基于云計算與數據挖掘技術的網絡安全監測與預警研究

摘要：網絡安全監測與預警系統的建設及應用，為用戶及企業創建優質的網絡環境，從而全面防控計算機病毒以及黑客攻擊。從技術驅動角度來講，網絡安全監測與預警功能的實現需要按照外部架構以及內部數據兩個方面進行設定，而云計算技術與數據挖掘技術可以很好解決網絡運行中的問題。基于此，立足網絡安全監測與預警的重要指標，從云計算與數據挖掘技術兩個方面，對網絡安全監測與預警系統進行研究。

關鍵詞：云計算；數據挖掘技術；網絡安全監測與預警；數據庫審計

一、前言

信息化時代，我國不斷加大網絡安全的投入力度，涵蓋防火墻、入侵監測、網絡行為審計、數據庫審計等在內的網絡安全系統也初見成效。然而，網絡運行環境復雜，攻擊手段層出不窮，研發一種新型防護技術，短時間內就會出現一種針對性的攻擊技術。攻擊者在發起攻擊前，測試該攻擊手段能否繞過網絡的安全監測與預警路徑，防護技術升級也伴隨著高級逃避技術、多階段攻擊等新一代威脅的出現。網絡與人們生活、社會生產的日益融合，更需要研究出防護性能高的安全監測與預警系統，保障網絡系統運行的安全性與穩定性。為此，可以借助云計算、數據挖掘等技術，深入探討網絡安全監測與預警系統的運行機理，助推我國網絡行業的安全、健康發展。

二、云計算與數據挖掘技術之間的關系

數據挖掘是指在海量數據中，通過算法搜索隱藏于其中的信息的過程。早在20世紀90年代，數據挖掘技術已經進入全新的領域，涵蓋各種結構化與非結構化數據，且伴隨著互聯網的發展，數據挖掘在信息爆炸的數據整合與提煉中愈發突出。云計算是分布式計算的一種延伸，它是將網絡云中巨大的數據計算處理程序分解成多個小程序，然后由多臺服務器組成的系統進行分析，并將結果反饋給用戶。云計算概念的提出最早是在2006年8月份，也是互聯網第三次革命的轉折點，云計算真正讓數據信息步入了產業化發展進程中。

云計算和數據挖掘技術均屬于網絡系統中的驅動技術，兩者在本質的應用方向上一致，常常將云計算與數據挖掘技術歸類到一起[1]。數據挖掘技術很早便已形成，目前已經有了自己獨立的一套理論系統以及算法機制。云計算技術的產生則是與大數據相輔相成，是近十幾年來在網絡信息的多元化發展模式下，通過處理數據信息而得出的一種實踐性成果。大數據是數據挖掘與云計算的連接體，可理解為大數據是實現基礎、云計算是實現架構、數據挖掘是實現過程。從技術應用角度來講，數據挖掘與云計算又都有各自的關注點，需要依托數字中心實現落地，但是落地的方式存在差異，數據挖掘以數據分析及應用為主，云計算則偏向于計算機軟硬件的架構與應用。在網絡安全監測與預警系統中，云計算與數據挖掘技術的應用屬于兩個不同的方向。接下來便具體分析兩種技術在網絡安全監測與預警中的設計實現。

三、云計算在網絡安全監測與預警中的設計實現

基于云計算技術實現的網絡安全與預警，主要是應對近年來各領域業務遷移造成的數據風險。因為網絡運行環境復雜，數據信息之間存在隱匿風險的問題，所以云內部進行審計與評估時的難度相對增加。部署云計算系統安全防護架構需要通過足夠強的編排能力對網絡產品的安全性能進行檢測，這樣才可以增強云數據庫審計與防護的整體性能，降低安全風險。

