数据挖掘的网络安全预警技术研究

摘要：现阶段，网络与人们的生活联系变得越发紧密，并深入到各领域的工作中，在这样的背景下，网络安全变得尤为重要，成为全世界所有人共同关注的一项重点问题。本文针对数据挖掘的网络安全预警技术展开研究，介绍网络安全预警概念，整理网络安全预警技术，总结相关工作经验，希望能够为同行业工作者提供科学化发展建议。

关键词：网络安全;数据挖掘;预警技术

一、引言

数据挖掘技术属于数据库领域和人工智能领域中的人们研究课题，可以对数据库中包含的所有数据进行自动分析，成功挖掘出大量具有关键作用的内容，并提供大量的客观网络预警知识，在面对网络危机问题时，具有重要应用价值。因此，在网络安全预警系统中应用数据挖掘技术可以取得十分显著的应用成果，具有非常高的发展空间和研究价值。

二、数据挖掘技术

通常情况下，数据挖掘技术，（即DataMining）是指一种能够对已有大型数据库进行处理，从中提取并分析关键数据资料的能力，这些资料在进行提取归类前，处于隐含状态，具有未知性、潜在性，是一种不易被人们发现的有价值信息，从广义角度出发，可以将其定义为一种从数据库、或其他类型的信息资料库集中有用信息，这种挖掘有价值数据的能力。所以，现有学者会将其数据库知识发现视为同一类型的技术。此外，还部分学者将这种技术理解为KDD期间必不可少中的关键步骤，具有重要作用，不可忽视。

针对现有数据挖掘技术而言，本身具有较强的综合性，属于一种具有交叉特点的新型学科，所以在发展过程中往往会受其他学科带来的影响，如：统计学、信息技术、可视化等[1]。在此之外，所有需要凭借挖掘技术达到最终目的的处理方式，均需要得到数据挖掘系统提供的支持作用，针对部分集成空间而言，其内部包含的全部数据均需要进行专门的综合分析处理，并对提取出的关键信息加以识别，在经过信号处理分析、图像信息整合以及经济学分析等大量专业技术处理后，此时这些数据才能够具备更高级别的使用价值。所以，数据挖掘技术是一项发展过程中必须得到重视的关键内容。

三、网络安全预警方法

目前，现有网络安全技术处于相对不完善的状态，其中，预警技术主要由数据预警指标提供支持作用，此后的最终数据选择和价值确定，均需要由预警方法做出最终判断、对警戒线的界定以及报警等内容，在此基础上，针对现有预警方法进行总结，可以进一步提升预警管理技术效果，在面对各种网络安全危机时可以具备更强的处理能力，具有非常重要的现实意义和研究价值，必须受到足够的重视。

（一）预警技术类型

1.以比较常见的Logistic回归分析法为例，此方法属于现有统计方法的一种，在网络安全预警领域中有着十分广泛的应用，对其展开具体分析，可以将其理解为一种借助选择样本与数据定义变量做出全面描述性的一种统计方法，可以利用简单指标检验对大规模数据资料进行有效提取，同时还可以根据提取出的最终结果进行分析，同时分析现有变量之间的相关性，此后则可以更加有效的剔除不具备价值的信息，借此保证筛选信息具有更高实用性[2]。在此之后，则可以对最终数据资料进行专门的Logistic回归处理，并选出其中最优概率阈值对应点（即分割点），此时阈值对应点即为预警临界点，并且还会对所得到最终预测方法加以有效检验，保证提取效果和手段的高效性，在此基础上，则可以得出值得信赖的最终分析结果。

2.分数模型可以针对多变量进行有效判别和分析，在划分信息所属类别方面具有极高的应用价值，因此，可以将其视为一种可以在数据集合中进行使用的高效统计方式。这种方法既能够真实展现出被研究数据呈现出的特征变量信息，同时还能够为所有不同变量加以最终判别。在判别过程中，对所有提取数据加以定位和分析处理，并对已知观测目标的分类进行整理，并运用数据表明对自身观测对象的所有特征信息，明确最终变量值，进而判别并分析出已经筛选出具有实际价值的关键，并对其中的变量数据进行总结性研究，此后则可将此数据作为研究，并借此对最终判别函数展开细致分析，明确最终阶段的预警临界值。

3.人工神经网络预警评价技术，即ANN技术，该技术可以将人类的大脑生理作为基础的学术研究，通过对生物神经元的模拟作用，实现某部分的基本功能，這种组件结构（人工神经元）具有极强的应用效果，并且还能够根据最终联结方式进行再次选择，并由此组成网络结构[3]。对于已知BP人工神经网络而言，属于一种具有误差反向性质的传播算法，并且这种多层前向神经网络计算和分析能力更强。一般情况下，这种BP神经网络能够在第一时间运用神经元进行函数类型的传递作用，即：Sigmoid型可微函数，借助对此函数的使用，可以进一步展现出对所有关键数据的有效处理，并将处理结果进行及时输入与输出，此后还能够为具有任意非线性特点的关键数据进行映射作用。基于此，在面对数据信息的模式识别需求时，可以采用这种方法进行反向分析人物，有着十分突出的效果，应用范围十分常见[4]。但是，在面对非线性变化类型时，此方法还可以对最终预警指标加以评价，并取得十分优质的计算效果。

