淺談數據挖掘技術在計算機網絡異常入侵檢測中的應用

摘要：異常入侵檢測是計算機網絡安全檢測的重要組成部分，現行計算機異常網絡技術檢測率以及漏報率較高，為此本文提出數據挖掘技術，其充分利用多學科研究結果，從計算機網絡真實數據庫中提取異常入侵數據信息，面向計算機網絡內部進行檢測。本文基于數據挖掘技術原理，數據監聽、數據約簡、行為識別等數據挖掘檢測方式，探宄數據挖掘技術在計算機網絡異常入侵檢測中的應用。

關鍵詞：數據挖掘；計算機網絡；異常入侵

一、引言

計算機網絡異常可能導致數據傳輸中斷，數據傳輸受損。數據挖掘技術網絡對異常入侵檢查借助主機和入侵檢測模型，分析計算機網絡日常日志，檢測計算異常入侵行為，在一定網絡使用權限下，入侵檢測模型通過提取網絡特征、網絡流量，分析計算機網絡異常入侵行為，保護計算機網絡安全。

二、數據挖掘技術原理

數據挖掘技術本質上是數據處理技術，包括數據收集、數據監聽和數據實施。從數據本身來看，數據收集以計算機網絡數據為主要對象，分析數據特征信息。通過算法和技術對數據進行預處理、模式分析，在數據庫中挖掘數據關系，捕捉數據特征，將不同格式、來源、特點數據信息在邏輯上有機集中，得到數據集合，利用數據約簡，規約數據集合，保證原數據完整性[1]。應用數據矩陣、決策樹、規則推理，處理數據集合，獲取價值信息，作為入侵行為的判斷依據。

三、數據挖掘技術檢測計算機網絡異常行為應用實驗

本文為驗證數據挖掘技術在計算機網絡異常行為的檢測應用，從某計算機網絡中，收集兩個數據集合，DKK CPU943、IHG CPU4931數據包，應用數據監聽、數據約簡、行為識別，判定上述數據集合異常入侵行為。

（一）數據收集

DKK CPU943、IHG CPU4931數據集合大小分別為3.65G、3.49G，取自本地計算機磁盤系統。經監測，該計算機第一次大規模異常行為入侵發生于大量請求服務同時發送時，此時計算機處于癱瘓狀態，無法正常響應請求服務[2]。初步判斷，計算機可能存在異常入侵，入侵者通過請求服務發送，將不良數據發送至該計算機網絡中，竊取計算機網絡信息和內容。為此，本次為檢測計算機網絡異常入侵行為，從請求服務中抽取DKK CPU943、lIIG CPU4931數據集合，通過數據監聽、數據約簡、行為識別，分析異常數據特征。本次檢測在OuFGS2020仿真實驗平臺開展，檢測程序使用Python程序語言。

（二）數據挖掘

1．數據監聽

收集原始DKK CPL943、IHG CPU4931數據包，利用網絡嗅探技術監聽數據集合。

①網絡嗅探讀取原始DKK CPU943、IHG CPU4931數據包，將DKKCPU943、IHG CPU4931數據轉化為圖片形式，形成完整的數據流，展示在計算機網絡監聽端。

②從原始DKK CPU943、IHG CPU4931數據包捕獲數據文本，以tcpdump形式，將數據信息輸送至數據包記錄器，由記錄器自動判定為期1月內，計算機網絡日志數據異常記錄。

⑧記錄器記錄程序監聽原始DKK CPU943、IHG CPU4931數據包中每個數據集合，設定每個數據集合名稱，將數據包監聽結果發送至本地網絡數據監聽程序中，以數據包形式記錄數據集合數據日志。 2．數據約簡 DKK CPU94：3、IHG CPU4931數據包中每個數據集合來源不同、格式不同、特點不同，為避免數據集合屬性與分類屬性影響檢測結果。約簡DKK CPU943、IHG CPU4931數據包中每個數據集。

此次數據集合約簡，①將DKK CPU943、IHG CPU4931數據包轉化為無量綱的值，利用平均絕對偏差變化法，規范DKK CPU943、IHG CPU4931數據包中數據集合格式，將DKK CPL943，IHC CPU4931數據包代入公式（l）：

其中u表示規范化后的DKK CPU943. IHG CPU4931數據包，表示原始的DKK CPU943. IHG CPLT4931數據包；表示網絡數據絕對偏差。按照上述公式簡約DKK CPU943、IHGCPU4931數據包，避免數據集合中某一屬性掩蓋另一屬性。

