盧明星

(河南護理職業(yè)學院,河南安陽,455000)

0 前言

近幾年，計算機網(wǎng)絡(luò)呈現(xiàn)了迅猛的發(fā)展勢頭，隨著其在社會民眾日常生活中的普及，使得網(wǎng)絡(luò)安全事件的發(fā)生率逐漸激增。為了形成網(wǎng)絡(luò)資源安全性的保障，持續(xù)對網(wǎng)絡(luò)安全防護技術(shù)進行改進，加強對入侵信息的檢測，有助于產(chǎn)生對計算機的保護作用，對提升網(wǎng)絡(luò)系統(tǒng)的安全性大有裨益。基于此，加強對基于數(shù)據(jù)挖掘和機器學習方法的網(wǎng)絡(luò)異常檢測技術(shù)的分析，具有十分重要的現(xiàn)實意義。

1 入侵檢測技術(shù)

■1.1 定義

入侵檢測技術(shù)是指依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。有學者將計算機系統(tǒng)類比于一幢大樓，防火墻則是一幢大樓的門鎖，入侵檢測系統(tǒng)則為這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷采取非法的形式進入大樓，或者內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測技術(shù)能夠?qū)崿F(xiàn)對入侵行為的及時識別，有助于實現(xiàn)對計算機的良好保護，通過報告計算機網(wǎng)絡(luò)的異常狀況，實現(xiàn)對違反安全策略行為的檢測，能夠形成計算機網(wǎng)絡(luò)系統(tǒng)的屏障。

若未經(jīng)授權(quán)的信息對計算機進行非法攻擊時，入侵檢測技術(shù)能夠?qū)崿F(xiàn)對其有效檢測和隔離，通過對外部系統(tǒng)的惡意攻擊進行識別和監(jiān)視，并發(fā)出警報，使管理員采取相應(yīng)的管控措施，能夠建立科學而智能的安全防范體系，提升網(wǎng)絡(luò)監(jiān)管的方便性。入侵檢測技術(shù)能夠?qū)崿F(xiàn)對計算機系統(tǒng)的分析和監(jiān)管，對計算機網(wǎng)絡(luò)的配置情況進行審計，實現(xiàn)對計算機系統(tǒng)漏洞的發(fā)掘和處理，對計算機數(shù)據(jù)的完整性進行評估，借助于對未知攻擊的識別和分析，構(gòu)建完善的安全防范策略，并針對具體的攻擊措施，實施相對應(yīng)的解決辦法，對系統(tǒng)性能穩(wěn)定性的提升大有裨益。

例如，某研究人員充分發(fā)揮入侵檢測技術(shù)的價值，設(shè)計了科學的入侵檢測系統(tǒng)，在系統(tǒng)監(jiān)控室中間一個超過10米寬的屏幕上，用可視化的形式演示著對網(wǎng)絡(luò)安全監(jiān)測的結(jié)果。比如在“成都市網(wǎng)絡(luò)安全態(tài)勢感知平臺”這個頁面上，有城市安全指數(shù)、區(qū)域指數(shù)、已發(fā)現(xiàn)漏洞、受威脅資產(chǎn)等內(nèi)容，并能夠結(jié)合態(tài)勢感知平臺負責對安全事件進行監(jiān)控。

再如，在某醫(yī)院的網(wǎng)絡(luò)系統(tǒng)運行過程中，加入了入侵檢測技術(shù)，實現(xiàn)了對防火墻功能的合理補充，有助于輔助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），有效提升了提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。同時，它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。調(diào)查數(shù)據(jù)顯示，自2016年底引入該技術(shù)以來，共計診斷出非法入侵8962次，有效維護了網(wǎng)絡(luò)的安全性。

■1.2 檢測方法

(1)專家系統(tǒng)

