基于數(shù)據(jù)挖掘的網(wǎng)絡入侵安全防護系統(tǒng)研究

麻時明　陳積常　張揚

摘 要：隨著我國信息技術不斷快速的發(fā)展與進步，業(yè)界與用戶越來越重視信息安全問題，所以導致原有的防火墻系統(tǒng)無法對網(wǎng)絡信息技術安全進行保護，從而無法對入侵安全防護系統(tǒng)的作用進行充分的發(fā)揮。因此，文章主要對網(wǎng)絡攻擊導致流量異常的分類與特點進行分析，對基于數(shù)據(jù)挖掘的網(wǎng)絡入侵安全防護系統(tǒng)進行研究與探討，不僅能夠確保為相關的工作人員提供有效的參考，也能夠確保實現(xiàn)使用網(wǎng)絡入侵安全防護系統(tǒng)。

關鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡入侵；安全防護系統(tǒng)；信息安全

不斷快速發(fā)展與進步的信息技術，促使網(wǎng)絡對我國越來越多公司的核心業(yè)務進行承載，所以公司與用戶對網(wǎng)絡信息安全的問題越來越關注。雖然一般情況下，網(wǎng)絡用戶通過對防火墻系統(tǒng)進行使用，能夠確保網(wǎng)絡信息的安全，但是因為網(wǎng)絡攻擊者不斷增加對網(wǎng)絡信息的攻擊技術與方式，所以使網(wǎng)絡攻擊者具有越來越多樣化的攻擊方法與工具，對網(wǎng)絡信息安全造成一定的威脅，逐漸使大部分信息十分敏感的部門現(xiàn)有的防火墻系統(tǒng)已經(jīng)無法對其信息安全的需求進行充分的滿足。因此，人們越來越重視網(wǎng)絡入侵的檢測技術與設備，為確保能夠在極其復雜的網(wǎng)絡環(huán)境中，以及在安全需求較高的網(wǎng)絡環(huán)境中，使其能夠充分發(fā)揮所含有的關鍵作用與效果。

1 網(wǎng)絡攻擊導致流量異常的分類與特點

1.1 拒絕服務攻擊

拒絕服務攻擊屬于網(wǎng)絡攻擊者利用各種辦法導致目標機器停止提供服務的一種攻擊，屬于黑客經(jīng)常使用的攻擊手段之一。而且拒絕服務攻擊這種攻擊手段對網(wǎng)絡安全能夠造成極其嚴重的威脅，其主要模式為網(wǎng)絡攻擊者通過使用各種方法，對網(wǎng)絡與服務器自身具有特別的弱點進行利用，使網(wǎng)絡攻擊者逐漸通過對大量的毫無意義的數(shù)據(jù)流量進行制造，從而使大量毫無意義的數(shù)據(jù)流量，能夠不斷對網(wǎng)絡為正常使用者所提供的請求服務進行擠占與使用[1]。同時網(wǎng)絡攻擊者通過不斷對不同的攻擊措施進行使用，不間斷地向攻擊目標的機器對大量的非法的IP報文、ICMP數(shù)據(jù)報文等進行快速的傳輸，從而確保逐漸對主機的處理能力進行消耗。

1.2 掃描探測攻擊

掃描探測攻擊屬于一種較為普遍的攻擊行為，而且掃描是網(wǎng)絡攻擊者向目標主機發(fā)起進攻的一個常用手段，確保通過利用此手段對主機的相關信息進行獲取，然后根據(jù)掃描結(jié)果對進一步攻擊的策略進行制定。同時為確保預防網(wǎng)絡攻擊者對主機信息進行獲取，然后發(fā)生一系列的監(jiān)控掃描行為，可通過入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）對此類事件進行有效的監(jiān)控。例如在網(wǎng)絡主機爆發(fā)蠕蟲病毒時，相關的工作人員首先需要不斷對大量網(wǎng)絡的端口或者主機進行掃描，而且自動攻擊與快速繁殖屬于蠕蟲病毒最大的特點，所以相關的工作人員需要不斷對蠕蟲病毒的攻擊方式與攻擊特點進行分析，確保通過對網(wǎng)絡主機的SYN/ACK位與同步序列編號（Synchronize Sequence Numbers，SYN）位進行詳細的查看，如果相關的工作人員發(fā)現(xiàn)網(wǎng)絡的主機所含有的報文數(shù)量具有極其明顯的差異，可以將其看成爆發(fā)蠕蟲病毒的一個源頭。

