姚呈呈，高 晶，吳 瑕

（沈陽工學(xué)院 遼寧 撫順 113122）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)信息安全的維護(hù)是一項(xiàng)十分復(fù)雜且煩瑣的工作，日常需要較多的設(shè)備及裝置進(jìn)行支撐，對(duì)運(yùn)行過程中存在的不安全因素及干擾信息進(jìn)行排除、處理營造更加穩(wěn)定的信息化環(huán)境。 近年來，由于網(wǎng)絡(luò)數(shù)據(jù)及信息量的不斷攀升，再加上網(wǎng)絡(luò)范圍的擴(kuò)展與延伸，常常出現(xiàn)數(shù)據(jù)信息的入侵、失真等問題，對(duì)日常的計(jì)算機(jī)應(yīng)用效果造成影響，為避免上述問題的出現(xiàn)，相關(guān)人員設(shè)定了網(wǎng)絡(luò)信息入侵檢測(cè)方法，周柏潤等［1］和楊曉暉等［2］設(shè)定傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)方法，傳統(tǒng)種群聚類和互信息計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)方法，這一類檢測(cè)方法雖然可以實(shí)現(xiàn)預(yù)期的處理任務(wù)，但是缺乏實(shí)際的針對(duì)性和穩(wěn)定性，對(duì)于檢測(cè)的目標(biāo)并不明確，而且單一的檢測(cè)結(jié)構(gòu)對(duì)于信息入侵目標(biāo)的執(zhí)行效率較低，再加上環(huán)境和特定因素的影響，促使檢測(cè)結(jié)果出現(xiàn)誤差，不利于后期相關(guān)工作的處理，為此提出對(duì)數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)中的應(yīng)用分析。 所謂數(shù)據(jù)挖掘技術(shù)，主要是從大量的數(shù)據(jù)中采用多源算法測(cè)算的方式進(jìn)行隱藏測(cè)定，實(shí)現(xiàn)信息處理的過程，將該項(xiàng)技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)工作進(jìn)行融合匯總，在一定程度上可以進(jìn)一步擴(kuò)大實(shí)際的檢測(cè)范圍，結(jié)合實(shí)際的檢測(cè)應(yīng)用需求，設(shè)計(jì)更加穩(wěn)定、靈活的檢測(cè)結(jié)構(gòu)，實(shí)現(xiàn)初始入侵檢測(cè)目標(biāo)。 不僅如此，在數(shù)據(jù)挖掘技術(shù)的輔助和支持下，信息檢測(cè)程序還會(huì)及時(shí)對(duì)于入侵異常位置作出標(biāo)定處理，采集相關(guān)的異常數(shù)據(jù)和信息，采用特定統(tǒng)一的格式，轉(zhuǎn)換為數(shù)據(jù)包，傳輸?shù)皆O(shè)定的位置之上，便于后續(xù)的使用與查詢［3］。 通過特定的數(shù)據(jù)統(tǒng)計(jì)方式，結(jié)合在線分析處理、情報(bào)檢索、機(jī)器學(xué)習(xí)等技術(shù)，更為及時(shí)、高效地實(shí)現(xiàn)預(yù)設(shè)的檢測(cè)目標(biāo)，為后續(xù)相關(guān)工作的執(zhí)行夯實(shí)基礎(chǔ)［4］。

1 設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)信息入侵?jǐn)?shù)據(jù)挖掘檢測(cè)方法

