對(duì)基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法的網(wǎng)絡(luò)異常檢測(cè)技術(shù)的相關(guān)分析

盧明星

(河南護(hù)理職業(yè)學(xué)院,河南安陽,455000)

0 前言

近幾年，計(jì)算機(jī)網(wǎng)絡(luò)呈現(xiàn)了迅猛的發(fā)展勢(shì)頭，隨著其在社會(huì)民眾日常生活中的普及，使得網(wǎng)絡(luò)安全事件的發(fā)生率逐漸激增。為了形成網(wǎng)絡(luò)資源安全性的保障，持續(xù)對(duì)網(wǎng)絡(luò)安全防護(hù)技術(shù)進(jìn)行改進(jìn)，加強(qiáng)對(duì)入侵信息的檢測(cè)，有助于產(chǎn)生對(duì)計(jì)算機(jī)的保護(hù)作用，對(duì)提升網(wǎng)絡(luò)系統(tǒng)的安全性大有裨益?；诖耍訌?qiáng)對(duì)基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法的網(wǎng)絡(luò)異常檢測(cè)技術(shù)的分析，具有十分重要的現(xiàn)實(shí)意義。

1 入侵檢測(cè)技術(shù)

■1.1 定義

入侵檢測(cè)技術(shù)是指依照一定的安全策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。有學(xué)者將計(jì)算機(jī)系統(tǒng)類比于一幢大樓，防火墻則是一幢大樓的門鎖，入侵檢測(cè)系統(tǒng)則為這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷采取非法的形式進(jìn)入大樓，或者內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測(cè)技術(shù)能夠?qū)崿F(xiàn)對(duì)入侵行為的及時(shí)識(shí)別，有助于實(shí)現(xiàn)對(duì)計(jì)算機(jī)的良好保護(hù)，通過報(bào)告計(jì)算機(jī)網(wǎng)絡(luò)的異常狀況，實(shí)現(xiàn)對(duì)違反安全策略行為的檢測(cè)，能夠形成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的屏障。

若未經(jīng)授權(quán)的信息對(duì)計(jì)算機(jī)進(jìn)行非法攻擊時(shí)，入侵檢測(cè)技術(shù)能夠?qū)崿F(xiàn)對(duì)其有效檢測(cè)和隔離，通過對(duì)外部系統(tǒng)的惡意攻擊進(jìn)行識(shí)別和監(jiān)視，并發(fā)出警報(bào)，使管理員采取相應(yīng)的管控措施，能夠建立科學(xué)而智能的安全防范體系，提升網(wǎng)絡(luò)監(jiān)管的方便性。入侵檢測(cè)技術(shù)能夠?qū)崿F(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)的分析和監(jiān)管，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的配置情況進(jìn)行審計(jì)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)漏洞的發(fā)掘和處理，對(duì)計(jì)算機(jī)數(shù)據(jù)的完整性進(jìn)行評(píng)估，借助于對(duì)未知攻擊的識(shí)別和分析，構(gòu)建完善的安全防范策略，并針對(duì)具體的攻擊措施，實(shí)施相對(duì)應(yīng)的解決辦法，對(duì)系統(tǒng)性能穩(wěn)定性的提升大有裨益。

例如，某研究人員充分發(fā)揮入侵檢測(cè)技術(shù)的價(jià)值，設(shè)計(jì)了科學(xué)的入侵檢測(cè)系統(tǒng)，在系統(tǒng)監(jiān)控室中間一個(gè)超過10米寬的屏幕上，用可視化的形式演示著對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)的結(jié)果。比如在“成都市網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)”這個(gè)頁面上，有城市安全指數(shù)、區(qū)域指數(shù)、已發(fā)現(xiàn)漏洞、受威脅資產(chǎn)等內(nèi)容，并能夠結(jié)合態(tài)勢(shì)感知平臺(tái)負(fù)責(zé)對(duì)安全事件進(jìn)行監(jiān)控。

再如，在某醫(yī)院的網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中，加入了入侵檢測(cè)技術(shù)，實(shí)現(xiàn)了對(duì)防火墻功能的合理補(bǔ)充，有助于輔助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），有效提升了提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。同時(shí)，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。調(diào)查數(shù)據(jù)顯示，自2016年底引入該技術(shù)以來，共計(jì)診斷出非法入侵8962次，有效維護(hù)了網(wǎng)絡(luò)的安全性。

■1.2 檢測(cè)方法

(1)專家系統(tǒng)

