劉惠彬

（武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司，武漢 湖北 430000）

數(shù)據(jù)挖掘在整體網(wǎng)絡(luò)數(shù)據(jù)庫中獲得所需的數(shù)據(jù)安全管理信息。而基于整體網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)部不穩(wěn)定數(shù)據(jù)因素的多樣性及隱蔽性，常規(guī)的防火墻或殺毒措施并不能發(fā)揮有效的作用。這種情況下就需要對(duì)整體數(shù)據(jù)挖掘網(wǎng)絡(luò)安全數(shù)據(jù)分析環(huán)節(jié)進(jìn)行進(jìn)一步分析。首先在數(shù)據(jù)挖掘目標(biāo)設(shè)定前期，可對(duì)相應(yīng)挖掘目標(biāo)數(shù)據(jù)進(jìn)行集合處理，并依據(jù)相應(yīng)處理目標(biāo)對(duì)其進(jìn)行同類型選擇。因此為了保證數(shù)據(jù)挖掘環(huán)節(jié)網(wǎng)絡(luò)信息安全，對(duì)數(shù)據(jù)挖掘技術(shù)實(shí)施進(jìn)行進(jìn)一步分析非常必要。

1 網(wǎng)絡(luò)安全威脅

1.1 網(wǎng)絡(luò)木馬及僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)、木馬病毒主要是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的過程中，利用相應(yīng)計(jì)算機(jī)系統(tǒng)自身漏洞及病毒自動(dòng)傳播功能，將一些隱蔽病毒導(dǎo)入服務(wù)器終端或者計(jì)算機(jī)網(wǎng)絡(luò)客戶端，從而促使與計(jì)算機(jī)網(wǎng)絡(luò)相連的設(shè)備都感染相應(yīng)病毒。

1.2 P2P下的Dos攻擊

基于P2P隱蔽性、可拓展性、開放性的特點(diǎn)，現(xiàn)階段部分違法人員利用互聯(lián)網(wǎng)物理結(jié)構(gòu)開展邏輯網(wǎng)絡(luò)攻擊。通過木馬、病毒、蠕蟲等惡意信息偽裝，促使相應(yīng)網(wǎng)絡(luò)資源使用者受到無意識(shí)損失，繼而導(dǎo)致整體網(wǎng)絡(luò)信息系統(tǒng)的損壞。

1.3 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是網(wǎng)絡(luò)信息安全威脅的主要方面，依據(jù)我國(guó)工業(yè)與信息部門發(fā)布的《互聯(lián)網(wǎng)安全信息通報(bào)實(shí)施辦法》的相關(guān)內(nèi)容，拒絕服務(wù)攻擊具有一定針對(duì)性，其主要是利用連續(xù)服務(wù)指令發(fā)出，控制服務(wù)器失去服務(wù)資源供給功能。同時(shí)拒絕正常網(wǎng)絡(luò)通信服務(wù)，最終導(dǎo)致服務(wù)器崩潰。

2 數(shù)據(jù)挖掘技術(shù)支持下網(wǎng)絡(luò)信息安全管理模型構(gòu)建

2.1 數(shù)據(jù)挖掘技術(shù)概述

數(shù)據(jù)挖掘技術(shù)主要是基于用戶行為的新一代移動(dòng)數(shù)據(jù)分析平臺(tái)，其具有實(shí)時(shí)全量采集用戶行為的能力。數(shù)據(jù)挖掘技術(shù)在實(shí)際應(yīng)用中包括數(shù)據(jù)變換、數(shù)據(jù)清理、數(shù)據(jù)挖掘?qū)嵤┻^程、模式評(píng)估和知識(shí)表示等幾個(gè)環(huán)節(jié)。其中數(shù)據(jù)挖掘主要是根據(jù)數(shù)據(jù)倉庫中的數(shù)據(jù)信息，選擇合適的分析工具，應(yīng)用統(tǒng)計(jì)方法、事例推理、決策樹、規(guī)則推理、模糊集、甚至神經(jīng)網(wǎng)絡(luò)、遺傳算法的方法處理信息，最終獲得需要的分析信息。