（一）云計算網絡安全監測與預警的方案設計

1.網絡安全態勢感知

網絡安全態勢感知是云計算技術對網絡系統安全性能的一種感應機制，通過數據信息采集與分析，保證網絡系統內部分布節點中的數據按照云計算架構進行逐一比對。Hadoop是一種云計算平臺，它具備強大的數據處理能力、可靠的數據處理過程，內部架構與大數據下的數據分析模式及引擎更為接近，通過分布式文件系統，讓海量的數據信息在處理時以高容錯性能的方式去分析網絡中存在的潛在威脅[2]。與分布式文件系統相對應的mapreduce技術，是對網絡系統內部的數據信息進行并行處理，它能夠讓云計算平臺中的任務分割成多個碎片。在網絡節點之中，碎片按照任務組建出一個單體的數據集，然后由數據倉庫加載單體數據集，提升網絡安全態勢感知及辨別的能力。綜上，網絡環境中面臨的信息威脅可以通過態勢感知與數據溯源精準體現，那么網絡中存在的安全隱患及相關預警工作，也可以通過精密的部署進行監測，提高網絡運行的安全性。

2.vWAF

網站應用級入侵防御系統簡稱WAF，國際上公認的說法是WAP應用防火墻，通過執行一系列針對HTTP安全策略，專門為Web應用提供的一個服務產品。vWAF則是指綠盟網站安全防護系統，它具有更為強大的包容性且在主流虛擬網絡環境以及云環境之中，均能夠提供有效的防護作用。從技術角度來講，它是對WAF系統具備的虛擬化與集群化功能進行聯合部署，通過搭載云計算中心前端LB，在多臺vWAF上實現了分發。當云計算中心前端LB存在缺失問題時，vWAF可進行轉換，確保業務流量能夠在云計算系統中完成轉發，在資源平等后，再統一將信息發回Web服務器；在數據處理中，vWAF平臺能夠檢測網絡防護層，來分析出防御應用層對Web安全發起的各種攻擊，比如XSS攻擊、開放式攻擊、OWASP攻擊等，都可以通過vWAF實現云環境視域下的安全防控。

3.虛擬防火墻

虛擬防火墻是將一臺防火墻在邏輯上劃分為多臺具有虛擬性質的防火墻，且每一個虛擬防火墻系統均可以被看成一臺實體性質的防火墻設備，它具有單獨的系統資源、管理員、安全策略以及用戶認證數據庫。每一個虛擬防火墻都是獨立的，且系統之間的流量相互隔離，具有較高的安全性。一方面，虛擬防火墻之間的數據通信是以串行的方式進行整體采集與分析，這種方式也能提高對整個虛擬網絡的流量監控[3]；另一方面，虛擬防火墻采用了引流技術，使云網絡拓展具備了二次分割的可能。因為在網絡設置不變的情況之下，讓云平臺的虛擬資源實現了真正意義上的分離，保證網絡不同業務之間資源相互隔離，數據信息之間又保持共通，進而全面地對網絡進行監測與預警。

從上述三種設計方案可以看出，基于云計算的網絡安全監測與預警系統，要想精準地完成數據全過程監管，需要在虛擬機、可視化技術以及引流技術的共同驅動之下，搭建出完整的監管體系。為了在可視化狀態下直觀展示出數據監測機理，提高審計的可操作性，需要進行統一規劃。

（二）云計算網絡安全監測與預警的實現

利用云計算平臺實現態勢感知主要通過部署期間的旁路方式，讓數據信息的采集與分析更具全面性。例如，服務器日志、終端日志、流量探針等均可以通過云平臺的審計進行過濾，實現統一的存儲及管理。每一項數據信息的關聯均可以反映出當前網絡運行中存在的異常故障問題，產生異常現象時，可以由內部系統的感知服務為用戶提供信息定位。流量探針也能夠對網絡運行中的流量消耗情況進行搜集與檢索，生成日志報告，并定向發送到服務器中。vWAF在部署時是通過反向代理的方式，對外部服務器、防火墻、相關端口的信息傳輸流程進行修改，確保互聯網用戶在訪問Web時，能夠無感知地接入、認證。虛擬防火墻是通過串行的方式部署到網絡中的，在虛擬機端口的支撐下，對內部數據信息的流入及流出情況進行策略控制，確保虛擬機不會出現惡意訪問的現象，提高防范能力。