在最初的入侵檢測過程中，專家系統(tǒng)是一種常用方法，主要負責對誤用入侵進行檢測。專家系統(tǒng)在對專家入侵檢測的經(jīng)驗進行細致總結(jié)的基礎(chǔ)上，建立了全面的知識庫，構(gòu)建了以知識庫為基礎(chǔ)的系統(tǒng)，通過發(fā)揮知識庫的價值，摸清入侵行為的發(fā)生規(guī)律，并借助于專家對入侵行為的分析，將其發(fā)生規(guī)律進行整合和提取，將其錄入入侵行為特征庫，一旦發(fā)生入侵行為，只需在特征庫中提取相關(guān)數(shù)據(jù)，即可實現(xiàn)對入侵行為屬性的科學判別。

專家系統(tǒng)的優(yōu)勢在于：①特征庫能夠?qū)崟r擴充；②能夠?qū)崿F(xiàn)對入侵行為的科學判別。盡管專家系統(tǒng)的知識庫能夠隨時更新，但入侵行為信息的收集仍缺乏全面性，一旦計算機系統(tǒng)遭遇協(xié)同攻擊，則計算機系統(tǒng)無法實現(xiàn)對外部攻擊行為的有效識別。

(2)狀態(tài)轉(zhuǎn)換

在誤用入侵的檢測過程中，常常會應(yīng)用到狀態(tài)轉(zhuǎn)換技術(shù)，借助于高層狀態(tài)轉(zhuǎn)換圖，能夠?qū)崿F(xiàn)對入侵行為和外部攻擊意圖的有效識別，在采用狀態(tài)轉(zhuǎn)換技術(shù)分析入侵行為的過程中，需要將計算機系統(tǒng)由安全狀態(tài)轉(zhuǎn)換為入侵狀態(tài)，實現(xiàn)對入侵對象動作的識別，將其錄入入侵特征庫，借助于系統(tǒng)數(shù)據(jù)，實現(xiàn)對入侵行為的檢測。狀態(tài)轉(zhuǎn)換技術(shù)具有直觀性的優(yōu)勢，雖然能夠?qū)崿F(xiàn)對已知入侵行為的迅速檢測，但針對未知入侵方式，則無法進行精準識別。

(3)統(tǒng)計分析

基于統(tǒng)計分析方法的入侵檢測技術(shù)認為，針對計算機網(wǎng)絡(luò)的所有入侵行為，都存在一定的規(guī)律性，能夠借助于對入侵數(shù)據(jù)的統(tǒng)計和分析，摸清入侵行為發(fā)生的定律。通過對入侵數(shù)據(jù)與系統(tǒng)數(shù)據(jù)存在的偏差進行分析，能夠?qū)崿F(xiàn)對異常入侵行為的認定，并借助于計算機內(nèi)部變量的賦值，形成安全狀態(tài)下的操作規(guī)律，在對當前用戶行為進行分析的基礎(chǔ)上，將外部入侵產(chǎn)生的數(shù)據(jù)值與正常數(shù)據(jù)值進行對比，若正常數(shù)據(jù)值與闕值的偏離程度較為明顯，則可將其判定為入侵行為。

(4)神經(jīng)網(wǎng)絡(luò)

近幾年，神經(jīng)網(wǎng)絡(luò)算法在入侵檢測過程中得到了廣泛應(yīng)用，對比于常規(guī)檢測方法，神經(jīng)網(wǎng)絡(luò)算法能夠?qū)崿F(xiàn)對入侵數(shù)據(jù)的非參量化統(tǒng)計，有助于借助對歷史數(shù)據(jù)進行處理和分析，提取入侵行為的主要特征，對網(wǎng)絡(luò)數(shù)據(jù)進行有機整合，結(jié)合入侵行為和歷史行為的偏離度與相似度，形成判斷異常入侵行為的良好基礎(chǔ)。

2 數(shù)據(jù)挖掘技術(shù)

