盧明星
(河南護理職業(yè)學院,河南安陽,455000)
近幾年,計算機網(wǎng)絡(luò)呈現(xiàn)了迅猛的發(fā)展勢頭,隨著其在社會民眾日常生活中的普及,使得網(wǎng)絡(luò)安全事件的發(fā)生率逐漸激增。為了形成網(wǎng)絡(luò)資源安全性的保障,持續(xù)對網(wǎng)絡(luò)安全防護技術(shù)進行改進,加強對入侵信息的檢測,有助于產(chǎn)生對計算機的保護作用,對提升網(wǎng)絡(luò)系統(tǒng)的安全性大有裨益。基于此,加強對基于數(shù)據(jù)挖掘和機器學習方法的網(wǎng)絡(luò)異常檢測技術(shù)的分析,具有十分重要的現(xiàn)實意義。
入侵檢測技術(shù)是指依照一定的安全策略,通過軟、硬件,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。有學者將計算機系統(tǒng)類比于一幢大樓,防火墻則是一幢大樓的門鎖,入侵檢測系統(tǒng)則為這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷采取非法的形式進入大樓,或者內(nèi)部人員有越界行為,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測技術(shù)能夠?qū)崿F(xiàn)對入侵行為的及時識別,有助于實現(xiàn)對計算機的良好保護,通過報告計算機網(wǎng)絡(luò)的異常狀況,實現(xiàn)對違反安全策略行為的檢測,能夠形成計算機網(wǎng)絡(luò)系統(tǒng)的屏障。
若未經(jīng)授權(quán)的信息對計算機進行非法攻擊時,入侵檢測技術(shù)能夠?qū)崿F(xiàn)對其有效檢測和隔離,通過對外部系統(tǒng)的惡意攻擊進行識別和監(jiān)視,并發(fā)出警報,使管理員采取相應(yīng)的管控措施,能夠建立科學而智能的安全防范體系,提升網(wǎng)絡(luò)監(jiān)管的方便性。入侵檢測技術(shù)能夠?qū)崿F(xiàn)對計算機系統(tǒng)的分析和監(jiān)管,對計算機網(wǎng)絡(luò)的配置情況進行審計,實現(xiàn)對計算機系統(tǒng)漏洞的發(fā)掘和處理,對計算機數(shù)據(jù)的完整性進行評估,借助于對未知攻擊的識別和分析,構(gòu)建完善的安全防范策略,并針對具體的攻擊措施,實施相對應(yīng)的解決辦法,對系統(tǒng)性能穩(wěn)定性的提升大有裨益。
例如,某研究人員充分發(fā)揮入侵檢測技術(shù)的價值,設(shè)計了科學的入侵檢測系統(tǒng),在系統(tǒng)監(jiān)控室中間一個超過10米寬的屏幕上,用可視化的形式演示著對網(wǎng)絡(luò)安全監(jiān)測的結(jié)果。比如在“成都市網(wǎng)絡(luò)安全態(tài)勢感知平臺”這個頁面上,有城市安全指數(shù)、區(qū)域指數(shù)、已發(fā)現(xiàn)漏洞、受威脅資產(chǎn)等內(nèi)容,并能夠結(jié)合態(tài)勢感知平臺負責對安全事件進行監(jiān)控。
再如,在某醫(yī)院的網(wǎng)絡(luò)系統(tǒng)運行過程中,加入了入侵檢測技術(shù),實現(xiàn)了對防火墻功能的合理補充,有助于輔助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),有效提升了提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。同時,它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。調(diào)查數(shù)據(jù)顯示,自2016年底引入該技術(shù)以來,共計診斷出非法入侵8962次,有效維護了網(wǎng)絡(luò)的安全性。
