網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)挖掘技術(shù)應(yīng)用

穆 俊

（云南省臨滄師范高等?？茖W(xué)校 云南 677000）

0 引言

數(shù)據(jù)挖掘技術(shù)就是在龐大的數(shù)據(jù)系統(tǒng)中，收集與統(tǒng)計(jì)有用的數(shù)據(jù)模型以及規(guī)則，將這種技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，可以實(shí)現(xiàn)主動(dòng)監(jiān)控網(wǎng)絡(luò)入侵行為，并提升了系統(tǒng)的準(zhǔn)確性以及實(shí)用性，所以這種技術(shù)被廣泛的應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中。保證了網(wǎng)絡(luò)運(yùn)行的安全，保障了網(wǎng)絡(luò)商業(yè)活動(dòng)的安全，促進(jìn)了網(wǎng)絡(luò)技術(shù)的全面發(fā)展。

1 數(shù)據(jù)挖掘技術(shù)概述

數(shù)據(jù)挖掘技術(shù)是一種新型的技術(shù)，隨著我國(guó)科學(xué)技術(shù)的發(fā)展而快速的發(fā)展起來(lái)。其實(shí)數(shù)據(jù)挖掘就是從龐大的數(shù)據(jù)系統(tǒng)中收集潛在價(jià)值的規(guī)則以及模型的過(guò)程。運(yùn)用不同的數(shù)據(jù)分析工具，對(duì)收集到的數(shù)據(jù)以及數(shù)據(jù)模型進(jìn)行分析，獲得兩者之間的關(guān)系，基于此進(jìn)行相關(guān)的預(yù)測(cè)。運(yùn)用數(shù)據(jù)挖掘技術(shù)主要是通過(guò)描述、關(guān)聯(lián)等發(fā)揮其功能的，對(duì)于制定數(shù)據(jù)的收集以及分析數(shù)據(jù)方面具有很大的優(yōu)勢(shì)。

根據(jù)數(shù)據(jù)挖掘技術(shù)的功能，我們可以將其對(duì)數(shù)據(jù)的分析方法分為以下幾個(gè)方面：（1）關(guān)聯(lián)分析法，這種數(shù)據(jù)分析方法就是基于給定的一個(gè)數(shù)據(jù)組或集合，對(duì)這個(gè)數(shù)據(jù)集合與組進(jìn)行分析，探尋兩者之間的關(guān)聯(lián)性，將兩者間數(shù)據(jù)潛藏的關(guān)系挖掘出來(lái)。通過(guò)兩者時(shí)間的關(guān)聯(lián)性就能幫助對(duì)網(wǎng)絡(luò)入侵行為的研究，增強(qiáng)網(wǎng)絡(luò)的安全性；（2）分類分析法，這種分析方法就是先對(duì)數(shù)據(jù)集合與組賦予不同的標(biāo)記，然后記錄下來(lái)，通過(guò)數(shù)據(jù)挖掘得到一定的數(shù)據(jù)，檢測(cè)其中的標(biāo)記，這樣就能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的異常情況檢測(cè)的功效；（3）序列分析方式，這種分析方式與第一種分析方式具有很大的相似度，都是利用數(shù)據(jù)之間的關(guān)聯(lián)性進(jìn)行入侵行為的研究。與關(guān)聯(lián)分析法相比，序列分析較為側(cè)重對(duì)數(shù)據(jù)之間前后關(guān)系的挖掘分析。利用這種分析方式，對(duì)網(wǎng)絡(luò)黑客行為具有很大的優(yōu)勢(shì)，這主要是由于網(wǎng)絡(luò)黑客的行為都具有先后之分。在黑客入侵網(wǎng)絡(luò)前，都會(huì)掃描網(wǎng)絡(luò)端口，通過(guò)數(shù)據(jù)前后的對(duì)比分析，就很容易檢測(cè)到黑客入侵行為是否存在，提升了網(wǎng)絡(luò)運(yùn)行的安全。

