淺談數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)異常入侵檢測中的應(yīng)用

摘要：異常入侵檢測是計算機網(wǎng)絡(luò)安全檢測的重要組成部分，現(xiàn)行計算機異常網(wǎng)絡(luò)技術(shù)檢測率以及漏報率較高，為此本文提出數(shù)據(jù)挖掘技術(shù)，其充分利用多學(xué)科研究結(jié)果，從計算機網(wǎng)絡(luò)真實數(shù)據(jù)庫中提取異常入侵?jǐn)?shù)據(jù)信息，面向計算機網(wǎng)絡(luò)內(nèi)部進行檢測。本文基于數(shù)據(jù)挖掘技術(shù)原理，數(shù)據(jù)監(jiān)聽、數(shù)據(jù)約簡、行為識別等數(shù)據(jù)挖掘檢測方式，探宄數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)異常入侵檢測中的應(yīng)用。

關(guān)鍵詞：數(shù)據(jù)挖掘；計算機網(wǎng)絡(luò)；異常入侵

一、引言

計算機網(wǎng)絡(luò)異常可能導(dǎo)致數(shù)據(jù)傳輸中斷，數(shù)據(jù)傳輸受損。數(shù)據(jù)挖掘技術(shù)網(wǎng)絡(luò)對異常入侵檢查借助主機和入侵檢測模型，分析計算機網(wǎng)絡(luò)日常日志，檢測計算異常入侵行為，在一定網(wǎng)絡(luò)使用權(quán)限下，入侵檢測模型通過提取網(wǎng)絡(luò)特征、網(wǎng)絡(luò)流量，分析計算機網(wǎng)絡(luò)異常入侵行為，保護計算機網(wǎng)絡(luò)安全。

二、數(shù)據(jù)挖掘技術(shù)原理

數(shù)據(jù)挖掘技術(shù)本質(zhì)上是數(shù)據(jù)處理技術(shù)，包括數(shù)據(jù)收集、數(shù)據(jù)監(jiān)聽和數(shù)據(jù)實施。從數(shù)據(jù)本身來看，數(shù)據(jù)收集以計算機網(wǎng)絡(luò)數(shù)據(jù)為主要對象，分析數(shù)據(jù)特征信息。通過算法和技術(shù)對數(shù)據(jù)進行預(yù)處理、模式分析，在數(shù)據(jù)庫中挖掘數(shù)據(jù)關(guān)系，捕捉數(shù)據(jù)特征，將不同格式、來源、特點數(shù)據(jù)信息在邏輯上有機集中，得到數(shù)據(jù)集合，利用數(shù)據(jù)約簡，規(guī)約數(shù)據(jù)集合，保證原數(shù)據(jù)完整性[1]。應(yīng)用數(shù)據(jù)矩陣、決策樹、規(guī)則推理，處理數(shù)據(jù)集合，獲取價值信息，作為入侵行為的判斷依據(jù)。

三、數(shù)據(jù)挖掘技術(shù)檢測計算機網(wǎng)絡(luò)異常行為應(yīng)用實驗

本文為驗證數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)異常行為的檢測應(yīng)用，從某計算機網(wǎng)絡(luò)中，收集兩個數(shù)據(jù)集合，DKK CPU943、IHG CPU4931數(shù)據(jù)包，應(yīng)用數(shù)據(jù)監(jiān)聽、數(shù)據(jù)約簡、行為識別，判定上述數(shù)據(jù)集合異常入侵行為。

（一）數(shù)據(jù)收集

DKK CPU943、IHG CPU4931數(shù)據(jù)集合大小分別為3.65G、3.49G，取自本地計算機磁盤系統(tǒng)。經(jīng)監(jiān)測，該計算機第一次大規(guī)模異常行為入侵發(fā)生于大量請求服務(wù)同時發(fā)送時，此時計算機處于癱瘓狀態(tài)，無法正常響應(yīng)請求服務(wù)[2]。初步判斷，計算機可能存在異常入侵，入侵者通過請求服務(wù)發(fā)送，將不良數(shù)據(jù)發(fā)送至該計算機網(wǎng)絡(luò)中，竊取計算機網(wǎng)絡(luò)信息和內(nèi)容。為此，本次為檢測計算機網(wǎng)絡(luò)異常入侵行為，從請求服務(wù)中抽取DKK CPU943、lIIG CPU4931數(shù)據(jù)集合，通過數(shù)據(jù)監(jiān)聽、數(shù)據(jù)約簡、行為識別，分析異常數(shù)據(jù)特征。本次檢測在OuFGS2020仿真實驗平臺開展，檢測程序使用Python程序語言。

（二）數(shù)據(jù)挖掘

1．?dāng)?shù)據(jù)監(jiān)聽

收集原始DKK CPL943、IHG CPU4931數(shù)據(jù)包，利用網(wǎng)絡(luò)嗅探技術(shù)監(jiān)聽數(shù)據(jù)集合。

