馮耀

（山西工商學(xué)院 山西省太原市 030006）

進(jìn)入網(wǎng)絡(luò)信息時(shí)代以來(lái)，我國(guó)的現(xiàn)代化信息技術(shù)水平不斷提高，人們的生活與工作方式都出現(xiàn)了很大的變化，網(wǎng)絡(luò)應(yīng)用范圍越來(lái)越廣，網(wǎng)絡(luò)技術(shù)帶來(lái)的行業(yè)變革十分明顯，與此同時(shí)，網(wǎng)絡(luò)的應(yīng)用也伴隨著更多的安全隱患，例如木馬病毒感染、DDOS 攻擊等，導(dǎo)致網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)事件激增，對(duì)網(wǎng)絡(luò)用戶的個(gè)人信息安全以及機(jī)密文件安全造成了嚴(yán)重的影響，急需找到的有效的途徑，加強(qiáng)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析，保證網(wǎng)絡(luò)運(yùn)行環(huán)境安全。

1 數(shù)據(jù)挖掘技術(shù)概述

數(shù)據(jù)挖掘技術(shù)從廣義的角度上看就是數(shù)據(jù)庫(kù)中的知識(shí)發(fā)現(xiàn)，其技術(shù)核心是數(shù)據(jù)庫(kù)技術(shù)，它的應(yīng)用原理是對(duì)某一個(gè)范圍內(nèi)的海量數(shù)據(jù)進(jìn)行挖掘與分析，從而收集各種有效的數(shù)據(jù)，并在整理數(shù)據(jù)的過(guò)程中找到數(shù)據(jù)的內(nèi)在聯(lián)系與客觀規(guī)律，以此對(duì)其進(jìn)行準(zhǔn)確判斷與預(yù)測(cè)[1]。目前，隨著網(wǎng)絡(luò)的高速發(fā)展，數(shù)據(jù)挖掘技術(shù)的應(yīng)用范圍越來(lái)越廣泛，尤其是在網(wǎng)絡(luò)完全態(tài)勢(shì)分析中的應(yīng)用，獲得了良好的應(yīng)用成效。數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用具有較大的優(yōu)勢(shì)，可以很好的發(fā)現(xiàn)日常風(fēng)險(xiǎn)檢測(cè)技術(shù)所無(wú)法發(fā)覺(jué)的數(shù)據(jù)間關(guān)聯(lián)，準(zhǔn)確找到隱蔽的病毒以及安全攻擊行為等，以此快速的完成未知入侵行為的檢測(cè)，對(duì)網(wǎng)絡(luò)服務(wù)器和代理服務(wù)器實(shí)施高效檢測(cè)與防護(hù)。

2 網(wǎng)絡(luò)運(yùn)行安全主要風(fēng)險(xiǎn)問(wèn)題及特點(diǎn)

現(xiàn)如今，隨著我國(guó)網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為了人們普遍關(guān)注的熱點(diǎn)話題，網(wǎng)絡(luò)運(yùn)行過(guò)程中存在的風(fēng)險(xiǎn)種類也逐漸增多，包括木馬病毒感染、拒絕服務(wù)攻擊、網(wǎng)絡(luò)協(xié)議缺陷以及系統(tǒng)漏洞等，對(duì)網(wǎng)絡(luò)用戶的信息安全造成嚴(yán)重威脅[2]。網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題具有隱蔽性、突發(fā)性、傳染性強(qiáng)、破壞性大等特點(diǎn)，如果無(wú)法對(duì)其進(jìn)行有效的防護(hù)與安全態(tài)勢(shì)分析，就可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，讓更多的網(wǎng)絡(luò)用戶受到侵害。

2.1 木馬病毒感染

網(wǎng)絡(luò)安全問(wèn)題中最常見的就是木馬病毒感染，其具有病毒類型多、傳播性強(qiáng)、破壞性大以及隱蔽性強(qiáng)等特點(diǎn)，其本質(zhì)上是一種惡意的攻擊程序，攻擊性很強(qiáng)，并且是主動(dòng)性的攻擊行為。木馬病毒通常情況下會(huì)隱蔽在電腦程序的后臺(tái)，并利用部分程序的系統(tǒng)漏洞，在程序運(yùn)行的同時(shí)入侵到電腦系統(tǒng)中，破壞電腦系統(tǒng)的運(yùn)行環(huán)境，盜取電腦有效數(shù)據(jù)或者破壞電腦系統(tǒng)等。

