安思瑤

摘要：由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性和多樣性，使得準確分析網(wǎng)絡(luò)入侵行為、判斷網(wǎng)絡(luò)安全狀態(tài)存在困難。數(shù)據(jù)挖掘技術(shù)作為一種信息處理手段，具有分析、預(yù)測、決策等高級功能，因此可通過提高網(wǎng)絡(luò)入侵檢測的準確率等方式保障網(wǎng)絡(luò)安全。該文以數(shù)據(jù)挖掘技術(shù)為基礎(chǔ)，通過分析其研究現(xiàn)狀及核心技術(shù)，從而探討數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全中的應(yīng)用，分析其優(yōu)勢。

關(guān)鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡(luò)安全；入侵檢測

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）12-0010-02

開放科學(xué)（資源服務(wù)）標識碼（OSID）：

從二十世紀八十年代開始，數(shù)據(jù)庫技術(shù)在存儲和管理信息方面已經(jīng)得到廣泛普及和應(yīng)用。隨著數(shù)據(jù)庫容量的日益膨脹，一方面，為了有效利用這些海量數(shù)據(jù)，數(shù)據(jù)挖掘技術(shù)應(yīng)運而生，數(shù)據(jù)挖掘使數(shù)據(jù)處理技術(shù)進入了一個更高級的階段，它在數(shù)據(jù)庫技術(shù)基礎(chǔ)上增加了對分析、預(yù)測、決策等高級功能的支持機制。而另一方面，由于在網(wǎng)絡(luò)上需要存儲與處理的信息與日俱增，其中不乏諸多敏感信息，因此網(wǎng)絡(luò)和系統(tǒng)中的安全問題越來越引人重視，網(wǎng)絡(luò)安全的要求也從單純的保護上升為保護、檢測、反映、恢復(fù)。由于網(wǎng)絡(luò)安全檢測技術(shù)或多或少存在漏報和誤報等缺陷，若漏報率和誤報率較高，則會使網(wǎng)絡(luò)安全環(huán)境承受風(fēng)險，因此為了降低漏報率和誤報率，可采取數(shù)據(jù)挖掘等相關(guān)技術(shù)。

1 研究現(xiàn)狀

數(shù)據(jù)挖掘技術(shù)的發(fā)展與其他技術(shù)的發(fā)展是相輔相成的，它是一個多學(xué)科交叉研究領(lǐng)域，融合了許多相關(guān)技術(shù)的研究成果，例如機器學(xué)習(xí)、數(shù)據(jù)庫技術(shù)、人工智能、信息檢索、以及高性能計算等等。

從研究熱點來看，數(shù)據(jù)挖掘的研究主要是關(guān)鍵技術(shù)和具體應(yīng)用兩個方面。對于關(guān)鍵技術(shù)，研究方向主要是分類算法和聚類算法等。對于具體應(yīng)用，隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)挖掘作為處理海量數(shù)據(jù)的有力手段，逐步體現(xiàn)出其應(yīng)用價值，目前主要有可視化、遺傳算法和血液透析等應(yīng)用研究方向。

從研究機構(gòu)及之間的合作來看，高等院校是開展數(shù)據(jù)挖掘領(lǐng)域研究的主力軍，開展研究的國家以美國等發(fā)達國家為主，而中國、澳大利亞和加拿大等國家由于擁有較大數(shù)據(jù)量，因此在近年來后來居上，但各機構(gòu)間的研究合作較少。

從研究趨勢來看，數(shù)據(jù)挖掘研究的發(fā)展趨勢主要在于以下兩個方面。一方面會涉及更多的具體應(yīng)用，使得數(shù)據(jù)挖掘技術(shù)在未來涉足更多的領(lǐng)域，發(fā)揮更大的應(yīng)用價值。另一方面，由于數(shù)據(jù)挖掘技術(shù)尚未完全成熟，在應(yīng)用時可能存在安全隱患，因此今后將開展更多與安全相關(guān)的研究，更加注重安全和隱私的保護 [1]。

2 數(shù)據(jù)挖掘主要技術(shù)

2.1 數(shù)據(jù)挖掘的含義

從廣義的觀點來看，數(shù)據(jù)挖掘又稱為數(shù)據(jù)庫中的知識發(fā)現(xiàn)，它是指從大型數(shù)據(jù)集中挖掘出隱含性、未知性、有用性知識的完整過程。從海量數(shù)據(jù)中挖掘出潛藏在其中的有價值知識是一個系統(tǒng)化的工作，該工作過程需經(jīng)歷以下步驟。首先必須對源數(shù)據(jù)進行分析，抽取出所需的數(shù)據(jù)，同時對抽取出的數(shù)據(jù)進行處理加工，使之成為適合挖掘的數(shù)據(jù)形式，然后運用合適的數(shù)據(jù)挖掘算法提取出相應(yīng)知識，最后是對生成的知識模式進行評估，并將發(fā)現(xiàn)的知識以用戶易懂的方式呈現(xiàn)。因此知識發(fā)現(xiàn)分為數(shù)據(jù)抽取、數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘、模式評估四個階段。