①網(wǎng)絡(luò)嗅探讀取原始DKK CPU943、IHG CPU4931數(shù)據(jù)包，將DKKCPU943、IHG CPU4931數(shù)據(jù)轉(zhuǎn)化為圖片形式，形成完整的數(shù)據(jù)流，展示在計算機網(wǎng)絡(luò)監(jiān)聽端。

②從原始DKK CPU943、IHG CPU4931數(shù)據(jù)包捕獲數(shù)據(jù)文本，以tcpdump形式，將數(shù)據(jù)信息輸送至數(shù)據(jù)包記錄器，由記錄器自動判定為期1月內(nèi)，計算機網(wǎng)絡(luò)日志數(shù)據(jù)異常記錄。

⑧記錄器記錄程序監(jiān)聽原始DKK CPU943、IHG CPU4931數(shù)據(jù)包中每個數(shù)據(jù)集合，設(shè)定每個數(shù)據(jù)集合名稱，將數(shù)據(jù)包監(jiān)聽結(jié)果發(fā)送至本地網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽程序中，以數(shù)據(jù)包形式記錄數(shù)據(jù)集合數(shù)據(jù)日志。 2．?dāng)?shù)據(jù)約簡 DKK CPU94：3、IHG CPU4931數(shù)據(jù)包中每個數(shù)據(jù)集合來源不同、格式不同、特點不同，為避免數(shù)據(jù)集合屬性與分類屬性影響檢測結(jié)果。約簡DKK CPU943、IHG CPU4931數(shù)據(jù)包中每個數(shù)據(jù)集。

此次數(shù)據(jù)集合約簡，①將DKK CPU943、IHG CPU4931數(shù)據(jù)包轉(zhuǎn)化為無量綱的值，利用平均絕對偏差變化法，規(guī)范DKK CPU943、IHG CPU4931數(shù)據(jù)包中數(shù)據(jù)集合格式，將DKK CPL943，IHC CPU4931數(shù)據(jù)包代入公式（l）：

其中u表示規(guī)范化后的DKK CPU943. IHG CPU4931數(shù)據(jù)包，表示原始的DKK CPU943. IHG CPLT4931數(shù)據(jù)包；表示網(wǎng)絡(luò)數(shù)據(jù)絕對偏差。按照上述公式簡約DKK CPU943、IHGCPU4931數(shù)據(jù)包，避免數(shù)據(jù)集合中某一屬性掩蓋另一屬性。

②數(shù)據(jù)約簡后，提取DKK CPU943、IHG CPU4931數(shù)據(jù)包中關(guān)鍵屬性網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)粗糙集結(jié)論，分類DKK CPU943、IHG CPU4931數(shù)據(jù)包，將數(shù)據(jù)包代入公式（2）

E表示數(shù)據(jù)約簡表達系統(tǒng)，U表示論域，R表示數(shù)據(jù)包集合，Q（ ）表示數(shù)據(jù)包屬性值集合，f表示信息函數(shù)。DKK CPU943、IHG CPU4931數(shù)據(jù)包代入分類后，經(jīng)數(shù)據(jù)約簡論域檢測，被劃分為正常數(shù)據(jù)和有異常數(shù)據(jù)。

③將正常數(shù)據(jù)和異常數(shù)據(jù)制成決策表，利用橫縱坐標(biāo)標(biāo)記異常數(shù)據(jù)，評估異常數(shù)據(jù)與正常數(shù)據(jù)近似性，劃定標(biāo)準(zhǔn)區(qū)間，區(qū)間范圍內(nèi)為正常數(shù)據(jù)，區(qū)間范圍內(nèi)為異常數(shù)據(jù)，如圖l所示。

3．行為識別

基于上述異常數(shù)據(jù)監(jiān)聽和約簡結(jié)果，提取異常數(shù)據(jù)入侵行為特征。將DKK CPU943、IHG CPU4931數(shù)據(jù)包異常數(shù)據(jù)存儲至二維空間，形成對應(yīng)數(shù)據(jù)簇，數(shù)據(jù)簇中心點為異常數(shù)據(jù)聚類中心，如圖2所示。

本次DKK CPU943、IHG CPU4931數(shù)據(jù)包中有n個異常數(shù)據(jù)，將n個異常數(shù)據(jù)劃分到簇中，數(shù)據(jù)簇滿足關(guān)系式（3）

其中min（n，A）表示異常數(shù)據(jù)挖掘函數(shù)，A表示異常數(shù)據(jù)簇類矩陣，表示異常數(shù)據(jù)隸屬度，h表示異常數(shù)據(jù)到聚類中心的歐式距離。異常數(shù)據(jù)代入后，得出異常數(shù)據(jù)信息最小增益比，n個異常數(shù)據(jù)被劃分至異常數(shù)據(jù)簇類中，進而判斷異常數(shù)據(jù)入侵行為。