(1)專家系統(tǒng)
在最初的入侵檢測過程中,專家系統(tǒng)是一種常用方法,主要負責對誤用入侵進行檢測。專家系統(tǒng)在對專家入侵檢測的經(jīng)驗進行細致總結(jié)的基礎(chǔ)上,建立了全面的知識庫,構(gòu)建了以知識庫為基礎(chǔ)的系統(tǒng),通過發(fā)揮知識庫的價值,摸清入侵行為的發(fā)生規(guī)律,并借助于專家對入侵行為的分析,將其發(fā)生規(guī)律進行整合和提取,將其錄入入侵行為特征庫,一旦發(fā)生入侵行為,只需在特征庫中提取相關(guān)數(shù)據(jù),即可實現(xiàn)對入侵行為屬性的科學判別。
專家系統(tǒng)的優(yōu)勢在于:①特征庫能夠?qū)崟r擴充;②能夠?qū)崿F(xiàn)對入侵行為的科學判別。盡管專家系統(tǒng)的知識庫能夠隨時更新,但入侵行為信息的收集仍缺乏全面性,一旦計算機系統(tǒng)遭遇協(xié)同攻擊,則計算機系統(tǒng)無法實現(xiàn)對外部攻擊行為的有效識別。
(2)狀態(tài)轉(zhuǎn)換
在誤用入侵的檢測過程中,常常會應(yīng)用到狀態(tài)轉(zhuǎn)換技術(shù),借助于高層狀態(tài)轉(zhuǎn)換圖,能夠?qū)崿F(xiàn)對入侵行為和外部攻擊意圖的有效識別,在采用狀態(tài)轉(zhuǎn)換技術(shù)分析入侵行為的過程中,需要將計算機系統(tǒng)由安全狀態(tài)轉(zhuǎn)換為入侵狀態(tài),實現(xiàn)對入侵對象動作的識別,將其錄入入侵特征庫,借助于系統(tǒng)數(shù)據(jù),實現(xiàn)對入侵行為的檢測。狀態(tài)轉(zhuǎn)換技術(shù)具有直觀性的優(yōu)勢,雖然能夠?qū)崿F(xiàn)對已知入侵行為的迅速檢測,但針對未知入侵方式,則無法進行精準識別。
(3)統(tǒng)計分析
基于統(tǒng)計分析方法的入侵檢測技術(shù)認為,針對計算機網(wǎng)絡(luò)的所有入侵行為,都存在一定的規(guī)律性,能夠借助于對入侵數(shù)據(jù)的統(tǒng)計和分析,摸清入侵行為發(fā)生的定律。通過對入侵數(shù)據(jù)與系統(tǒng)數(shù)據(jù)存在的偏差進行分析,能夠?qū)崿F(xiàn)對異常入侵行為的認定,并借助于計算機內(nèi)部變量的賦值,形成安全狀態(tài)下的操作規(guī)律,在對當前用戶行為進行分析的基礎(chǔ)上,將外部入侵產(chǎn)生的數(shù)據(jù)值與正常數(shù)據(jù)值進行對比,若正常數(shù)據(jù)值與闕值的偏離程度較為明顯,則可將其判定為入侵行為。
(4)神經(jīng)網(wǎng)絡(luò)
近幾年,神經(jīng)網(wǎng)絡(luò)算法在入侵檢測過程中得到了廣泛應(yīng)用,對比于常規(guī)檢測方法,神經(jīng)網(wǎng)絡(luò)算法能夠?qū)崿F(xiàn)對入侵數(shù)據(jù)的非參量化統(tǒng)計,有助于借助對歷史數(shù)據(jù)進行處理和分析,提取入侵行為的主要特征,對網(wǎng)絡(luò)數(shù)據(jù)進行有機整合,結(jié)合入侵行為和歷史行為的偏離度與相似度,形成判斷異常入侵行為的良好基礎(chǔ)。
