基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法研究

摘要：為了保證互聯(lián)網(wǎng)可持續(xù)發(fā)展，提高網(wǎng)絡(luò)通信數(shù)據(jù)安全等級(jí)，解決網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別識(shí)別時(shí)間長(zhǎng)、識(shí)別精度低的問題，文章以數(shù)據(jù)挖掘技術(shù)為支撐，對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法展開了研究。首先，文章介紹了網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)和數(shù)據(jù)挖掘方法，然后研究了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法，以降低網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)的程度，最后通過實(shí)驗(yàn)分析找到了提高網(wǎng)絡(luò)通信數(shù)據(jù)安全性的方法，并通過實(shí)驗(yàn)驗(yàn)證了文章方法在網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別中具有識(shí)別時(shí)間較短、識(shí)別準(zhǔn)確性較高的特點(diǎn)。

關(guān)鍵詞：數(shù)據(jù)挖掘;網(wǎng)絡(luò)通信;數(shù)據(jù)安全風(fēng)險(xiǎn);識(shí)別算法

中圖法分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A

Research on network communication data security risk identificationalgorithm based on data mining

ZHAO Xiangnan

（China Academy of Information and Communications Technology，Beijing 100191，China）

Abstract：In order to ensure the sustainable development of the Internet， improve the security level ofnetwork communication data， and solve the problems of long identification time and lowidentification accuracy of network communication data security risk identification，this paper studiesthe network communication data security risk identification algorithm based on data miningtechnology. Firstly， the paper introduces the network communication data security risk and datamining method， and then studies the network communication data security risk identificationalgorithm based on data mining to reduce the degree of network communication data security risk.The method of security is verified by experiments， and the method in this paper has thecharacteristics of short recognition time and high recognition accuracy in the identification of networkcommunication data security risks.

Key words： data mining， network communications， sata security risks， recognition algorithm

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展和日益成熟，網(wǎng)絡(luò)通信數(shù)據(jù)安全已成為一個(gè)不容忽視的問題。互聯(lián)網(wǎng)本身的開放性和復(fù)雜性使得網(wǎng)絡(luò)通信數(shù)據(jù)具有相對(duì)較大的安全風(fēng)險(xiǎn)。面對(duì)日益緊迫的網(wǎng)絡(luò)通信數(shù)據(jù)安全問題，近年來，網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)得到快速發(fā)展[1]。當(dāng)前，網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)主要包括數(shù)據(jù)健米、防火墻、虛擬網(wǎng)絡(luò)、用戶認(rèn)證以及通信數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)[2]。上述網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)由于具有被動(dòng)性，已經(jīng)不能滿足現(xiàn)在人們對(duì)于網(wǎng)絡(luò)通信數(shù)據(jù)安全的需求。因此，對(duì)通信數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)檢測(cè)是保證網(wǎng)絡(luò)通信數(shù)據(jù)安全的一種重要手段。

李小華[3]提出基于 PCA 的 BP 神經(jīng)網(wǎng)絡(luò)的異常數(shù)據(jù)識(shí)別方法，采用主成分分析法獲取特征數(shù)據(jù)集，計(jì)算對(duì)應(yīng)的特征向量，并輸入 BP 神經(jīng)網(wǎng)絡(luò)模型進(jìn)行計(jì)算，實(shí)現(xiàn)對(duì)異常數(shù)據(jù)的識(shí)別。但是，該方法的識(shí)別時(shí)間較長(zhǎng)，影響了異常數(shù)據(jù)識(shí)別的工作效率。劉云朋等[4]提出基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)算法，通過深度學(xué)習(xí)完成初始數(shù)據(jù)的分段預(yù)處理，再引入遺傳算法增強(qiáng)異常數(shù)據(jù)特征的保留效果，能夠提高異常數(shù)據(jù)檢測(cè)速度，實(shí)現(xiàn)了異常數(shù)據(jù)的風(fēng)險(xiǎn)檢測(cè)。雖然該方法能夠滿足異常數(shù)據(jù)檢測(cè)需求，但是識(shí)別精度較低。

為了解決上述問題，本文以數(shù)據(jù)挖掘技術(shù)為依托，針對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法展開研究。

1網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別

1.1算法過程描述

風(fēng)險(xiǎn)識(shí)別算法主要采用數(shù)據(jù)挖掘聚類、分類和關(guān)聯(lián)分析的方法來實(shí)現(xiàn)數(shù)據(jù)挖掘、網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險(xiǎn)識(shí)別功能[5]。其實(shí)現(xiàn)過程如下：假設(shè)網(wǎng)絡(luò)通信數(shù)通信數(shù)據(jù)的存儲(chǔ)精度參數(shù)，然后將網(wǎng)絡(luò)通信數(shù)據(jù)分為 U 層：U=logrt，每層存儲(chǔ)的網(wǎng)絡(luò)通信數(shù)據(jù)數(shù)量限制為 rs+1，則網(wǎng)絡(luò)通信數(shù)據(jù)總量限制為 U×rs+1，第 x 層以可被 rx 整除的 rx 的間隔存儲(chǔ)，只保留不可被 rx+1整除的網(wǎng)絡(luò)通信數(shù)據(jù)[6]。