（三）網(wǎng)絡(luò)評估

在當(dāng)前計算機網(wǎng)絡(luò)環(huán)境下，以TP值和FN值作為異常數(shù)據(jù)網(wǎng)絡(luò)評估指標(biāo)，判定異常入侵行為類型。

①建立混淆矩陣，混淆矩陣中。在DKK CPU943、IHG CPU4931數(shù)據(jù)包中n個異常數(shù)據(jù)，按照異常數(shù)據(jù)特性，混淆矩陣如下所示。

在混淆矩陣中，TP表示實際入侵，F(xiàn)N表示正常樣本數(shù)據(jù)。

②將異常數(shù)據(jù)代入混淆矩陣中，計算TP值和FN值，進而判斷異常數(shù)據(jù)信息入侵情況。

（四）檢測結(jié)果

將n個異常數(shù)據(jù)樣本代入混淆矩陣后，得到如下結(jié)果。

根據(jù)混淆矩陣?yán)碚摚琓P值超過5.0以上，F(xiàn)N值在0.5以下，表示計算機網(wǎng)絡(luò)手段嚴(yán)重入侵。從當(dāng)前檢測結(jié)果看，在幾乎相同數(shù)據(jù)挖掘程度下，所有TP超過5．O，F(xiàn)N值低于0.5，表示該計算機網(wǎng)絡(luò)因異常數(shù)據(jù)入侵無法正常響應(yīng)請求服務(wù)，如果請求服務(wù)持續(xù)會導(dǎo)致計算機網(wǎng)絡(luò)癱瘓。

通過對計算機網(wǎng)絡(luò)異常入侵情況判斷，技術(shù)人員決定采取以下處理措施。

（1）在計算機網(wǎng)絡(luò)默認(rèn)狀態(tài)下，取消本次請求服務(wù)響應(yīng)，關(guān)閉請求服務(wù)所屬區(qū)域隱藏共享。修改請求服務(wù)對應(yīng)注冊表信息，將注冊表中數(shù)據(jù)轉(zhuǎn)換為“AutoShareWKs”雙字節(jié)信息。

（2）異常入侵目的在于在計算機網(wǎng)絡(luò)中建立“后門”，黑客可通過網(wǎng)絡(luò)“后門”獲取計算機網(wǎng)絡(luò)信息。經(jīng)前期數(shù)據(jù)挖掘，確定異常數(shù)據(jù)集合，技術(shù)人員直接更改異常數(shù)據(jù)，關(guān)閉“后門”，防止異常數(shù)據(jù)攜帶的病毒入侵計算機網(wǎng)絡(luò)。

（3）隱藏計算機網(wǎng)絡(luò)后臺，在計算機默認(rèn)狀態(tài)下，使用多字節(jié)加密計算機網(wǎng)絡(luò)后臺目錄，如“/mamashuomingziyaochangyidianheikecaizhaobudao/”，啟動計算機網(wǎng)絡(luò)修復(fù)程序，阻攔異常入侵，修復(fù)網(wǎng)絡(luò)漏洞。執(zhí)行上述修復(fù)操作后，關(guān)閉運行程序，中斷請求服務(wù)，利用弱口令對數(shù)據(jù)異常入侵進行逐步滲透，開啟防火墻限制允許登錄的IP地址，防火墻只開放特定的服務(wù)端口，防止黑客利用請求服務(wù)發(fā)送入侵網(wǎng)站。

四、結(jié)語

總而言之，本文從理論和實際出發(fā)，利用數(shù)據(jù)挖掘技術(shù)開展計算機異常入侵實驗，將其應(yīng)用于計算機網(wǎng)絡(luò)數(shù)據(jù)包檢測中，能夠得到準(zhǔn)確的數(shù)據(jù)檢測結(jié)果，辨別異常入侵行為，對異常入侵采取針對性的解決措施。數(shù)據(jù)挖掘技術(shù)作為一種新型技術(shù)，對于計算機網(wǎng)絡(luò)異常入侵檢測具有較高的檢測精度，從本文實驗驗證結(jié)果可以看出，數(shù)據(jù)挖掘技術(shù)對于異常入侵檢測具有較大的應(yīng)用價值，因此相關(guān)人員為保證數(shù)據(jù)挖掘技術(shù)在異常入侵中的廣泛應(yīng)用，應(yīng)結(jié)合當(dāng)前計算機網(wǎng)絡(luò)發(fā)展現(xiàn)狀，利用數(shù)據(jù)挖掘技術(shù)建立檢測模型，提高異常入侵檢測精度，發(fā)揮數(shù)據(jù)挖掘技術(shù)價值。

參考文獻：

[1]陳禧鴻數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)異常入侵檢測中的應(yīng)用研究[J]．信息記錄材料．2024，25 （05）：70-72．

[2]要麗娟，石峰，數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J]．集成電路應(yīng)用，2023，40 （07）：222-223．