基于云計算平臺的網絡安全監測與預警的運行情況，能夠監測出網絡使用流量的數據差異行為、惡意攻擊行為，實時監測與處理、掃描全網信息，分析網絡的安全指標。出現攻擊情況時，及時還原攻擊路徑，正確溯源與定位攻擊，將網絡受到的影響降到最低。利用日志審計平臺可以調取與保留原始日志信息，將此作為依據制定出可靠的運維機制，提高數據信息的檢索能力。vWAF平臺在實際應用時也實現了多維度的風險防范，檢測每一類數據信息可以按照網絡資源的活躍情況分析具體漏洞點，確保網站內部的訪問流量及存在的威脅在實時監測范圍之內。虛擬化防火墻在應用時是按照不同安全級別網絡載體進行區域化的部署，整項資源的獨立性可以讓虛擬系統真實反饋軟硬件結構存在的問題。例如，會話、接口、vlan等，資源的獨享權可以精準檢測網絡中存在的危險行為，提高網絡防范能力。

四、數據挖掘技術在網絡安全監測與預警中的設計實現

基于數據挖掘技術的網絡安全監測與預警是通過分析網絡中數據信息的傳輸行為，檢索到與網絡被入侵參數相符合的一系列數據信息，然后用被劃分到安全影響指標的數據界定異常行為。從數據挖掘角度來講，監測與預警網絡中存在的危險行為，主要是通過數據采集、數據處理與數據分析，將數據最終轉變為可視化的數據類型，讓分析結果更具真實性，如圖1所示。

從圖1我們可以看出數據采集、數據處理與數據分析的三個階段，是網絡環境面向海量數據的一種定向式檢索方式。在數據采集階段的rink_sock以及highcap，保證數據采集的精準性與效率性，避免出現丟包。在數據處理階段，對數據包的預處理采取事件驅動模型，通過引擎與策略的方式細化數據包，最終在數據分析的作用下，通過挖掘分析與關聯預測等，提高數據采集精度。

（一）數據挖掘網絡安全監測與預警的設計

1.數據采集階段

數據采集包含TAP與TEND組件[4]。TAP組件旁路接入需要采集數據的互聯網與局域網，數據采集是由HIGHCAP所支撐并實現的，其最大效率可以達到1GB/s網絡數據分流，如下為數據采集在不同模塊中的實現過程。

（1）rink_sock。由TAP組件傳來的數據寫入到緩存區，并通過定位，保證數據在索引的過程中，能夠自動排列數據隊列的末尾，這樣在緩存區的環形結構驅使下，不再需要單獨對緩存區分配資源，從而降低損耗。

檢測節點在讀取數據的過程中需要通過用戶獲得緩存區的數據，而為了避免內核模塊與用戶模塊之間的空間復制問題，則采用了DMA技術，直接將數據映射到用戶模塊之中，提高讀取效率。運行流程如圖2所示。

（2）highcap。旁路接入互聯網或物聯網之中捕獲互聯網鏈路層中的數據幀并將MAC地址轉變為監控端，通過復制與傳輸，保證接入網絡的物理線路處于監控區域內。

監控端捕獲數據包后做負載均衡，按照網絡運行環境的常態運行模式，在遇到較多的荷載壓力時，自主進行分流，將數據寫入TEND組件中。

由于TEND組件在TAP之后，串聯的數據傳輸方式可以提高數據在緩存區的捕獲能力，間接降低資源損耗率。運行流程如圖3所示。

2.數據處理階段

數據處理過程主要是通過網絡中的子節點去檢索基于事件引擎所實現的數據記錄。例如，網絡協議以及事件特征屬性的記錄及分析，并通過策略解釋引擎分析網絡運行中的各類異常行為，最終由監控分析分辨出網絡入侵檢測及行為警告相對標的閾值并發送到終端。