1）數(shù)據(jù)抽取

數(shù)據(jù)抽取是指選取相應(yīng)的源數(shù)據(jù)庫，以研究目的或系統(tǒng)任務(wù)為依據(jù)，通過對源數(shù)據(jù)庫進行分析，從數(shù)據(jù)庫中提取所需數(shù)據(jù)的過程。

2）數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理主要是為了保證數(shù)據(jù)的完整性與一致性。若抽取出的數(shù)據(jù)形式不適合挖掘，則對其進行再次加工。預(yù)處理通常包括消除噪聲、推導(dǎo)計算缺值數(shù)據(jù)、消除重復(fù)記錄、完成數(shù)據(jù)類型轉(zhuǎn)換等。

3）數(shù)據(jù)挖掘

數(shù)據(jù)挖掘是知識發(fā)現(xiàn)中的重要步驟。首先，它根據(jù)挖掘的數(shù)據(jù)特點和用戶的要求，選擇合適的數(shù)據(jù)挖掘算法，然后通過建立挖掘模型并實施選取的算法，從數(shù)據(jù)集中提煉知識。為獲得最優(yōu)結(jié)果，該階段往往是一個反復(fù)的過程。

4）模式評估

模式評估是指對生成的知識模式進行評估，若存在冗余或無關(guān)的模式，則將其剔除，若模式不滿足挖掘目標，則返回前面相應(yīng)的步驟進行螺旋式處理。模式評估是必不可少的一個階段。

狹義的數(shù)據(jù)挖掘便是指知識發(fā)現(xiàn)的第三階段，主要的技術(shù)方法有關(guān)聯(lián)規(guī)則、分類、聚類。

2.2 數(shù)據(jù)挖掘的主要技術(shù)

2.2.1 關(guān)聯(lián)規(guī)則

關(guān)聯(lián)規(guī)則挖掘的目的是發(fā)現(xiàn)潛藏在不同對象之間的關(guān)聯(lián)。關(guān)聯(lián)規(guī)則中定義了兩個重要的閾值，分別為最小支持度和最小可信度。最小支持度是指一組對象關(guān)聯(lián)在一起需要滿足的最低聯(lián)系程度。若低于最小支持度，則認為這組對象無關(guān)聯(lián)。最小可信度的含義是一個關(guān)聯(lián)規(guī)則的最低可靠程度。若低于最小可信度，則認為該關(guān)聯(lián)規(guī)則不可信。因此，為使關(guān)聯(lián)規(guī)則有意義，從源數(shù)據(jù)中挖掘出的關(guān)聯(lián)規(guī)則必須既滿足最小支持度又滿足最小可信度。關(guān)聯(lián)規(guī)則是數(shù)據(jù)挖掘中最活躍的研究方法之一。

2.2.2 分類

分類可用于數(shù)據(jù)預(yù)測，即通過處理、分析歷史數(shù)據(jù)，形成一個分類函數(shù)或分類模型，從而通過該模型來預(yù)測未來數(shù)據(jù)的趨勢。數(shù)據(jù)分類一般分為以下兩個步驟。首先是模型建立，即使用訓(xùn)練數(shù)據(jù)進行學(xué)習(xí)、構(gòu)造模型。然后便是使用該模型對未知數(shù)據(jù)進行分類，達到預(yù)測的目的。從機器學(xué)習(xí)的觀點來看，由于每個訓(xùn)練數(shù)據(jù)的類標識都是預(yù)先定義的，因此分類屬于有指導(dǎo)學(xué)習(xí)。

分類模型（又稱為分類器）的構(gòu)造方法主要有三種。第一種是統(tǒng)計方法，它包括非參數(shù)方法、貝葉斯法等。第二種是機器學(xué)習(xí)方法，它包括規(guī)則歸納法、決策樹法。第三種是神經(jīng)網(wǎng)絡(luò)方法，它主要是BP算法。

2.2.3 聚類

聚類用于數(shù)據(jù)總結(jié)。聚類以相似性為依據(jù)，將數(shù)據(jù)對象劃分為多個類別，使得同一類別中對象之間的差別盡可能小，而不同類別中對象之間的差別盡可能大。與分類學(xué)習(xí)不同，分類操作中類標識是特定的、已知的、預(yù)先定義的，而聚類操作中類的形成是未知的、由數(shù)據(jù)驅(qū)動的，因此聚類沒有訓(xùn)練實例和預(yù)先定義的類標識，屬于無指導(dǎo)學(xué)習(xí)。