4.智能预警支持（即IEWSS）。现有智能化预警支持系统在系统决策领域内具有重要地位，属于其中的关键分支结构，可以在案例推理领域、神经网络方面、规则推理层面、模糊推理等诸多技术中得以有效应用，并且还能够在预警领域中取得良好应用效果之后，为智能化预警方面的系统知识奠定了良好的基础，同时也可据此推理结果衍生出更多全新的理论知识和技术方法。在此期间，案例推理技术在当下的预警领域中有着十分广泛且深入的应用。在案例推理方面，需先对预警对象进行全面的特征描述，然后以提供的特征信息，对所有数据信息进行检索作用，并找出与之相似的实际案例，在与旧案例进行充分对比之后，可以将其与新问题进行综合分析，并找出二者之间存在的主要区别和类似之处，通过这种方式，达成预警作用。

5.对于失败树预警法而言，即为FCTA，该方法从本质角度进行分析，可以理解为对预先防范预警出现失败问题的事后处理方式，所以，这种处理法的引用十分常见。可以对失败分析的发生源因素以及基本失控条件进行整理，并将这些具有确定性质的所有信息构建成失败树模型，此时失败树结构的整体脉络处于相对明晰状态，使用者能够根据失败树整理出更多关键信息。在对大量失败情况加以总结和分析后，结合管理学内容，使失败树脉络可以展现的更为清楚，并保证此间的失败树构建任务能够有助于传授更多的失败经验，达到宣传预防效果[5]，进而保证最终分析结果具备参考价值。

（二）技术规则及类型

1.关联规则。关联规则主要指不同数据对象间存在的相互依赖关系，通过一定的分析，找出这种关系存在的基本定律，其主要分析任务是对已提取数据库筛选出具有高准确度的规则，这些规则同时还需要具备大于给定阈值的特征。

2.分类。对已筛选出的数据进行分类，是数据挖掘技术中的核心内容，对固有数据库信息加以分类的过程中，需将已经处于已知和已分类的各种数据进行再次提取，并以这些数据为基础，打造系统模型（又被称之为分类器），由此打造的模型具有较强映射能力，可以将数据库进行完整的过滤，并对所有数据项进行全面分析，并将最终结果映射给相应类别，并针对单项内容做出全面阐释，即可在最终阶段对所有已筛选出的关键数据进行准确分类。在此期间，分类器自身的构造方式为：决策树结构、统计方法模块、神经网络以及机器学习方法等几种不同类型。

3.聚类。聚类主要是指，能够根据客体属性特点，对一系列未经分类的客体数据信息进行识别的处理方式，根据提取数据的相似性，将其合理划分成为多个不同的类别，借助“物以类聚”的处理和分析方式，对关联数据加以聚类处理，此环节需要保证所有同类集合内容的相似性，并保证不同个体之间能够保持更加接近的实际距离，并对所有不同类别进行最终的个体化区分，通过这种方式保证个体间距足够大方可。聚类需要使同类个体间具有最大相似性，对应的不同类别间的个体，相似性控制在最低。

四、数据挖掘技术中的网络安全预警机制与方法

（一）危机与预警

网络安全危机大多具有意外性、紧急性和危险性三个基本特征。对于网络风险管理而言，需要以网络安全危机问题作为最终阶段的核心研究内容，并对所有会导致主体危机出现问题的原因加以阐述，此后还需要对问题在未来阶段的发展流程做出详细的了解。在此之后，还需要针对研究主体进行专门的危机预防、风险处理和缓解风险等关键手段，运用更加有效的风险预防策略，保证网络数据信息的安全性。与之相对应的网络安全预警则会发生在网络风险问题出现以前，提前准备好相应预警措施、避免危机爆发，因此，网络安全预警技术需要以各种不同类型的网络危机为主要针对对象。

（二）以数据挖掘为依托的安全预警机制

一般情况下，预警系统的主体结构分为输入与输出接口两个端口，同时还有专门的预警知识库与关键信息预处理模块两个处理版面，最后还有预警消息挖掘模块和最终预警模块几个部分组成。其中，在对所有已经挖掘出的数据参数进行集中处理，同时还需要保证预警范围内的知识约束性具备实际效用，保证挖掘技术能够从历史数据中成功挖掘出更多的预警信息，通过这种处理方式，确保所有知识库中的数据信息具有时效性。对于预警知识而言，挖掘模块属于预警系统中关键结构。针对不同需求的数据筛选任务，核查系统必须保证自身预警模块具备及时反应能力，同时还需要以现有预警知识库对所有数据类别进行有效区别，此后方可制定最终阶段的预警策略方案，并借此决定后续阶段是否需要继续进行预警提示。只有保证所有的联动预警处理任务都能够顺利完成，才可以保证网络安全预警功能可以得到实现。