2 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)中的應(yīng)用

基于對(duì)數(shù)據(jù)挖掘技術(shù)的數(shù)據(jù)分析方式以及對(duì)入侵行為的分析，可以對(duì)數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)中的具體應(yīng)用進(jìn)行分析。在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，數(shù)據(jù)挖掘技術(shù)主要負(fù)責(zé)收集數(shù)據(jù)庫(kù)，并從中挖掘出具有潛在價(jià)值的數(shù)據(jù)，并反饋給網(wǎng)絡(luò)用戶使其明白。

網(wǎng)絡(luò)運(yùn)行的過(guò)程中，本身傳輸?shù)男畔?shù)據(jù)量很大，另外還會(huì)產(chǎn)生許多額外的數(shù)據(jù)，這就使得即使再小的網(wǎng)站能對(duì)大量的數(shù)據(jù)進(jìn)行接受以及傳輸。在網(wǎng)絡(luò)超負(fù)載運(yùn)行過(guò)程中，常常會(huì)出現(xiàn)數(shù)據(jù)丟失情況，這樣既容易造成網(wǎng)絡(luò)數(shù)據(jù)不完整現(xiàn)象。利用數(shù)據(jù)挖掘技術(shù)，可以在網(wǎng)絡(luò)不穩(wěn)定的情況下檢測(cè)到數(shù)據(jù)的噪聲和報(bào)文信息。網(wǎng)絡(luò)數(shù)據(jù)是一種知識(shí)，是網(wǎng)絡(luò)傳輸以及接收過(guò)程中的原始信息，這些信息具有結(jié)構(gòu)化、半結(jié)構(gòu)化、無(wú)結(jié)構(gòu)化三中，通過(guò)數(shù)據(jù)挖掘技術(shù)，可以運(yùn)用數(shù)學(xué)或非數(shù)學(xué)的方式，利用統(tǒng)計(jì)、歸納等手段發(fā)現(xiàn)并描述信息數(shù)據(jù)，并可以對(duì)網(wǎng)絡(luò)查詢、信息管理等方面提供支持。

在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，數(shù)據(jù)挖掘一般都是從簡(jiǎn)單的基礎(chǔ)數(shù)據(jù)查詢開始，這主要是由于進(jìn)行入侵行為的檢測(cè)，需要大量的數(shù)據(jù)，并且這些數(shù)據(jù)具有一定的噪聲，且存在不完整性、模糊性以及較強(qiáng)的隨機(jī)性。在基礎(chǔ)的簡(jiǎn)單數(shù)據(jù)查詢過(guò)后，對(duì)數(shù)據(jù)中的知識(shí)進(jìn)行挖掘，包括數(shù)據(jù)中的有關(guān)概念、規(guī)則等，這些知識(shí)都可以為網(wǎng)絡(luò)決策提供堅(jiān)實(shí)的數(shù)據(jù)支持。

