數(shù)據(jù)挖掘在計算機網(wǎng)絡(luò)安全領(lǐng)域的應用

摘 要：隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)安全威脅種類越來越多，嚴重影響了用戶使用網(wǎng)絡(luò)的安全系數(shù)。本文在對數(shù)據(jù)挖掘原理研究的基礎(chǔ)上，將數(shù)據(jù)挖掘技術(shù)應用于計算機網(wǎng)絡(luò)安全威脅保障上，建立了一個基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)分為網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)、網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)、網(wǎng)絡(luò)決策處理子系統(tǒng)，最后，對各個子系統(tǒng)的功能以及整個系統(tǒng)的工作過程進行了詳細的介紹。

關(guān)鍵詞：計算機網(wǎng)絡(luò)安全；數(shù)據(jù)挖掘；應用

中圖分類號：TP311

信息化時代已經(jīng)到來，計算機及其網(wǎng)絡(luò)成為人們獲取信息的常用工具，計算機網(wǎng)絡(luò)給人們帶來的便捷已經(jīng)讓人們越來越依賴計算機網(wǎng)絡(luò)，從而通過網(wǎng)絡(luò)來完成各種工作、活動、信息獲取等，但是，計算機網(wǎng)絡(luò)的公開性和共享性決定其缺乏一定的安全性，往往容易被不法分子利用，從而給使用計算機網(wǎng)絡(luò)的用戶造成很大的損失，數(shù)據(jù)挖掘技術(shù)可以從大量的數(shù)據(jù)中提取出隱藏的具有特殊關(guān)聯(lián)性的信息，因此，將數(shù)據(jù)挖掘技術(shù)應用于計算機網(wǎng)絡(luò)安全領(lǐng)域中，通過對信息提取和處理，可以有效的限制非法權(quán)限，從而降低用戶使用計算機網(wǎng)絡(luò)的風險。

1 計算機網(wǎng)絡(luò)安全面臨威脅分析

隨著互聯(lián)網(wǎng)的不斷發(fā)展，計算機網(wǎng)絡(luò)安全問題日益嚴重，網(wǎng)絡(luò)安全面臨的威脅也越發(fā)的增加，工信部曾經(jīng)對威脅種類進行研究和劃分，將網(wǎng)絡(luò)安全面臨的威脅主要分為13種不同的類型，包括蠕蟲、木馬、病毒、漏洞、篡改網(wǎng)頁、非法訪問、垃圾郵件、DNS劫持、Botnet、網(wǎng)頁掛馬、phishing、拒絕服務攻擊及其他。蠕蟲指通過向網(wǎng)絡(luò)傳送其自身和復制信息，導致用戶主機出現(xiàn)異常行為；木馬指通過指定的程序，在未經(jīng)用戶許可的情況下對目的主機進行非法控制；病毒指存在于計算機程序中，可以進行自我復制和傳播，并導致用戶主機無法正常使用的代碼；篡改網(wǎng)頁指網(wǎng)站被黑客等不法分子利用，導致網(wǎng)站在未經(jīng)許可的情況下，發(fā)布反動、欺詐信息；非法訪問指沒有經(jīng)過用戶的許可，擅自使用網(wǎng)絡(luò)及計算機資源，從而進行未授權(quán)的操作；垃圾郵件指沒有經(jīng)過用戶的同意，強行向用戶的郵箱發(fā)送郵件信息；DNS劫持指通過劫持網(wǎng)絡(luò)內(nèi)的域名解析請求信息進行截獲，導致特殊網(wǎng)址上不去或提示訪問假地址；Botnet指通過分布式拒絕服務攻擊程序?qū)㈦娔X變成僵尸電腦，從而發(fā)起網(wǎng)絡(luò)攻擊；網(wǎng)頁掛馬指將木馬掛到網(wǎng)站上，從而在用戶下載時對用戶本地電腦進行攻擊和控制；phishing指通過發(fā)送虛假欺騙性網(wǎng)絡(luò)連接，引誘用戶提供個人信息，從而進行詐騙等行為；拒絕服務攻擊指通過對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)帶寬等進行攻擊，從而導致計算機無法提供服務的行為；這些行為嚴重威脅著計算機網(wǎng)絡(luò)安全，提高了用戶使用網(wǎng)絡(luò)的風險，因此，如何提高網(wǎng)絡(luò)安全性，降低用戶使用風險是急需解決的問題。

