董天宇 黃云

（安徽繼遠(yuǎn)檢驗(yàn)檢測(cè)技術(shù)有限公司 安徽省合肥市 230088）

就目前情況而言，隨著我國社會(huì)科技的發(fā)展，我國計(jì)算機(jī)技術(shù)、信息技術(shù)得到了快速的發(fā)展，而大數(shù)據(jù)技術(shù)則是計(jì)算機(jī)技術(shù)與信息技術(shù)發(fā)展的產(chǎn)物。大數(shù)據(jù)技術(shù)是一種信息收集、分析、整理與存儲(chǔ)技術(shù)，其能夠?qū)崿F(xiàn)對(duì)多種信息數(shù)據(jù)的管理，在網(wǎng)絡(luò)入侵檢測(cè)中應(yīng)用大數(shù)據(jù)技術(shù)，不僅能夠提高網(wǎng)絡(luò)入侵檢測(cè)的精準(zhǔn)度與準(zhǔn)確度，同時(shí)還能夠?qū)崿F(xiàn)自動(dòng)化、智能化的網(wǎng)絡(luò)入侵檢測(cè)管理，這對(duì)于保證計(jì)算機(jī)網(wǎng)絡(luò)能夠安全、穩(wěn)定的運(yùn)行具有十分重要的現(xiàn)實(shí)意義。

1 相關(guān)理論概述

1.1 大數(shù)據(jù)技術(shù)概述

大數(shù)據(jù)技術(shù)是現(xiàn)代信息化社會(huì)發(fā)展的必然產(chǎn)物，同時(shí)也是推進(jìn)我國現(xiàn)代社會(huì)發(fā)展的重要技術(shù)。大數(shù)據(jù)是一種數(shù)據(jù)的集合，能夠?qū)崿F(xiàn)海量信息的分析、整理與存儲(chǔ)，是以信息數(shù)據(jù)為本質(zhì)的信息技術(shù)，同時(shí)，在對(duì)大數(shù)據(jù)中數(shù)據(jù)信息挖掘的過程中，能夠?qū)崿F(xiàn)對(duì)理念、模式、技術(shù)及應(yīng)用的創(chuàng)新，從而達(dá)到不斷優(yōu)化、創(chuàng)新大數(shù)據(jù)技術(shù)的目的，促使大數(shù)據(jù)技術(shù)更適用于現(xiàn)代信息化社會(huì)發(fā)展的需求，為現(xiàn)代社會(huì)發(fā)展提供輔助型的力量。大數(shù)據(jù)其實(shí)就是一種數(shù)據(jù)庫，在該數(shù)據(jù)庫內(nèi)存儲(chǔ)了各行各業(yè)的各類數(shù)據(jù)信息，相關(guān)工作人員在數(shù)據(jù)庫收集數(shù)據(jù)信息時(shí)，便可通過相應(yīng)的技術(shù)收集到想要的信息，提高了信息收集的時(shí)效性。大數(shù)據(jù)技術(shù)即通過互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及企業(yè)數(shù)據(jù)等建立一個(gè)數(shù)據(jù)源，經(jīng)過提取、轉(zhuǎn)化、加載完成數(shù)據(jù)的收集，并能夠?qū)?shù)據(jù)存儲(chǔ)與系統(tǒng)當(dāng)中，在該系統(tǒng)中，能夠?qū)崿F(xiàn)對(duì)信息數(shù)據(jù)的自動(dòng)化管理，當(dāng)使用用戶想要收集相關(guān)數(shù)據(jù)時(shí)，可根據(jù)權(quán)限在數(shù)據(jù)庫中提取，從而使得數(shù)據(jù)變得可視化[1]。