1.1 提取初始信息入侵檢測(cè)特征

網(wǎng)絡(luò)信息的入侵檢測(cè)雖然一般需要進(jìn)行多層級(jí)的篩選和檢測(cè)，但是單一的檢測(cè)方式對(duì)于目標(biāo)的處理效率相對(duì)較低，再加上外部環(huán)境及特定因素的影響，導(dǎo)致最終的檢測(cè)結(jié)果出現(xiàn)誤差，為此結(jié)合實(shí)際的檢測(cè)需求，綜合數(shù)據(jù)挖掘技術(shù)，進(jìn)行初始信息入侵檢測(cè)特征的提取［5］。 當(dāng)前的入侵形式大致可以分為以下幾種：突發(fā)性入侵、接觸式入侵和遞階式入侵，不同的入侵形式需要制定的檢測(cè)結(jié)構(gòu)也存在較大的差異［6］。 在進(jìn)行特征提取前，結(jié)合數(shù)據(jù)挖掘技術(shù)，先構(gòu)建初始特征提取流程，該流程按照異常數(shù)據(jù)提取—引導(dǎo)轉(zhuǎn)換處理—數(shù)據(jù)挖掘進(jìn)行檢測(cè)定位—檢測(cè)規(guī)律總結(jié)—特征提取的順序完成對(duì)初始信息入侵檢測(cè)特征提取。 然后針對(duì)入侵形式，逐一進(jìn)行特征的分解研究。 第一是突發(fā)性的入侵形式，這一類型的計(jì)算機(jī)網(wǎng)絡(luò)信息入侵通常是突發(fā)性的，入侵的目標(biāo)也是隨機(jī)的，難以進(jìn)行精準(zhǔn)預(yù)測(cè)和識(shí)別，所以在進(jìn)行檢測(cè)特征提取時(shí)，更加偏重于概率性的隨機(jī)檢測(cè)，獲取的檢測(cè)數(shù)據(jù)及信息通常也是模糊的［7］；第二是接觸式的入侵。 與突發(fā)入侵不同的是，接觸式的入侵一般是觸及某一指令或者預(yù)設(shè)的協(xié)議，所形成的預(yù)留入侵［8］。 一般設(shè)置范圍性的入侵檢測(cè)形式，特征為群體性的檢測(cè)特征，具有一定的針對(duì)性和比對(duì)性；第三是遞階式入侵，實(shí)際上是多階入侵，它的入侵程度是逐漸加深的，一般呈現(xiàn)出靈活轉(zhuǎn)換和逐級(jí)信息入侵的特征，所以在設(shè)計(jì)檢測(cè)結(jié)構(gòu)時(shí)，可以構(gòu)建多層級(jí)的檢測(cè)標(biāo)準(zhǔn)，這有利于獲取更加真實(shí)的檢測(cè)結(jié)果［9］。

1.2 設(shè)計(jì)關(guān)聯(lián)規(guī)則及多層級(jí)交叉入侵檢測(cè)框架

完成對(duì)初始信息入侵檢測(cè)特征的提取后，結(jié)合數(shù)據(jù)挖掘技術(shù)，設(shè)計(jì)關(guān)聯(lián)規(guī)則及多層級(jí)交叉入侵檢測(cè)框架［10］。一般狀態(tài)下，異常端在對(duì)計(jì)算機(jī)進(jìn)行信息入侵時(shí)，會(huì)違背一部分預(yù)設(shè)的規(guī)則，由于預(yù)設(shè)的規(guī)則通常并不是固定的，因此對(duì)入侵位置進(jìn)行檢測(cè)會(huì)存在一定的難度，也無法更好地保證檢測(cè)結(jié)果的穩(wěn)定與真實(shí)。 面對(duì)上述問題，設(shè)計(jì)約束性的關(guān)聯(lián)規(guī)則。 給定一組定向的識(shí)別檢測(cè)項(xiàng)目，依據(jù)不同的類別做出轉(zhuǎn)換及數(shù)據(jù)處理，形成循環(huán)性的檢測(cè)集合，通過數(shù)據(jù)原理逐步推導(dǎo)出數(shù)據(jù)信息項(xiàng)目之間的正向蘊(yùn)涵關(guān)系，本次使用Apriori 算法，建立一個(gè)關(guān)聯(lián)規(guī)則約束矩陣，具體如式（1）所示：

式（1）中：D表示關(guān)聯(lián)規(guī)則檢測(cè)約束基準(zhǔn)值，?表示平衡比，n表示預(yù)設(shè)檢測(cè)范圍，β表示實(shí)測(cè)檢測(cè)范圍，u表示定向檢測(cè)次數(shù)，b表示單元檢測(cè)定值。 根據(jù)上述測(cè)定，完成對(duì)關(guān)聯(lián)規(guī)則檢測(cè)約束基準(zhǔn)值的計(jì)算，將其設(shè)定在初始的檢測(cè)矩陣之中，作為基礎(chǔ)性的檢測(cè)限制標(biāo)準(zhǔn)。 隨即以此為基礎(chǔ)，綜合數(shù)據(jù)挖掘技術(shù)，進(jìn)行多層級(jí)交叉入侵檢測(cè)框架的設(shè)計(jì)。

與普通的檢測(cè)結(jié)構(gòu)不同的是，此次所設(shè)計(jì)的入侵檢測(cè)形式具有一定的關(guān)聯(lián)性。 首先結(jié)合實(shí)際的入侵檢測(cè)條件，構(gòu)建多層級(jí)的交叉檢測(cè)目標(biāo)，分類設(shè)定在矩陣之中，以基準(zhǔn)作為限制進(jìn)行比對(duì)。 然后在整個(gè)過程中，需要在構(gòu)建矩陣中設(shè)置一個(gè)數(shù)據(jù)挖掘交叉序列，交叉序列與設(shè)置的檢測(cè)程序相關(guān)聯(lián)，一旦出現(xiàn)異?；蛘咝畔⑷肭值惹闆r，異常數(shù)據(jù)會(huì)自動(dòng)形成數(shù)據(jù)包傳輸?shù)綄?duì)應(yīng)的位置上，檢測(cè)程序會(huì)對(duì)異常或者入侵的位置進(jìn)行交叉標(biāo)記處理，為后續(xù)的檢測(cè)解析以及識(shí)別調(diào)整奠定基礎(chǔ)。