數(shù)據(jù)挖掘技術(shù)的涉及的范圍較廣,與統(tǒng)計學、機器學習和模式識別等領(lǐng)域知識均存在不同程度的交叉。數(shù)據(jù)挖掘是指依據(jù)一定的規(guī)則,從大數(shù)據(jù)庫中對大量隨機、隱含的數(shù)據(jù)進行整理和查看,獲取想要的信息?,F(xiàn)階段,數(shù)據(jù)挖掘已經(jīng)成為人工智能領(lǐng)域?qū)W者的主要研究對象,若能夠運用科學方法,從原始數(shù)據(jù)中提取有用的知識,則能夠?qū)崟r挖掘出外侵行為數(shù)據(jù),對入侵防控方案制定的科學性大有裨益。數(shù)據(jù)挖掘技術(shù)主要包括信息收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理和數(shù)據(jù)變換幾個方面的內(nèi)容。
其中,信息收集是指結(jié)合的數(shù)據(jù)分析對象的特征信息,采用科學的信息收集方法,將收集到的信息存入數(shù)據(jù)庫。對于海量數(shù)據(jù),選擇一個合適的數(shù)據(jù)存儲和管理的數(shù)據(jù)倉庫是至關(guān)重要的[1]。數(shù)據(jù)集成是指把不同來源、格式、特點性質(zhì)的數(shù)據(jù)在邏輯上進行統(tǒng)一和集中,為企業(yè)提供全面的數(shù)據(jù)共享。數(shù)據(jù)規(guī)約指的是執(zhí)行多數(shù)的數(shù)據(jù)挖掘算法即使在少量數(shù)據(jù)上也需要很長的時間,而做商業(yè)運營數(shù)據(jù)挖掘時往往數(shù)據(jù)量非常大。數(shù)據(jù)規(guī)約技術(shù)可以用來得到數(shù)據(jù)集的規(guī)約表示,它小得多,但仍然接近于保持原數(shù)據(jù)的完整性,并且規(guī)約后執(zhí)行數(shù)據(jù)挖掘結(jié)果與規(guī)約前執(zhí)行結(jié)果相同或幾乎相同。數(shù)據(jù)清理是指在數(shù)據(jù)庫中的數(shù)據(jù)有一些是不完整的、含噪聲的且是不一致的,需要進行數(shù)據(jù)清理,將完整、正確、一致的數(shù)據(jù)信息存入數(shù)據(jù)倉庫中。數(shù)據(jù)變換借助于平滑聚集,數(shù)據(jù)概化,規(guī)范化等方式將數(shù)據(jù)轉(zhuǎn)換成適用于數(shù)據(jù)挖掘的形式,對于有些實數(shù)型數(shù)據(jù),通過概念分層和數(shù)據(jù)的離散化來轉(zhuǎn)換數(shù)據(jù)也是重要的一步[2]。
例如,有研究人員通過對網(wǎng)絡(luò)異常檢測技術(shù)的充分運用,構(gòu)建了算法框架,并提出了包含稀疏和平滑約束的MIL排序損失來訓練模型,使用MIL的思路構(gòu)建訓練集合,使用C3D+FC 的網(wǎng)絡(luò)來獲取異常評分,最后采用提出的MIL排序損失來訓練模型。通過這種方式,實現(xiàn)了對網(wǎng)絡(luò)異常的科學檢測。
再如,某物流網(wǎng)站借助于智選物流平臺的優(yōu)勢,通過對數(shù)據(jù)挖掘技術(shù)進行充分運用,建立了聯(lián)通各個第三方快遞公司的信息系統(tǒng),實現(xiàn)了對物流鏈的實時監(jiān)控。通過收集豐富的快遞數(shù)據(jù),獲取快遞網(wǎng)點反饋,及時發(fā)現(xiàn)異??爝f,當包裹出現(xiàn)異常時,快遞公司會主動反饋異常信息,賣家能夠在線和網(wǎng)點溝通處理異常件。通過這種方式,有效解決了因網(wǎng)絡(luò)異常所導致的快件延誤和丟失等問題,為用戶滿意度的提升奠定了良好基礎(chǔ)。
(1)關(guān)聯(lián)規(guī)則分析法