在最初的入侵檢測(cè)過程中，專家系統(tǒng)是一種常用方法，主要負(fù)責(zé)對(duì)誤用入侵進(jìn)行檢測(cè)。專家系統(tǒng)在對(duì)專家入侵檢測(cè)的經(jīng)驗(yàn)進(jìn)行細(xì)致總結(jié)的基礎(chǔ)上，建立了全面的知識(shí)庫，構(gòu)建了以知識(shí)庫為基礎(chǔ)的系統(tǒng)，通過發(fā)揮知識(shí)庫的價(jià)值，摸清入侵行為的發(fā)生規(guī)律，并借助于專家對(duì)入侵行為的分析，將其發(fā)生規(guī)律進(jìn)行整合和提取，將其錄入入侵行為特征庫，一旦發(fā)生入侵行為，只需在特征庫中提取相關(guān)數(shù)據(jù)，即可實(shí)現(xiàn)對(duì)入侵行為屬性的科學(xué)判別。

專家系統(tǒng)的優(yōu)勢(shì)在于：①特征庫能夠?qū)崟r(shí)擴(kuò)充；②能夠?qū)崿F(xiàn)對(duì)入侵行為的科學(xué)判別。盡管專家系統(tǒng)的知識(shí)庫能夠隨時(shí)更新，但入侵行為信息的收集仍缺乏全面性，一旦計(jì)算機(jī)系統(tǒng)遭遇協(xié)同攻擊，則計(jì)算機(jī)系統(tǒng)無法實(shí)現(xiàn)對(duì)外部攻擊行為的有效識(shí)別。

(2)狀態(tài)轉(zhuǎn)換

在誤用入侵的檢測(cè)過程中，常常會(huì)應(yīng)用到狀態(tài)轉(zhuǎn)換技術(shù)，借助于高層狀態(tài)轉(zhuǎn)換圖，能夠?qū)崿F(xiàn)對(duì)入侵行為和外部攻擊意圖的有效識(shí)別，在采用狀態(tài)轉(zhuǎn)換技術(shù)分析入侵行為的過程中，需要將計(jì)算機(jī)系統(tǒng)由安全狀態(tài)轉(zhuǎn)換為入侵狀態(tài)，實(shí)現(xiàn)對(duì)入侵對(duì)象動(dòng)作的識(shí)別，將其錄入入侵特征庫，借助于系統(tǒng)數(shù)據(jù)，實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。狀態(tài)轉(zhuǎn)換技術(shù)具有直觀性的優(yōu)勢(shì)，雖然能夠?qū)崿F(xiàn)對(duì)已知入侵行為的迅速檢測(cè)，但針對(duì)未知入侵方式，則無法進(jìn)行精準(zhǔn)識(shí)別。

(3)統(tǒng)計(jì)分析

基于統(tǒng)計(jì)分析方法的入侵檢測(cè)技術(shù)認(rèn)為，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的所有入侵行為，都存在一定的規(guī)律性，能夠借助于對(duì)入侵?jǐn)?shù)據(jù)的統(tǒng)計(jì)和分析，摸清入侵行為發(fā)生的定律。通過對(duì)入侵?jǐn)?shù)據(jù)與系統(tǒng)數(shù)據(jù)存在的偏差進(jìn)行分析，能夠?qū)崿F(xiàn)對(duì)異常入侵行為的認(rèn)定，并借助于計(jì)算機(jī)內(nèi)部變量的賦值，形成安全狀態(tài)下的操作規(guī)律，在對(duì)當(dāng)前用戶行為進(jìn)行分析的基礎(chǔ)上，將外部入侵產(chǎn)生的數(shù)據(jù)值與正常數(shù)據(jù)值進(jìn)行對(duì)比，若正常數(shù)據(jù)值與闕值的偏離程度較為明顯，則可將其判定為入侵行為。

(4)神經(jīng)網(wǎng)絡(luò)

近幾年，神經(jīng)網(wǎng)絡(luò)算法在入侵檢測(cè)過程中得到了廣泛應(yīng)用，對(duì)比于常規(guī)檢測(cè)方法，神經(jīng)網(wǎng)絡(luò)算法能夠?qū)崿F(xiàn)對(duì)入侵?jǐn)?shù)據(jù)的非參量化統(tǒng)計(jì)，有助于借助對(duì)歷史數(shù)據(jù)進(jìn)行處理和分析，提取入侵行為的主要特征，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行有機(jī)整合，結(jié)合入侵行為和歷史行為的偏離度與相似度，形成判斷異常入侵行為的良好基礎(chǔ)。

2 數(shù)據(jù)挖掘技術(shù)

