基于大數(shù)據(jù)技術的網(wǎng)絡入侵檢測應用研究

董天宇 黃云

（安徽繼遠檢驗檢測技術有限公司 安徽省合肥市 230088）

就目前情況而言，隨著我國社會科技的發(fā)展，我國計算機技術、信息技術得到了快速的發(fā)展，而大數(shù)據(jù)技術則是計算機技術與信息技術發(fā)展的產(chǎn)物。大數(shù)據(jù)技術是一種信息收集、分析、整理與存儲技術，其能夠實現(xiàn)對多種信息數(shù)據(jù)的管理，在網(wǎng)絡入侵檢測中應用大數(shù)據(jù)技術，不僅能夠提高網(wǎng)絡入侵檢測的精準度與準確度，同時還能夠實現(xiàn)自動化、智能化的網(wǎng)絡入侵檢測管理，這對于保證計算機網(wǎng)絡能夠安全、穩(wěn)定的運行具有十分重要的現(xiàn)實意義。

1 相關理論概述

1.1 大數(shù)據(jù)技術概述

大數(shù)據(jù)技術是現(xiàn)代信息化社會發(fā)展的必然產(chǎn)物，同時也是推進我國現(xiàn)代社會發(fā)展的重要技術。大數(shù)據(jù)是一種數(shù)據(jù)的集合，能夠實現(xiàn)海量信息的分析、整理與存儲，是以信息數(shù)據(jù)為本質的信息技術，同時，在對大數(shù)據(jù)中數(shù)據(jù)信息挖掘的過程中，能夠實現(xiàn)對理念、模式、技術及應用的創(chuàng)新，從而達到不斷優(yōu)化、創(chuàng)新大數(shù)據(jù)技術的目的，促使大數(shù)據(jù)技術更適用于現(xiàn)代信息化社會發(fā)展的需求，為現(xiàn)代社會發(fā)展提供輔助型的力量。大數(shù)據(jù)其實就是一種數(shù)據(jù)庫，在該數(shù)據(jù)庫內(nèi)存儲了各行各業(yè)的各類數(shù)據(jù)信息，相關工作人員在數(shù)據(jù)庫收集數(shù)據(jù)信息時，便可通過相應的技術收集到想要的信息，提高了信息收集的時效性。大數(shù)據(jù)技術即通過互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及企業(yè)數(shù)據(jù)等建立一個數(shù)據(jù)源，經(jīng)過提取、轉化、加載完成數(shù)據(jù)的收集，并能夠將數(shù)據(jù)存儲與系統(tǒng)當中，在該系統(tǒng)中，能夠實現(xiàn)對信息數(shù)據(jù)的自動化管理，當使用用戶想要收集相關數(shù)據(jù)時，可根據(jù)權限在數(shù)據(jù)庫中提取，從而使得數(shù)據(jù)變得可視化[1]。

1.2 網(wǎng)絡入侵檢測概念

網(wǎng)絡入侵檢測是保證網(wǎng)絡運行安全的重要技術，網(wǎng)絡入侵檢測主要是檢測的是網(wǎng)絡的運行狀態(tài)，即計算機用戶使用計算機網(wǎng)絡的行為，并辨別用戶的行為是否能夠對網(wǎng)絡產(chǎn)生入侵威脅，若用戶的行為將對計算機網(wǎng)絡產(chǎn)生入侵傷害，則網(wǎng)絡入侵檢測能夠對入侵行為進行攔截，并上報網(wǎng)絡用戶，從而最大程度上保證網(wǎng)絡的安全性，確保了網(wǎng)絡能夠平穩(wěn)運行。網(wǎng)絡入侵檢測是計算機網(wǎng)絡的內(nèi)部系統(tǒng)，是一種重要的網(wǎng)絡安全管理技術，利用網(wǎng)絡入侵檢測技術，能夠實現(xiàn)對不同系統(tǒng)源的信息收集，并通過對這些數(shù)據(jù)信息的分析判斷計算機網(wǎng)絡的運行狀況，并辨別計算機網(wǎng)絡是否存在入侵危險，是否存在他人網(wǎng)絡入侵攻擊的問題。此外，利用網(wǎng)絡入侵檢測能夠對計算機網(wǎng)絡的運行數(shù)據(jù)實現(xiàn)全面的監(jiān)控，當網(wǎng)絡開始運行時，網(wǎng)絡入侵檢測便開展工作，直至計算機網(wǎng)絡停止運行，在此過程中，網(wǎng)絡入侵檢測能夠根據(jù)自動收集的網(wǎng)絡運行狀況制作成網(wǎng)絡檢測記錄，并自動上傳至系統(tǒng)保存，相關工作人員在進行網(wǎng)絡管理時便可到系統(tǒng)中搜尋網(wǎng)絡檢測記錄，從而為計算機網(wǎng)絡的穩(wěn)定運行提供判斷支持。同時，當網(wǎng)絡入侵檢測發(fā)現(xiàn)存在入侵攻擊時，可自動生成反應報告，并上報給相關工作人員，部分威脅網(wǎng)絡入侵檢測可以利用防火墻自動地域，而對于抵御難度系數(shù)較大的入侵行為，需要相關工作人員根據(jù)反應報告及時制定入侵抵御計劃，從而保證計算機網(wǎng)絡運行的安全性與穩(wěn)定性[2]。

