基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法研究

摘要：為了保證互聯(lián)網(wǎng)可持續(xù)發(fā)展，提高網(wǎng)絡(luò)通信數(shù)據(jù)安全等級，解決網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別識別時(shí)間長、識別精度低的問題，文章以數(shù)據(jù)挖掘技術(shù)為支撐，對網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法展開了研究。首先，文章介紹了網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)和數(shù)據(jù)挖掘方法，然后研究了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法，以降低網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)的程度，最后通過實(shí)驗(yàn)分析找到了提高網(wǎng)絡(luò)通信數(shù)據(jù)安全性的方法，并通過實(shí)驗(yàn)驗(yàn)證了文章方法在網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別中具有識別時(shí)間較短、識別準(zhǔn)確性較高的特點(diǎn)。

關(guān)鍵詞：數(shù)據(jù)挖掘;網(wǎng)絡(luò)通信;數(shù)據(jù)安全風(fēng)險(xiǎn);識別算法

中圖法分類號：TP311文獻(xiàn)標(biāo)識碼：A

Research on network communication data security risk identificationalgorithm based on data mining

ZHAO Xiangnan

（China Academy of Information and Communications Technology，Beijing 100191，China）

Abstract：In order to ensure the sustainable development of the Internet， improve the security level ofnetwork communication data， and solve the problems of long identification time and lowidentification accuracy of network communication data security risk identification，this paper studiesthe network communication data security risk identification algorithm based on data miningtechnology. Firstly， the paper introduces the network communication data security risk and datamining method， and then studies the network communication data security risk identificationalgorithm based on data mining to reduce the degree of network communication data security risk.The method of security is verified by experiments， and the method in this paper has thecharacteristics of short recognition time and high recognition accuracy in the identification of networkcommunication data security risks.

Key words： data mining， network communications， sata security risks， recognition algorithm

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展和日益成熟，網(wǎng)絡(luò)通信數(shù)據(jù)安全已成為一個(gè)不容忽視的問題。互聯(lián)網(wǎng)本身的開放性和復(fù)雜性使得網(wǎng)絡(luò)通信數(shù)據(jù)具有相對較大的安全風(fēng)險(xiǎn)。面對日益緊迫的網(wǎng)絡(luò)通信數(shù)據(jù)安全問題，近年來，網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)得到快速發(fā)展[1]。當(dāng)前，網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)主要包括數(shù)據(jù)健米、防火墻、虛擬網(wǎng)絡(luò)、用戶認(rèn)證以及通信數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測系統(tǒng)[2]。上述網(wǎng)絡(luò)通信數(shù)據(jù)安全技術(shù)由于具有被動性，已經(jīng)不能滿足現(xiàn)在人們對于網(wǎng)絡(luò)通信數(shù)據(jù)安全的需求。因此，對通信數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)檢測是保證網(wǎng)絡(luò)通信數(shù)據(jù)安全的一種重要手段。

李小華[3]提出基于 PCA 的 BP 神經(jīng)網(wǎng)絡(luò)的異常數(shù)據(jù)識別方法，采用主成分分析法獲取特征數(shù)據(jù)集，計(jì)算對應(yīng)的特征向量，并輸入 BP 神經(jīng)網(wǎng)絡(luò)模型進(jìn)行計(jì)算，實(shí)現(xiàn)對異常數(shù)據(jù)的識別。但是，該方法的識別時(shí)間較長，影響了異常數(shù)據(jù)識別的工作效率。劉云朋等[4]提出基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測算法，通過深度學(xué)習(xí)完成初始數(shù)據(jù)的分段預(yù)處理，再引入遺傳算法增強(qiáng)異常數(shù)據(jù)特征的保留效果，能夠提高異常數(shù)據(jù)檢測速度，實(shí)現(xiàn)了異常數(shù)據(jù)的風(fēng)險(xiǎn)檢測。雖然該方法能夠滿足異常數(shù)據(jù)檢測需求，但是識別精度較低。

為了解決上述問題，本文以數(shù)據(jù)挖掘技術(shù)為依托，針對網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法展開研究。

1網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別

1.1算法過程描述

風(fēng)險(xiǎn)識別算法主要采用數(shù)據(jù)挖掘聚類、分類和關(guān)聯(lián)分析的方法來實(shí)現(xiàn)數(shù)據(jù)挖掘、網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險(xiǎn)識別功能[5]。其實(shí)現(xiàn)過程如下：假設(shè)網(wǎng)絡(luò)通信數(shù)通信數(shù)據(jù)的存儲精度參數(shù)，然后將網(wǎng)絡(luò)通信數(shù)據(jù)分為 U 層：U=logrt，每層存儲的網(wǎng)絡(luò)通信數(shù)據(jù)數(shù)量限制為 rs+1，則網(wǎng)絡(luò)通信數(shù)據(jù)總量限制為 U×rs+1，第 x 層以可被 rx 整除的 rx 的間隔存儲，只保留不可被 rx+1整除的網(wǎng)絡(luò)通信數(shù)據(jù)[6]。

