基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵安全防護系統(tǒng)研究

麻時明　陳積?！垞P

摘 要：隨著我國信息技術(shù)不斷快速的發(fā)展與進步，業(yè)界與用戶越來越重視信息安全問題，所以導(dǎo)致原有的防火墻系統(tǒng)無法對網(wǎng)絡(luò)信息技術(shù)安全進行保護，從而無法對入侵安全防護系統(tǒng)的作用進行充分的發(fā)揮。因此，文章主要對網(wǎng)絡(luò)攻擊導(dǎo)致流量異常的分類與特點進行分析，對基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵安全防護系統(tǒng)進行研究與探討，不僅能夠確保為相關(guān)的工作人員提供有效的參考，也能夠確保實現(xiàn)使用網(wǎng)絡(luò)入侵安全防護系統(tǒng)。

關(guān)鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡(luò)入侵；安全防護系統(tǒng)；信息安全

不斷快速發(fā)展與進步的信息技術(shù)，促使網(wǎng)絡(luò)對我國越來越多公司的核心業(yè)務(wù)進行承載，所以公司與用戶對網(wǎng)絡(luò)信息安全的問題越來越關(guān)注。雖然一般情況下，網(wǎng)絡(luò)用戶通過對防火墻系統(tǒng)進行使用，能夠確保網(wǎng)絡(luò)信息的安全，但是因為網(wǎng)絡(luò)攻擊者不斷增加對網(wǎng)絡(luò)信息的攻擊技術(shù)與方式，所以使網(wǎng)絡(luò)攻擊者具有越來越多樣化的攻擊方法與工具，對網(wǎng)絡(luò)信息安全造成一定的威脅，逐漸使大部分信息十分敏感的部門現(xiàn)有的防火墻系統(tǒng)已經(jīng)無法對其信息安全的需求進行充分的滿足。因此，人們越來越重視網(wǎng)絡(luò)入侵的檢測技術(shù)與設(shè)備，為確保能夠在極其復(fù)雜的網(wǎng)絡(luò)環(huán)境中，以及在安全需求較高的網(wǎng)絡(luò)環(huán)境中，使其能夠充分發(fā)揮所含有的關(guān)鍵作用與效果。

1 網(wǎng)絡(luò)攻擊導(dǎo)致流量異常的分類與特點

1.1 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊屬于網(wǎng)絡(luò)攻擊者利用各種辦法導(dǎo)致目標(biāo)機器停止提供服務(wù)的一種攻擊，屬于黑客經(jīng)常使用的攻擊手段之一。而且拒絕服務(wù)攻擊這種攻擊手段對網(wǎng)絡(luò)安全能夠造成極其嚴(yán)重的威脅，其主要模式為網(wǎng)絡(luò)攻擊者通過使用各種方法，對網(wǎng)絡(luò)與服務(wù)器自身具有特別的弱點進行利用，使網(wǎng)絡(luò)攻擊者逐漸通過對大量的毫無意義的數(shù)據(jù)流量進行制造，從而使大量毫無意義的數(shù)據(jù)流量，能夠不斷對網(wǎng)絡(luò)為正常使用者所提供的請求服務(wù)進行擠占與使用[1]。同時網(wǎng)絡(luò)攻擊者通過不斷對不同的攻擊措施進行使用，不間斷地向攻擊目標(biāo)的機器對大量的非法的IP報文、ICMP數(shù)據(jù)報文等進行快速的傳輸，從而確保逐漸對主機的處理能力進行消耗。

1.2 掃描探測攻擊

掃描探測攻擊屬于一種較為普遍的攻擊行為，而且掃描是網(wǎng)絡(luò)攻擊者向目標(biāo)主機發(fā)起進攻的一個常用手段，確保通過利用此手段對主機的相關(guān)信息進行獲取，然后根據(jù)掃描結(jié)果對進一步攻擊的策略進行制定。同時為確保預(yù)防網(wǎng)絡(luò)攻擊者對主機信息進行獲取，然后發(fā)生一系列的監(jiān)控掃描行為，可通過入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）對此類事件進行有效的監(jiān)控。例如在網(wǎng)絡(luò)主機爆發(fā)蠕蟲病毒時，相關(guān)的工作人員首先需要不斷對大量網(wǎng)絡(luò)的端口或者主機進行掃描，而且自動攻擊與快速繁殖屬于蠕蟲病毒最大的特點，所以相關(guān)的工作人員需要不斷對蠕蟲病毒的攻擊方式與攻擊特點進行分析，確保通過對網(wǎng)絡(luò)主機的SYN/ACK位與同步序列編號（Synchronize Sequence Numbers，SYN）位進行詳細的查看，如果相關(guān)的工作人員發(fā)現(xiàn)網(wǎng)絡(luò)的主機所含有的報文數(shù)量具有極其明顯的差異，可以將其看成爆發(fā)蠕蟲病毒的一個源頭。