2 基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)整體架構

2.1 信息采集模塊

信息采集模塊的主要功能為捕獲網(wǎng)絡上的信息數(shù)據(jù)，網(wǎng)絡主要通過對系統(tǒng)的計算機網(wǎng)卡進行應用，將其作為向網(wǎng)絡提供數(shù)據(jù)的主要來源。而且信息采集模塊能夠?qū)λ东@的信息數(shù)據(jù)進行拷貝，確保將其制作成一份拷貝的文件，而且通過將其傳輸?shù)皆谝呀?jīng)分配完成的緩沖區(qū)中，所以屬于特意為系統(tǒng)中其他的模塊進行訪問時而準備的這份拷貝文件。同時在網(wǎng)絡中配置與部署入侵檢測系統(tǒng)時，為確保對數(shù)據(jù)信息進行直接的獲取，因此，需要在入侵檢測系統(tǒng)初步測試期間對此模塊進行使用[2]。并且一旦將其正式投入運行系統(tǒng)時，模塊將會對一定的效能進行失去，因此，能夠充分對此模塊的主要作用進行體現(xiàn)，主要作用為通過不斷提取相應的數(shù)據(jù)信息，從而確保能夠為后續(xù)的數(shù)據(jù)挖掘過程提供相關的數(shù)據(jù)資源。

2.2 信息整理模塊與數(shù)據(jù)挖掘模塊

信息整理模塊的主要功能為處理相關的報文，而且能夠確保向與其相對應的IP匯聚項，將處理完成之后的報文信息進行傳遞。同時相關的工作人員通過連接信息整理模塊與數(shù)據(jù)庫之間的關系，能夠確保信息整理模塊按照一定的周期，傳輸將經(jīng)過匯聚的數(shù)據(jù)信息到數(shù)據(jù)庫中，從而確保信息整理模塊能夠為入侵檢測的下一步流程的處理過程，對相應的數(shù)據(jù)源進行提供[3]。同時，數(shù)據(jù)挖掘模塊的主要任務為不斷對神經(jīng)網(wǎng)絡系統(tǒng)的系統(tǒng)參數(shù)進行調(diào)試，而且在離線的情況下就能夠完成這一步驟，能夠確保不斷對系統(tǒng)參數(shù)進行優(yōu)化。其次，也能夠確保通過從數(shù)據(jù)庫中定時地對源IP匯聚信息進行提取，通過利用神經(jīng)網(wǎng)絡技術對其進行分析，確保對數(shù)據(jù)流中是否夾雜攻擊的行為進行判別，因此，確保模塊能夠通過數(shù)據(jù)流中具有的攻擊信息對相應的報告進行生成。

2.3 報警記錄模塊

報警模塊的主要功能為網(wǎng)絡在被攻擊時，通過利用對話框形成相應的報警信號，能夠確保及時提供相應的報警信息給網(wǎng)絡系統(tǒng)管理工作人員。同時，能夠確保隨時通過系統(tǒng)的神經(jīng)網(wǎng)絡參數(shù)，對人工操作的方式進行使用，確保不斷調(diào)整在線的分析，從而確保不斷優(yōu)化參數(shù)，使參數(shù)更加的準確。并且通過此模塊提供相關的功能界面，能夠確保網(wǎng)絡安全管理工作人員對整個入侵檢測系統(tǒng)進行實時的監(jiān)控與配置[4]。因為相關的工作人員能夠?qū)⑦@個入侵檢測系統(tǒng)分為兩大組成部分，一方面，在對數(shù)據(jù)庫進行輸入數(shù)據(jù)之前，模塊屬于對信息進行采集與整理，這部分的主要功能為對手機與網(wǎng)絡上的實時數(shù)據(jù)進行匯聚，從而確保在數(shù)據(jù)庫中進行傳輸信息，能夠確保對信息數(shù)據(jù)進行進一步的挖掘與處理。另一方面，在數(shù)據(jù)庫對信息數(shù)據(jù)進行處理之后的輸出部分，則是屬于不斷分析匯聚的信息數(shù)據(jù)，相關的工作人員主要通過網(wǎng)絡流量異常分析方法進行使用，確保不斷對數(shù)據(jù)庫中所提取的匯聚信息數(shù)據(jù)進行分析。

