基于數據挖掘的網絡入侵安全防護系統研究

麻時明　陳積?！垞P

摘 要：隨著我國信息技術不斷快速的發展與進步，業界與用戶越來越重視信息安全問題，所以導致原有的防火墻系統無法對網絡信息技術安全進行保護，從而無法對入侵安全防護系統的作用進行充分的發揮。因此，文章主要對網絡攻擊導致流量異常的分類與特點進行分析，對基于數據挖掘的網絡入侵安全防護系統進行研究與探討，不僅能夠確保為相關的工作人員提供有效的參考，也能夠確保實現使用網絡入侵安全防護系統。

關鍵詞：數據挖掘；網絡入侵；安全防護系統；信息安全

不斷快速發展與進步的信息技術，促使網絡對我國越來越多公司的核心業務進行承載，所以公司與用戶對網絡信息安全的問題越來越關注。雖然一般情況下，網絡用戶通過對防火墻系統進行使用，能夠確保網絡信息的安全，但是因為網絡攻擊者不斷增加對網絡信息的攻擊技術與方式，所以使網絡攻擊者具有越來越多樣化的攻擊方法與工具，對網絡信息安全造成一定的威脅，逐漸使大部分信息十分敏感的部門現有的防火墻系統已經無法對其信息安全的需求進行充分的滿足。因此，人們越來越重視網絡入侵的檢測技術與設備，為確保能夠在極其復雜的網絡環境中，以及在安全需求較高的網絡環境中，使其能夠充分發揮所含有的關鍵作用與效果。

1 網絡攻擊導致流量異常的分類與特點

1.1 拒絕服務攻擊

拒絕服務攻擊屬于網絡攻擊者利用各種辦法導致目標機器停止提供服務的一種攻擊，屬于黑客經常使用的攻擊手段之一。而且拒絕服務攻擊這種攻擊手段對網絡安全能夠造成極其嚴重的威脅，其主要模式為網絡攻擊者通過使用各種方法，對網絡與服務器自身具有特別的弱點進行利用，使網絡攻擊者逐漸通過對大量的毫無意義的數據流量進行制造，從而使大量毫無意義的數據流量，能夠不斷對網絡為正常使用者所提供的請求服務進行擠占與使用[1]。同時網絡攻擊者通過不斷對不同的攻擊措施進行使用，不間斷地向攻擊目標的機器對大量的非法的IP報文、ICMP數據報文等進行快速的傳輸，從而確保逐漸對主機的處理能力進行消耗。

1.2 掃描探測攻擊

掃描探測攻擊屬于一種較為普遍的攻擊行為，而且掃描是網絡攻擊者向目標主機發起進攻的一個常用手段，確保通過利用此手段對主機的相關信息進行獲取，然后根據掃描結果對進一步攻擊的策略進行制定。同時為確保預防網絡攻擊者對主機信息進行獲取，然后發生一系列的監控掃描行為，可通過入侵檢測系統（Intrusion Detection Systems，IDS）對此類事件進行有效的監控。例如在網絡主機爆發蠕蟲病毒時，相關的工作人員首先需要不斷對大量網絡的端口或者主機進行掃描，而且自動攻擊與快速繁殖屬于蠕蟲病毒最大的特點，所以相關的工作人員需要不斷對蠕蟲病毒的攻擊方式與攻擊特點進行分析，確保通過對網絡主機的SYN/ACK位與同步序列編號（Synchronize Sequence Numbers，SYN）位進行詳細的查看，如果相關的工作人員發現網絡的主機所含有的報文數量具有極其明顯的差異，可以將其看成爆發蠕蟲病毒的一個源頭。

2 基于數據挖掘的網絡入侵檢測系統整體架構

2.1 信息采集模塊

信息采集模塊的主要功能為捕獲網絡上的信息數據，網絡主要通過對系統的計算機網卡進行應用，將其作為向網絡提供數據的主要來源。而且信息采集模塊能夠對所捕獲的信息數據進行拷貝，確保將其制作成一份拷貝的文件，而且通過將其傳輸到在已經分配完成的緩沖區中，所以屬于特意為系統中其他的模塊進行訪問時而準備的這份拷貝文件。同時在網絡中配置與部署入侵檢測系統時，為確保對數據信息進行直接的獲取，因此，需要在入侵檢測系統初步測試期間對此模塊進行使用[2]。并且一旦將其正式投入運行系統時，模塊將會對一定的效能進行失去，因此，能夠充分對此模塊的主要作用進行體現，主要作用為通過不斷提取相應的數據信息，從而確保能夠為后續的數據挖掘過程提供相關的數據資源。

