大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)入侵檢測的應(yīng)用

曹陽

摘要：簡要敘述了大數(shù)據(jù)技術(shù)在構(gòu)建全新網(wǎng)絡(luò)入侵檢測體系中的應(yīng)用情況，分析、研究了基于大數(shù)據(jù)技術(shù)的全新網(wǎng)絡(luò)入侵檢測防御體系構(gòu)建策略，以期能為相關(guān)工作提供參考。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；入侵檢測體系；大數(shù)據(jù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）15-0021-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)用戶的數(shù)據(jù)保護(hù)技術(shù)、網(wǎng)絡(luò)計(jì)算機(jī)的入侵檢測技術(shù)也隨之不斷發(fā)展進(jìn)步。目前計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)進(jìn)入大數(shù)據(jù)時(shí)代，數(shù)據(jù)量以幾何形式增長，如何在大數(shù)據(jù)環(huán)境下構(gòu)建一個(gè)全新的網(wǎng)絡(luò)防御體系，挖掘相關(guān)的安全規(guī)則，分析協(xié)調(diào)由各種異構(gòu)數(shù)據(jù)組成的安全事件，有效防御非法網(wǎng)絡(luò)入侵，保證網(wǎng)絡(luò)用戶的隱私數(shù)據(jù)安全，成為網(wǎng)絡(luò)安全需要著重考慮的問題。

1 大數(shù)據(jù)技術(shù)

大數(shù)據(jù)技術(shù)是指對規(guī)模非常龐大的數(shù)據(jù)進(jìn)行快速地組織、分析、處理的技術(shù)。因此大數(shù)據(jù)首先包括數(shù)據(jù)處理，也就是數(shù)據(jù)的收集、清洗、集成；其次是對數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘或者分析處理。大數(shù)據(jù)有4個(gè)特點(diǎn)，一般被稱為4V特性 ：volume、velocity、variety、veracity， 分別表示數(shù)據(jù)量大、數(shù)據(jù)處理速度快、數(shù)據(jù)結(jié)構(gòu)復(fù)雜、信息價(jià)值密度小。大數(shù)據(jù)技術(shù)的發(fā)展前景和應(yīng)用領(lǐng)域非常廣闊，對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信網(wǎng)路技術(shù)等的應(yīng)用具有重要的價(jià)值。

2 大數(shù)據(jù)技術(shù)的應(yīng)用

2.1 用于入侵檢測防御體系的可能性

為了更好地將大數(shù)據(jù)技術(shù)應(yīng)用在入侵檢測領(lǐng)域，需要進(jìn)一步了解入侵檢測的相關(guān)機(jī)制，為大數(shù)據(jù)的使用提供依據(jù)。入侵檢測（Intrusion Detection）是指計(jì)算機(jī)用戶在使用網(wǎng)絡(luò)的過程中，對網(wǎng)絡(luò)中非法用戶或者非法程序針對計(jì)算機(jī)系統(tǒng)入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為[1]。

在入侵檢測中，監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，并予以迅速地反應(yīng)，正是大數(shù)據(jù)技術(shù)的核心內(nèi)容，因此將大數(shù)據(jù)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的入侵檢測是可行并且有效的。