2 數(shù)據(jù)挖掘技術(shù)原理

隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)呈指數(shù)型增長，如何對這些數(shù)據(jù)進行分析和統(tǒng)計，提取有用的關(guān)聯(lián)信息非常重要，數(shù)據(jù)挖掘技術(shù)，就是可以有效解決該問題的、結(jié)合了多個交叉學科的先進技術(shù)。數(shù)據(jù)挖掘技術(shù)，主要指的是通過一定的算法從海量數(shù)據(jù)中提取隱藏的相關(guān)信息，找到其中的關(guān)聯(lián)性和規(guī)律，并將這些進行模塊化表示的過程，從而為后期的信息統(tǒng)計、分析、處理提供依據(jù)和基礎(chǔ)，數(shù)據(jù)挖掘技術(shù)在進行信息挖掘時主要分為以下幾個過程，分別是準備數(shù)據(jù)過程、數(shù)據(jù)挖掘過程、結(jié)果表示過程等部分。

2.1 準備數(shù)據(jù)過程

理解和準備數(shù)據(jù)過程，是數(shù)據(jù)挖掘的基礎(chǔ)，根據(jù)數(shù)據(jù)挖掘的目的和解決的實際問題，來對要挖掘的數(shù)據(jù)對象進行選擇，在明確具體的目的后，選取與其相匹配的數(shù)據(jù)，確定數(shù)據(jù)挖掘過程的核心數(shù)據(jù)，丟棄那些冗余、不完善及不符合要求的數(shù)據(jù)，從而為后期的數(shù)據(jù)挖掘過程提供較為準確和完善的數(shù)據(jù)源，數(shù)據(jù)源的準備過程直接影響后期的挖掘結(jié)果，是整個數(shù)據(jù)挖掘中最重要的環(huán)節(jié)。

2.2 數(shù)據(jù)挖掘過程

在準備好相應的數(shù)據(jù)源后，開始進行數(shù)據(jù)挖掘過程，數(shù)據(jù)挖掘主要分為兩種，分別是直接數(shù)據(jù)挖掘和間接數(shù)據(jù)挖掘，直接數(shù)據(jù)挖掘首先建立數(shù)據(jù)挖掘模型，通過數(shù)據(jù)挖掘模型的構(gòu)建來完成對數(shù)據(jù)源的處理和分析過程，間接數(shù)據(jù)挖掘無需建立數(shù)據(jù)挖掘模型，而是通過在各種變量之間建立某種關(guān)聯(lián)來完成數(shù)據(jù)挖掘過程。數(shù)據(jù)挖掘模型對挖掘結(jié)果有很大的影響，在建立好相應的數(shù)據(jù)挖掘模型或者關(guān)聯(lián)規(guī)則后，開始進行數(shù)據(jù)挖掘，采用分類、估計、預測、演變、聚類、異常、關(guān)聯(lián)、特殊群組等分析方法，發(fā)現(xiàn)數(shù)據(jù)之間的聯(lián)系和規(guī)律，來完成相應的數(shù)據(jù)挖掘過程。

2.3 結(jié)果表示過程

結(jié)果表示過程，是在數(shù)據(jù)挖掘過程結(jié)束之后，結(jié)合用戶采取數(shù)據(jù)挖掘的目的和需求，對數(shù)據(jù)挖掘過程中獲取的信息進行提取和處理，從而獲得最有價值的信息，并向用戶以簡單而直接的方式，將相應的數(shù)據(jù)或者規(guī)則表示出來，比如可視化等描述方式。