2.2 拒絕服務(wù)攻擊（DDOS攻擊）

拒絕服務(wù)攻擊也被稱為DDOS 攻擊，其攻擊方式是向攻擊對(duì)象發(fā)出大量的服務(wù)請(qǐng)求，以此去擠占網(wǎng)絡(luò)用戶的大量資源，致使該對(duì)象無(wú)法正常的處理服務(wù)請(qǐng)求，導(dǎo)致網(wǎng)絡(luò)通道堵塞或者網(wǎng)絡(luò)系統(tǒng)癱瘓[3]。拒絕服務(wù)攻擊發(fā)出的各種服務(wù)請(qǐng)求都是合理的，因此很難被一般的網(wǎng)絡(luò)安全防護(hù)技術(shù)所阻擋。拒絕服務(wù)攻擊的攻擊特點(diǎn)包括分布范圍廣與規(guī)模大等，是一種主動(dòng)性的攻擊行為。拒絕服務(wù)攻擊在實(shí)施攻擊行為的過(guò)程中，首先需要對(duì)攻擊對(duì)象進(jìn)行確定與控制，然后會(huì)開展攻擊，最后完成后期處理。

2.3 網(wǎng)絡(luò)協(xié)議缺陷

隨著P2P 網(wǎng)絡(luò)技術(shù)的發(fā)展與創(chuàng)新，我國(guó)的網(wǎng)絡(luò)環(huán)境越來(lái)越開放，網(wǎng)絡(luò)用戶的信息共享性也得到了很大的提升，在一定程度上為網(wǎng)絡(luò)用戶的上網(wǎng)行為提供了便利的條件，但是網(wǎng)絡(luò)協(xié)議缺陷問(wèn)題也嚴(yán)峻起來(lái)，給網(wǎng)絡(luò)用戶的隱私安全造成了巨大的危害。網(wǎng)絡(luò)協(xié)議缺陷也是目前比較常見的網(wǎng)絡(luò)安全問(wèn)題，并且因?yàn)楝F(xiàn)階段網(wǎng)絡(luò)的動(dòng)態(tài)性以及開放性特征等，使得網(wǎng)絡(luò)協(xié)議缺陷的防護(hù)困難很大，容易給不法分子可乘之機(jī)，利用網(wǎng)絡(luò)協(xié)議缺陷去攻擊網(wǎng)絡(luò)，造成較大的網(wǎng)絡(luò)危害。

2.4 系統(tǒng)漏洞

系統(tǒng)漏洞可以說(shuō)是網(wǎng)絡(luò)安全問(wèn)題中最典型、最常見的，具有多種類型，并且?guī)缀趺恳粋€(gè)系統(tǒng)軟件都會(huì)存在系統(tǒng)漏洞，給網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)系統(tǒng)提供了條件。目前，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)漏洞的主要方式是防火墻技術(shù)，但是其在具體的應(yīng)用過(guò)程中仍然存在一些不足，防火墻雖然可以阻止以IP 包頭為基礎(chǔ)的攻擊行為，使得不被防火墻信任的訪問(wèn)以及地址等進(jìn)行中斷，但是卻不能阻止以數(shù)據(jù)為基礎(chǔ)的攻擊行為[4]。同時(shí)黑客還可以利用防火墻自身的漏洞繞過(guò)它對(duì)帶網(wǎng)絡(luò)進(jìn)行攻擊，因此防火墻的應(yīng)用是具有一定限制性的，缺少必要的靈活性。

3 基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析

3.1 數(shù)據(jù)關(guān)聯(lián)技術(shù)