1.2安全風(fēng)險(xiǎn)識別屬性相似度分析

現(xiàn)有的大多數(shù)基于數(shù)據(jù)挖掘的算法都是針對網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險(xiǎn)框架[7]。計(jì)算網(wǎng)絡(luò)通信數(shù)據(jù)中安全風(fēng)險(xiǎn)攻擊類別屬性的相似度，對 IP 地址安全風(fēng)險(xiǎn)屬性相似度進(jìn)行計(jì)算，計(jì)算安全風(fēng)險(xiǎn)攻擊協(xié)議屬性相似度，并通過其結(jié)果對網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行融合，實(shí)現(xiàn)對其安全風(fēng)險(xiǎn)的識別[8]。

在安全風(fēng)險(xiǎn)識別過程中，IDS 可能會針對同一網(wǎng)絡(luò)通信數(shù)據(jù)攻擊行為，在某一時(shí)刻生成多個(gè)具有相同攻擊類型的安全風(fēng)險(xiǎn)識別，識別 Distinguish 1和 Distinguish 2的攻擊類型屬性相似度定義為：如果識別的類型相同，相似度為1，否則相似度為0。具體如公式3所示：

識別 Discrimination 1和 Discrimination 2的 IP 地址的相似性定義為：從兩個(gè) IP 地址轉(zhuǎn)換來測量 IP 地址的二進(jìn)制字符串的前 n 位的相同數(shù)目。相似性如公式4所示：

具有相同安全風(fēng)險(xiǎn)攻擊協(xié)議的通信數(shù)據(jù)必須相同，識別 Discrimination 1和 Discrimination 2的安全風(fēng)險(xiǎn)屬性的相似性定義為：如果識別的通信數(shù)據(jù)相同，則相似性為1，否則相似性為0。具體如公式5所示：

2基于數(shù)據(jù)挖掘分析的風(fēng)險(xiǎn)識別方法設(shè)計(jì)

2.1風(fēng)險(xiǎn)識別算法描述

聚類算法的重點(diǎn)是針對聚類中心的每個(gè)聚類的平均值進(jìn)行計(jì)算。在數(shù)據(jù)挖掘中經(jīng)常用于數(shù)據(jù)集的聚類拆分與異常數(shù)據(jù)識別。每一個(gè)聚類之間的距離越小，相似性越大。具體如公式（6）所示：

識別算法的數(shù)據(jù)描述是：將n個(gè)向量xj（j=1，2，…，n）劃分為c類Gi（i=1，2，…，c），并找到每個(gè)聚類的聚類中心，從而使相異指數(shù)的目標(biāo)函數(shù)最小化。當(dāng)選擇i類Gi中的向量xk和類中心ci之間的度量為歐氏距離時(shí)的相應(yīng)簇時(shí)，目標(biāo)函數(shù)可定義為：

其中，是類Gi內(nèi)目標(biāo)函數(shù)。Ji值依賴于Gi的集合形狀和ci的位置。顯然，J的值越小，表明聚類效果越好。

2.2基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法

給定聚類類別的數(shù)量 c，2≤c ≤n 和 n 是數(shù)據(jù)的數(shù)量，設(shè)置迭代停止閾值ε，初始化集群原型風(fēng)險(xiǎn)識別值 P（0），并設(shè)置迭代計(jì)數(shù)器 b=0。

步驟1：用公式（3）計(jì)算或更新劃分矩陣 U（ b ），對于?k，i，如果 d? kb ）>0，則有：

如果i，r，使得 d（b）=0 ，則有μ（b）=1，且對應(yīng)的j ≠r，μ4/6）=0。

步驟2：用公式（4）更新聚類原型風(fēng)險(xiǎn)識別矩陣p（b+1）

步驟3：如果是，則算法停止并輸出劃分矩陣U和聚類原型P，否則讓b=b+1進(jìn)入步驟1。其中，提一些合適的矩陣范數(shù)。

由以上安全風(fēng)險(xiǎn)識別算法可以看出，整個(gè)算法的計(jì)算過程就是反復(fù)修改聚類中心和分類矩陣的過程，可以滿足用戶提出的對任意時(shí)刻和時(shí)間間隔內(nèi)的近似安全風(fēng)險(xiǎn)識別。

3實(shí)驗(yàn)驗(yàn)證

3.1選取網(wǎng)絡(luò)通信數(shù)據(jù)參數(shù)

為了驗(yàn)證本文設(shè)計(jì)算法的有效性，展開本次對比實(shí)驗(yàn)。通信數(shù)據(jù)的特征抽取對安全風(fēng)險(xiǎn)識別的性能具有較大的影響，因此本次實(shí)驗(yàn)選擇對第 L ?1隱藏層的特征數(shù)目進(jìn)行抽取。以某互聯(lián)網(wǎng)公司4月的網(wǎng)絡(luò)通信數(shù)據(jù)為實(shí)驗(yàn)對象，數(shù)據(jù)量為100.06GB。