1.3 常見的網(wǎng)絡入侵方式

網(wǎng)絡入侵是影響計算機網(wǎng)絡使用穩(wěn)定性與使用安全性的關鍵因素，其不僅可以導致計算機網(wǎng)絡正常運行受到影響，同時也能夠盜取網(wǎng)絡用戶計算機中的數(shù)據(jù)信息，使得網(wǎng)絡計算機用戶的數(shù)據(jù)信息泄露，使得網(wǎng)絡計算機用戶的信息安全無法得到保證，甚至有可能損壞企業(yè)的經(jīng)濟效益。據(jù)筆者調查研究顯示，現(xiàn)階段常見的網(wǎng)絡入侵主要包括三種，分別為網(wǎng)絡病毒入侵、網(wǎng)絡黑客入侵及拒絕服務攻擊。

（1）從網(wǎng)絡病毒入侵的角度來分析。網(wǎng)絡病毒入侵是最為常見的網(wǎng)絡入侵方式，其主要是在計算機網(wǎng)絡中植入木馬病毒，導致計算機網(wǎng)絡無法正常的使用。網(wǎng)絡病毒入侵對網(wǎng)絡運行的損害較大，且修復難度較大，同時，現(xiàn)階段由于我國網(wǎng)絡入侵檢測技術還不夠成熟，且木馬病毒具有較大的感染性與隱蔽性，很多木馬病毒無法順利的被檢測出來，致使計算機網(wǎng)絡很容易受到網(wǎng)絡病毒的侵害。

（2）從網(wǎng)絡黑客入侵的角度來分析。網(wǎng)絡黑客入侵主要是入侵技術人員根據(jù)計算機網(wǎng)絡中的漏洞深入計算機網(wǎng)絡系統(tǒng)當中，并對計算機網(wǎng)絡實行修改、植入木馬病毒等攻擊行為。網(wǎng)絡黑客入侵的主要目的為盜取計算機網(wǎng)絡中的相關數(shù)據(jù)，或利用計算機網(wǎng)絡發(fā)布指令等。

（3）從拒絕服務攻擊的角度來分析。拒絕服務攻擊是指利用相關技術手段使得計算機網(wǎng)絡拒絕為用戶提供服務，導致用戶的數(shù)據(jù)信息無法被保存，造成用戶的計算機網(wǎng)絡癱瘓或停止運行，從而引起用戶的數(shù)據(jù)丟失[3]。

1.4 網(wǎng)絡入侵檢測的重要作用

近年來，伴隨著我國社會科技的發(fā)展，我國網(wǎng)絡入侵檢測技術在大數(shù)據(jù)技術、云計算機技術的支持下得到了快速的發(fā)展，但由于我國網(wǎng)絡入侵檢測技術起步較晚，目前仍處于發(fā)展中階段，很多網(wǎng)絡入侵檢測產(chǎn)品并不完善，致使其在實際使用過程中還存在諸多的問題。首先，就目前情況而言，我國很多網(wǎng)絡入侵檢測產(chǎn)品的精準度不高，難以實現(xiàn)對入侵行為的精準把控，存在較大的漏洞，很多入侵行為發(fā)現(xiàn)不及時或未發(fā)現(xiàn)導致計算機網(wǎng)絡運行受到了損害。其次，針對網(wǎng)絡入侵行為的拒絕服務攻擊的處理能不強，且未有完善的自動修復技術，致使還是存在較大的數(shù)據(jù)信息丟失威脅。再次，現(xiàn)階段我國大部分網(wǎng)絡入侵檢測產(chǎn)品的獨立性較強，未能實現(xiàn)與計算機網(wǎng)絡其他安全部件的良好聯(lián)動，致使網(wǎng)絡入侵檢測功能大打折扣，且成本增加。最后，我國大部分網(wǎng)絡入侵檢測產(chǎn)品未具備完善的測試評估便上市發(fā)行，致使在實際使用中適用性與功能性不強，且對于網(wǎng)絡入侵產(chǎn)品的檢測標準不統(tǒng)一，致使市場上網(wǎng)絡入侵產(chǎn)品質量參差不齊。