1.3 構(gòu)建數(shù)據(jù)挖掘網(wǎng)絡(luò)信息入侵檢測(cè)模型

完成對(duì)關(guān)聯(lián)規(guī)則及多層級(jí)交叉入侵檢測(cè)框架的設(shè)計(jì)后，再進(jìn)行數(shù)據(jù)挖掘網(wǎng)絡(luò)信息入侵檢測(cè)模型的構(gòu)建與實(shí)踐應(yīng)用。 在設(shè)定檢測(cè)矩陣導(dǎo)入初始模型中，設(shè)計(jì)一個(gè)穩(wěn)定的入侵處理檢測(cè)結(jié)果，將日常固化的檢測(cè)目標(biāo)進(jìn)行分類，與矩陣之間建立正向的檢測(cè)關(guān)聯(lián)，結(jié)合數(shù)據(jù)挖掘技術(shù)，形成多階的入侵檢測(cè)結(jié)構(gòu)，如圖1 所示。

圖1 數(shù)據(jù)挖掘網(wǎng)絡(luò)信息入侵檢測(cè)模型結(jié)構(gòu)圖示

根據(jù)圖1 完成對(duì)數(shù)據(jù)挖掘網(wǎng)絡(luò)信息入侵檢測(cè)模型的設(shè)計(jì)與分析。 隨即以此為基礎(chǔ)，建立一個(gè)數(shù)據(jù)挖掘集，對(duì)計(jì)算機(jī)中容易出現(xiàn)入侵的位置進(jìn)行標(biāo)注，關(guān)聯(lián)程序。 與此同時(shí)，在各個(gè)位置附近設(shè)定多數(shù)量的入侵檢測(cè)節(jié)點(diǎn)，便于模型在完成信息入侵檢測(cè)之后，對(duì)異常位置的入侵?jǐn)?shù)據(jù)及信息進(jìn)行解析研究。

此外，為確保計(jì)算機(jī)受到入侵時(shí)其他文件及數(shù)據(jù)的安全，還需要在檢測(cè)的程序內(nèi)部增設(shè)一個(gè)定向挖掘瞬時(shí)加密指令。 計(jì)算機(jī)一旦被入侵，該程序會(huì)瞬間啟動(dòng)，對(duì)所有指定的文件和數(shù)據(jù)信息設(shè)置多元化的加密項(xiàng)目，并對(duì)使用者顯示隨機(jī)身份驗(yàn)證，進(jìn)一步保證入侵檢測(cè)過程中其他數(shù)據(jù)信息的穩(wěn)定與安全，強(qiáng)化該入侵檢測(cè)模型的實(shí)際應(yīng)用能力。

1.4 離散化處理實(shí)現(xiàn)入侵檢測(cè)實(shí)踐應(yīng)用

完成對(duì)數(shù)據(jù)挖掘網(wǎng)絡(luò)信息入侵檢測(cè)模型的構(gòu)建之后，采用離散化處理的方法實(shí)現(xiàn)最終的入侵檢測(cè)處理。 模型在進(jìn)行入侵檢測(cè)時(shí)，會(huì)輸出一個(gè)模糊的入侵檢測(cè)結(jié)果，但是無法確保這一結(jié)果的真實(shí)性和穩(wěn)定性，所以，設(shè)定一個(gè)離散化修正結(jié)構(gòu)，導(dǎo)入模型之中，具體如圖2 所示。

圖2 離散化修正入侵檢測(cè)流程圖示

根據(jù)圖2 完成對(duì)離散化修正入侵檢測(cè)流程的設(shè)計(jì)與分析。 接下來將經(jīng)過離散化處理之后的入侵檢測(cè)模型與初始的基準(zhǔn)值進(jìn)行比對(duì)，確保誤差在合理的范圍之內(nèi)，即可再次輸出入侵結(jié)果，實(shí)現(xiàn)最終的入侵檢測(cè)處理。

2 實(shí)驗(yàn)

此次主要是對(duì)數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)中的實(shí)際應(yīng)用效果進(jìn)行分析與驗(yàn)真研究，考慮到最終測(cè)試結(jié)果的真實(shí)性與可靠性，選定G 企業(yè)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)作為測(cè)試的主要目標(biāo)對(duì)象，采用對(duì)比的方式展開分析，周柏潤等［1］119和楊曉暉等［2］143設(shè)定傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組，傳統(tǒng)種群聚類和互信息計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組以及本次所設(shè)計(jì)的數(shù)據(jù)挖掘計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組。 根據(jù)實(shí)際的測(cè)定需求及標(biāo)準(zhǔn)，對(duì)最終得出的測(cè)試結(jié)果比照研究，接下來結(jié)合數(shù)據(jù)挖掘技術(shù)，進(jìn)行初始測(cè)試環(huán)境的搭建。