2 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)整體架構(gòu)

2.1 信息采集模塊

信息采集模塊的主要功能為捕獲網(wǎng)絡(luò)上的信息數(shù)據(jù)，網(wǎng)絡(luò)主要通過對系統(tǒng)的計算機網(wǎng)卡進行應(yīng)用，將其作為向網(wǎng)絡(luò)提供數(shù)據(jù)的主要來源。而且信息采集模塊能夠?qū)λ东@的信息數(shù)據(jù)進行拷貝，確保將其制作成一份拷貝的文件，而且通過將其傳輸?shù)皆谝呀?jīng)分配完成的緩沖區(qū)中，所以屬于特意為系統(tǒng)中其他的模塊進行訪問時而準(zhǔn)備的這份拷貝文件。同時在網(wǎng)絡(luò)中配置與部署入侵檢測系統(tǒng)時，為確保對數(shù)據(jù)信息進行直接的獲取，因此，需要在入侵檢測系統(tǒng)初步測試期間對此模塊進行使用[2]。并且一旦將其正式投入運行系統(tǒng)時，模塊將會對一定的效能進行失去，因此，能夠充分對此模塊的主要作用進行體現(xiàn)，主要作用為通過不斷提取相應(yīng)的數(shù)據(jù)信息，從而確保能夠為后續(xù)的數(shù)據(jù)挖掘過程提供相關(guān)的數(shù)據(jù)資源。

2.2 信息整理模塊與數(shù)據(jù)挖掘模塊

信息整理模塊的主要功能為處理相關(guān)的報文，而且能夠確保向與其相對應(yīng)的IP匯聚項，將處理完成之后的報文信息進行傳遞。同時相關(guān)的工作人員通過連接信息整理模塊與數(shù)據(jù)庫之間的關(guān)系，能夠確保信息整理模塊按照一定的周期，傳輸將經(jīng)過匯聚的數(shù)據(jù)信息到數(shù)據(jù)庫中，從而確保信息整理模塊能夠為入侵檢測的下一步流程的處理過程，對相應(yīng)的數(shù)據(jù)源進行提供[3]。同時，數(shù)據(jù)挖掘模塊的主要任務(wù)為不斷對神經(jīng)網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)參數(shù)進行調(diào)試，而且在離線的情況下就能夠完成這一步驟，能夠確保不斷對系統(tǒng)參數(shù)進行優(yōu)化。其次，也能夠確保通過從數(shù)據(jù)庫中定時地對源IP匯聚信息進行提取，通過利用神經(jīng)網(wǎng)絡(luò)技術(shù)對其進行分析，確保對數(shù)據(jù)流中是否夾雜攻擊的行為進行判別，因此，確保模塊能夠通過數(shù)據(jù)流中具有的攻擊信息對相應(yīng)的報告進行生成。

2.3 報警記錄模塊

報警模塊的主要功能為網(wǎng)絡(luò)在被攻擊時，通過利用對話框形成相應(yīng)的報警信號，能夠確保及時提供相應(yīng)的報警信息給網(wǎng)絡(luò)系統(tǒng)管理工作人員。同時，能夠確保隨時通過系統(tǒng)的神經(jīng)網(wǎng)絡(luò)參數(shù)，對人工操作的方式進行使用，確保不斷調(diào)整在線的分析，從而確保不斷優(yōu)化參數(shù)，使參數(shù)更加的準(zhǔn)確。并且通過此模塊提供相關(guān)的功能界面，能夠確保網(wǎng)絡(luò)安全管理工作人員對整個入侵檢測系統(tǒng)進行實時的監(jiān)控與配置[4]。因為相關(guān)的工作人員能夠?qū)⑦@個入侵檢測系統(tǒng)分為兩大組成部分，一方面，在對數(shù)據(jù)庫進行輸入數(shù)據(jù)之前，模塊屬于對信息進行采集與整理，這部分的主要功能為對手機與網(wǎng)絡(luò)上的實時數(shù)據(jù)進行匯聚，從而確保在數(shù)據(jù)庫中進行傳輸信息，能夠確保對信息數(shù)據(jù)進行進一步的挖掘與處理。另一方面，在數(shù)據(jù)庫對信息數(shù)據(jù)進行處理之后的輸出部分，則是屬于不斷分析匯聚的信息數(shù)據(jù)，相關(guān)的工作人員主要通過網(wǎng)絡(luò)流量異常分析方法進行使用，確保不斷對數(shù)據(jù)庫中所提取的匯聚信息數(shù)據(jù)進行分析。