■2.1 定義

數(shù)據(jù)挖掘技術(shù)的涉及的范圍較廣，與統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)和模式識(shí)別等領(lǐng)域知識(shí)均存在不同程度的交叉。數(shù)據(jù)挖掘是指依據(jù)一定的規(guī)則，從大數(shù)據(jù)庫中對(duì)大量隨機(jī)、隱含的數(shù)據(jù)進(jìn)行整理和查看，獲取想要的信息?，F(xiàn)階段，數(shù)據(jù)挖掘已經(jīng)成為人工智能領(lǐng)域?qū)W者的主要研究對(duì)象，若能夠運(yùn)用科學(xué)方法，從原始數(shù)據(jù)中提取有用的知識(shí)，則能夠?qū)崟r(shí)挖掘出外侵行為數(shù)據(jù)，對(duì)入侵防控方案制定的科學(xué)性大有裨益。數(shù)據(jù)挖掘技術(shù)主要包括信息收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理和數(shù)據(jù)變換幾個(gè)方面的內(nèi)容。

其中，信息收集是指結(jié)合的數(shù)據(jù)分析對(duì)象的特征信息，采用科學(xué)的信息收集方法，將收集到的信息存入數(shù)據(jù)庫。對(duì)于海量數(shù)據(jù)，選擇一個(gè)合適的數(shù)據(jù)存儲(chǔ)和管理的數(shù)據(jù)倉庫是至關(guān)重要的[1]。數(shù)據(jù)集成是指把不同來源、格式、特點(diǎn)性質(zhì)的數(shù)據(jù)在邏輯上進(jìn)行統(tǒng)一和集中，為企業(yè)提供全面的數(shù)據(jù)共享。數(shù)據(jù)規(guī)約指的是執(zhí)行多數(shù)的數(shù)據(jù)挖掘算法即使在少量數(shù)據(jù)上也需要很長的時(shí)間，而做商業(yè)運(yùn)營數(shù)據(jù)挖掘時(shí)往往數(shù)據(jù)量非常大。數(shù)據(jù)規(guī)約技術(shù)可以用來得到數(shù)據(jù)集的規(guī)約表示，它小得多，但仍然接近于保持原數(shù)據(jù)的完整性，并且規(guī)約后執(zhí)行數(shù)據(jù)挖掘結(jié)果與規(guī)約前執(zhí)行結(jié)果相同或幾乎相同。數(shù)據(jù)清理是指在數(shù)據(jù)庫中的數(shù)據(jù)有一些是不完整的、含噪聲的且是不一致的，需要進(jìn)行數(shù)據(jù)清理，將完整、正確、一致的數(shù)據(jù)信息存入數(shù)據(jù)倉庫中。數(shù)據(jù)變換借助于平滑聚集，數(shù)據(jù)概化，規(guī)范化等方式將數(shù)據(jù)轉(zhuǎn)換成適用于數(shù)據(jù)挖掘的形式，對(duì)于有些實(shí)數(shù)型數(shù)據(jù),通過概念分層和數(shù)據(jù)的離散化來轉(zhuǎn)換數(shù)據(jù)也是重要的一步[2]。

例如，有研究人員通過對(duì)網(wǎng)絡(luò)異常檢測(cè)技術(shù)的充分運(yùn)用，構(gòu)建了算法框架，并提出了包含稀疏和平滑約束的MIL排序損失來訓(xùn)練模型，使用MIL的思路構(gòu)建訓(xùn)練集合，使用C3D+FC 的網(wǎng)絡(luò)來獲取異常評(píng)分，最后采用提出的MIL排序損失來訓(xùn)練模型。通過這種方式，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)異常的科學(xué)檢測(cè)。

再如，某物流網(wǎng)站借助于智選物流平臺(tái)的優(yōu)勢(shì)，通過對(duì)數(shù)據(jù)挖掘技術(shù)進(jìn)行充分運(yùn)用，建立了聯(lián)通各個(gè)第三方快遞公司的信息系統(tǒng)，實(shí)現(xiàn)了對(duì)物流鏈的實(shí)時(shí)監(jiān)控。通過收集豐富的快遞數(shù)據(jù)，獲取快遞網(wǎng)點(diǎn)反饋，及時(shí)發(fā)現(xiàn)異?？爝f，當(dāng)包裹出現(xiàn)異常時(shí)，快遞公司會(huì)主動(dòng)反饋異常信息，賣家能夠在線和網(wǎng)點(diǎn)溝通處理異常件。通過這種方式，有效解決了因網(wǎng)絡(luò)異常所導(dǎo)致的快件延誤和丟失等問題，為用戶滿意度的提升奠定了良好基礎(chǔ)。