1.2 網(wǎng)絡(luò)入侵檢測(cè)概念

網(wǎng)絡(luò)入侵檢測(cè)是保證網(wǎng)絡(luò)運(yùn)行安全的重要技術(shù)，網(wǎng)絡(luò)入侵檢測(cè)主要是檢測(cè)的是網(wǎng)絡(luò)的運(yùn)行狀態(tài)，即計(jì)算機(jī)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的行為，并辨別用戶的行為是否能夠?qū)W(wǎng)絡(luò)產(chǎn)生入侵威脅，若用戶的行為將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生入侵傷害，則網(wǎng)絡(luò)入侵檢測(cè)能夠?qū)θ肭中袨檫M(jìn)行攔截，并上報(bào)網(wǎng)絡(luò)用戶，從而最大程度上保證網(wǎng)絡(luò)的安全性，確保了網(wǎng)絡(luò)能夠平穩(wěn)運(yùn)行。網(wǎng)絡(luò)入侵檢測(cè)是計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)部系統(tǒng)，是一種重要的網(wǎng)絡(luò)安全管理技術(shù)，利用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，能夠?qū)崿F(xiàn)對(duì)不同系統(tǒng)源的信息收集，并通過對(duì)這些數(shù)據(jù)信息的分析判斷計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行狀況，并辨別計(jì)算機(jī)網(wǎng)絡(luò)是否存在入侵危險(xiǎn)，是否存在他人網(wǎng)絡(luò)入侵攻擊的問題。此外，利用網(wǎng)絡(luò)入侵檢測(cè)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行數(shù)據(jù)實(shí)現(xiàn)全面的監(jiān)控，當(dāng)網(wǎng)絡(luò)開始運(yùn)行時(shí)，網(wǎng)絡(luò)入侵檢測(cè)便開展工作，直至計(jì)算機(jī)網(wǎng)絡(luò)停止運(yùn)行，在此過程中，網(wǎng)絡(luò)入侵檢測(cè)能夠根據(jù)自動(dòng)收集的網(wǎng)絡(luò)運(yùn)行狀況制作成網(wǎng)絡(luò)檢測(cè)記錄，并自動(dòng)上傳至系統(tǒng)保存，相關(guān)工作人員在進(jìn)行網(wǎng)絡(luò)管理時(shí)便可到系統(tǒng)中搜尋網(wǎng)絡(luò)檢測(cè)記錄，從而為計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行提供判斷支持。同時(shí)，當(dāng)網(wǎng)絡(luò)入侵檢測(cè)發(fā)現(xiàn)存在入侵攻擊時(shí)，可自動(dòng)生成反應(yīng)報(bào)告，并上報(bào)給相關(guān)工作人員，部分威脅網(wǎng)絡(luò)入侵檢測(cè)可以利用防火墻自動(dòng)地域，而對(duì)于抵御難度系數(shù)較大的入侵行為，需要相關(guān)工作人員根據(jù)反應(yīng)報(bào)告及時(shí)制定入侵抵御計(jì)劃，從而保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性[2]。

1.3 常見的網(wǎng)絡(luò)入侵方式

網(wǎng)絡(luò)入侵是影響計(jì)算機(jī)網(wǎng)絡(luò)使用穩(wěn)定性與使用安全性的關(guān)鍵因素，其不僅可以導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行受到影響，同時(shí)也能夠盜取網(wǎng)絡(luò)用戶計(jì)算機(jī)中的數(shù)據(jù)信息，使得網(wǎng)絡(luò)計(jì)算機(jī)用戶的數(shù)據(jù)信息泄露，使得網(wǎng)絡(luò)計(jì)算機(jī)用戶的信息安全無法得到保證，甚至有可能損壞企業(yè)的經(jīng)濟(jì)效益。據(jù)筆者調(diào)查研究顯示，現(xiàn)階段常見的網(wǎng)絡(luò)入侵主要包括三種，分別為網(wǎng)絡(luò)病毒入侵、網(wǎng)絡(luò)黑客入侵及拒絕服務(wù)攻擊。

（1）從網(wǎng)絡(luò)病毒入侵的角度來分析。網(wǎng)絡(luò)病毒入侵是最為常見的網(wǎng)絡(luò)入侵方式，其主要是在計(jì)算機(jī)網(wǎng)絡(luò)中植入木馬病毒，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)無法正常的使用。網(wǎng)絡(luò)病毒入侵對(duì)網(wǎng)絡(luò)運(yùn)行的損害較大，且修復(fù)難度較大，同時(shí)，現(xiàn)階段由于我國網(wǎng)絡(luò)入侵檢測(cè)技術(shù)還不夠成熟，且木馬病毒具有較大的感染性與隱蔽性，很多木馬病毒無法順利的被檢測(cè)出來，致使計(jì)算機(jī)網(wǎng)絡(luò)很容易受到網(wǎng)絡(luò)病毒的侵害。