3 數(shù)據(jù)挖掘在計算機網(wǎng)絡(luò)安全領(lǐng)域的應用

本文將數(shù)據(jù)挖掘技術(shù)應用于計算機網(wǎng)絡(luò)安全領(lǐng)域，主要是由于當前的網(wǎng)絡(luò)安全威脅的途徑幾乎都是通過網(wǎng)絡(luò)發(fā)送信息，對用戶的主機進行攻擊，而在真正構(gòu)成威脅之前，都需要想辦法入侵用戶主機，并掃描相關(guān)信息等，因此，采用數(shù)據(jù)挖掘技術(shù)就可以對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行實時監(jiān)控和分析，當出現(xiàn)異常行為時，證明有網(wǎng)絡(luò)安全威脅存在，從而采取相應的防護措施來對網(wǎng)絡(luò)安全進行保障，通過數(shù)據(jù)挖掘技術(shù)可以有效的降低用戶使用網(wǎng)絡(luò)的風險，提高網(wǎng)絡(luò)的安全性。本文在將數(shù)據(jù)挖掘技術(shù)應用到計算機網(wǎng)絡(luò)安全領(lǐng)域時，根據(jù)數(shù)據(jù)挖掘的操作步驟，建立了一個基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)分為網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)、網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)、網(wǎng)絡(luò)決策處理子系統(tǒng)。

3.1 網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)

網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)，目的是在數(shù)據(jù)挖掘過程開始前，對需要進行數(shù)據(jù)挖掘的網(wǎng)絡(luò)數(shù)據(jù)進行提前處理，為后期的數(shù)據(jù)挖掘過程提供一定的基礎(chǔ)。網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)主要包括對網(wǎng)絡(luò)數(shù)據(jù)的采集、篩選、分類以及轉(zhuǎn)換，采集主要是對需要進行網(wǎng)絡(luò)安全監(jiān)控和數(shù)據(jù)挖掘的領(lǐng)域進行網(wǎng)絡(luò)數(shù)據(jù)的收集；篩選主要是對收集到的網(wǎng)絡(luò)數(shù)據(jù)進行有用數(shù)據(jù)選取，剔除不完整及無用數(shù)據(jù)；分類主要是對篩選后的網(wǎng)絡(luò)數(shù)據(jù)按照格式及類型進行分類；轉(zhuǎn)換主要是由于網(wǎng)絡(luò)數(shù)據(jù)不統(tǒng)一，需要轉(zhuǎn)換成可以被識別和處理的形式，從而為后期的數(shù)據(jù)挖掘大大節(jié)約了時間，簡化了數(shù)據(jù)挖掘的過程和步驟。

3.2 網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)

網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)，是基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)根據(jù)自身的需求和目的，在以往數(shù)據(jù)挖掘過程中得到的規(guī)律的集合，是遇到的網(wǎng)絡(luò)安全威脅的一個經(jīng)驗積累，通過該規(guī)則庫可以記錄網(wǎng)絡(luò)安全威脅的類別，以及各種類別的特征和屬性，從而為之后在網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)和網(wǎng)絡(luò)決策處理子系統(tǒng)中提供參考和指導，網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)和網(wǎng)絡(luò)決策處理子系統(tǒng)可以根據(jù)相應的分類和規(guī)則集合來挖掘出當前監(jiān)測的網(wǎng)絡(luò)安全區(qū)域中的數(shù)據(jù)信息的相應規(guī)律，從而發(fā)覺異常行為和相應的網(wǎng)絡(luò)安全威脅，為整個基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)提供了較好的支持和幫助。

3.3 網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)

網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)，是整個基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)的核心所在。網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)根據(jù)網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)提供的處理數(shù)據(jù)，通過相應的數(shù)據(jù)挖掘算法和網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)提供的規(guī)則集合，進行相應的網(wǎng)絡(luò)數(shù)據(jù)挖掘過程，從而對被檢測網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)行為進行統(tǒng)計、分析和歸類，該過程用到的技術(shù)有很多，比如分類、估計、預測、演變、聚類、異常、關(guān)聯(lián)、特殊群組等分析方法，通過這些方法，網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)之間的聯(lián)系和規(guī)律，為網(wǎng)絡(luò)決策處理子系統(tǒng)提供信息資源，從而來完成整個的網(wǎng)絡(luò)數(shù)據(jù)挖掘和安全保障過程。

3.4 網(wǎng)絡(luò)決策處理子系統(tǒng)

