数据挖掘技术在网络安全态势分析中的应用

冯耀

（山西工商学院 山西省太原市 030006）

进入网络信息时代以来，我国的现代化信息技术水平不断提高，人们的生活与工作方式都出现了很大的变化，网络应用范围越来越广，网络技术带来的行业变革十分明显，与此同时，网络的应用也伴随着更多的安全隐患，例如木马病毒感染、DDOS 攻击等，导致网络环境风险事件激增，对网络用户的个人信息安全以及机密文件安全造成了严重的影响，急需找到的有效的途径，加强对网络安全态势的分析，保证网络运行环境安全。

1 数据挖掘技术概述

数据挖掘技术从广义的角度上看就是数据库中的知识发现，其技术核心是数据库技术，它的应用原理是对某一个范围内的海量数据进行挖掘与分析，从而收集各种有效的数据，并在整理数据的过程中找到数据的内在联系与客观规律，以此对其进行准确判断与预测[1]。目前，随着网络的高速发展，数据挖掘技术的应用范围越来越广泛，尤其是在网络完全态势分析中的应用，获得了良好的应用成效。数据挖掘技术在网络安全态势分析中的应用具有较大的优势，可以很好的发现日常风险检测技术所无法发觉的数据间关联，准确找到隐蔽的病毒以及安全攻击行为等，以此快速的完成未知入侵行为的检测，对网络服务器和代理服务器实施高效检测与防护。

2 网络运行安全主要风险问题及特点

现如今，随着我国网络信息技术的高速发展，网络安全问题已经成为了人们普遍关注的热点话题，网络运行过程中存在的风险种类也逐渐增多，包括木马病毒感染、拒绝服务攻击、网络协议缺陷以及系统漏洞等，对网络用户的信息安全造成严重威胁[2]。网络风险问题具有隐蔽性、突发性、传染性强、破坏性大等特点，如果无法对其进行有效的防护与安全态势分析，就可能会导致网络系统瘫痪，让更多的网络用户受到侵害。

2.1 木马病毒感染

网络安全问题中最常见的就是木马病毒感染，其具有病毒类型多、传播性强、破坏性大以及隐蔽性强等特点，其本质上是一种恶意的攻击程序，攻击性很强，并且是主动性的攻击行为。木马病毒通常情况下会隐蔽在电脑程序的后台，并利用部分程序的系统漏洞，在程序运行的同时入侵到电脑系统中，破坏电脑系统的运行环境，盗取电脑有效数据或者破坏电脑系统等。

2.2 拒绝服务攻击（DDOS攻击）

拒绝服务攻击也被称为DDOS 攻击，其攻击方式是向攻击对象发出大量的服务请求，以此去挤占网络用户的大量资源，致使该对象无法正常的处理服务请求，导致网络通道堵塞或者网络系统瘫痪[3]。拒绝服务攻击发出的各种服务请求都是合理的，因此很难被一般的网络安全防护技术所阻挡。拒绝服务攻击的攻击特点包括分布范围广与规模大等，是一种主动性的攻击行为。拒绝服务攻击在实施攻击行为的过程中，首先需要对攻击对象进行确定与控制，然后会开展攻击，最后完成后期处理。

2.3 网络协议缺陷

随着P2P 网络技术的发展与创新，我国的网络环境越来越开放，网络用户的信息共享性也得到了很大的提升，在一定程度上为网络用户的上网行为提供了便利的条件，但是网络协议缺陷问题也严峻起来，给网络用户的隐私安全造成了巨大的危害。网络协议缺陷也是目前比较常见的网络安全问题，并且因为现阶段网络的动态性以及开放性特征等，使得网络协议缺陷的防护困难很大，容易给不法分子可乘之机，利用网络协议缺陷去攻击网络，造成较大的网络危害。