以聚類分析算法的主要思路為依據(jù)，它可以分成五類比較有代表性的方法，即基于劃分的聚類方法（如k-平均算法）、基于層次的聚類方法（如AGNES算法）、基于密度的聚類方法（如DBSCAN算法）、基于網(wǎng)格的聚類方法（如STING算法）、基于模型的聚類方法（如SOM算法）[2]。

3 數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全中的應(yīng)用研究

3.1 網(wǎng)絡(luò)安全技術(shù)存在的缺陷

一方面，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)擴展性差，往往只能發(fā)現(xiàn)模式規(guī)定的、已知的入侵行為，不能自動發(fā)現(xiàn)新的入侵行為，對于未知的入侵行為缺少防范，因此使得網(wǎng)絡(luò)安全性降低，同時系統(tǒng)適應(yīng)性差，檢測和響應(yīng)的速度慢。另一方面，記錄入侵行為時需要通過人工或其他方法來記錄和分類用戶行為，工作量大且工作效率低。

3.2 數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全中的具體應(yīng)用

入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)之一，它對于保障網(wǎng)絡(luò)安全起著重要作用，能用于檢測多種網(wǎng)絡(luò)攻擊，例如計算機病毒、網(wǎng)絡(luò)映射、針對系統(tǒng)漏洞的攻擊等。入侵檢測是指在入侵已經(jīng)開始但還未造成危害或更大危害前，及時檢測入侵，以便盡快阻止入侵，把危害降低到最小。

入侵檢測方法一般分為兩種，其中較常用的是基于特征的入侵檢測，另一種則是基于異常的入侵檢測[3]，二者分別應(yīng)用異常模型和正常模型?；谔卣鞯娜肭謾z測應(yīng)用異常模型，該模型中存儲所有已知攻擊標志性特征，當發(fā)現(xiàn)用戶當前操作行為與攻擊特征相匹配時，則認為發(fā)生了入侵行為。由于該方法只能檢測已知攻擊，因此會漏報許多未知攻擊，導(dǎo)致漏報率高?；诋惓５娜肭謾z測應(yīng)用正常模型，該模型中存儲用戶的正常行為，當發(fā)現(xiàn)用戶當前操作行為與正常模型不匹配時，則認為發(fā)生了入侵行為。由于該方法將不符合正常模型的用戶行為均視為入侵行為，因此誤報率高[4]。

為降低漏報率和誤報率，在入侵檢測系統(tǒng)中采用分類算法或關(guān)聯(lián)規(guī)則方法。

利用分類算法時，首先進行數(shù)據(jù)抽取，從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包中取出可用于對傳輸層連接記錄分類的特征屬性，作為分類依據(jù)，然后從包含特定攻擊手段的訓(xùn)練數(shù)據(jù)中挖掘出對應(yīng)的分類規(guī)則，從而實現(xiàn)對實際網(wǎng)絡(luò)中的連接記錄進行分類，預(yù)測該連接是否為入侵行為。

利用關(guān)聯(lián)規(guī)則分析時，首先對用戶操作行為的歷史數(shù)據(jù)進行采集和預(yù)處理，然后挖掘出正常情況下用戶所執(zhí)行命令中的相關(guān)性，從而建立每個用戶的歷史行為模式，利用該模式對當前用戶行為進行比較和判斷，檢測用戶行為是否異常[5]。

4 結(jié)論

與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)相比，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測的數(shù)據(jù)分析中后，便可有效利用網(wǎng)絡(luò)環(huán)境中的安全事件數(shù)據(jù)，從而挖掘出隱藏在其中的安全信息，抽象出與安全相關(guān)的特征屬性，利于判斷并發(fā)現(xiàn)未知的入侵行為，有效提高檢測效率及網(wǎng)絡(luò)安全性。

參考文獻：

[1] 楊良斌.數(shù)據(jù)挖掘領(lǐng)域研究現(xiàn)狀與趨勢的可視化分析[J].圖書情報工作，2015（S2）：142-147.

[2] 毛國君，段立娟.數(shù)據(jù)挖掘原理與算法[M]. 3版.北京：清華大學(xué)出版社，2016：1-196.

[3] 謝希仁.計算機網(wǎng)絡(luò)[M]. 7版.北京：電子工業(yè)出版社，2017：351-352.

[4] 呂洪柱，張光妲，鄧文新.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全技術(shù)研究[J].微計算機信息，2008，24（15）：95-97.

[5] 王福生.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].現(xiàn)代情報，2006（9）：109-111.

【通聯(lián)編輯：代影】