現(xiàn)階段,隨著信息網(wǎng)絡(luò)發(fā)展步伐的逐漸加快,對數(shù)據(jù)存儲工作也形成了挑戰(zhàn),對關(guān)聯(lián)規(guī)則的應(yīng)用需求逐漸增加。關(guān)聯(lián)規(guī)則能夠借助于對數(shù)據(jù)之間相關(guān)性的分析,發(fā)現(xiàn)對象之間存在的規(guī)律,若規(guī)律符合入侵數(shù)據(jù)的分布規(guī)律,則可判定為網(wǎng)絡(luò)異?,F(xiàn)象。在運用關(guān)聯(lián)規(guī)則對入侵行為進行判斷的過程中,通常從以下兩個方面進行:首先,應(yīng)將繁項集的定義作為參考依據(jù),尋找符合最小支持度的項目集合,并結(jié)合強規(guī)則的具體條件,實現(xiàn)對強則的構(gòu)建。關(guān)聯(lián)算法的規(guī)則具有多樣性的特點,主要分為樹頻集算法和Apriori算法等[3]。
(2)分類預(yù)測分析法
在以往的網(wǎng)絡(luò)異常數(shù)據(jù)分析的過程中,通常包含分類和預(yù)測兩種主要形式,分類分析主要是指通過建立重要數(shù)據(jù)的相關(guān)模型,完成網(wǎng)絡(luò)異常分析工作,預(yù)測分析法則能夠通過構(gòu)建數(shù)據(jù)預(yù)測模型的方式,實現(xiàn)對未來入侵行為的發(fā)展趨勢的預(yù)測。分類分析法通常需要明確離散值的大小,預(yù)測分析法則需要將連續(xù)值函數(shù)模型作為保障。在采用分類分析法對網(wǎng)絡(luò)異常行為進行分析的過程中,首先要結(jié)合數(shù)據(jù)集,劃分成不同的數(shù)據(jù)庫單元,完成模型的構(gòu)建,并建立訓練數(shù)據(jù)集。然后,需要將各個數(shù)據(jù)庫元組作為訓練的樣本,建立在一定規(guī)則的基礎(chǔ)上,為網(wǎng)絡(luò)異常行為判定提供參考依據(jù)。借助于對學習模型的分類規(guī)則,實現(xiàn)對位置數(shù)據(jù)元組的分類。預(yù)測分析法通常用于評估無標號樣本,其分類算法主要包含判定樹、遺傳算法和貝葉斯算法等。
(3)聚類分析法
聚類分析法主要指的是將不同數(shù)據(jù)對象之間的相似性作為分組依據(jù),將數(shù)據(jù)對象劃分為不同的類和簇。一般情況下,同類數(shù)據(jù)的相似度高于不同類相似對象。聚類分析法主要以劃分方法、劃分層次。劃分密度、網(wǎng)格和模型作為分類依據(jù),屬于數(shù)據(jù)挖掘的新型技術(shù),且取得了良好的應(yīng)用成果。聚類分析法是統(tǒng)計分析法的變換和延伸,在網(wǎng)絡(luò)異常行為檢測方面具有較高的應(yīng)用價值。
(4)序列模式分析法
序列模式分析法主要指的是對網(wǎng)絡(luò)異常數(shù)據(jù)之間的關(guān)系進行分析,明確其中的相關(guān)性,在不同數(shù)據(jù)之間發(fā)現(xiàn)其共有屬性的相關(guān)性,實現(xiàn)對系統(tǒng)日志規(guī)則的挖掘,并建立相應(yīng)的序列。序列模式分析法主要包含Apriori算法和序列生長技術(shù)兩種類型,其序列大多以最高模式存在,能夠充分滿足最小支持度的要求,若能夠加大對序列模式分析法的應(yīng)用力度,則能夠提升對網(wǎng)絡(luò)異常信息檢測的精準性。
綜上所述,應(yīng)網(wǎng)絡(luò)異常檢測過程中,應(yīng)加大對入侵檢測技術(shù)和數(shù)據(jù)挖掘技術(shù)的應(yīng)用力度,實現(xiàn)對外部攻擊數(shù)據(jù)信息的精準識別,進而采取相對應(yīng)的防控策略,確保計算機網(wǎng)絡(luò)始終處于安全運行狀態(tài)。