由此可見，加強對網(wǎng)絡入侵檢測技術的優(yōu)化，提升網(wǎng)絡入侵產(chǎn)品的質量是尤為重要的。網(wǎng)絡入侵檢測可以說是計算機網(wǎng)絡防火墻的補充技術，其在一定程度上能夠幫助防火墻實現(xiàn)抵御入侵，同時，網(wǎng)絡入侵檢測技術還能夠通過對計算機網(wǎng)絡運行狀態(tài)的監(jiān)控發(fā)現(xiàn)計算機網(wǎng)絡運行中存在的問題，辨別是否存在入侵跡象和入侵行為，根據(jù)實際網(wǎng)絡運行狀態(tài)精準辨別入侵方式及入侵部位，幫助相關工作人員及時發(fā)現(xiàn)計算機網(wǎng)絡系統(tǒng)中的漏洞，從而便于實現(xiàn)計算機網(wǎng)絡的漏洞修補順利完成，這對于保證計算機網(wǎng)絡運行的安全性與穩(wěn)定性具有十分重要的現(xiàn)實意義[4]。

2 數(shù)據(jù)挖掘技術在網(wǎng)絡入侵檢測中的應用

數(shù)據(jù)挖掘技術是大數(shù)據(jù)技術的重要組成部分，結合業(yè)內(nèi)相關研究成果與工作經(jīng)驗來看，該技術在網(wǎng)絡入侵檢測的應用中具有良好表現(xiàn)。具體來講：

2.1 系統(tǒng)模型與檢測方法

數(shù)據(jù)挖掘技術是現(xiàn)階段我國網(wǎng)絡入侵檢測中普遍使用的一種檢測技術，其能夠幫助網(wǎng)絡入侵檢測提高檢測的精準度，促使網(wǎng)絡入侵檢測能夠真正的發(fā)揮其功能與價值，同時具有成本低、流程簡便的優(yōu)勢。數(shù)據(jù)挖掘技術是基于大數(shù)據(jù)技術下的數(shù)據(jù)信息自動收集技術，將數(shù)據(jù)挖掘技術應用于網(wǎng)絡入侵檢測中，能夠實現(xiàn)與計算機網(wǎng)絡其他安全部件的良好配合，達到1+1>2 的目的，同時，在大數(shù)據(jù)技術的支持下，數(shù)據(jù)挖掘技術還能夠實現(xiàn)自我學習、自我創(chuàng)新，從而達到優(yōu)化技術的目的，促使數(shù)據(jù)挖掘技術更具備適用性。

就目前情況而言，現(xiàn)階段我國常用的網(wǎng)絡入侵檢測系統(tǒng)主要包括兩種，一種是在主機上安裝網(wǎng)絡入侵檢測產(chǎn)品，而另一種則是在網(wǎng)絡上安裝網(wǎng)絡入侵檢測系統(tǒng)，但無論是那種方式都存在一定的漏洞，而基于大數(shù)據(jù)的數(shù)據(jù)挖掘技術主要是將兩種系統(tǒng)向融合，構建一個Agent 檢測系統(tǒng)，在該系統(tǒng)中，既能夠實現(xiàn)對主機的入侵檢測，又能夠實現(xiàn)對網(wǎng)絡的入侵檢測，同時，能夠實現(xiàn)智能化、自動化的檢測，從而滿足不同環(huán)境下入侵檢測對檢測系統(tǒng)的需求。同時，利用數(shù)據(jù)挖掘技術構建的網(wǎng)絡入侵檢測產(chǎn)品可以說是一種新型的網(wǎng)絡入侵檢測產(chǎn)品，其并不需要進行對硬件、軟件的調整，而是直接將系統(tǒng)輸入到網(wǎng)絡系統(tǒng)當中，具有較強的適應力，且具備自主學習功能，能夠應對多變的網(wǎng)絡入侵手段與形式，故而能夠提升網(wǎng)絡入侵檢測水平。

2.2 系統(tǒng)架構設計

現(xiàn)階段，國內(nèi)外常用的網(wǎng)絡入侵系統(tǒng)構架主要有兩種形式，第一種為設計一個中心管理平臺，在在該平臺對入侵檢測進行管理與控制，但該系統(tǒng)構架適用于小心網(wǎng)絡管理中，若將其應用于大型網(wǎng)絡管理中容易存在檢測數(shù)據(jù)信息準確度降低的劣勢。第二種網(wǎng)絡系統(tǒng)構架為分布式體系構架，該構架主要是在子網(wǎng)上構建一個獨立的系統(tǒng)，每一個區(qū)域均有一個系統(tǒng)負責入侵檢測，且每一個系統(tǒng)均可以看做是一個個體，該種方式的系統(tǒng)構架能夠全面、細致的檢測到每一個子網(wǎng)絡上的入侵行為，故而更適用于網(wǎng)絡入侵檢測系統(tǒng)的構架當中。