數(shù)據(jù)關(guān)聯(lián)技術(shù)可以將網(wǎng)絡(luò)行為中的具體抽象邏輯思維有效的轉(zhuǎn)化為數(shù)據(jù)關(guān)系，該技術(shù)應(yīng)用的原理本質(zhì)是一種人類大腦的推理行為。即數(shù)據(jù)關(guān)聯(lián)技術(shù)認(rèn)定兩個(gè)數(shù)據(jù)之間是具備關(guān)聯(lián)的，就可以通過(guò)其中一個(gè)數(shù)據(jù)去推理另一個(gè)數(shù)據(jù)，利用數(shù)據(jù)之間的關(guān)聯(lián)性去挖掘多維度的數(shù)據(jù)信息。目前，數(shù)據(jù)關(guān)聯(lián)技術(shù)的主要應(yīng)用方面是回歸技術(shù)與信息網(wǎng)絡(luò)分析方式等，是一種應(yīng)用比較廣泛的數(shù)據(jù)挖掘技術(shù)。

3.2 數(shù)據(jù)聚類技術(shù)

基于數(shù)據(jù)挖掘的數(shù)據(jù)聚類技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用，是根據(jù)一些特定的網(wǎng)絡(luò)規(guī)律將海量的數(shù)據(jù)包分成多個(gè)類別，并且不同類別下的數(shù)據(jù)包擁有差異化的規(guī)律特征，以此利用這些差異規(guī)律去分析數(shù)據(jù)包的分布特點(diǎn)以及整體的疏密情況等，進(jìn)而識(shí)別出這些不同屬性數(shù)據(jù)包之間的彼此關(guān)聯(lián)。數(shù)據(jù)聚類技術(shù)的應(yīng)用目的是進(jìn)行數(shù)據(jù)總結(jié)，根據(jù)聚類分析算法的思路不同可以將其分成五個(gè)類別，分別為基于劃分的聚類分析、基于密度的聚類分析、基于模型的聚類分析、基于層次的聚類分析以及基于網(wǎng)絡(luò)的聚類分析[5]。該技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用，可以通過(guò)聚類分析的方法過(guò)濾網(wǎng)絡(luò)中正常的數(shù)據(jù)，將異常數(shù)據(jù)識(shí)別出來(lái)，進(jìn)行對(duì)其進(jìn)行入侵檢測(cè)。

3.3 數(shù)據(jù)分類技術(shù)

數(shù)據(jù)分類技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用主要是依據(jù)特殊的邏輯思維，將現(xiàn)有的網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行分類處理，是現(xiàn)階段網(wǎng)絡(luò)安全態(tài)勢(shì)分析中應(yīng)用比較廣泛的一種新型技術(shù)。在對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境進(jìn)行安全性檢查的過(guò)程中，數(shù)據(jù)分類技術(shù)的應(yīng)用可以實(shí)現(xiàn)對(duì)海量數(shù)據(jù)信息的快速分類處理，分類的方式主要有分類模型與分類函數(shù)兩種[6]。另外，利用數(shù)據(jù)分類技術(shù)建立的分類模型可以將數(shù)據(jù)庫(kù)中現(xiàn)有的數(shù)據(jù)信息反映到其它種類的信息集合中，形成數(shù)據(jù)信息比對(duì)，以此獲取數(shù)據(jù)信息的實(shí)際身份。通常情況下，數(shù)據(jù)分類技術(shù)的應(yīng)用效果會(huì)受到數(shù)據(jù)自身特點(diǎn)的影響，不同的分類模型在分類特征上具有較大的差別，數(shù)據(jù)分類效果與數(shù)據(jù)本身之間存在明顯的關(guān)聯(lián)性。

3.4 數(shù)據(jù)偏差技術(shù)

數(shù)據(jù)偏差技術(shù)是數(shù)據(jù)思維中的一種常規(guī)形式，是十分常見的。數(shù)據(jù)偏差技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用目的是識(shí)別數(shù)據(jù)信息的合理性與安全性。從網(wǎng)絡(luò)數(shù)據(jù)分析的層次去看，在給予網(wǎng)絡(luò)運(yùn)行環(huán)境動(dòng)態(tài)監(jiān)測(cè)的時(shí)候，仍然會(huì)受到網(wǎng)絡(luò)攻擊的行為的入侵，這是因?yàn)椴糠止粜袨榫哂幸欢ǖ膫窝b效果，可以隱藏在一些正常的系統(tǒng)程序或者服務(wù)指令下，利用網(wǎng)絡(luò)協(xié)議缺陷或者軟件漏洞等進(jìn)入網(wǎng)絡(luò)發(fā)起主動(dòng)攻擊，例如DDSO 攻擊以及木馬病毒等。而數(shù)據(jù)偏差技術(shù)的應(yīng)用正好可以在特定的數(shù)據(jù)信息標(biāo)準(zhǔn)上，找到數(shù)據(jù)之間的差異性，并將存在差異的數(shù)據(jù)信息進(jìn)行重點(diǎn)研究，評(píng)價(jià)其合理性與安全性。