3 實現(xiàn)數(shù)據(jù)挖掘算法

本系統(tǒng)主要通過選擇一個3層神經(jīng)網(wǎng)絡結(jié)構，在輸入層中加入樣本X，通過對NET進行使用，確保能夠表示所有來自輸入層的神經(jīng)元Om的輸入總合，而且其得到的輸出結(jié)果為On。同時將Wmn作為系統(tǒng)權系數(shù)定義，通過不斷采用sigm oid函數(shù)，確保能夠?qū)⑵渥鳛榧ぐl(fā)函數(shù)作用的所有的神經(jīng)元。

（fx）=1（/1-e-x）主要對sigmoid函數(shù)進行表示：

以下是具體的算法流程：

（1）確定權系數(shù)初始值。

（2）通過分析與計算所有樣本，而且需要重復以下流程，確保能夠直到系統(tǒng)收斂為止。

①因此，需要按照一定的前后順序，計算各層單元On：

NETn=∑Om×Wmn

On=1/（1-e﹣NETn）

②得出輸出層的δn：

δn=（y-On）×On×（1-On）

③而且需要按照從后向前的順序，計算各層的δn值：

δn=On×（1-On）×∑δ1×Wnl

④對各個權值的修正量進行計算，并將其進行保存。

⊿Wmn（t）=a×⊿Wmn（t-1）+b×δn×Om

⑤最后，對權值進行修正：

Wmn（t+1）=Wmn（t）+⊿Wmn（t）

4 安全防護系統(tǒng)的應用模式

可以將安全防護系統(tǒng)劃分為兩大部分：數(shù)據(jù)挖掘模塊與數(shù)據(jù)采集整理模塊，而且相關的工作人員在一般的采取做法中，在入侵檢測流程中，數(shù)據(jù)挖掘技術的作用與效果為，安全防護系統(tǒng)在對攻擊行為特征屬性進行確定之后，相關的工作人員主要將標準視為數(shù)據(jù)流的具體走向，將來自數(shù)據(jù)采集整理模塊的攻擊特征屬性向數(shù)據(jù)挖掘模塊輸入，從而確保通過利用數(shù)據(jù)挖掘模塊判別其是否存在具體的網(wǎng)絡攻擊行為。同時相關的工作人員也需要加強重視，雖然已經(jīng)將數(shù)據(jù)挖掘技術引入網(wǎng)絡的入侵檢測系統(tǒng)中，能夠確保不斷增加其自身的效果。由于網(wǎng)絡能夠隨時隨地制造出大量的毫無意義的信息，為確保能夠?qū)Υ祟惛蓴_信息進行有效地降低，相關的工作人員必須確保通過對具有針對性的網(wǎng)絡協(xié)議進行使用，才能夠確保一定的約束與過濾其行為[5]。

5 結(jié)語

總而言之，因為網(wǎng)絡需要對大量的應用與數(shù)據(jù)進行承載，從而導致需要具備大量的安全審計數(shù)據(jù)信息。所以通過提取與處理這些數(shù)據(jù)信息，而且能夠確保通過對其所含有的網(wǎng)絡入侵行為的特征量進行萃取，已經(jīng)成為網(wǎng)絡安全防范工作中極其重要的問題。同時因為網(wǎng)絡入侵檢測屬于對安全審計信息進行處理與操作，不斷對數(shù)據(jù)挖掘技術進行引入，確保在大量的數(shù)據(jù)中網(wǎng)絡系統(tǒng)，不僅能夠?qū)撛诘闹R信息進行快速的判斷與提取，也能夠?qū)ζ涫欠翊嬖诰唧w的網(wǎng)絡攻擊行為進行判別。所以需要不斷對基于數(shù)據(jù)挖掘的網(wǎng)絡入侵安全保護系統(tǒng)進行研究與探討，從而確保充分地發(fā)揮網(wǎng)絡入侵安全防護系統(tǒng)的效能。

[參考文獻]

[1]李玉東，史健芳.基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)研究[J].中國石油和化工，2014（11）：253-256.

[2]邢雪霞.基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)的研究[D].成都：成都理工大學，2014.

[3]林輝.基于數(shù)據(jù)挖掘的入侵檢測技術研究[J].民營科技，2016（3）：92.

[4]林傳慧，吳偉明.基于數(shù)據(jù)挖掘的高速網(wǎng)絡入侵檢測系統(tǒng)的研究[J].數(shù)字技術與應用，2014（9）：193.

[5]袁騰飛.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[D].成都：電子科技大學，2014.