2.4 系统漏洞

系统漏洞可以说是网络安全问题中最典型、最常见的，具有多种类型，并且几乎每一个系统软件都会存在系统漏洞，给网络黑客攻击网络系统提供了条件。目前，应对网络系统漏洞的主要方式是防火墙技术，但是其在具体的应用过程中仍然存在一些不足，防火墙虽然可以阻止以IP 包头为基础的攻击行为，使得不被防火墙信任的访问以及地址等进行中断，但是却不能阻止以数据为基础的攻击行为[4]。同时黑客还可以利用防火墙自身的漏洞绕过它对带网络进行攻击，因此防火墙的应用是具有一定限制性的，缺少必要的灵活性。

3 基于数据挖掘技术的网络安全态势分析

3.1 数据关联技术

数据关联技术可以将网络行为中的具体抽象逻辑思维有效的转化为数据关系，该技术应用的原理本质是一种人类大脑的推理行为。即数据关联技术认定两个数据之间是具备关联的，就可以通过其中一个数据去推理另一个数据，利用数据之间的关联性去挖掘多维度的数据信息。目前，数据关联技术的主要应用方面是回归技术与信息网络分析方式等，是一种应用比较广泛的数据挖掘技术。

3.2 数据聚类技术

基于数据挖掘的数据聚类技术在网络安全态势分析中的应用，是根据一些特定的网络规律将海量的数据包分成多个类别，并且不同类别下的数据包拥有差异化的规律特征，以此利用这些差异规律去分析数据包的分布特点以及整体的疏密情况等，进而识别出这些不同属性数据包之间的彼此关联。数据聚类技术的应用目的是进行数据总结，根据聚类分析算法的思路不同可以将其分成五个类别，分别为基于划分的聚类分析、基于密度的聚类分析、基于模型的聚类分析、基于层次的聚类分析以及基于网络的聚类分析[5]。该技术在网络安全态势分析中的应用，可以通过聚类分析的方法过滤网络中正常的数据，将异常数据识别出来，进行对其进行入侵检测。

3.3 数据分类技术

数据分类技术在网络安全态势分析中的应用主要是依据特殊的逻辑思维，将现有的网络数据信息进行分类处理，是现阶段网络安全态势分析中应用比较广泛的一种新型技术。在对网络运行环境进行安全性检查的过程中，数据分类技术的应用可以实现对海量数据信息的快速分类处理，分类的方式主要有分类模型与分类函数两种[6]。另外，利用数据分类技术建立的分类模型可以将数据库中现有的数据信息反映到其它种类的信息集合中，形成数据信息比对，以此获取数据信息的实际身份。通常情况下，数据分类技术的应用效果会受到数据自身特点的影响，不同的分类模型在分类特征上具有较大的差别，数据分类效果与数据本身之间存在明显的关联性。

3.4 数据偏差技术

数据偏差技术是数据思维中的一种常规形式，是十分常见的。数据偏差技术在网络安全态势分析中的应用目的是识别数据信息的合理性与安全性。从网络数据分析的层次去看，在给予网络运行环境动态监测的时候，仍然会受到网络攻击的行为的入侵，这是因为部分攻击行为具有一定的伪装效果，可以隐藏在一些正常的系统程序或者服务指令下，利用网络协议缺陷或者软件漏洞等进入网络发起主动攻击，例如DDSO 攻击以及木马病毒等。而数据偏差技术的应用正好可以在特定的数据信息标准上，找到数据之间的差异性，并将存在差异的数据信息进行重点研究，评价其合理性与安全性。

4 数据挖掘技术在网络安全态势分析中的应用

4.1 分析准备

目前，随着网络的高速发展，网络数据信息总量逐渐增多，数据信息类型也越来越丰富，网络安全问题的复杂程度也有所提升，对网络安全态势分析提出了更高的要求，传统的网络安全态势分析技术已经无法适应当前网络环境对数据信息的需求。数据挖掘技术与分析技术的出现，有效解决了网络安全态势分析的技术问题，可以从海量数据信息中挖掘出有效的数据信息并进行处理[7]。在应用数据挖掘技术之前，需要做好分析准备，对目标数据的分类、关联性等进行明确，以此实现挖掘方向的改变。数据挖掘技术的应用主要过程为数据收集、整理、选择、处理以及压缩，需要进行数据预处理，保证数据挖掘可以在全部的计算范围内。