4 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用

4.1 分析準(zhǔn)備

目前，隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)信息總量逐漸增多，數(shù)據(jù)信息類型也越來(lái)越豐富，網(wǎng)絡(luò)安全問(wèn)題的復(fù)雜程度也有所提升，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)分析提出了更高的要求，傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)已經(jīng)無(wú)法適應(yīng)當(dāng)前網(wǎng)絡(luò)環(huán)境對(duì)數(shù)據(jù)信息的需求。數(shù)據(jù)挖掘技術(shù)與分析技術(shù)的出現(xiàn)，有效解決了網(wǎng)絡(luò)安全態(tài)勢(shì)分析的技術(shù)問(wèn)題，可以從海量數(shù)據(jù)信息中挖掘出有效的數(shù)據(jù)信息并進(jìn)行處理[7]。在應(yīng)用數(shù)據(jù)挖掘技術(shù)之前，需要做好分析準(zhǔn)備，對(duì)目標(biāo)數(shù)據(jù)的分類、關(guān)聯(lián)性等進(jìn)行明確，以此實(shí)現(xiàn)挖掘方向的改變。數(shù)據(jù)挖掘技術(shù)的應(yīng)用主要過(guò)程為數(shù)據(jù)收集、整理、選擇、處理以及壓縮，需要進(jìn)行數(shù)據(jù)預(yù)處理，保證數(shù)據(jù)挖掘可以在全部的計(jì)算范圍內(nèi)。

4.2 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的具體應(yīng)用，核心的應(yīng)用階段是數(shù)據(jù)挖掘過(guò)程，目前可以使用的數(shù)據(jù)挖掘方式有很多種，可以根據(jù)網(wǎng)絡(luò)運(yùn)行情況以及挖掘具體要求合理的選用。另外，在我國(guó)網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的推動(dòng)下，再加上人們對(duì)網(wǎng)絡(luò)安全重視程度不斷提高，數(shù)據(jù)挖掘方式也越來(lái)越多，更多的新技術(shù)、新算法應(yīng)運(yùn)而生，拓展了數(shù)據(jù)挖掘技術(shù)的應(yīng)用途徑。從當(dāng)前數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中的應(yīng)用情況來(lái)看，應(yīng)用比多、應(yīng)用比較成熟的方法主要包括遺傳算法、決策樹算法以及神經(jīng)網(wǎng)絡(luò)算法等。不同的數(shù)據(jù)挖掘算法在應(yīng)用的過(guò)程中需要有對(duì)應(yīng)的挖掘程序。在應(yīng)用數(shù)據(jù)挖掘技術(shù)的過(guò)程中，首先需要根據(jù)數(shù)據(jù)庫(kù)知識(shí)去選擇挖掘目標(biāo)，并根據(jù)挖掘目標(biāo)的特征與規(guī)律去選擇合適的計(jì)算方法。其次，需要通過(guò)建立數(shù)據(jù)挖掘模型的方式去找到合適的參數(shù)，保證數(shù)據(jù)挖掘方法與挖掘?qū)ο蟊舜宋呛?。最后，要進(jìn)一步驗(yàn)證數(shù)據(jù)的可信度，確保挖掘過(guò)程以及計(jì)算工作可以順利進(jìn)行。