通過(guò)數(shù)據(jù)挖掘的三種分析方式，可以進(jìn)行相應(yīng)的聚類分析、關(guān)聯(lián)分析以及偏差分析，這樣就能夠?qū)?shù)據(jù)分析擴(kuò)展到更加廣泛的應(yīng)用空間中。第一，網(wǎng)絡(luò)運(yùn)行過(guò)程中，由于訪問(wèn)越來(lái)越密集，且存在很大的不確定性，所以在判斷一個(gè)網(wǎng)絡(luò)行為是否是網(wǎng)絡(luò)入侵行為時(shí)很困難。有時(shí)候一些正常運(yùn)行的網(wǎng)絡(luò)行為也具有入侵行為的某些特征，這就更增加了對(duì)網(wǎng)絡(luò)入侵行為的辨別，常常會(huì)出現(xiàn)誤報(bào)或漏報(bào)的情況。運(yùn)用數(shù)據(jù)挖掘技術(shù)處理這一問(wèn)題，很容易就能收集到數(shù)據(jù)的訓(xùn)練集，并能利用對(duì)網(wǎng)絡(luò)訪問(wèn)行為的數(shù)據(jù)挖掘，辨別孤立訪問(wèn)點(diǎn)入侵行為的有無(wú)。第二，在網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)進(jìn)行入侵行為的檢測(cè)過(guò)程中，需要將一定數(shù)量的標(biāo)識(shí)數(shù)據(jù)作為訓(xùn)練集，還需要最大程度的保證系統(tǒng)的訓(xùn)練集合理準(zhǔn)確性，可以說(shuō)訓(xùn)練集對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有十分重要的作用。一般在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型構(gòu)建過(guò)程中，需要從數(shù)據(jù)審計(jì)中將數(shù)據(jù)特征抽取出來(lái)，通過(guò)對(duì)數(shù)據(jù)特征的運(yùn)用，就能實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。而數(shù)據(jù)挖掘技術(shù)在數(shù)據(jù)特征抽取方面具有很大的優(yōu)勢(shì)，通過(guò)數(shù)據(jù)挖掘技術(shù)的分類等分析方式，就能實(shí)現(xiàn)對(duì)數(shù)據(jù)特征的有效抽取。第三，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般都是被動(dòng)的檢測(cè)系統(tǒng)，是在入侵行為已經(jīng)發(fā)生或發(fā)生完成后才能進(jìn)行檢測(cè)，具有很大的被動(dòng)性，這樣對(duì)于網(wǎng)絡(luò)的安全起到的效果具有一定的局限性，不可避免的對(duì)網(wǎng)絡(luò)安全造成損失。在檢測(cè)系統(tǒng)中運(yùn)用數(shù)據(jù)挖掘技術(shù)，可以在數(shù)據(jù)信息傳輸或接收過(guò)程中，主動(dòng)的數(shù)據(jù)進(jìn)行收集、分析，并根據(jù)數(shù)據(jù)的特征情況，對(duì)網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)，這樣就能有效的降低數(shù)據(jù)匹配的難度，并簡(jiǎn)化整個(gè)檢測(cè)過(guò)程，增強(qiáng)了對(duì)入侵行為檢測(cè)的主動(dòng)性，提升了網(wǎng)絡(luò)運(yùn)行的安全保障。

通過(guò)上訴的分析可以得出，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)誤用入侵檢測(cè)系統(tǒng)中的應(yīng)用，可以及時(shí)的發(fā)現(xiàn)并處理網(wǎng)絡(luò)安全問(wèn)題，通過(guò)數(shù)據(jù)挖掘的分類、聚類等分析手段，增強(qiáng)了對(duì)網(wǎng)絡(luò)入侵行為檢測(cè)的主動(dòng)性，降低了對(duì)入侵行為的誤報(bào)、漏報(bào)率，全面的提升了網(wǎng)絡(luò)安全檢測(cè)性能。

3 總結(jié)

隨著網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)的普及，人們的生活、工作中對(duì)網(wǎng)絡(luò)應(yīng)用也越來(lái)越廣泛，網(wǎng)絡(luò)技術(shù)也廣泛的應(yīng)用于商業(yè)活動(dòng)中。由于網(wǎng)絡(luò)開放、共享的特征，網(wǎng)絡(luò)入侵行為也普遍存在網(wǎng)絡(luò)運(yùn)行的過(guò)程中。誤用入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)中的入侵行為發(fā)現(xiàn)并處理，對(duì)入侵行為發(fā)現(xiàn)的時(shí)間越短就對(duì)網(wǎng)絡(luò)造成的損失越小。在網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)，可以實(shí)現(xiàn)對(duì)入侵行為的及時(shí)發(fā)現(xiàn)以及高效處理，通過(guò)這種技術(shù)的關(guān)聯(lián)分析、聚類分析等手段，能夠大大增加檢測(cè)系統(tǒng)的檢測(cè)性能，全面的提升網(wǎng)絡(luò)運(yùn)行的安全，為網(wǎng)絡(luò)用戶創(chuàng)造一個(gè)更加安全的環(huán)境，促進(jìn)了網(wǎng)絡(luò)技術(shù)的發(fā)展。

[1]常濱.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].科技向?qū)?2013，26（3）：25-26.

[2]宋世杰，胡華平，胡小蕾，金世饒.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)型誤用入侵檢測(cè)系統(tǒng)研究[J].重慶郵電學(xué)院學(xué)報(bào).2004，16（1）：22-23.