數據處理層的事件引擎以及策略解釋主要是采取Bro語言腳本，通過該語言腳本的事件驅動機制，對主流網絡中的協議進行預設以及分析。例如，協議通信過程的各個階段、數據傳輸中的各種狀態以及數據類型的分析，其既可以進行單體分析，也可通過自定義組合的方式將協議進行混合分析，有效應對復雜的網絡環境。Bro語言的數據類型包括整數、浮點數、布爾值、字符、字符串、記錄、函數和網絡流等。每個數據類型都有其特定的用途和特點，整數用于計數，浮點數用于精確計算，布爾值表示真或假，字符表示單個字母或符號，字符串表示一串字符等。上述數據類型可以在腳本中定義不同的策略以及觸發函數，進而借助腳本內容生成不同的日志文件。

3.數據分析階段

數據分析層主要是針對代碼特征庫以及大數據分析所建立出的數據檢測模型進行設定，此模型是以scikit數據挖掘算法對網絡環境中存在的惡意行為進行預測。

4.網絡安全預測

數據挖掘是在海量數據中找到存在異常的數據，并對目標內容進行挖掘、計算。此過程可以歸納為三個階段，其一是數據挖掘結果的對標階段，確保數據信息可視化地呈現給用戶。其二是數據結果評價階段。此過程是在數據挖掘目標的基礎上，給予數據挖掘結果適當的、客觀的評價[5]。其三是預測網絡安全態勢，需要在完成數據挖掘以后對數據信息進行分析，以此評價與反映網絡安全態勢。所以，在進行網絡安全態勢預測的時候，需要將挖掘到的知識與系統進行融合，顯示并評價知識的機制，以此對異常數據進行準確的判斷，將篩選出的異常數據與可信度較高的數據進行對比，有效解決網絡安全的具體問題。

（二）數據挖掘網絡安全監測與預警的實現

在具體實驗過程中借助Bro語言腳本，分析網絡中請求信息。在http數據流量的不斷增加下，此類檢測方法的效率也隨之提升，如圖4所示。

五、結語

綜上所述，計算機網絡運行容易受到外界環境的影響，讓系統面臨著癱瘓以及數據丟失的問題，病毒入侵、黑客攻擊等均將產生嚴重的威脅。為此，應當建立健全網絡系統，以技術角度為切入點，分析系統運行中存在的問題，并建構更為完整的網絡安全防護體系，營造良好的上網環境。期待未來發展中，積極引入先進的技術、理念，及時更新網絡防護系統，從基礎層面提高網絡系統的防護性能。

參考文獻

[1]史赟，洪小珺，胡波.江西省智慧水利省級網絡安全監測能力建設[J].江西通信科技，2023（02）：38-41.

[2]黃昌熙，朱磊，余潤澤，等.智能化網絡安全監測預警平臺建設和運營思路探討[J].郵電設計技術，2023（01）：27-31.

[3]許旵鵬，許堯，臧偉，等.電力監控系統網絡安全監測的改進與優化[J].數字技術與應用，2022，40（09）：231-233.

[4]陶文偉，曹揚，吳金宇，等.電力物聯網終端網絡安全監測技術研究[J].軟件，2022，43（08）：70-72+80.

[5]馬騰騰，付佳佳，楊云帆，等.電力監控系統網絡安全監測技術[J].數字技術與應用，2022，40（05）：231-233.

基金項目：1.2021年度河南省高等教育教學改革研究與實踐項目“專業集群背景下書院制育人模式改革與實踐”（ 項目編號： 2021SJGLX556）；2. 2022年度河南省大中專院校就業創業課題研究項目“大數據技術推進就業供需精準智能匹配研究”（項目編號：JYB2023235）；3.2022年河南省職業教育教學改革研究與實踐項目“產出導向、能力本位：本科層次職業教育人才培養研究與實踐”（項目編號：豫教[2023]02998）

作者單位：河南機電職業學院

■ 責任編輯：尚丹