2.2 在入侵檢測體系構(gòu)建中的應(yīng)用

基于大數(shù)據(jù)技術(shù)形成的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測防御體系，是全新的計(jì)算機(jī)網(wǎng)絡(luò)安全防御方式，它能夠更加全面、有效地處理計(jì)算機(jī)網(wǎng)絡(luò)信息的安全問題。具體來講，可以分為如下幾個(gè)步驟： 首先是數(shù)據(jù)抽取，對網(wǎng)絡(luò)中的各種行為進(jìn)行行為特征的抽??；其次是數(shù)據(jù)預(yù)處理，將抽取得到的行為特征數(shù)據(jù)進(jìn)行清洗、集成、轉(zhuǎn)換預(yù)處理，形成相對一致性的數(shù)據(jù)格式；然后通過構(gòu)建模型，建立入侵檢測的行為模型；最后是安全防護(hù)檢測，對非法的網(wǎng)絡(luò)行為進(jìn)行攔截和響應(yīng)。在數(shù)據(jù)抽取和預(yù)處理中，由于數(shù)據(jù)來源復(fù)雜，數(shù)據(jù)格式不統(tǒng)一，數(shù)據(jù)量巨大，因此需要對數(shù)據(jù)設(shè)置有效的處理規(guī)則，保證數(shù)據(jù)的完整性與有效性，提高數(shù)據(jù)的質(zhì)量，這是大數(shù)據(jù)技術(shù)的基礎(chǔ)。通過對收集到的數(shù)據(jù)進(jìn)行入侵模型的構(gòu)建，得到相關(guān)的入侵行為特征，然后通過入侵行為特征進(jìn)行網(wǎng)絡(luò)行為的判別處理。

2.3 大數(shù)據(jù)技術(shù)下的入侵防御

基于大數(shù)據(jù)技術(shù)的入侵防御系統(tǒng)可以采取多樣化的行為特征分析方式?；旧蠑?shù)據(jù)挖掘成熟的分析方法都可以在大數(shù)據(jù)背景下的入侵檢測中得到應(yīng)用，主要有以下幾種方式：①異類分析。分析行為規(guī)則中明顯偏離正常網(wǎng)絡(luò)行為的數(shù)據(jù)，這些數(shù)據(jù)往往嚴(yán)重偏離了正常用戶的上網(wǎng)特征，而這些有違常理的行為特征的分析，可能會(huì)發(fā)現(xiàn)一些更有價(jià)值的結(jié)果。②聚類分析。分析行為數(shù)據(jù)中的行為分類，將各個(gè)行為自動(dòng)按照一定的規(guī)則歸納成幾個(gè)組別，形成全局的行為模式分布模型，從而展現(xiàn)各個(gè)行為模式之間的關(guān)系。③序列分析。對用戶的行為模式進(jìn)行動(dòng)態(tài)化的統(tǒng)計(jì)，研究行為模式背后的先后序列歸納的情況，從而區(qū)分正常的網(wǎng)絡(luò)行為模式與入侵的網(wǎng)絡(luò)行為模式，針對不同的入侵模式，進(jìn)行不同的處理。

3 構(gòu)建網(wǎng)絡(luò)入侵防御體系的策略

構(gòu)建基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)入侵防御體系，首先要進(jìn)行深入的理論研究，在現(xiàn)有大數(shù)據(jù)平臺(tái)的基礎(chǔ)上，對獲取的大量用戶行為數(shù)據(jù)進(jìn)行大數(shù)據(jù)處理，得到相關(guān)的理論成果，這是軟件企業(yè)推廣大數(shù)據(jù)入侵防御體系的動(dòng)力；其次要建立健全大數(shù)據(jù)技術(shù)與相關(guān)軟件的標(biāo)準(zhǔn)，提高相關(guān)軟件的質(zhì)量；與此同時(shí)，不僅要在技術(shù)上重視大數(shù)據(jù)技術(shù)的發(fā)展，還要積極扶持大數(shù)據(jù)相關(guān)軟件公司的發(fā)展和加強(qiáng)大數(shù)據(jù)人才的培養(yǎng)。