2.1 實(shí)驗(yàn)準(zhǔn)備

結(jié)合數(shù)據(jù)挖掘技術(shù)，對(duì)G 企業(yè)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)的信息入侵檢測(cè)環(huán)境進(jìn)行設(shè)定與搭建。 以實(shí)際檢測(cè)需求進(jìn)行初始檢測(cè)入侵集的設(shè)定，如表1 所示。

表1 初始檢測(cè)入侵集設(shè)定表

根據(jù)表1 完成對(duì)初始檢測(cè)入侵集的設(shè)定，綜合數(shù)據(jù)挖掘技術(shù)，構(gòu)建一個(gè)自動(dòng)化的入侵檢測(cè)識(shí)別程序，并提取數(shù)據(jù)信息自身的特征以待后續(xù)使用。 以此為基礎(chǔ)，將選定的初始檢測(cè)入侵集以特定的格式進(jìn)行轉(zhuǎn)換，形成獨(dú)立的入侵指令，把入侵指令導(dǎo)入檢測(cè)模型的內(nèi)置結(jié)構(gòu)中，綜合數(shù)據(jù)挖掘技術(shù)，構(gòu)建信息檢測(cè)的嵌入結(jié)構(gòu)，將嵌入檢測(cè)范圍設(shè)定為該企業(yè)網(wǎng)絡(luò)信息檢測(cè)的初始覆蓋區(qū)域。 在這個(gè)區(qū)域之內(nèi)的網(wǎng)絡(luò)邊緣位置設(shè)置多個(gè)檢測(cè)識(shí)別節(jié)點(diǎn)，且在使用時(shí)需要與定向的檢測(cè)程序進(jìn)行搭接關(guān)聯(lián)，便于實(shí)時(shí)數(shù)據(jù)及信息的采集。

2.2 實(shí)驗(yàn)過程及結(jié)果分析

在上述搭建的測(cè)試環(huán)境之中，結(jié)合數(shù)據(jù)挖掘技術(shù)，對(duì)G 企業(yè)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)的信息入侵檢測(cè)方法進(jìn)行具體的測(cè)試和驗(yàn)證研究。 將預(yù)先準(zhǔn)備的侵入指令導(dǎo)入模型內(nèi)部，選擇計(jì)算機(jī)網(wǎng)絡(luò)中5 個(gè)位置分別進(jìn)行入侵測(cè)定，過程中不斷攻擊信息及傳輸?shù)臄?shù)據(jù)包。 以誤檢率作為性能指標(biāo)，結(jié)果如圖3 所示。

圖3 測(cè)試結(jié)果對(duì)比分析圖示

根據(jù)圖3 完成對(duì)測(cè)試結(jié)果的分析：對(duì)比于傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組，傳統(tǒng)種群聚類和互信息計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組，本次所設(shè)計(jì)的數(shù)據(jù)挖掘計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)小組最終得出的誤檢率被較好地控制在15%以下，說明此種信息入侵加檢測(cè)形式更加靈活、針對(duì)性較強(qiáng)，檢測(cè)的范圍可以更好地控制，檢測(cè)精度較高，誤差可控，具有實(shí)際的應(yīng)用價(jià)值。

3 結(jié)語

綜上所述，以上便是對(duì)數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)信息入侵檢測(cè)中的應(yīng)用效果進(jìn)行分析與驗(yàn)證研究，與傳統(tǒng)的信息入侵檢測(cè)形式相比對(duì)，此次所設(shè)計(jì)的檢測(cè)結(jié)構(gòu)更加靈活、多變，具有一定的針對(duì)性，在復(fù)雜的網(wǎng)絡(luò)檢測(cè)環(huán)境下，針對(duì)ARP 欺騙攻擊、DHCP 欺騙攻擊、廣播風(fēng)暴等攻擊入侵方式，設(shè)定多階等效的防護(hù)層級(jí)。 此外，對(duì)于用戶自身信息的維護(hù)還需要增設(shè)加密程序，與初始的防護(hù)檢測(cè)結(jié)構(gòu)進(jìn)行融合，形成深度信息入侵檢測(cè)方案，便于輸入層、接入層以及檢測(cè)輸出層設(shè)備的定向交互，加強(qiáng)對(duì)誤差的控制，以此來獲取最為精準(zhǔn)的檢測(cè)結(jié)果，為后續(xù)相關(guān)技術(shù)的創(chuàng)新與升級(jí)提供參考依據(jù)。