（2）從網(wǎng)絡(luò)黑客入侵的角度來分析。網(wǎng)絡(luò)黑客入侵主要是入侵技術(shù)人員根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)中的漏洞深入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中，并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)行修改、植入木馬病毒等攻擊行為。網(wǎng)絡(luò)黑客入侵的主要目的為盜取計(jì)算機(jī)網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù)，或利用計(jì)算機(jī)網(wǎng)絡(luò)發(fā)布指令等。

（3）從拒絕服務(wù)攻擊的角度來分析。拒絕服務(wù)攻擊是指利用相關(guān)技術(shù)手段使得計(jì)算機(jī)網(wǎng)絡(luò)拒絕為用戶提供服務(wù)，導(dǎo)致用戶的數(shù)據(jù)信息無法被保存，造成用戶的計(jì)算機(jī)網(wǎng)絡(luò)癱瘓或停止運(yùn)行，從而引起用戶的數(shù)據(jù)丟失[3]。

1.4 網(wǎng)絡(luò)入侵檢測(cè)的重要作用

近年來，伴隨著我國社會(huì)科技的發(fā)展，我國網(wǎng)絡(luò)入侵檢測(cè)技術(shù)在大數(shù)據(jù)技術(shù)、云計(jì)算機(jī)技術(shù)的支持下得到了快速的發(fā)展，但由于我國網(wǎng)絡(luò)入侵檢測(cè)技術(shù)起步較晚，目前仍處于發(fā)展中階段，很多網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品并不完善，致使其在實(shí)際使用過程中還存在諸多的問題。首先，就目前情況而言，我國很多網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的精準(zhǔn)度不高，難以實(shí)現(xiàn)對(duì)入侵行為的精準(zhǔn)把控，存在較大的漏洞，很多入侵行為發(fā)現(xiàn)不及時(shí)或未發(fā)現(xiàn)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行受到了損害。其次，針對(duì)網(wǎng)絡(luò)入侵行為的拒絕服務(wù)攻擊的處理能不強(qiáng)，且未有完善的自動(dòng)修復(fù)技術(shù)，致使還是存在較大的數(shù)據(jù)信息丟失威脅。再次，現(xiàn)階段我國大部分網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的獨(dú)立性較強(qiáng)，未能實(shí)現(xiàn)與計(jì)算機(jī)網(wǎng)絡(luò)其他安全部件的良好聯(lián)動(dòng)，致使網(wǎng)絡(luò)入侵檢測(cè)功能大打折扣，且成本增加。最后，我國大部分網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品未具備完善的測(cè)試評(píng)估便上市發(fā)行，致使在實(shí)際使用中適用性與功能性不強(qiáng)，且對(duì)于網(wǎng)絡(luò)入侵產(chǎn)品的檢測(cè)標(biāo)準(zhǔn)不統(tǒng)一，致使市場(chǎng)上網(wǎng)絡(luò)入侵產(chǎn)品質(zhì)量參差不齊。

由此可見，加強(qiáng)對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的優(yōu)化，提升網(wǎng)絡(luò)入侵產(chǎn)品的質(zhì)量是尤為重要的。網(wǎng)絡(luò)入侵檢測(cè)可以說是計(jì)算機(jī)網(wǎng)絡(luò)防火墻的補(bǔ)充技術(shù)，其在一定程度上能夠幫助防火墻實(shí)現(xiàn)抵御入侵，同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)還能夠通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)控發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中存在的問題，辨別是否存在入侵跡象和入侵行為，根據(jù)實(shí)際網(wǎng)絡(luò)運(yùn)行狀態(tài)精準(zhǔn)辨別入侵方式及入侵部位，幫助相關(guān)工作人員及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的漏洞，從而便于實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的漏洞修補(bǔ)順利完成，這對(duì)于保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性具有十分重要的現(xiàn)實(shí)意義[4]。

2 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

數(shù)據(jù)挖掘技術(shù)是大數(shù)據(jù)技術(shù)的重要組成部分，結(jié)合業(yè)內(nèi)相關(guān)研究成果與工作經(jīng)驗(yàn)來看，該技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)的應(yīng)用中具有良好表現(xiàn)。具體來講：