（三）网络安全预警系统

在现代科学信息技术不断发展的背景下，现有数据库技术在传统事务方面的业务处理工作中有着十分广泛的应用，同时在取得了非常优质的使用效果。以数据挖掘技术为基础，各种针对数据进行挖掘作用的方法也在不断更新，并且系统技术的开发运用变得越来越丰富，并且未来阶段的数据挖掘技术应用领域同样也会变得越来越广泛。

图1对预警知识挖掘生成的预警机制作出详细说明，其中，系统提供的预警信息是否具备机制，主要由对应的预警知识库模块、数据输入/输出准确性、预警挖掘工作水平决定，这也代表预处理模块本身必须具备可操作性。在上述过程中，所有预警知识均需要与自身的挖掘模块保持高度匹配，并根据用户在最终阶段输入的数据参数为基础，结合预警知识，对后续操作形成约束效果，将目标数据库中的历史数据内容作为目标，进行专门的数据处理，并挖掘出其中需要进行预警提示的关键数据信息，并将这些信息保存至最終预警知识库系统内方可。

经挖掘得到的历史数据信息，会呈现出一定程度的动态变化性质，所以挖掘系统需设定固定的时间进行专门更新，对自身覆盖的所有数据内容进行定期整理，并对经过整理作用后的所有历史数据进行再次提取，此间需要保证新预警知识库中数据更新的即时性和数据代表性。对于预警知识挖掘模块而言，属于预警系统结构中的核心结构。从数据检测角度进行分析，预警模块是一种需要根据预警知识库对数据资料进行集中处理的技术手段，并且预警策略的最终决定同样还需要对预警信息的实际威胁性做出有效判断。此模块与预警信息之间的输出接口需要保持实时性，保证接口始终处于待命状态，在必要时还可以集成多种事件预警响应接口，通过系统发出的指令，完成相应协作任务，并将预警消息传送至控制中心，实现预警功能的联动。以分布式协同预警技术为例，处于网络环境下的各种安全事件，对应的分布式协同预警技术需要以分布式入侵检测系统（DIDS）为基础，对所有入侵事件呈现出的特征和规律进行统计作用，进而对未来一段时间内发生的各种可能存在入侵性的行为进行预警作用。这种分布式入侵特征检测系统，需要从大规模网络数据库中采集足够多的网络信息，并从中提取和过滤出有价值信息，并保证探测作业的即时性和准确性，借此识别更大规模内的网络入侵行为，保证报警信息的准确性。通常情况下，网络中会设置较多探测器，并且每个不同的探测器还会将相应报警信息以及预警信息全部都发给系统预警中心，在这些数据信息经过预警中心的二次处理后，会将最终处理结果传给监管中心，此时供监管中心需要在第一时间采取相应防御措施，当网络受到攻击时，可以及时调整安全防御策略，降低网络被攻击后发生瘫痪的可能性。

五、结束语

综上所述，网络安全预警技术的研究与系统应用正在引起网络安全界的关注，因为它可以预测攻击的可能性和后果。应用网络安全预警技术可以显著提高相关网络系统的安全防御能力。 网络安全预警自身存在不稳定性，同时还会携带一定量的不确定因素、计算和评估难度较高的大量数据信息，并且这些数据信息的变量以及参数的量化处理难度较高。与此同时，在使用传统分析方法时，面临的局限性较多，并且传统方法的分析结果和预测结果缺乏准确性保障，所以，亟须引进更为先进的分析技术，应对随时存在的网络安全危机。当进行非线性化方面的问题处理任务时，数据挖掘技术本身便可作为一种危机管理手段，在预警任务中提供有力支持的技术。

作者单位：郑琳    衡水开放大学

参  考  文  献

[1]焦萍萍.大数据挖掘在船舶通信网络安全预警中的应用[J].舰船科学技术，2020，42（06）：122-124.

[2]张錋，毛澍，李彦庆，等.利用数据挖掘技术改进TCPCUBIC拥塞控制算法[J].计算机应用研究，2018，35（10）：4.

[3]严宝飞，朱晓钗，刘嘉，等.基于数据挖掘分析牛蒡子功能因子及其潜在机制[J].食品安全质量检测学报，2020，11（07）：9.

[4]喻晓筠，张明斐.基于数据挖掘的江苏省质量安全评价与网络预警方法研究[J].中国质量与标准导报，2020（04）：45-47.

[5]孟志军，胡孟林.基于网络行为分析的网络安全预警系统设计与实现[J].电子技术与软件工程，2018（15）：189.