摘要：為了保證互聯(lián)網可持續(xù)發(fā)展，提高網絡通信數(shù)據(jù)安全等級，解決網絡通信數(shù)據(jù)安全風險識別識別時間長、識別精度低的問題，文章以數(shù)據(jù)挖掘技術為支撐，對網絡通信數(shù)據(jù)安全風險識別算法展開了研究。首先，文章介紹了網絡通信數(shù)據(jù)安全風險和數(shù)據(jù)挖掘方法，然后研究了基于數(shù)據(jù)挖掘的網絡通信數(shù)據(jù)安全風險識別算法，以降低網絡通信數(shù)據(jù)安全風險的程度，最后通過實驗分析找到了提高網絡通信數(shù)據(jù)安全性的方法，并通過實驗驗證了文章方法在網絡通信數(shù)據(jù)安全風險識別中具有識別時間較短、識別準確性較高的特點。

關鍵詞：數(shù)據(jù)挖掘;網絡通信;數(shù)據(jù)安全風險;識別算法

中圖法分類號：TP311文獻標識碼：A

Research on network communication data security risk identificationalgorithm based on data mining

ZHAO Xiangnan

（China Academy of Information and Communications Technology，Beijing 100191，China）

Abstract：In order to ensure the sustainable development of the Internet， improve the security level ofnetwork communication data， and solve the problems of long identification time and lowidentification accuracy of network communication data security risk identification，this paper studiesthe network communication data security risk identification algorithm based on data miningtechnology. Firstly， the paper introduces the network communication data security risk and datamining method， and then studies the network communication data security risk identificationalgorithm based on data mining to reduce the degree of network communication data security risk.The method of security is verified by experiments， and the method in this paper has thecharacteristics of short recognition time and high recognition accuracy in the identification of networkcommunication data security risks.

Key words： data mining， network communications， sata security risks， recognition algorithm

隨著互聯(lián)網技術不斷發(fā)展和日益成熟，網絡通信數(shù)據(jù)安全已成為一個不容忽視的問題?；ヂ?lián)網本身的開放性和復雜性使得網絡通信數(shù)據(jù)具有相對較大的安全風險。面對日益緊迫的網絡通信數(shù)據(jù)安全問題，近年來，網絡通信數(shù)據(jù)安全技術得到快速發(fā)展[1]。當前，網絡通信數(shù)據(jù)安全技術主要包括數(shù)據(jù)健米、防火墻、虛擬網絡、用戶認證以及通信數(shù)據(jù)安全風險監(jiān)測系統(tǒng)[2]。上述網絡通信數(shù)據(jù)安全技術由于具有被動性，已經不能滿足現(xiàn)在人們對于網絡通信數(shù)據(jù)安全的需求。因此，對通信數(shù)據(jù)安全進行風險檢測是保證網絡通信數(shù)據(jù)安全的一種重要手段。

李小華[3]提出基于 PCA 的 BP 神經網絡的異常數(shù)據(jù)識別方法，采用主成分分析法獲取特征數(shù)據(jù)集，計算對應的特征向量，并輸入 BP 神經網絡模型進行計算，實現(xiàn)對異常數(shù)據(jù)的識別。但是，該方法的識別時間較長，影響了異常數(shù)據(jù)識別的工作效率。劉云朋等[4]提出基于深度學習的光纖網絡異常數(shù)據(jù)檢測算法，通過深度學習完成初始數(shù)據(jù)的分段預處理，再引入遺傳算法增強異常數(shù)據(jù)特征的保留效果，能夠提高異常數(shù)據(jù)檢測速度，實現(xiàn)了異常數(shù)據(jù)的風險檢測。雖然該方法能夠滿足異常數(shù)據(jù)檢測需求，但是識別精度較低。

為了解決上述問題，本文以數(shù)據(jù)挖掘技術為依托，針對網絡通信數(shù)據(jù)安全風險識別算法展開研究。

1網絡通信數(shù)據(jù)安全風險識別

1.1算法過程描述

風險識別算法主要采用數(shù)據(jù)挖掘聚類、分類和關聯(lián)分析的方法來實現(xiàn)數(shù)據(jù)挖掘、網絡通信數(shù)據(jù)的安全風險識別功能[5]。其實現(xiàn)過程如下：假設網絡通信數(shù)通信數(shù)據(jù)的存儲精度參數(shù)，然后將網絡通信數(shù)據(jù)分為 U 層：U=logrt，每層存儲的網絡通信數(shù)據(jù)數(shù)量限制為 rs+1，則網絡通信數(shù)據(jù)總量限制為 U×rs+1，第 x 層以可被 rx 整除的 rx 的間隔存儲，只保留不可被 rx+1整除的網絡通信數(shù)據(jù)[6]。