2.2 網(wǎng)絡(luò)信息安全管理模型中的數(shù)據(jù)挖掘算法

網(wǎng)絡(luò)信息安全管理模型中的數(shù)據(jù)挖掘算法主要包括分類算法、序列分析算法等。一方面分類算法主要是通過屬性不統(tǒng)一的屬性集合，首先利用分析數(shù)據(jù)訓(xùn)練的形式，構(gòu)建一個(gè)完善的分類屬性模型。在數(shù)據(jù)訓(xùn)練分類模型構(gòu)建的基礎(chǔ)上，可從某個(gè)方面對(duì)相應(yīng)模型屬性進(jìn)行統(tǒng)一描述。在具體的模型屬性分析環(huán)節(jié)，大多利用相關(guān)模型數(shù)據(jù)庫元組分析的方式，進(jìn)行某個(gè)數(shù)據(jù)訓(xùn)練樣本屬性類別分析。通過監(jiān)督數(shù)據(jù)訓(xùn)練，結(jié)合相應(yīng)數(shù)學(xué)公式，可逐步實(shí)現(xiàn)分類規(guī)則的明確。最后在相應(yīng)模型分類規(guī)則明確之后，可依據(jù)相應(yīng)分類規(guī)則對(duì)模型預(yù)估精確程度進(jìn)行逐一分析，結(jié)合分類精度測(cè)試樣本設(shè)置，可逐步確定測(cè)試集模型。另一方面序列分析算法主要是基于不同數(shù)據(jù)記錄檢的相關(guān)性分析。序列分析算法在應(yīng)用過程中，可以針對(duì)相應(yīng)事件進(jìn)行交易序列模式挖掘，從而獲得符合用戶規(guī)定的最小支持頻繁序列。在以往審計(jì)數(shù)據(jù)關(guān)聯(lián)度分析的基礎(chǔ)上，可結(jié)合具體數(shù)據(jù)關(guān)聯(lián)規(guī)則，進(jìn)行序列模式的選擇，最終進(jìn)行原始數(shù)據(jù)序列功能的設(shè)置。針對(duì)網(wǎng)絡(luò)攻擊與時(shí)間變量的相關(guān)聯(lián)系，基于序列分析算法的數(shù)據(jù)挖掘可依據(jù)關(guān)聯(lián)性分析，對(duì)網(wǎng)絡(luò)攻擊與時(shí)間間聯(lián)系進(jìn)行逐步明確。

2.3 基于數(shù)據(jù)挖掘的入侵檢測(cè)模式構(gòu)建

基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)主要包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)決策、數(shù)據(jù)算法等幾個(gè)方面[1]。首先數(shù)據(jù)采集及預(yù)處理主要通過在相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)模塊內(nèi)，進(jìn)行程序內(nèi)數(shù)據(jù)截取，然后結(jié)合特定類型的網(wǎng)絡(luò)數(shù)據(jù)信息，將其轉(zhuǎn)化為ASCII格式網(wǎng)絡(luò)數(shù)據(jù)包。通過對(duì)相應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)一步分類處理，可形成具有多種網(wǎng)絡(luò)連接形式的網(wǎng)絡(luò)數(shù)據(jù)包。而相應(yīng)網(wǎng)絡(luò)連接形式其數(shù)據(jù)源IP地址也具有獨(dú)特性，這就在一定程度上為數(shù)據(jù)挖掘提供了有效的依據(jù)。需要注意的是，在數(shù)據(jù)挖掘入侵檢測(cè)過程中，需要將相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部用戶行為數(shù)據(jù)、當(dāng)前計(jì)算機(jī)業(yè)務(wù)數(shù)據(jù)進(jìn)行有機(jī)整合，并將不必要的數(shù)據(jù)進(jìn)行篩除處理，從而保證數(shù)據(jù)挖掘環(huán)節(jié)的高效進(jìn)行。其次在數(shù)據(jù)目標(biāo)確定之后，可針對(duì)相應(yīng)數(shù)據(jù)狀態(tài)，結(jié)合數(shù)據(jù)噪聲去除措施的實(shí)施，可保證整體數(shù)據(jù)處理的完整性及實(shí)用性。在數(shù)據(jù)挖掘環(huán)節(jié)，需要依據(jù)相應(yīng)的關(guān)聯(lián)規(guī)則數(shù)據(jù)庫、序列模式分析算法、系統(tǒng)網(wǎng)絡(luò)算法、窗口聚類分析算法等算法進(jìn)行挖掘引擎的設(shè)置。在具體的數(shù)據(jù)審計(jì)程序，則需要對(duì)數(shù)據(jù)挖掘環(huán)節(jié)進(jìn)行入侵?jǐn)?shù)據(jù)規(guī)則的設(shè)置，隨之結(jié)合數(shù)據(jù)庫內(nèi)部規(guī)則的對(duì)比分析，確定最終數(shù)據(jù)挖掘模式。最后在數(shù)據(jù)決策環(huán)節(jié)，主要依據(jù)前期數(shù)據(jù)挖掘算法測(cè)試數(shù)據(jù)進(jìn)行相應(yīng)執(zhí)行指令的下達(dá)。若入侵?jǐn)?shù)據(jù)線系統(tǒng)為惡意行為，則相應(yīng)計(jì)算機(jī)系統(tǒng)會(huì)自動(dòng)發(fā)出預(yù)警信息，并采取相應(yīng)的斷開連接、端口關(guān)閉等防御措施，反之則允許并持續(xù)監(jiān)測(cè)。