3.2網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別對比

選擇文獻(xiàn)[3]提出的基于 PCA?BP 神經(jīng)網(wǎng)絡(luò)方法與文獻(xiàn)[4]提出的基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測算法作為對比方法，與本文提出的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法共同進(jìn)行實(shí)驗(yàn)，以網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別率、識別錯誤率和識別時(shí)間作為實(shí)驗(yàn)指標(biāo)，對比不同算法的風(fēng)險(xiǎn)識別性能。采用相同的網(wǎng)絡(luò)通信數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，即分別抽取10%、30%、50%的網(wǎng)絡(luò)通信數(shù)據(jù)集作為本次實(shí)驗(yàn)的數(shù)據(jù)。在不同數(shù)據(jù)集情況下，三種方法的安全風(fēng)險(xiǎn)識別率與錯誤率如表1所列。

根據(jù)表1數(shù)據(jù)可知，在通信數(shù)據(jù)占比為10%～50%條件下，本文方法的風(fēng)險(xiǎn)識別率始終保持在90%以上，最高達(dá)到95%;而 PCA?BP 方法與深度學(xué)習(xí)方法在通信數(shù)據(jù)占比發(fā)生變化時(shí)，風(fēng)險(xiǎn)識別率變化波動較小，PCA?BP 方法的風(fēng)險(xiǎn)識別率基本在86%～88%之間，深度學(xué)習(xí)方法的風(fēng)險(xiǎn)識別率基本在85%～87%之間，均低于本文方法。由此可以證明本文提出的識別算法具有較高的識別率，識別精度較高，具有較好的應(yīng)用性能。

為了更好的證明本文方法的的優(yōu)越性，對比不同數(shù)據(jù)集情況下三總方法的識別時(shí)間，具體結(jié)果如圖1所示。

通過圖1可以看出，在通信數(shù)據(jù)占比為10%～50%的條件下，三種方法的識別時(shí)間均隨著通信數(shù)據(jù)占比的增加而增加。PCA?BP 方法的識別時(shí)間波動較大，從60ms 上升至100ms;深度學(xué)習(xí)方法的識別時(shí)間波動雖然較小，但是識別時(shí)間最長，從90ms 上升至110ms。而本文方法進(jìn)行識別所花費(fèi)的時(shí)間為30ms ～38ms，最高不超過40ms，遠(yuǎn)遠(yuǎn)低于另外兩種方法，說明本文方法對網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行識別的速度較快，能夠提高數(shù)據(jù)識別的工作效率。

4結(jié)論

由于網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別存在識別時(shí)間長、識別精度低的問題，本文提出了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別算法。通過對時(shí)間維度主機(jī)層安全風(fēng)險(xiǎn)識別、時(shí)空維度網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)識別分析，確定網(wǎng)絡(luò)安全威脅指數(shù)，并基于數(shù)據(jù)挖掘分析情況，確定網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)識別方法。實(shí)驗(yàn)結(jié)果表明，采用本文方法可有效提高網(wǎng)絡(luò)通信數(shù)據(jù)安全風(fēng)險(xiǎn)的識別效率，縮短響應(yīng)時(shí)間，具有一定的實(shí)用性。

參考文獻(xiàn)：

[1]李小雷.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常檢測技術(shù)研究[ D].長沙：湖南大學(xué)，2007.

[2]李洋.基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法的網(wǎng)絡(luò)異常檢測技術(shù)研究[D].北京：中國科學(xué)院計(jì)算技術(shù)研究所，2008.

[3]李小華.基于 PCA 的 BP 神經(jīng)網(wǎng)絡(luò)異常數(shù)據(jù)識別在信息安全中的應(yīng)用[J].微型電腦應(yīng)用，2021，37（7）：192?194.

[4]劉云朋，霍曉麗，劉智超.基于深度學(xué)習(xí)的光纖網(wǎng)絡(luò)異常數(shù)據(jù)檢測算法[J].紅外與激光工程，2021，50（6）：288?293.

[5]王剛.基于數(shù)據(jù)挖掘技術(shù)的設(shè)備監(jiān)控網(wǎng)絡(luò)安全態(tài)勢識別方法[J].自動化與儀器儀表，2021（8）：31?34+39.

[6]張鈺莎，蔣盛益.基于風(fēng)險(xiǎn)數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測研究[J].重慶理工大學(xué)學(xué)報(bào)（自然科學(xué)），2019，33（10）：127?135.

作者簡介：

趙相楠（1987—），本科，中級工程師，研究方向：網(wǎng)絡(luò)安全測試技術(shù)、網(wǎng)絡(luò)安全能力平臺建設(shè)、網(wǎng)絡(luò)安全評估檢測工具研發(fā)。