4.3 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)過(guò)程中應(yīng)用數(shù)據(jù)挖掘技術(shù)的目的是在海量數(shù)據(jù)目標(biāo)中找到異常數(shù)據(jù)，并且需要通過(guò)合理的挖掘算法對(duì)數(shù)據(jù)目標(biāo)的內(nèi)容進(jìn)行挖掘與計(jì)算，進(jìn)而為網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)提供強(qiáng)有力的參考依據(jù)。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)過(guò)程中，可以分成三個(gè)階段，第一個(gè)階段是直接顯示數(shù)據(jù)挖掘結(jié)果，在一般情況下，直接顯示數(shù)據(jù)挖掘結(jié)果可以讓用戶更好的理解網(wǎng)絡(luò)安全態(tài)勢(shì)以及合理使用網(wǎng)絡(luò)，為其上網(wǎng)行為提供便利條件。第二個(gè)階段是數(shù)據(jù)挖掘結(jié)果評(píng)價(jià)，即在數(shù)據(jù)挖掘目標(biāo)的基礎(chǔ)上，給予數(shù)據(jù)挖掘結(jié)果適當(dāng)?shù)?、客觀的評(píng)價(jià)[8]。第三個(gè)階段是預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，需要在完成數(shù)據(jù)挖掘以后對(duì)數(shù)據(jù)信息進(jìn)行分析，以此評(píng)價(jià)與反映網(wǎng)絡(luò)安全態(tài)勢(shì)。所以，在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的時(shí)候，需要將挖掘到的知識(shí)與系統(tǒng)進(jìn)行融合，顯示并評(píng)價(jià)知識(shí)的機(jī)制，以此對(duì)異常數(shù)據(jù)進(jìn)行準(zhǔn)確的判斷，將篩選出的異常數(shù)據(jù)與可信度較高的知識(shí)進(jìn)行對(duì)比，有效解決網(wǎng)絡(luò)安全的具體問(wèn)題。

4.4 創(chuàng)建網(wǎng)絡(luò)入侵檢測(cè)模型

在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中應(yīng)用數(shù)據(jù)挖掘技術(shù)，可以針對(duì)現(xiàn)有的網(wǎng)絡(luò)安全常見問(wèn)題創(chuàng)建網(wǎng)絡(luò)入侵檢測(cè)模型，并利用數(shù)據(jù)挖掘技術(shù)幫助網(wǎng)絡(luò)用戶在海量的數(shù)據(jù)信息中了解人們從未涉及到的數(shù)據(jù)規(guī)律與知識(shí)，對(duì)異常數(shù)據(jù)類型進(jìn)行快速響應(yīng)與分析?；跀?shù)據(jù)挖掘技術(shù)創(chuàng)建的網(wǎng)絡(luò)入侵檢測(cè)模型由預(yù)檢測(cè)模塊、行為分析模塊以及特征提取模塊三大模塊組成。以公司網(wǎng)絡(luò)運(yùn)行環(huán)境為例，使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以實(shí)現(xiàn)對(duì)員工上網(wǎng)行為的實(shí)時(shí)監(jiān)測(cè)，查看其登錄的網(wǎng)頁(yè)信息，以此確保企業(yè)內(nèi)部的網(wǎng)絡(luò)安全，保障企業(yè)信息數(shù)據(jù)安全，避免數(shù)據(jù)泄露或者丟失。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)模型的創(chuàng)建還可以對(duì)計(jì)算機(jī)設(shè)備或者網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行動(dòng)態(tài)分析，準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行過(guò)程中出現(xiàn)的異常數(shù)據(jù)，及時(shí)進(jìn)行處理，進(jìn)而保障網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。

5 結(jié)論

綜上所述，隨著我國(guó)網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)總量越來(lái)越多，數(shù)據(jù)類型逐漸豐富，再給人們的生活與工作帶去便利條件的同時(shí)，也帶來(lái)了更多的網(wǎng)絡(luò)安全隱患，需要做好網(wǎng)絡(luò)安全態(tài)勢(shì)分析。合理的應(yīng)用數(shù)據(jù)挖掘技術(shù)，可以提高網(wǎng)絡(luò)安全態(tài)勢(shì)分析的效率與準(zhǔn)確性，對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行準(zhǔn)確預(yù)測(cè)與處理，并且可以通過(guò)創(chuàng)建網(wǎng)絡(luò)入侵檢測(cè)模型主動(dòng)開展防御，進(jìn)而提高網(wǎng)絡(luò)安全性，保障網(wǎng)絡(luò)用戶的正常使用。