■2.2 方法

(1)關(guān)聯(lián)規(guī)則分析法

現(xiàn)階段，隨著信息網(wǎng)絡(luò)發(fā)展步伐的逐漸加快，對(duì)數(shù)據(jù)存儲(chǔ)工作也形成了挑戰(zhàn)，對(duì)關(guān)聯(lián)規(guī)則的應(yīng)用需求逐漸增加。關(guān)聯(lián)規(guī)則能夠借助于對(duì)數(shù)據(jù)之間相關(guān)性的分析，發(fā)現(xiàn)對(duì)象之間存在的規(guī)律，若規(guī)律符合入侵?jǐn)?shù)據(jù)的分布規(guī)律，則可判定為網(wǎng)絡(luò)異常現(xiàn)象。在運(yùn)用關(guān)聯(lián)規(guī)則對(duì)入侵行為進(jìn)行判斷的過程中，通常從以下兩個(gè)方面進(jìn)行：首先，應(yīng)將繁項(xiàng)集的定義作為參考依據(jù)，尋找符合最小支持度的項(xiàng)目集合，并結(jié)合強(qiáng)規(guī)則的具體條件，實(shí)現(xiàn)對(duì)強(qiáng)則的構(gòu)建。關(guān)聯(lián)算法的規(guī)則具有多樣性的特點(diǎn)，主要分為樹頻集算法和Apriori算法等[3]。

(2)分類預(yù)測(cè)分析法

在以往的網(wǎng)絡(luò)異常數(shù)據(jù)分析的過程中，通常包含分類和預(yù)測(cè)兩種主要形式，分類分析主要是指通過建立重要數(shù)據(jù)的相關(guān)模型，完成網(wǎng)絡(luò)異常分析工作，預(yù)測(cè)分析法則能夠通過構(gòu)建數(shù)據(jù)預(yù)測(cè)模型的方式，實(shí)現(xiàn)對(duì)未來入侵行為的發(fā)展趨勢(shì)的預(yù)測(cè)。分類分析法通常需要明確離散值的大小，預(yù)測(cè)分析法則需要將連續(xù)值函數(shù)模型作為保障。在采用分類分析法對(duì)網(wǎng)絡(luò)異常行為進(jìn)行分析的過程中，首先要結(jié)合數(shù)據(jù)集，劃分成不同的數(shù)據(jù)庫單元，完成模型的構(gòu)建，并建立訓(xùn)練數(shù)據(jù)集。然后，需要將各個(gè)數(shù)據(jù)庫元組作為訓(xùn)練的樣本，建立在一定規(guī)則的基礎(chǔ)上，為網(wǎng)絡(luò)異常行為判定提供參考依據(jù)。借助于對(duì)學(xué)習(xí)模型的分類規(guī)則，實(shí)現(xiàn)對(duì)位置數(shù)據(jù)元組的分類。預(yù)測(cè)分析法通常用于評(píng)估無標(biāo)號(hào)樣本，其分類算法主要包含判定樹、遺傳算法和貝葉斯算法等。

(3)聚類分析法

聚類分析法主要指的是將不同數(shù)據(jù)對(duì)象之間的相似性作為分組依據(jù)，將數(shù)據(jù)對(duì)象劃分為不同的類和簇。一般情況下，同類數(shù)據(jù)的相似度高于不同類相似對(duì)象。聚類分析法主要以劃分方法、劃分層次。劃分密度、網(wǎng)格和模型作為分類依據(jù)，屬于數(shù)據(jù)挖掘的新型技術(shù)，且取得了良好的應(yīng)用成果。聚類分析法是統(tǒng)計(jì)分析法的變換和延伸，在網(wǎng)絡(luò)異常行為檢測(cè)方面具有較高的應(yīng)用價(jià)值。

(4)序列模式分析法

序列模式分析法主要指的是對(duì)網(wǎng)絡(luò)異常數(shù)據(jù)之間的關(guān)系進(jìn)行分析，明確其中的相關(guān)性，在不同數(shù)據(jù)之間發(fā)現(xiàn)其共有屬性的相關(guān)性，實(shí)現(xiàn)對(duì)系統(tǒng)日志規(guī)則的挖掘，并建立相應(yīng)的序列。序列模式分析法主要包含Apriori算法和序列生長技術(shù)兩種類型，其序列大多以最高模式存在，能夠充分滿足最小支持度的要求，若能夠加大對(duì)序列模式分析法的應(yīng)用力度，則能夠提升對(duì)網(wǎng)絡(luò)異常信息檢測(cè)的精準(zhǔn)性。

3 結(jié)論

綜上所述，應(yīng)網(wǎng)絡(luò)異常檢測(cè)過程中，應(yīng)加大對(duì)入侵檢測(cè)技術(shù)和數(shù)據(jù)挖掘技術(shù)的應(yīng)用力度，實(shí)現(xiàn)對(duì)外部攻擊數(shù)據(jù)信息的精準(zhǔn)識(shí)別，進(jìn)而采取相對(duì)應(yīng)的防控策略，確保計(jì)算機(jī)網(wǎng)絡(luò)始終處于安全運(yùn)行狀態(tài)。