基于數據挖掘的網絡安全態勢

次曲

摘 要隨著互聯網的快速發展與廣泛應用，互聯網與各行各業已經深度結合。與此同時，網絡安全問題也日益凸顯，網絡安全威脅日趨嚴重，我國網絡安全態勢不容樂觀，看似良好的網絡環境不斷發生惡意病毒、代碼、安全漏洞等問題，泄露的信息更是不盡其數。在各種網絡安全問題面前，國家不斷出臺各種網絡安全政策，應對各種隱患和挑戰。其中，在海量的網絡安全態勢數據面前，如何進行有效的挖掘與分析，從而形成客觀的網絡安全態勢分析，是非常重要的部分，也是本文探討的主要內容。

【關鍵詞】數據挖掘 網絡安全態勢 分析

互聯網、數字化時代，計算機信息技術徹底改變了人類的工作與生活，而網絡則滲透了經濟發展、社會生活等方方面面。與此同時，網絡安全問題層出不窮，金融安全問題、信息泄露問題、移動支付安全問題，還有云計算、智能技術應用等領域面臨的各種病毒木馬。這些問題都反映了網絡環境的安全建設工作存在不足，而數據分析是網絡安全建設工作的核心。因此，如何深度挖掘網絡數據，有效分析，真正掌握網絡安全態勢，是網絡安全威脅面前亟待解決的問題。

1 網絡安全威脅分析

互聯網給人類生活帶來巨大便捷，各種新技術引領科技進步的同時，各種各樣安全隱患令網絡環境面臨巨大威脅。這些網絡攻擊技術不僅難以防范、危害性大，而且靈活多變。以下簡單介紹其中幾種網絡安全威脅：

1.1 網絡木馬

在網絡安全威脅中，網絡木馬較為常見，其具有很強的隱蔽性，目的是通過計算機端口進入系統，實現計算機的控制，令個人隱私和安全被暴露，并通過程序的漏洞發起攻擊。網絡木馬的種類較多，常見的有網絡游戲木馬、即時通訊軟件木馬、網頁點擊類木馬、下載類木馬、網銀木馬等等。

1.2 僵尸網絡

僵尸網絡主要是通過僵尸程序感染主機，令被感染主機在攻擊者的指令下被擴散和驅趕。僵尸網絡的傳播手段不止一種，也往往容易擴散到多臺主機，最終令多臺受控主機組成一個僵尸網絡。常見的傳播手段有郵件病毒、惡意網站腳本、特洛伊木馬等。

1.3 DDoS攻擊

DDoS攻擊又稱為拒絕服務攻擊，是以合理的服務請求占據大量服務資源的，導致服務器不得不拒絕用戶服務。DDoS攻擊往往進攻規模龐大，攻擊范圍廣，網絡危害大，有SYN變種攻擊、UDP協議攻擊、WEB Server多連接攻擊和變種攻擊等多種攻擊類型，并且許多攻擊類型針對應用層協議漏洞展開，令防護難度加大。

2 常規的網絡安全數據分析技術

常規的網絡安全數據分析技術雖然很多，也發揮了一定的作用，但大數據時代下，數據的復雜程度已經遠超想象。對數據的非法竊取、篡改和損毀才引發了網絡安全問題，因此，數據挖掘分析至關重要。在分析數據挖掘技術前，我們不能忽視常規的數據分析技術：

2.1 數據分類

數據分類是以分類模型或者函數作為分類器，對數據進行分類處理的技術，往往通過統計、神經網絡等構造不同特點的分類器。分類數據的特性對分類效果影響較大。

2.2 數據關聯分析

數據關聯分析，顧名思義，是挖掘分析數據、特征間的關聯關系，以此作為數據預測的依據。通過對數據的關聯分析，比如回歸分析、關聯規則等，實現多層面的信息挖掘。

2.3 數據偏差分析

數據偏差分析主要是尋找觀察對象與參照之間的異常不同，排除正常、合理的數據，重點跟蹤異常、偽裝的數據。通過數據偏差分析，能找出類別中的異常、模式邊緣的奇異點或者與模型期望值相差較遠的數據等。

除上述數據分析技術外，還有數據總結、數據聚類、空間分析、數據可視、歸納學習法等多種數據分析方式。

3 基于數據挖掘的網絡安全態勢分析

數據挖掘技術的應用，是為了處理網絡環境下各種數據庫中海量的數據信息，從而得出可參考、有意義、可利用的有效數據，并通過對數據的分析，獲取大量有價值的知識。基于數據挖掘的網絡安全態勢分析，包括以下幾個執行階段：

3.1 數據準備階段

如前文所述，網絡數據不僅海量而且多元，可能以各種形式存在于網絡環境中，因此，需要在數據準備階段，實現對目標數據的定向轉換。數據轉換的過程需要進行數據收集，然后根據目標做數據樣本的選擇，緊接著通過預處理將數據控制在計算的區間范圍內，最后，查找、確定數據的表示特性，對數據進行壓縮處理，便于下階段的數據挖掘。

3.2 數據挖掘階段

此階段主要是依據目標，運用與目標相匹配的數據挖掘方法，通過不同程度的數據挖掘算法，確定恰當的模型和相應的參數，再進行數據計算和挖掘。目前，網絡安全環境面臨的各種威脅也促進了各種數據挖掘方法的研發和進步，應用較為廣泛的數據挖掘算法有決策樹歸納、遺傳算法等。

3.3 安全態勢預測階段

本階段是基于數據挖掘的網絡安全態勢分析的最終階段，也是數據挖掘的最終目的，基于前面兩階段準備、尋找、轉換、計算，對網絡安全態勢進行表達、評價和預測分析。在這個階段，首先要采用易于理解的形式直觀表達數據挖掘計算的結果，其次，根據最初預設的目標，客觀評價上述結果，最后才是預測、分析網絡安全態勢。需要注意的是，基于數據挖掘得出的知識信息，不能脫離執行系統，而應用執行系統中可信的知識來進行檢驗，才能做出合理的安全態勢預測，最終解決問題。

4 結束語

在國家政策的呼吁下，在眾多行業、大型企業的倡導、建設和積極應用下，網絡安全態勢分析已然成為網絡安全領域的熱點。綜上所述，數據挖掘是網絡數據信息呈現和網絡安全態勢分析評估的重要依據和手段。但是現階段，基于數據挖掘的網絡安全態勢分析仍然有許多不足，還遠遠談不上大規模的應用實踐，未來，還需針對數據挖掘技術做更深入的研究。

參考文獻

[1]陳亮.網絡安全態勢的分析方法及建立相關模型[D].上海交通大學，2005.

[2]陳婧.基于數據挖掘的網絡安全態勢預測研究[D].揚州大學，2009.

[3]王一村.網絡安全態勢分析與預測方法研究[D].北京交通大學，2015.

[4]張志杰.基于數據挖掘的網絡安全態勢分析[J].網絡安全技術與應用，2016（03）：62，64.

[5]齊巨慧.基于數據挖掘的網絡信息安全策略研究[J].電腦編程技巧與維護，2014（14）：114-115，131.

作者單位

西藏大學藏信信息技術研究中心 西藏自治區拉薩市 850000