3.1 深入進(jìn)行大數(shù)據(jù)技術(shù)的理論研究

理論研究是實(shí)踐應(yīng)用的前提和基礎(chǔ)，構(gòu)建基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)入侵防御體系，應(yīng)該進(jìn)行科學(xué)的、深入的大數(shù)據(jù)技術(shù)理論研究，通過借鑒相對成熟的電商產(chǎn)品評價(jià)、客戶價(jià)值評價(jià)、互聯(lián)網(wǎng)推薦等大數(shù)據(jù)技術(shù)的應(yīng)用成果，不斷完善大數(shù)據(jù)技術(shù)在入侵檢測的應(yīng)用方案，形成科學(xué)的大數(shù)據(jù)入侵檢測理論體系，此基礎(chǔ)上設(shè)計(jì)開發(fā)出以大數(shù)據(jù)技術(shù)為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測防御體系。在理論研究的同時(shí)，還要注重理論與實(shí)踐的結(jié)合，形成理論引導(dǎo)實(shí)際、實(shí)際促進(jìn)理論的良性循環(huán)，在此基礎(chǔ)上實(shí)現(xiàn)大數(shù)據(jù)技術(shù)理論體系的全面發(fā)展。

3.2 建立健全大數(shù)據(jù)技術(shù)的標(biāo)準(zhǔn)體系

大數(shù)據(jù)技術(shù)作為一個(gè)新的技術(shù)體系，將不斷地趨向標(biāo)準(zhǔn)化、規(guī)范化發(fā)展。通過標(biāo)準(zhǔn)化的體系，可以不斷提高大數(shù)據(jù)的數(shù)據(jù)集成質(zhì)量，從而更好地協(xié)調(diào)大數(shù)據(jù)的數(shù)據(jù)處理服務(wù)器和數(shù)據(jù)分析服務(wù)器的關(guān)系，充分發(fā)揮在不同的異構(gòu)數(shù)據(jù)之間的分析處理，滿足市場對大數(shù)據(jù)技術(shù)的需求。有了完善的標(biāo)準(zhǔn)體系，可以更科學(xué)地構(gòu)建基于大數(shù)據(jù)的網(wǎng)絡(luò)入侵檢測模型。

3.3 注重軟件行業(yè)培育與人才培養(yǎng)

大數(shù)據(jù)技術(shù)作為新的數(shù)據(jù)處理技術(shù)，在使用和推廣過程中，離不開軟件行業(yè)的支持和相關(guān)技術(shù)人員的積極應(yīng)用。構(gòu)建以大數(shù)據(jù)技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)入侵檢測系統(tǒng)更需要相關(guān)軟件公司和技術(shù)人員的努力，因此需要重視行業(yè)培育與人才培養(yǎng)。一方面對大數(shù)據(jù)相關(guān)的產(chǎn)業(yè)予以政策支持；另一方面在高校內(nèi)注重培養(yǎng)專業(yè)化的大數(shù)據(jù)人才，同時(shí)企業(yè)內(nèi)部也要注重開展相關(guān)大數(shù)據(jù)的員工培訓(xùn)，從而為大數(shù)據(jù)技術(shù)的推廣和應(yīng)用提供技術(shù)和人才的保障。

4 結(jié)束語

大數(shù)據(jù)背景下，國家和企業(yè)的競爭力更大程度上取決于把海量數(shù)據(jù)轉(zhuǎn)化成信息和知識(shí)的能力與速度。通過大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)入侵檢測的應(yīng)用，很好地將用戶的網(wǎng)絡(luò)行為轉(zhuǎn)化為行為規(guī)則模型，并實(shí)現(xiàn)海量數(shù)據(jù)向入侵檢測信息的轉(zhuǎn)化，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測，為人們提供良好的網(wǎng)絡(luò)環(huán)境，保障計(jì)算機(jī)用戶的隱私數(shù)據(jù)安全。

參考文獻(xiàn)：

[1] 百度百科——入侵檢測[EB/OL]. http：//baike.baidu.com/view/16487.htm，2016，5.

[2] 陳春.基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御分析[J].信息通信，2015（05）.

[3] 黃霜豐.基于大數(shù)據(jù)分析的通信網(wǎng)絡(luò)監(jiān)控體系[J].廣西通信技術(shù)， 2015（01）.

[4] 孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2013（1）.

[5] 熊華偉.基于GIS的移動(dòng)通信網(wǎng)絡(luò)質(zhì)量監(jiān)控與分析系統(tǒng)研究[D].江西理工大學(xué) 2012.