1.2安全風(fēng)險(xiǎn)識(shí)別屬性相似度分析

現(xiàn)有的大多數(shù)基于數(shù)據(jù)挖掘的算法都是針對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險(xiǎn)框架[7]。計(jì)算網(wǎng)絡(luò)通信數(shù)據(jù)中安全風(fēng)險(xiǎn)攻擊類別屬性的相似度，對(duì) IP 地址安全風(fēng)險(xiǎn)屬性相似度進(jìn)行計(jì)算，計(jì)算安全風(fēng)險(xiǎn)攻擊協(xié)議屬性相似度，并通過其結(jié)果對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行融合，實(shí)現(xiàn)對(duì)其安全風(fēng)險(xiǎn)的識(shí)別[8]。

在安全風(fēng)險(xiǎn)識(shí)別過程中，IDS 可能會(huì)針對(duì)同一網(wǎng)絡(luò)通信數(shù)據(jù)攻擊行為，在某一時(shí)刻生成多個(gè)具有相同攻擊類型的安全風(fēng)險(xiǎn)識(shí)別，識(shí)別 Distinguish 1和 Distinguish 2的攻擊類型屬性相似度定義為：如果識(shí)別的類型相同，相似度為1，否則相似度為0。具體如公式3所示：

識(shí)別 Discrimination 1和 Discrimination 2的 IP 地址的相似性定義為：從兩個(gè) IP 地址轉(zhuǎn)換來測(cè)量 IP 地址的二進(jìn)制字符串的前 n 位的相同數(shù)目。相似性如公式4所示：

具有相同安全風(fēng)險(xiǎn)攻擊協(xié)議的通信數(shù)據(jù)必須相同，識(shí)別 Discrimination 1和 Discrimination 2的安全風(fēng)險(xiǎn)屬性的相似性定義為：如果識(shí)別的通信數(shù)據(jù)相同，則相似性為1，否則相似性為0。具體如公式5所示：

2基于數(shù)據(jù)挖掘分析的風(fēng)險(xiǎn)識(shí)別方法設(shè)計(jì)

2.1風(fēng)險(xiǎn)識(shí)別算法描述

聚類算法的重點(diǎn)是針對(duì)聚類中心的每個(gè)聚類的平均值進(jìn)行計(jì)算。在數(shù)據(jù)挖掘中經(jīng)常用于數(shù)據(jù)集的聚類拆分與異常數(shù)據(jù)識(shí)別。每一個(gè)聚類之間的距離越小，相似性越大。具體如公式（6）所示：

識(shí)別算法的數(shù)據(jù)描述是：將n個(gè)向量xj（j=1，2，…，n）劃分為c類Gi（i=1，2，…，c），并找到每個(gè)聚類的聚類中心，從而使相異指數(shù)的目標(biāo)函數(shù)最小化。當(dāng)選擇i類Gi中的向量xk和類中心ci之間的度量為歐氏距離時(shí)的相應(yīng)簇時(shí)，目標(biāo)函數(shù)可定義為：

其中，是類Gi內(nèi)目標(biāo)函數(shù)。Ji值依賴于Gi的集合形狀和ci的位置。顯然，J的值越小，表明聚類效果越好。

2.2基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法

給定聚類類別的數(shù)量 c，2≤c ≤n 和 n 是數(shù)據(jù)的數(shù)量，設(shè)置迭代停止閾值ε，初始化集群原型風(fēng)險(xiǎn)識(shí)別值 P（0），并設(shè)置迭代計(jì)數(shù)器 b=0。

步驟1：用公式（3）計(jì)算或更新劃分矩陣 U（ b ），對(duì)于?k，i，如果 d? kb ）>0，則有：

如果i，r，使得 d（b）=0 ，則有μ（b）=1，且對(duì)應(yīng)的j ≠r，μ4/6）=0。

步驟2：用公式（4）更新聚類原型風(fēng)險(xiǎn)識(shí)別矩陣p（b+1）

步驟3：如果是，則算法停止并輸出劃分矩陣U和聚類原型P，否則讓b=b+1進(jìn)入步驟1。其中，提一些合適的矩陣范數(shù)。

由以上安全風(fēng)險(xiǎn)識(shí)別算法可以看出，整個(gè)算法的計(jì)算過程就是反復(fù)修改聚類中心和分類矩陣的過程，可以滿足用戶提出的對(duì)任意時(shí)刻和時(shí)間間隔內(nèi)的近似安全風(fēng)險(xiǎn)識(shí)別。

3實(shí)驗(yàn)驗(yàn)證

3.1選取網(wǎng)絡(luò)通信數(shù)據(jù)參數(shù)

為了驗(yàn)證本文設(shè)計(jì)算法的有效性，展開本次對(duì)比實(shí)驗(yàn)。通信數(shù)據(jù)的特征抽取對(duì)安全風(fēng)險(xiǎn)識(shí)別的性能具有較大的影響，因此本次實(shí)驗(yàn)選擇對(duì)第 L ?1隱藏層的特征數(shù)目進(jìn)行抽取。以某互聯(lián)網(wǎng)公司4月的網(wǎng)絡(luò)通信數(shù)據(jù)為實(shí)驗(yàn)對(duì)象，數(shù)據(jù)量為100.06GB。