在進行網(wǎng)絡入侵檢測系統(tǒng)的構架設計時，首先需要收集預處理數(shù)據(jù)源，并將預處理數(shù)據(jù)源轉移到數(shù)據(jù)倉庫存儲，隨后利用數(shù)據(jù)挖掘技術建立一個數(shù)據(jù)挖掘引擎，隨后將數(shù)據(jù)信息分別輸送到檢測模塊與規(guī)則庫當中，且規(guī)則庫同時需要收集管理控制模塊，經(jīng)過規(guī)則庫分析與處理的信息也需要傳送到檢測模塊當中，隨后檢測模塊通過對數(shù)據(jù)信息的檢測判斷是否存在網(wǎng)絡入侵行為，若發(fā)現(xiàn)存在入侵規(guī)則行為后，需要將信息傳遞到入侵相應模塊當中，從而完成對網(wǎng)絡入侵檢測的全流程。

2.3 數(shù)據(jù)挖掘算法在網(wǎng)絡入侵檢測中的應用

數(shù)據(jù)挖掘技術在網(wǎng)絡入侵檢測中的應用主要利用的是數(shù)據(jù)挖掘算法，數(shù)據(jù)挖掘算法主要是利用關聯(lián)規(guī)則建立數(shù)據(jù)集合，由此可見，數(shù)據(jù)挖掘算法主要是挖掘網(wǎng)絡入侵數(shù)據(jù)中的關聯(lián)性，從而分析入侵屬性之間的聯(lián)系，利用相應規(guī)則建立數(shù)據(jù)排列，并剔除無用數(shù)據(jù)信息，從而提升了數(shù)據(jù)信息分析的準確性。

關聯(lián)規(guī)則在網(wǎng)絡入侵檢測中應用的主要機理為：通過應用相應的關聯(lián)規(guī)則算法，可在計算機網(wǎng)絡系統(tǒng)中快速發(fā)現(xiàn)很多未知的網(wǎng)絡入侵檢測方式，為網(wǎng)絡入侵檢測和防范提供必要的數(shù)據(jù)支撐，從而更好地保護計算機網(wǎng)絡運行的安全性和穩(wěn)定性。和其他網(wǎng)絡入侵檢測方式相比，利用關聯(lián)規(guī)則算法能夠快速有效的挖掘出那些未知的網(wǎng)絡入侵方式，同時顯示目前計算機用戶的各種信息及行為方式，檢測現(xiàn)有的行為方式和歷史數(shù)據(jù)及行為是否一致，如果二者之問存在較大的差距，則可判定為入侵行為。在網(wǎng)絡入侵檢測方中，用戶在使用計算機系統(tǒng)時，需要先進行登錄，每登錄一次可看作是一個事務，用t 來表示，隨著用戶登錄次數(shù)的更多，會形成t 的事務數(shù)據(jù)庫，用D 來表示，D 數(shù)據(jù)庫有很多個不同類型的表組成。用戶登錄計算機系統(tǒng)記錄樣本的集合，可用T 來表示；特征項的集合，用z 來表示.關聯(lián)規(guī)則的蘊含式為A 一B，無論是A，還是B，屬于z 的子集，而且A 和B 不存在相互關聯(lián)，二者之問的交集為空集。A 在D 中是成立的，其支持度為S，置信度為C。其中S 為D 中事務包含AUB 的百分比，可看作是一個概率。而C 則是D 包含A 事務的同時也包含B 事務的百分比，可以看作是一個條件概率。

3 結論

綜上所述，網(wǎng)絡入侵檢測技術直接影響著計算機網(wǎng)絡運行的安全性與穩(wěn)定性，因此，為了提升我國網(wǎng)絡入侵檢測技術的水平，提升網(wǎng)絡入侵檢測產(chǎn)品的質量，保護計算機網(wǎng)絡運行的安全，需要在網(wǎng)絡入侵檢測中融入大數(shù)據(jù)技術，并合理的運用數(shù)據(jù)挖掘算法實現(xiàn)對入侵數(shù)據(jù)信息的精準信息，從而提升網(wǎng)絡入侵檢測的精準度，確保不會存在入侵信息的漏失，這對于提升我國網(wǎng)絡入侵檢測產(chǎn)品的發(fā)展十分重要，同時也是滿足我國現(xiàn)代信息化社會發(fā)展的必然選擇。