網(wǎng)絡(luò)決策處理子系統(tǒng)，是基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)的目的所在，該子系統(tǒng)根據(jù)網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)和網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)提供的數(shù)據(jù)和規(guī)律，來對網(wǎng)絡(luò)數(shù)據(jù)和行為進行分析，從而分離出異常的、對網(wǎng)絡(luò)安全有威脅的行為和數(shù)據(jù)，從而進行決策處理，通過將網(wǎng)絡(luò)相應的數(shù)據(jù)進行刪除、限制相應操作的權(quán)限等來降低用戶使用網(wǎng)絡(luò)的安全風險。對相應的異常、對網(wǎng)絡(luò)安全威脅的行為和數(shù)據(jù)的提取，主要是通過與規(guī)則庫進行匹配對比來完成，通過網(wǎng)絡(luò)決策處理子系統(tǒng)獲取的新的規(guī)則和數(shù)據(jù)，需要加入到網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)中。

4 結(jié)束語

隨著互聯(lián)網(wǎng)和科技的不斷進步，網(wǎng)絡(luò)及計算機成為人們賴以生存的、能獲取共享、實時信息的主要工具，但是，計算機網(wǎng)絡(luò)的公開性和共享性決定其缺乏一定的安全性，往往容易被不法分子利用，從而給使用計算機網(wǎng)絡(luò)的用戶造成很大的損失，目前，網(wǎng)絡(luò)安全面臨的主要威脅包括蠕蟲、木馬、病毒、漏洞、篡改網(wǎng)頁、非法訪問、垃圾郵件、DNS劫持、Botnet、網(wǎng)頁掛馬、phishing、拒絕服務攻擊及其他。這些行為嚴重威脅著計算機網(wǎng)絡(luò)安全，提高了用戶使用網(wǎng)絡(luò)的風險，因此，如何提高網(wǎng)絡(luò)安全性，降低用戶使用風險是急需解決的問題。數(shù)據(jù)挖掘技術(shù)可以從大量的數(shù)據(jù)中提取出隱藏的具有特殊關(guān)聯(lián)性的信息，因此，將數(shù)據(jù)挖掘技術(shù)應用于計算機網(wǎng)絡(luò)安全領(lǐng)域中，通過對信息提取和處理，可以有效的限制非法權(quán)限，從而降低用戶使用計算機網(wǎng)絡(luò)的風險。本文在對數(shù)據(jù)挖掘原理研究的基礎(chǔ)上，將數(shù)據(jù)挖掘技術(shù)應用于計算機網(wǎng)絡(luò)安全威脅保障上，建立了一個基于數(shù)據(jù)挖掘技術(shù)的計算機網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)分為網(wǎng)絡(luò)數(shù)據(jù)預處理子系統(tǒng)、網(wǎng)絡(luò)規(guī)則庫子系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)挖掘子系統(tǒng)、網(wǎng)絡(luò)決策處理子系統(tǒng)，最后，對各個子系統(tǒng)的功能以及整個系統(tǒng)的工作過程進行了詳細的介紹。

參考文獻：

[1]鄭卓遠，周婭.數(shù)據(jù)挖掘?qū)π畔踩挠绊慬J].現(xiàn)代計算機，2008（03）：36-39.

[2]潘大勝.論數(shù)據(jù)挖掘在計算機網(wǎng)絡(luò)病毒防御中的應用[J].西南農(nóng)業(yè)大學學報：社會科學版，2012（12）.

[3]言洪萍.基于數(shù)據(jù)挖掘的惡意程序檢測技術(shù)研究[D].蘇州：江蘇大學，2011（06）.

[4]羅躍國.基于數(shù)據(jù)挖掘入侵檢測模型的設(shè)計[J].西安文理學院學報（自然科學版），2010（03）：112-113.

[5]直敏.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應用[J]. 科技資訊，2010（10）：142-143.

作者簡介：張艷（1967-），女，山東昌邑人，本科，副教授，研究方向：數(shù)據(jù)挖掘。

作者單位：山東信息職業(yè)技術(shù)學院濰坊，山東濰坊 261061