■2.1 定義

數(shù)據(jù)挖掘技術(shù)的涉及的范圍較廣，與統(tǒng)計學、機器學習和模式識別等領(lǐng)域知識均存在不同程度的交叉。數(shù)據(jù)挖掘是指依據(jù)一定的規(guī)則，從大數(shù)據(jù)庫中對大量隨機、隱含的數(shù)據(jù)進行整理和查看，獲取想要的信息?，F(xiàn)階段，數(shù)據(jù)挖掘已經(jīng)成為人工智能領(lǐng)域?qū)W者的主要研究對象，若能夠運用科學方法，從原始數(shù)據(jù)中提取有用的知識，則能夠?qū)崟r挖掘出外侵行為數(shù)據(jù)，對入侵防控方案制定的科學性大有裨益。數(shù)據(jù)挖掘技術(shù)主要包括信息收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理和數(shù)據(jù)變換幾個方面的內(nèi)容。

其中，信息收集是指結(jié)合的數(shù)據(jù)分析對象的特征信息，采用科學的信息收集方法，將收集到的信息存入數(shù)據(jù)庫。對于海量數(shù)據(jù)，選擇一個合適的數(shù)據(jù)存儲和管理的數(shù)據(jù)倉庫是至關(guān)重要的[1]。數(shù)據(jù)集成是指把不同來源、格式、特點性質(zhì)的數(shù)據(jù)在邏輯上進行統(tǒng)一和集中，為企業(yè)提供全面的數(shù)據(jù)共享。數(shù)據(jù)規(guī)約指的是執(zhí)行多數(shù)的數(shù)據(jù)挖掘算法即使在少量數(shù)據(jù)上也需要很長的時間，而做商業(yè)運營數(shù)據(jù)挖掘時往往數(shù)據(jù)量非常大。數(shù)據(jù)規(guī)約技術(shù)可以用來得到數(shù)據(jù)集的規(guī)約表示，它小得多，但仍然接近于保持原數(shù)據(jù)的完整性，并且規(guī)約后執(zhí)行數(shù)據(jù)挖掘結(jié)果與規(guī)約前執(zhí)行結(jié)果相同或幾乎相同。數(shù)據(jù)清理是指在數(shù)據(jù)庫中的數(shù)據(jù)有一些是不完整的、含噪聲的且是不一致的，需要進行數(shù)據(jù)清理，將完整、正確、一致的數(shù)據(jù)信息存入數(shù)據(jù)倉庫中。數(shù)據(jù)變換借助于平滑聚集，數(shù)據(jù)概化，規(guī)范化等方式將數(shù)據(jù)轉(zhuǎn)換成適用于數(shù)據(jù)挖掘的形式，對于有些實數(shù)型數(shù)據(jù),通過概念分層和數(shù)據(jù)的離散化來轉(zhuǎn)換數(shù)據(jù)也是重要的一步[2]。

例如，有研究人員通過對網(wǎng)絡(luò)異常檢測技術(shù)的充分運用，構(gòu)建了算法框架，并提出了包含稀疏和平滑約束的MIL排序損失來訓練模型，使用MIL的思路構(gòu)建訓練集合，使用C3D+FC 的網(wǎng)絡(luò)來獲取異常評分，最后采用提出的MIL排序損失來訓練模型。通過這種方式，實現(xiàn)了對網(wǎng)絡(luò)異常的科學檢測。

再如，某物流網(wǎng)站借助于智選物流平臺的優(yōu)勢，通過對數(shù)據(jù)挖掘技術(shù)進行充分運用，建立了聯(lián)通各個第三方快遞公司的信息系統(tǒng)，實現(xiàn)了對物流鏈的實時監(jiān)控。通過收集豐富的快遞數(shù)據(jù)，獲取快遞網(wǎng)點反饋，及時發(fā)現(xiàn)異?？爝f，當包裹出現(xiàn)異常時，快遞公司會主動反饋異常信息，賣家能夠在線和網(wǎng)點溝通處理異常件。通過這種方式，有效解決了因網(wǎng)絡(luò)異常所導致的快件延誤和丟失等問題，為用戶滿意度的提升奠定了良好基礎(chǔ)。