2.4 基于數(shù)據(jù)挖掘的異常風(fēng)險(xiǎn)檢測(cè)

基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常風(fēng)險(xiǎn)檢測(cè)主要包括誤用檢測(cè)、異常風(fēng)險(xiǎn)檢測(cè)兩個(gè)方面。其中誤用檢測(cè)主要是依據(jù)某種供給特殊模式的樣本，通過樣本訓(xùn)練集合，完成相應(yīng)網(wǎng)絡(luò)環(huán)境的安全檢測(cè)[2]。

異常檢測(cè)則是依據(jù)流量行為模型的設(shè)置，對(duì)相應(yīng)互聯(lián)網(wǎng)絡(luò)異常情況進(jìn)行統(tǒng)一分析。網(wǎng)絡(luò)異常檢測(cè)主要利用關(guān)聯(lián)分析算法，對(duì)相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部異常行為進(jìn)行關(guān)聯(lián)分析，從而保證整體異常檢測(cè)效率?；跀?shù)據(jù)挖掘的異常風(fēng)險(xiǎn)檢測(cè)系統(tǒng)主要是依據(jù)TCP這一基礎(chǔ)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)，進(jìn)行3次握手連接模式的構(gòu)建（見圖1）。在3次握手模式描述環(huán)節(jié)，可以結(jié)合馬爾科夫模型及HMM的相關(guān)內(nèi)容，在服務(wù)器與客戶端狀態(tài)轉(zhuǎn)移頻率分析的基礎(chǔ)上，對(duì)TCP執(zhí)行環(huán)節(jié)進(jìn)行具體模型。同時(shí)結(jié)合TCP協(xié)議標(biāo)識(shí)的合理調(diào)整，進(jìn)行特征數(shù)據(jù)庫體積的設(shè)置，實(shí)現(xiàn)數(shù)據(jù)挖掘網(wǎng)絡(luò)異常風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測(cè)。

圖1 基于數(shù)據(jù)挖掘的異常風(fēng)險(xiǎn)檢測(cè)流程

3 數(shù)據(jù)挖掘技術(shù)支持下網(wǎng)絡(luò)信息安全管理要點(diǎn)