1.2安全風險識別屬性相似度分析

現(xiàn)有的大多數(shù)基于數(shù)據(jù)挖掘的算法都是針對網絡通信數(shù)據(jù)的安全風險框架[7]。計算網絡通信數(shù)據(jù)中安全風險攻擊類別屬性的相似度，對 IP 地址安全風險屬性相似度進行計算，計算安全風險攻擊協(xié)議屬性相似度，并通過其結果對網絡通信數(shù)據(jù)進行融合，實現(xiàn)對其安全風險的識別[8]。

在安全風險識別過程中，IDS 可能會針對同一網絡通信數(shù)據(jù)攻擊行為，在某一時刻生成多個具有相同攻擊類型的安全風險識別，識別 Distinguish 1和 Distinguish 2的攻擊類型屬性相似度定義為：如果識別的類型相同，相似度為1，否則相似度為0。具體如公式3所示：

識別 Discrimination 1和 Discrimination 2的 IP 地址的相似性定義為：從兩個 IP 地址轉換來測量 IP 地址的二進制字符串的前 n 位的相同數(shù)目。相似性如公式4所示：

具有相同安全風險攻擊協(xié)議的通信數(shù)據(jù)必須相同，識別 Discrimination 1和 Discrimination 2的安全風險屬性的相似性定義為：如果識別的通信數(shù)據(jù)相同，則相似性為1，否則相似性為0。具體如公式5所示：

2基于數(shù)據(jù)挖掘分析的風險識別方法設計

2.1風險識別算法描述

聚類算法的重點是針對聚類中心的每個聚類的平均值進行計算。在數(shù)據(jù)挖掘中經常用于數(shù)據(jù)集的聚類拆分與異常數(shù)據(jù)識別。每一個聚類之間的距離越小，相似性越大。具體如公式（6）所示：

識別算法的數(shù)據(jù)描述是：將n個向量xj（j=1，2，…，n）劃分為c類Gi（i=1，2，…，c），并找到每個聚類的聚類中心，從而使相異指數(shù)的目標函數(shù)最小化。當選擇i類Gi中的向量xk和類中心ci之間的度量為歐氏距離時的相應簇時，目標函數(shù)可定義為：

其中，是類Gi內目標函數(shù)。Ji值依賴于Gi的集合形狀和ci的位置。顯然，J的值越小，表明聚類效果越好。

2.2基于數(shù)據(jù)挖掘的網絡通信數(shù)據(jù)安全風險識別算法

給定聚類類別的數(shù)量 c，2≤c ≤n 和 n 是數(shù)據(jù)的數(shù)量，設置迭代停止閾值ε，初始化集群原型風險識別值 P（0），并設置迭代計數(shù)器 b=0。

步驟1：用公式（3）計算或更新劃分矩陣 U（ b ），對于?k，i，如果 d? kb ）>0，則有：

如果i，r，使得 d（b）=0 ，則有μ（b）=1，且對應的j ≠r，μ4/6）=0。

步驟2：用公式（4）更新聚類原型風險識別矩陣p（b+1）

步驟3：如果是，則算法停止并輸出劃分矩陣U和聚類原型P，否則讓b=b+1進入步驟1。其中，提一些合適的矩陣范數(shù)。

由以上安全風險識別算法可以看出，整個算法的計算過程就是反復修改聚類中心和分類矩陣的過程，可以滿足用戶提出的對任意時刻和時間間隔內的近似安全風險識別。

3實驗驗證

3.1選取網絡通信數(shù)據(jù)參數(shù)

為了驗證本文設計算法的有效性，展開本次對比實驗。通信數(shù)據(jù)的特征抽取對安全風險識別的性能具有較大的影響，因此本次實驗選擇對第 L ?1隱藏層的特征數(shù)目進行抽取。以某互聯(lián)網公司4月的網絡通信數(shù)據(jù)為實驗對象，數(shù)據(jù)量為100.06GB。

