侵防御體系，首先要進行深入的理論研究，在現(xiàn)有大數(shù)據(jù)平臺的基礎上，對獲取的大量用戶行為數(shù)據(jù)進行大數(shù)據(jù)處理，得到相關的理論成果，這是軟件企業(yè)推廣大數(shù)據(jù)入侵防御體系的動力；其次要建立健全大數(shù)據(jù)技術與相關軟件的標準，提高相關軟件的質量；與此同時，不僅要在技術上重視大數(shù)據(jù)技術的發(fā)展，還要積極扶持大數(shù)據(jù)相關軟件公司的發(fā)展和加強大數(shù)據(jù)人才的培養(yǎng)。

3.1 深入進行大數(shù)據(jù)技術的理論研究

理論研究是實踐應用的前提和基礎，構建基于大數(shù)據(jù)技術的網(wǎng)絡入侵防御體系，應該進行科學的、深入的大數(shù)據(jù)技術理論研究，通過借鑒相對成熟的電商產品評價、客戶價值評價、互聯(lián)網(wǎng)推薦等大數(shù)據(jù)技術的應用成果，不斷完善大數(shù)據(jù)技術在入侵檢測的應用方案，形成科學的大數(shù)據(jù)入侵檢測理論體系，此基礎上設計開發(fā)出以大數(shù)據(jù)技術為基礎的計算機網(wǎng)絡入侵檢測防御體系。在理論研究的同時，還要注重理論與實踐的結合，形成理論引導實際、實際促進理論的良性循環(huán)，在此基礎上實現(xiàn)大數(shù)據(jù)技術理論體系的全面發(fā)展。

3.2 建立健全大數(shù)據(jù)技術的標準體系

大數(shù)據(jù)技術作為一個新的技術體系，將不斷地趨向標準化、規(guī)范化發(fā)展。通過標準化的體系，可以不斷提高大數(shù)據(jù)的數(shù)據(jù)集成質量，從而更好地協(xié)調大數(shù)據(jù)的數(shù)據(jù)處理服務器和數(shù)據(jù)分析服務器的關系，充分發(fā)揮在不同的異構數(shù)據(jù)之間的分析處理，滿足市場對大數(shù)據(jù)技術的需求。有了完善的標準體系，可以更科學地構建基于大數(shù)據(jù)的網(wǎng)絡入侵檢測模型。

3.3 注重軟件行業(yè)培育與人才培養(yǎng)

大數(shù)據(jù)技術作為新的數(shù)據(jù)處理技術，在使用和推廣過程中，離不開軟件行業(yè)的支持和相關技術人員的積極應用。構建以大數(shù)據(jù)技術為基礎的網(wǎng)絡入侵檢測系統(tǒng)更需要相關軟件公司和技術人員的努力，因此需要重視行業(yè)培育與人才培養(yǎng)。一方面對大數(shù)據(jù)相關的產業(yè)予以政策支持；另一方面在高校內注重培養(yǎng)專業(yè)化的大數(shù)據(jù)人才，同時企業(yè)內部也要注重開展相關大數(shù)據(jù)的員工培訓，從而為大數(shù)據(jù)技術的推廣和應用提供技術和人才的保障。

4 結束語

大數(shù)據(jù)背景下，國家和企業(yè)的競爭力更大程度上取決于把海量數(shù)據(jù)轉化成信息和知識的能力與速度。通過大數(shù)據(jù)技術在網(wǎng)絡入侵檢測的應用，很好地將用戶的網(wǎng)絡行為轉化為行為規(guī)則模型，并實現(xiàn)海量數(shù)據(jù)向入侵檢測信息的轉化，從而實現(xiàn)計算機網(wǎng)絡的入侵檢測，為人們提供良好的網(wǎng)絡環(huán)境，保障計算機用戶的隱私數(shù)據(jù)安全。

參考文獻：

[1] 百度百科——入侵檢測[EB/OL]. http：//baike.baidu.com/view/16487.htm，2016，5.

[2] 陳春.基于數(shù)據(jù)挖掘技術的計算機網(wǎng)絡病毒防御分析[J].信息通信，2015（05）.

[3] 黃霜豐.基于大數(shù)據(jù)分析的通信網(wǎng)絡監(jiān)控體系[J].廣西通信技術， 2015（01）.

[4] 孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術與挑戰(zhàn)[J].計算機研究與發(fā)展，2013（1）.

[5] 熊華偉.基于GIS的移動通信網(wǎng)絡質量監(jiān)控與分析系統(tǒng)研究[D].江西理工大學 2012.