3.2網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別對(duì)比

選擇文獻(xiàn)[3]提出的基于 PCA?BP 神經(jīng)網(wǎng)絡(luò)方法與文獻(xiàn)[4]提出的基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)算法作為對(duì)比方法，與本文提出的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法共同進(jìn)行實(shí)驗(yàn)，以網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別率、識(shí)別錯(cuò)誤率和識(shí)別時(shí)間作為實(shí)驗(yàn)指標(biāo)，對(duì)比不同算法的風(fēng)險(xiǎn)識(shí)別性能。采用相同的網(wǎng)絡(luò)通信數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，即分別抽取10%、30%、50%的網(wǎng)絡(luò)通信數(shù)據(jù)集作為本次實(shí)驗(yàn)的數(shù)據(jù)。在不同數(shù)據(jù)集情況下，三種方法的安全風(fēng)險(xiǎn)識(shí)別率與錯(cuò)誤率如表1所列。

根據(jù)表1數(shù)據(jù)可知，在通信數(shù)據(jù)占比為10%～50%條件下，本文方法的風(fēng)險(xiǎn)識(shí)別率始終保持在90%以上，最高達(dá)到95%;而 PCA?BP 方法與深度學(xué)習(xí)方法在通信數(shù)據(jù)占比發(fā)生變化時(shí)，風(fēng)險(xiǎn)識(shí)別率變化波動(dòng)較小，PCA?BP 方法的風(fēng)險(xiǎn)識(shí)別率基本在86%～88%之間，深度學(xué)習(xí)方法的風(fēng)險(xiǎn)識(shí)別率基本在85%～87%之間，均低于本文方法。由此可以證明本文提出的識(shí)別算法具有較高的識(shí)別率，識(shí)別精度較高，具有較好的應(yīng)用性能。

為了更好的證明本文方法的的優(yōu)越性，對(duì)比不同數(shù)據(jù)集情況下三總方法的識(shí)別時(shí)間，具體結(jié)果如圖1所示。

通過圖1可以看出，在通信數(shù)據(jù)占比為10%～50%的條件下，三種方法的識(shí)別時(shí)間均隨著通信數(shù)據(jù)占比的增加而增加。PCA?BP 方法的識(shí)別時(shí)間波動(dòng)較大，從60ms 上升至100ms;深度學(xué)習(xí)方法的識(shí)別時(shí)間波動(dòng)雖然較小，但是識(shí)別時(shí)間最長(zhǎng)，從90ms 上升至110ms。而本文方法進(jìn)行識(shí)別所花費(fèi)的時(shí)間為30ms ～38ms，最高不超過40ms，遠(yuǎn)遠(yuǎn)低于另外兩種方法，說明本文方法對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別的速度較快，能夠提高數(shù)據(jù)識(shí)別的工作效率。

4結(jié)論

由于網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別存在識(shí)別時(shí)間長(zhǎng)、識(shí)別精度低的問題，本文提出了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別算法。通過對(duì)時(shí)間維度主機(jī)層安全風(fēng)險(xiǎn)識(shí)別、時(shí)空維度網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)識(shí)別分析，確定網(wǎng)絡(luò)安全威脅指數(shù)，并基于數(shù)據(jù)挖掘分析情況，確定網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別方法。實(shí)驗(yàn)結(jié)果表明，采用本文方法可有效提高網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別效率，縮短響應(yīng)時(shí)間，具有一定的實(shí)用性。

參考文獻(xiàn)：

[1]李小雷.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常檢測(cè)技術(shù)研究[ D].長(zhǎng)沙：湖南大學(xué)，2007.

[2]李洋.基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法的網(wǎng)絡(luò)異常檢測(cè)技術(shù)研究[D].北京：中國(guó)科學(xué)院計(jì)算技術(shù)研究所，2008.

[3]李小華.基于 PCA 的 BP 神經(jīng)網(wǎng)絡(luò)異常數(shù)據(jù)識(shí)別在信息安全中的應(yīng)用[J].微型電腦應(yīng)用，2021，37（7）：192?194.

[4]劉云朋，霍曉麗，劉智超.基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)算法[J].紅外與激光工程，2021，50（6）：288?293.

[5]王剛.基于數(shù)據(jù)挖掘技術(shù)的設(shè)備監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法[J].自動(dòng)化與儀器儀表，2021（8）：31?34+39.

[6]張鈺莎，蔣盛益.基于風(fēng)險(xiǎn)數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)研究[J].重慶理工大學(xué)學(xué)報(bào)（自然科學(xué)），2019，33（10）：127?135.

作者簡(jiǎn)介：

趙相楠（1987—），本科，中級(jí)工程師，研究方向：網(wǎng)絡(luò)安全測(cè)試技術(shù)、網(wǎng)絡(luò)安全能力平臺(tái)建設(shè)、網(wǎng)絡(luò)安全評(píng)估檢測(cè)工具研發(fā)。