3 實現(xiàn)數(shù)據(jù)挖掘算法

本系統(tǒng)主要通過選擇一個3層神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，在輸入層中加入樣本X，通過對NET進行使用，確保能夠表示所有來自輸入層的神經(jīng)元Om的輸入總合，而且其得到的輸出結(jié)果為On。同時將Wmn作為系統(tǒng)權(quán)系數(shù)定義，通過不斷采用sigm oid函數(shù)，確保能夠?qū)⑵渥鳛榧ぐl(fā)函數(shù)作用的所有的神經(jīng)元。

（fx）=1（/1-e-x）主要對sigmoid函數(shù)進行表示：

以下是具體的算法流程：

（1）確定權(quán)系數(shù)初始值。

（2）通過分析與計算所有樣本，而且需要重復(fù)以下流程，確保能夠直到系統(tǒng)收斂為止。

①因此，需要按照一定的前后順序，計算各層單元On：

NETn=∑Om×Wmn

On=1/（1-e﹣NETn）

②得出輸出層的δn：

δn=（y-On）×On×（1-On）

③而且需要按照從后向前的順序，計算各層的δn值：

δn=On×（1-On）×∑δ1×Wnl

④對各個權(quán)值的修正量進行計算，并將其進行保存。

⊿Wmn（t）=a×⊿Wmn（t-1）+b×δn×Om

⑤最后，對權(quán)值進行修正：

Wmn（t+1）=Wmn（t）+⊿Wmn（t）

4 安全防護系統(tǒng)的應(yīng)用模式

可以將安全防護系統(tǒng)劃分為兩大部分：數(shù)據(jù)挖掘模塊與數(shù)據(jù)采集整理模塊，而且相關(guān)的工作人員在一般的采取做法中，在入侵檢測流程中，數(shù)據(jù)挖掘技術(shù)的作用與效果為，安全防護系統(tǒng)在對攻擊行為特征屬性進行確定之后，相關(guān)的工作人員主要將標(biāo)準(zhǔn)視為數(shù)據(jù)流的具體走向，將來自數(shù)據(jù)采集整理模塊的攻擊特征屬性向數(shù)據(jù)挖掘模塊輸入，從而確保通過利用數(shù)據(jù)挖掘模塊判別其是否存在具體的網(wǎng)絡(luò)攻擊行為。同時相關(guān)的工作人員也需要加強重視，雖然已經(jīng)將數(shù)據(jù)挖掘技術(shù)引入網(wǎng)絡(luò)的入侵檢測系統(tǒng)中，能夠確保不斷增加其自身的效果。由于網(wǎng)絡(luò)能夠隨時隨地制造出大量的毫無意義的信息，為確保能夠?qū)Υ祟惛蓴_信息進行有效地降低，相關(guān)的工作人員必須確保通過對具有針對性的網(wǎng)絡(luò)協(xié)議進行使用，才能夠確保一定的約束與過濾其行為[5]。

5 結(jié)語

總而言之，因為網(wǎng)絡(luò)需要對大量的應(yīng)用與數(shù)據(jù)進行承載，從而導(dǎo)致需要具備大量的安全審計數(shù)據(jù)信息。所以通過提取與處理這些數(shù)據(jù)信息，而且能夠確保通過對其所含有的網(wǎng)絡(luò)入侵行為的特征量進行萃取，已經(jīng)成為網(wǎng)絡(luò)安全防范工作中極其重要的問題。同時因為網(wǎng)絡(luò)入侵檢測屬于對安全審計信息進行處理與操作，不斷對數(shù)據(jù)挖掘技術(shù)進行引入，確保在大量的數(shù)據(jù)中網(wǎng)絡(luò)系統(tǒng)，不僅能夠?qū)撛诘闹R信息進行快速的判斷與提取，也能夠?qū)ζ涫欠翊嬖诰唧w的網(wǎng)絡(luò)攻擊行為進行判別。所以需要不斷對基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵安全保護系統(tǒng)進行研究與探討，從而確保充分地發(fā)揮網(wǎng)絡(luò)入侵安全防護系統(tǒng)的效能。

[參考文獻]

[1]李玉東，史健芳.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)研究[J].中國石油和化工，2014（11）：253-256.

[2]邢雪霞.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究[D].成都：成都理工大學(xué)，2014.

[3]林輝.基于數(shù)據(jù)挖掘的入侵檢測技術(shù)研究[J].民營科技，2016（3）：92.

[4]林傳慧，吳偉明.基于數(shù)據(jù)挖掘的高速網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究[J].數(shù)字技術(shù)與應(yīng)用，2014（9）：193.

[5]袁騰飛.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[D].成都：電子科技大學(xué)，2014.