2.1 系統(tǒng)模型與檢測(cè)方法

數(shù)據(jù)挖掘技術(shù)是現(xiàn)階段我國網(wǎng)絡(luò)入侵檢測(cè)中普遍使用的一種檢測(cè)技術(shù)，其能夠幫助網(wǎng)絡(luò)入侵檢測(cè)提高檢測(cè)的精準(zhǔn)度，促使網(wǎng)絡(luò)入侵檢測(cè)能夠真正的發(fā)揮其功能與價(jià)值，同時(shí)具有成本低、流程簡(jiǎn)便的優(yōu)勢(shì)。數(shù)據(jù)挖掘技術(shù)是基于大數(shù)據(jù)技術(shù)下的數(shù)據(jù)信息自動(dòng)收集技術(shù)，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中，能夠?qū)崿F(xiàn)與計(jì)算機(jī)網(wǎng)絡(luò)其他安全部件的良好配合，達(dá)到1+1>2 的目的，同時(shí)，在大數(shù)據(jù)技術(shù)的支持下，數(shù)據(jù)挖掘技術(shù)還能夠?qū)崿F(xiàn)自我學(xué)習(xí)、自我創(chuàng)新，從而達(dá)到優(yōu)化技術(shù)的目的，促使數(shù)據(jù)挖掘技術(shù)更具備適用性。

就目前情況而言，現(xiàn)階段我國常用的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)主要包括兩種，一種是在主機(jī)上安裝網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品，而另一種則是在網(wǎng)絡(luò)上安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，但無論是那種方式都存在一定的漏洞，而基于大數(shù)據(jù)的數(shù)據(jù)挖掘技術(shù)主要是將兩種系統(tǒng)向融合，構(gòu)建一個(gè)Agent 檢測(cè)系統(tǒng)，在該系統(tǒng)中，既能夠?qū)崿F(xiàn)對(duì)主機(jī)的入侵檢測(cè)，又能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的入侵檢測(cè)，同時(shí)，能夠?qū)崿F(xiàn)智能化、自動(dòng)化的檢測(cè)，從而滿足不同環(huán)境下入侵檢測(cè)對(duì)檢測(cè)系統(tǒng)的需求。同時(shí)，利用數(shù)據(jù)挖掘技術(shù)構(gòu)建的網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品可以說是一種新型的網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品，其并不需要進(jìn)行對(duì)硬件、軟件的調(diào)整，而是直接將系統(tǒng)輸入到網(wǎng)絡(luò)系統(tǒng)當(dāng)中，具有較強(qiáng)的適應(yīng)力，且具備自主學(xué)習(xí)功能，能夠應(yīng)對(duì)多變的網(wǎng)絡(luò)入侵手段與形式，故而能夠提升網(wǎng)絡(luò)入侵檢測(cè)水平。

2.2 系統(tǒng)架構(gòu)設(shè)計(jì)

現(xiàn)階段，國內(nèi)外常用的網(wǎng)絡(luò)入侵系統(tǒng)構(gòu)架主要有兩種形式，第一種為設(shè)計(jì)一個(gè)中心管理平臺(tái)，在在該平臺(tái)對(duì)入侵檢測(cè)進(jìn)行管理與控制，但該系統(tǒng)構(gòu)架適用于小心網(wǎng)絡(luò)管理中，若將其應(yīng)用于大型網(wǎng)絡(luò)管理中容易存在檢測(cè)數(shù)據(jù)信息準(zhǔn)確度降低的劣勢(shì)。第二種網(wǎng)絡(luò)系統(tǒng)構(gòu)架為分布式體系構(gòu)架，該構(gòu)架主要是在子網(wǎng)上構(gòu)建一個(gè)獨(dú)立的系統(tǒng)，每一個(gè)區(qū)域均有一個(gè)系統(tǒng)負(fù)責(zé)入侵檢測(cè)，且每一個(gè)系統(tǒng)均可以看做是一個(gè)個(gè)體，該種方式的系統(tǒng)構(gòu)架能夠全面、細(xì)致的檢測(cè)到每一個(gè)子網(wǎng)絡(luò)上的入侵行為，故而更適用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的構(gòu)架當(dāng)中。