3.1 構(gòu)建安全的網(wǎng)絡(luò)信息環(huán)境

安全的網(wǎng)絡(luò)運(yùn)行環(huán)境是數(shù)據(jù)挖掘網(wǎng)絡(luò)信息安全管理工作開展的基礎(chǔ)。在實(shí)際網(wǎng)絡(luò)環(huán)境運(yùn)行中，主要包括整體計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性、網(wǎng)絡(luò)入侵檢測(cè)、災(zāi)難的恢復(fù)、網(wǎng)絡(luò)備份、防病毒等幾個(gè)方面因素。在實(shí)際網(wǎng)絡(luò)環(huán)境安全維護(hù)過程中，主要從物理、邏輯兩個(gè)方面對(duì)可信、不可信網(wǎng)絡(luò)進(jìn)行隔離訪問控制。通過用戶訪問網(wǎng)絡(luò)授權(quán)的管理，可為基礎(chǔ)網(wǎng)絡(luò)安全管理提供有效的保障。在這個(gè)基礎(chǔ)上，可采取網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，對(duì)非法入侵、惡意破壞等行為進(jìn)行統(tǒng)一分析，結(jié)合惡意破壞檢測(cè)預(yù)警機(jī)制的建立，可定期對(duì)相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行安全檢測(cè)，保證計(jì)算機(jī)系統(tǒng)內(nèi)部風(fēng)險(xiǎn)因素的及時(shí)處理。通過非法入侵檢測(cè)預(yù)警機(jī)制的運(yùn)行，可為相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境的安全運(yùn)行打下堅(jiān)實(shí)的基礎(chǔ)。在實(shí)際網(wǎng)絡(luò)信息環(huán)境管理過程中，也可利用反病毒技術(shù)，對(duì)整體網(wǎng)絡(luò)安全威脅進(jìn)行量化分析。通過病毒防護(hù)、病毒應(yīng)急、病毒預(yù)警等體系的集中設(shè)置，結(jié)合審計(jì)分析模式的構(gòu)建?？稍趯?duì)相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)使用環(huán)節(jié)計(jì)算機(jī)系統(tǒng)運(yùn)行數(shù)據(jù)進(jìn)行統(tǒng)一分析，從而在系統(tǒng)訪問權(quán)限合理分析的同時(shí)，可根據(jù)系統(tǒng)使用情況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)惡意攻擊情況，便于數(shù)據(jù)挖掘工作的順利執(zhí)行。若相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已遭受惡意攻擊，則需要利用網(wǎng)絡(luò)備份、災(zāi)難恢復(fù)模式，在一定時(shí)間內(nèi)進(jìn)行系統(tǒng)恢復(fù)，維護(hù)整體網(wǎng)絡(luò)環(huán)境的穩(wěn)定運(yùn)行。

3.2 保證數(shù)據(jù)挖掘信息的安全

數(shù)據(jù)挖掘環(huán)境信息的安全主要在基礎(chǔ)挖掘信息儲(chǔ)存安全的基礎(chǔ)上，還包括數(shù)據(jù)后期傳輸安全、使用安全等幾個(gè)方面。如采用僵木蠕檢測(cè)識(shí)別技術(shù)，可對(duì)IRC/HTTP/P2P的僵尸網(wǎng)絡(luò)控制報(bào)文識(shí)別進(jìn)行有效辨別，其主要通過加密報(bào)文的形式，對(duì)僵尸網(wǎng)絡(luò)的控制。同時(shí)通過行為分析，根據(jù)指定控制端的IP地址確定僵尸網(wǎng)絡(luò)。而對(duì)于疑似的惡意代碼樣本檢測(cè)，僵木蠕檢測(cè)識(shí)別技術(shù)可通過流量基線，對(duì)拒絕服務(wù)攻擊流量進(jìn)行檢測(cè)，并按照指定時(shí)間段、源、目的IP，協(xié)議類型等數(shù)據(jù)，進(jìn)行參數(shù)導(dǎo)出。

4 結(jié)語

在云計(jì)算及大數(shù)據(jù)時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)逐漸在社會(huì)各個(gè)行業(yè)得到了廣泛的應(yīng)用。但是在計(jì)算機(jī)信息技術(shù)應(yīng)用過程中，非法網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)惡意攻擊問題的發(fā)生頻率也不斷增加。這種情況下，傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)就無法滿足現(xiàn)階段網(wǎng)絡(luò)信息安全管理的需要。因此相關(guān)人員應(yīng)注意將數(shù)據(jù)挖掘技術(shù)與網(wǎng)絡(luò)信息安全管理模式進(jìn)行有效結(jié)合，從而保證潛在網(wǎng)絡(luò)威脅的有效處理，保證整體計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全運(yùn)行。