■2.2 方法

(1)關(guān)聯(lián)規(guī)則分析法

現(xiàn)階段，隨著信息網(wǎng)絡(luò)發(fā)展步伐的逐漸加快，對數(shù)據(jù)存儲工作也形成了挑戰(zhàn)，對關(guān)聯(lián)規(guī)則的應(yīng)用需求逐漸增加。關(guān)聯(lián)規(guī)則能夠借助于對數(shù)據(jù)之間相關(guān)性的分析，發(fā)現(xiàn)對象之間存在的規(guī)律，若規(guī)律符合入侵數(shù)據(jù)的分布規(guī)律，則可判定為網(wǎng)絡(luò)異?，F(xiàn)象。在運用關(guān)聯(lián)規(guī)則對入侵行為進行判斷的過程中，通常從以下兩個方面進行：首先，應(yīng)將繁項集的定義作為參考依據(jù)，尋找符合最小支持度的項目集合，并結(jié)合強規(guī)則的具體條件，實現(xiàn)對強則的構(gòu)建。關(guān)聯(lián)算法的規(guī)則具有多樣性的特點，主要分為樹頻集算法和Apriori算法等[3]。

(2)分類預(yù)測分析法

在以往的網(wǎng)絡(luò)異常數(shù)據(jù)分析的過程中，通常包含分類和預(yù)測兩種主要形式，分類分析主要是指通過建立重要數(shù)據(jù)的相關(guān)模型，完成網(wǎng)絡(luò)異常分析工作，預(yù)測分析法則能夠通過構(gòu)建數(shù)據(jù)預(yù)測模型的方式，實現(xiàn)對未來入侵行為的發(fā)展趨勢的預(yù)測。分類分析法通常需要明確離散值的大小，預(yù)測分析法則需要將連續(xù)值函數(shù)模型作為保障。在采用分類分析法對網(wǎng)絡(luò)異常行為進行分析的過程中，首先要結(jié)合數(shù)據(jù)集，劃分成不同的數(shù)據(jù)庫單元，完成模型的構(gòu)建，并建立訓練數(shù)據(jù)集。然后，需要將各個數(shù)據(jù)庫元組作為訓練的樣本，建立在一定規(guī)則的基礎(chǔ)上，為網(wǎng)絡(luò)異常行為判定提供參考依據(jù)。借助于對學習模型的分類規(guī)則，實現(xiàn)對位置數(shù)據(jù)元組的分類。預(yù)測分析法通常用于評估無標號樣本，其分類算法主要包含判定樹、遺傳算法和貝葉斯算法等。

(3)聚類分析法

聚類分析法主要指的是將不同數(shù)據(jù)對象之間的相似性作為分組依據(jù)，將數(shù)據(jù)對象劃分為不同的類和簇。一般情況下，同類數(shù)據(jù)的相似度高于不同類相似對象。聚類分析法主要以劃分方法、劃分層次。劃分密度、網(wǎng)格和模型作為分類依據(jù)，屬于數(shù)據(jù)挖掘的新型技術(shù)，且取得了良好的應(yīng)用成果。聚類分析法是統(tǒng)計分析法的變換和延伸，在網(wǎng)絡(luò)異常行為檢測方面具有較高的應(yīng)用價值。

(4)序列模式分析法

序列模式分析法主要指的是對網(wǎng)絡(luò)異常數(shù)據(jù)之間的關(guān)系進行分析，明確其中的相關(guān)性，在不同數(shù)據(jù)之間發(fā)現(xiàn)其共有屬性的相關(guān)性，實現(xiàn)對系統(tǒng)日志規(guī)則的挖掘，并建立相應(yīng)的序列。序列模式分析法主要包含Apriori算法和序列生長技術(shù)兩種類型，其序列大多以最高模式存在，能夠充分滿足最小支持度的要求，若能夠加大對序列模式分析法的應(yīng)用力度，則能夠提升對網(wǎng)絡(luò)異常信息檢測的精準性。

3 結(jié)論

綜上所述，應(yīng)網(wǎng)絡(luò)異常檢測過程中，應(yīng)加大對入侵檢測技術(shù)和數(shù)據(jù)挖掘技術(shù)的應(yīng)用力度，實現(xiàn)對外部攻擊數(shù)據(jù)信息的精準識別，進而采取相對應(yīng)的防控策略，確保計算機網(wǎng)絡(luò)始終處于安全運行狀態(tài)。