②數據約簡后，提取DKK CPU943、IHG CPU4931數據包中關鍵屬性網絡數據，根據粗糙集結論，分類DKK CPU943、IHG CPU4931數據包，將數據包代入公式（2）

E表示數據約簡表達系統，U表示論域，R表示數據包集合，Q（ ）表示數據包屬性值集合，f表示信息函數。DKK CPU943、IHG CPU4931數據包代入分類后，經數據約簡論域檢測，被劃分為正常數據和有異常數據。

③將正常數據和異常數據制成決策表，利用橫縱坐標標記異常數據，評估異常數據與正常數據近似性，劃定標準區間，區間范圍內為正常數據，區間范圍內為異常數據，如圖l所示。

3．行為識別

基于上述異常數據監聽和約簡結果，提取異常數據入侵行為特征。將DKK CPU943、IHG CPU4931數據包異常數據存儲至二維空間，形成對應數據簇，數據簇中心點為異常數據聚類中心，如圖2所示。

本次DKK CPU943、IHG CPU4931數據包中有n個異常數據，將n個異常數據劃分到簇中，數據簇滿足關系式（3）

其中min（n，A）表示異常數據挖掘函數，A表示異常數據簇類矩陣，表示異常數據隸屬度，h表示異常數據到聚類中心的歐式距離。異常數據代入后，得出異常數據信息最小增益比，n個異常數據被劃分至異常數據簇類中，進而判斷異常數據入侵行為。

（三）網絡評估

在當前計算機網絡環境下，以TP值和FN值作為異常數據網絡評估指標，判定異常入侵行為類型。

①建立混淆矩陣，混淆矩陣中。在DKK CPU943、IHG CPU4931數據包中n個異常數據，按照異常數據特性，混淆矩陣如下所示。

在混淆矩陣中，TP表示實際入侵，FN表示正常樣本數據。

②將異常數據代入混淆矩陣中，計算TP值和FN值，進而判斷異常數據信息入侵情況。

（四）檢測結果

將n個異常數據樣本代入混淆矩陣后，得到如下結果。

根據混淆矩陣理論，TP值超過5.0以上，FN值在0.5以下，表示計算機網絡手段嚴重入侵。從當前檢測結果看，在幾乎相同數據挖掘程度下，所有TP超過5．O，FN值低于0.5，表示該計算機網絡因異常數據入侵無法正常響應請求服務，如果請求服務持續會導致計算機網絡癱瘓。

通過對計算機網絡異常入侵情況判斷，技術人員決定采取以下處理措施。

（1）在計算機網絡默認狀態下，取消本次請求服務響應，關閉請求服務所屬區域隱藏共享。修改請求服務對應注冊表信息，將注冊表中數據轉換為“AutoShareWKs”雙字節信息。

（2）異常入侵目的在于在計算機網絡中建立“后門”，黑客可通過網絡“后門”獲取計算機網絡信息。經前期數據挖掘，確定異常數據集合，技術人員直接更改異常數據，關閉“后門”，防止異常數據攜帶的病毒入侵計算機網絡。

（3）隱藏計算機網絡后臺，在計算機默認狀態下，使用多字節加密計算機網絡后臺目錄，如“/mamashuomingziyaochangyidianheikecaizhaobudao/”，啟動計算機網絡修復程序，阻攔異常入侵，修復網絡漏洞。執行上述修復操作后，關閉運行程序，中斷請求服務，利用弱口令對數據異常入侵進行逐步滲透，開啟防火墻限制允許登錄的IP地址，防火墻只開放特定的服務端口，防止黑客利用請求服務發送入侵網站。

四、結語

總而言之，本文從理論和實際出發，利用數據挖掘技術開展計算機異常入侵實驗，將其應用于計算機網絡數據包檢測中，能夠得到準確的數據檢測結果，辨別異常入侵行為，對異常入侵采取針對性的解決措施。數據挖掘技術作為一種新型技術，對于計算機網絡異常入侵檢測具有較高的檢測精度，從本文實驗驗證結果可以看出，數據挖掘技術對于異常入侵檢測具有較大的應用價值，因此相關人員為保證數據挖掘技術在異常入侵中的廣泛應用，應結合當前計算機網絡發展現狀，利用數據挖掘技術建立檢測模型，提高異常入侵檢測精度，發揮數據挖掘技術價值。

參考文獻：

[1]陳禧鴻數據挖掘技術在計算機網絡異常入侵檢測中的應用研究[J]．信息記錄材料．2024，25 （05）：70-72．

[2]要麗娟，石峰，數據挖掘技術在計算機網絡入侵檢測中的應用[J]．集成電路應用，2023，40 （07）：222-223．