3.2網絡通信數(shù)據(jù)安全風險識別對比

選擇文獻[3]提出的基于 PCA?BP 神經網絡方法與文獻[4]提出的基于深度學習的光纖網絡異常數(shù)據(jù)檢測算法作為對比方法，與本文提出的基于數(shù)據(jù)挖掘的網絡通信數(shù)據(jù)安全風險識別算法共同進行實驗，以網絡通信數(shù)據(jù)安全風險識別率、識別錯誤率和識別時間作為實驗指標，對比不同算法的風險識別性能。采用相同的網絡通信數(shù)據(jù)集進行實驗，即分別抽取10%、30%、50%的網絡通信數(shù)據(jù)集作為本次實驗的數(shù)據(jù)。在不同數(shù)據(jù)集情況下，三種方法的安全風險識別率與錯誤率如表1所列。

根據(jù)表1數(shù)據(jù)可知，在通信數(shù)據(jù)占比為10%～50%條件下，本文方法的風險識別率始終保持在90%以上，最高達到95%;而 PCA?BP 方法與深度學習方法在通信數(shù)據(jù)占比發(fā)生變化時，風險識別率變化波動較小，PCA?BP 方法的風險識別率基本在86%～88%之間，深度學習方法的風險識別率基本在85%～87%之間，均低于本文方法。由此可以證明本文提出的識別算法具有較高的識別率，識別精度較高，具有較好的應用性能。

為了更好的證明本文方法的的優(yōu)越性，對比不同數(shù)據(jù)集情況下三總方法的識別時間，具體結果如圖1所示。

通過圖1可以看出，在通信數(shù)據(jù)占比為10%～50%的條件下，三種方法的識別時間均隨著通信數(shù)據(jù)占比的增加而增加。PCA?BP 方法的識別時間波動較大，從60ms 上升至100ms;深度學習方法的識別時間波動雖然較小，但是識別時間最長，從90ms 上升至110ms。而本文方法進行識別所花費的時間為30ms ～38ms，最高不超過40ms，遠遠低于另外兩種方法，說明本文方法對網絡通信數(shù)據(jù)安全風險進行識別的速度較快，能夠提高數(shù)據(jù)識別的工作效率。

4結論

由于網絡通信數(shù)據(jù)安全風險識別存在識別時間長、識別精度低的問題，本文提出了基于數(shù)據(jù)挖掘的網絡通信數(shù)據(jù)安全風險識別算法。通過對時間維度主機層安全風險識別、時空維度網絡層安全風險識別分析，確定網絡安全威脅指數(shù)，并基于數(shù)據(jù)挖掘分析情況，確定網絡通信數(shù)據(jù)安全風險識別方法。實驗結果表明，采用本文方法可有效提高網絡通信數(shù)據(jù)安全風險的識別效率，縮短響應時間，具有一定的實用性。

參考文獻：

[1]李小雷.基于數(shù)據(jù)挖掘的網絡異常檢測技術研究[ D].長沙：湖南大學，2007.

[2]李洋.基于數(shù)據(jù)挖掘和機器學習方法的網絡異常檢測技術研究[D].北京：中國科學院計算技術研究所，2008.

[3]李小華.基于 PCA 的 BP 神經網絡異常數(shù)據(jù)識別在信息安全中的應用[J].微型電腦應用，2021，37（7）：192?194.

[4]劉云朋，霍曉麗，劉智超.基于深度學習的光纖網絡異常數(shù)據(jù)檢測算法[J].紅外與激光工程，2021，50（6）：288?293.

[5]王剛.基于數(shù)據(jù)挖掘技術的設備監(jiān)控網絡安全態(tài)勢識別方法[J].自動化與儀器儀表，2021（8）：31?34+39.

[6]張鈺莎，蔣盛益.基于風險數(shù)據(jù)挖掘追蹤技術的網絡入侵檢測研究[J].重慶理工大學學報（自然科學），2019，33（10）：127?135.

作者簡介：

趙相楠（1987—），本科，中級工程師，研究方向：網絡安全測試技術、網絡安全能力平臺建設、網絡安全評估檢測工具研發(fā)。