4.2 数据挖掘

数据挖掘技术在网络安全态势分析中的具体应用，核心的应用阶段是数据挖掘过程，目前可以使用的数据挖掘方式有很多种，可以根据网络运行情况以及挖掘具体要求合理的选用。另外，在我国网络信息技术高速发展的推动下，再加上人们对网络安全重视程度不断提高，数据挖掘方式也越来越多，更多的新技术、新算法应运而生，拓展了数据挖掘技术的应用途径。从当前数据挖掘技术在网络安全态势分析中的应用情况来看，应用比多、应用比较成熟的方法主要包括遗传算法、决策树算法以及神经网络算法等。不同的数据挖掘算法在应用的过程中需要有对应的挖掘程序。在应用数据挖掘技术的过程中，首先需要根据数据库知识去选择挖掘目标，并根据挖掘目标的特征与规律去选择合适的计算方法。其次，需要通过建立数据挖掘模型的方式去找到合适的参数，保证数据挖掘方法与挖掘对象彼此吻合。最后，要进一步验证数据的可信度，确保挖掘过程以及计算工作可以顺利进行。

4.3 网络安全态势预测

在网络安全态势预测过程中应用数据挖掘技术的目的是在海量数据目标中找到异常数据，并且需要通过合理的挖掘算法对数据目标的内容进行挖掘与计算，进而为网络安全态势预测提供强有力的参考依据。网络安全态势预测过程中，可以分成三个阶段，第一个阶段是直接显示数据挖掘结果，在一般情况下，直接显示数据挖掘结果可以让用户更好的理解网络安全态势以及合理使用网络，为其上网行为提供便利条件。第二个阶段是数据挖掘结果评价，即在数据挖掘目标的基础上，给予数据挖掘结果适当的、客观的评价[8]。第三个阶段是预测网络安全态势，需要在完成数据挖掘以后对数据信息进行分析，以此评价与反映网络安全态势。所以，在进行网络安全态势预测的时候，需要将挖掘到的知识与系统进行融合，显示并评价知识的机制，以此对异常数据进行准确的判断，将筛选出的异常数据与可信度较高的知识进行对比，有效解决网络安全的具体问题。

4.4 创建网络入侵检测模型

在网络安全态势分析中应用数据挖掘技术，可以针对现有的网络安全常见问题创建网络入侵检测模型，并利用数据挖掘技术帮助网络用户在海量的数据信息中了解人们从未涉及到的数据规律与知识，对异常数据类型进行快速响应与分析。基于数据挖掘技术创建的网络入侵检测模型由预检测模块、行为分析模块以及特征提取模块三大模块组成。以公司网络运行环境为例，使用网络入侵检测系统可以实现对员工上网行为的实时监测，查看其登录的网页信息，以此确保企业内部的网络安全，保障企业信息数据安全，避免数据泄露或者丢失。同时，网络入侵检测模型的创建还可以对计算机设备或者网络的运行状况进行动态分析，准确预测网络安全态势，及时发现网络运行过程中出现的异常数据，及时进行处理，进而保障网络安全、稳定的运行。

5 结论

综上所述，随着我国网络信息技术的高速发展，网络数据总量越来越多，数据类型逐渐丰富，再给人们的生活与工作带去便利条件的同时，也带来了更多的网络安全隐患，需要做好网络安全态势分析。合理的应用数据挖掘技术，可以提高网络安全态势分析的效率与准确性，对网络安全问题进行准确预测与处理，并且可以通过创建网络入侵检测模型主动开展防御，进而提高网络安全性，保障网络用户的正常使用。