在進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的構(gòu)架設(shè)計(jì)時(shí)，首先需要收集預(yù)處理數(shù)據(jù)源，并將預(yù)處理數(shù)據(jù)源轉(zhuǎn)移到數(shù)據(jù)倉庫存儲(chǔ)，隨后利用數(shù)據(jù)挖掘技術(shù)建立一個(gè)數(shù)據(jù)挖掘引擎，隨后將數(shù)據(jù)信息分別輸送到檢測(cè)模塊與規(guī)則庫當(dāng)中，且規(guī)則庫同時(shí)需要收集管理控制模塊，經(jīng)過規(guī)則庫分析與處理的信息也需要傳送到檢測(cè)模塊當(dāng)中，隨后檢測(cè)模塊通過對(duì)數(shù)據(jù)信息的檢測(cè)判斷是否存在網(wǎng)絡(luò)入侵行為，若發(fā)現(xiàn)存在入侵規(guī)則行為后，需要將信息傳遞到入侵相應(yīng)模塊當(dāng)中，從而完成對(duì)網(wǎng)絡(luò)入侵檢測(cè)的全流程。

2.3 數(shù)據(jù)挖掘算法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用主要利用的是數(shù)據(jù)挖掘算法，數(shù)據(jù)挖掘算法主要是利用關(guān)聯(lián)規(guī)則建立數(shù)據(jù)集合，由此可見，數(shù)據(jù)挖掘算法主要是挖掘網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中的關(guān)聯(lián)性，從而分析入侵屬性之間的聯(lián)系，利用相應(yīng)規(guī)則建立數(shù)據(jù)排列，并剔除無用數(shù)據(jù)信息，從而提升了數(shù)據(jù)信息分析的準(zhǔn)確性。

關(guān)聯(lián)規(guī)則在網(wǎng)絡(luò)入侵檢測(cè)中應(yīng)用的主要機(jī)理為：通過應(yīng)用相應(yīng)的關(guān)聯(lián)規(guī)則算法，可在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中快速發(fā)現(xiàn)很多未知的網(wǎng)絡(luò)入侵檢測(cè)方式，為網(wǎng)絡(luò)入侵檢測(cè)和防范提供必要的數(shù)據(jù)支撐，從而更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性和穩(wěn)定性。和其他網(wǎng)絡(luò)入侵檢測(cè)方式相比，利用關(guān)聯(lián)規(guī)則算法能夠快速有效的挖掘出那些未知的網(wǎng)絡(luò)入侵方式，同時(shí)顯示目前計(jì)算機(jī)用戶的各種信息及行為方式，檢測(cè)現(xiàn)有的行為方式和歷史數(shù)據(jù)及行為是否一致，如果二者之問存在較大的差距，則可判定為入侵行為。在網(wǎng)絡(luò)入侵檢測(cè)方中，用戶在使用計(jì)算機(jī)系統(tǒng)時(shí)，需要先進(jìn)行登錄，每登錄一次可看作是一個(gè)事務(wù)，用t 來表示，隨著用戶登錄次數(shù)的更多，會(huì)形成t 的事務(wù)數(shù)據(jù)庫，用D 來表示，D 數(shù)據(jù)庫有很多個(gè)不同類型的表組成。用戶登錄計(jì)算機(jī)系統(tǒng)記錄樣本的集合，可用T 來表示；特征項(xiàng)的集合，用z 來表示.關(guān)聯(lián)規(guī)則的蘊(yùn)含式為A 一B，無論是A，還是B，屬于z 的子集，而且A 和B 不存在相互關(guān)聯(lián)，二者之問的交集為空集。A 在D 中是成立的，其支持度為S，置信度為C。其中S 為D 中事務(wù)包含AUB 的百分比，可看作是一個(gè)概率。而C 則是D 包含A 事務(wù)的同時(shí)也包含B 事務(wù)的百分比，可以看作是一個(gè)條件概率。

3 結(jié)論

綜上所述，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)直接影響著計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性，因此，為了提升我國網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的水平，提升網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的質(zhì)量，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全，需要在網(wǎng)絡(luò)入侵檢測(cè)中融入大數(shù)據(jù)技術(shù)，并合理的運(yùn)用數(shù)據(jù)挖掘算法實(shí)現(xiàn)對(duì)入侵?jǐn)?shù)據(jù)信息的精準(zhǔn)信息，從而提升網(wǎng)絡(luò)入侵檢測(cè)的精準(zhǔn)度，確保不會(huì)存在入侵信息的漏失，這對(duì)于提升我國網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的發(fā)展十分重要，同時(shí)也是滿足我國現(xiàn)代信息化社會(huì)發(fā)展的必然選擇。