關于網絡安全檢測中數據挖掘技術的應用分析

吳詠曄

摘要：當前，我國網絡安全保護進入以關鍵信息基礎設施安全保護為重點的新階段。《關鍵信息基礎設施安全保護條例》明確了關鍵信息基礎設施的具體范圍和判斷標準，即一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害涉及國家安全、國計民生、公共利益的重要網絡設施和信息系統。因此在網絡運行時，進行安全檢測并及時提供預警信息對保障網絡安全正常運行十分重要。本文重點就網絡安全檢測中的數據額挖掘技術進行了分析。

關鍵詞：數據挖掘;網絡安全檢測;隱馬爾科夫模型

無論從網絡安全理論還是實踐看，網絡攻擊都是無法完全避免的，因此只能通過安全保護能力的提升來盡可能延長攻擊成功的時間，同時通過協同機制盡可能加快風險檢測和風險處置的時間。構建立體化的綜合防控體系，旨在通過共享情報、掌握全局態勢、貫通多級指揮調度，快速處置有組織、大規模的網絡攻擊事件。隨著相關研究的不斷深入，繼防火墻之后的入侵檢測系統成為常用的防護手段之一。入侵檢測是通過收集和分析網絡行為、完全日志、審計數據等網絡信息以及計算機系統中若干關鍵點的信息來檢查網絡或系統中是否存在不安全行為或被攻擊的跡象，其安全防護得以實現的關鍵是從獲取的信息中提取出有代表性的入侵模式，而隨著操作系統的日益復雜化，網絡流量的迅速增加，入侵檢測的審計數據也急劇增加，面對著海量數據信息中存在的大量冗余信息，傳統的數據檢索和統計分析的方法已經不能滿足數據信息有效篩選和提取的要求。

1.數據挖掘技術分析

數據挖掘是數據庫知識（KDD，Knowledge Discover in Database）中的一個步驟，它能從數據庫大量的數據中，通過自動搜索、分析、歸納將其中隱含的、先前未知并有潛在價值的信息揭示出來，挖掘出數據中的潛在模式。數據挖掘有直接數據挖掘和間接數據挖掘兩類，其主要是通過對數據的分類、估計、預測、相關性分組或關聯規則、聚類、描述和可視化，及復雜數據類型挖掘的方法.完成數據的挖掘。數據挖掘在確定對象之后，通過對數據的選擇、預處理和轉換的準備工作。對經過轉換的數據進行自動挖掘，并對結果進行評估和分析，最后將分析得到的知識同化集成到業務信息系統中。利用此技術來構建人侵檢測模型.能很好地適應數據增大的趨勢，提高入侵檢測的精確性，同時基于機器學習的檢測模型，對已知攻擊模式變種或新型攻擊有較好的適應性。

2.網絡安全檢測中數據挖掘技術應用

2.1網絡異常檢測

目前入侵檢測技術常用的有基于誤用（Misused）的檢測和基于異常（Anomaly）的檢測兩種。誤用檢測是建立能夠描述每一種供給的特殊模式的樣本，通過對樣本進行訓練來實現對網絡安全的監測。誤用檢測的查準率高，能詳細提供每一種攻擊的類型和說明，在入侵檢測系統中的應用較為廣泛。但由于其需要依靠人為的預先設定報警規則才能實現檢測，只能檢測已知攻擊，一旦攻擊者改變特征模式。這種檢測方法往往無法辨別出來，且要維護攻擊模式庫的成本較為昂貴。

異常檢測（Anomaly Detection）是是通過建立流量的正常行為模型來判斷網絡是否出現異常.其基礎是反常活動和計算機不正當使用之間的相關性.利用異常檢測能夠更好地解決誤用檢測中存在的問題。

2.2基于隱馬爾科夫的網絡異常檢測

隱馬爾科夫模型是一種用參數表示用于描述隨機過程的統計分析模型。是馬爾科夫鏈的一種，其既具有一定狀態數的隱馬爾科夫鏈還具顯示隨機函數集，一個完整的HMM包含有隱含狀態（N）、可觀測狀態（M）、初始狀態概率矩陣（TT）、隱含狀態轉移概率矩陣（A）和觀測狀態轉移概率矩陣（B）五項元素，其能夠利用收集的訓練樣本進行自適應學習，在使用其對一個問題進行解釋時，須解決評估、解碼和學習三個基本問題。

2.2.1入侵檢測系統構建

TCP（Transmission Control Protocol，傳輸控制協議）數據包是網絡入侵檢測中使用的基本數據參數，TCP建立一個連接需要三次握手，而在描述這三次握手時，馬爾科夫模型只能描述服務器（Server）與客戶端（Client）的狀態轉移概率，而不能對其進行很好的抽象，HMM則增加了對觀測值概率的描述，能更好地對TCP的執行過程進行描述，因而利用HMM以正常網絡情況下TCP協議標志變化為樣本參數建立的特征庫體積更小，能更好地提高入侵檢測系統的實時性。應用隱馬爾科夫模型建立基于異常檢測的入侵檢測系統共包括數據處理、數據訓練、評估算法模塊和響應模塊四大模塊，其中數據處理模塊又包括數據采集和數據預處理。在構建系統時首先運用HMM算法對訓練數據集進行訓練，建立起基于HMM的正常網絡行為特征模型，采集的TCP數據流進人數據包預處理模塊后由其進行提取并轉化，將數據流化為模型能夠識別模式，由評估算法模塊根據建立起的正常網絡模型對其進行檢測，如檢測出異常則進行網絡攻擊報警，如無異常，則放行。

2.2.2網絡攻擊檢測實驗

利用建立起的入侵檢測系統，以DARPA1999數據集作為訓練數據和測試數據，從數據中隨機抽取3000條包含SYN Flood攻擊和Land攻擊的兩類攻擊和正常的連接記錄，在以20臺計算機構成的局域網環境下進行實驗，使用網絡攻擊檢測率、誤報率和漏報率作為參數，對基于異常檢測的入侵檢測系統進行性能測試.其持續攻擊1分鐘和5分鐘的檢測率均在99%以上。誤報率、漏報率均在0.3%以下，驗證了此系統具有較高的性能。

3.結束語

利用隱馬爾科夫模型建立的基于異常檢測的入侵檢測系統的特征庫體積較小，能較好地節省系統存儲空間，且能利用機器學習對未知類型的網絡攻擊行為進行檢測，具有較高的檢測率和實時性。

參考文獻：

[1]孟祥文.網絡數據庫安全檢測與管理程序設計實現[J].計算機應用與軟件，2020，（2）.

[2]佟忠賀.P2P網絡的關鍵技術與應用[J].中國科技博覽，2019，（12）.