2.2 信息整理模塊與數據挖掘模塊

信息整理模塊的主要功能為處理相關的報文，而且能夠確保向與其相對應的IP匯聚項，將處理完成之后的報文信息進行傳遞。同時相關的工作人員通過連接信息整理模塊與數據庫之間的關系，能夠確保信息整理模塊按照一定的周期，傳輸將經過匯聚的數據信息到數據庫中，從而確保信息整理模塊能夠為入侵檢測的下一步流程的處理過程，對相應的數據源進行提供[3]。同時，數據挖掘模塊的主要任務為不斷對神經網絡系統的系統參數進行調試，而且在離線的情況下就能夠完成這一步驟，能夠確保不斷對系統參數進行優化。其次，也能夠確保通過從數據庫中定時地對源IP匯聚信息進行提取，通過利用神經網絡技術對其進行分析，確保對數據流中是否夾雜攻擊的行為進行判別，因此，確保模塊能夠通過數據流中具有的攻擊信息對相應的報告進行生成。

2.3 報警記錄模塊

報警模塊的主要功能為網絡在被攻擊時，通過利用對話框形成相應的報警信號，能夠確保及時提供相應的報警信息給網絡系統管理工作人員。同時，能夠確保隨時通過系統的神經網絡參數，對人工操作的方式進行使用，確保不斷調整在線的分析，從而確保不斷優化參數，使參數更加的準確。并且通過此模塊提供相關的功能界面，能夠確保網絡安全管理工作人員對整個入侵檢測系統進行實時的監控與配置[4]。因為相關的工作人員能夠將這個入侵檢測系統分為兩大組成部分，一方面，在對數據庫進行輸入數據之前，模塊屬于對信息進行采集與整理，這部分的主要功能為對手機與網絡上的實時數據進行匯聚，從而確保在數據庫中進行傳輸信息，能夠確保對信息數據進行進一步的挖掘與處理。另一方面，在數據庫對信息數據進行處理之后的輸出部分，則是屬于不斷分析匯聚的信息數據，相關的工作人員主要通過網絡流量異常分析方法進行使用，確保不斷對數據庫中所提取的匯聚信息數據進行分析。

3 實現數據挖掘算法

本系統主要通過選擇一個3層神經網絡結構，在輸入層中加入樣本X，通過對NET進行使用，確保能夠表示所有來自輸入層的神經元Om的輸入總合，而且其得到的輸出結果為On。同時將Wmn作為系統權系數定義，通過不斷采用sigm oid函數，確保能夠將其作為激發函數作用的所有的神經元。

（fx）=1（/1-e-x）主要對sigmoid函數進行表示：

以下是具體的算法流程：

（1）確定權系數初始值。

（2）通過分析與計算所有樣本，而且需要重復以下流程，確保能夠直到系統收斂為止。

①因此，需要按照一定的前后順序，計算各層單元On：

NETn=∑Om×Wmn

On=1/（1-e﹣NETn）

②得出輸出層的δn：

δn=（y-On）×On×（1-On）

③而且需要按照從后向前的順序，計算各層的δn值：

δn=On×（1-On）×∑δ1×Wnl

④對各個權值的修正量進行計算，并將其進行保存。

⊿Wmn（t）=a×⊿Wmn（t-1）+b×δn×Om

⑤最后，對權值進行修正：

Wmn（t+1）=Wmn（t）+⊿Wmn（t）

4 安全防護系統的應用模式

可以將安全防護系統劃分為兩大部分：數據挖掘模塊與數據采集整理模塊，而且相關的工作人員在一般的采取做法中，在入侵檢測流程中，數據挖掘技術的作用與效果為，安全防護系統在對攻擊行為特征屬性進行確定之后，相關的工作人員主要將標準視為數據流的具體走向，將來自數據采集整理模塊的攻擊特征屬性向數據挖掘模塊輸入，從而確保通過利用數據挖掘模塊判別其是否存在具體的網絡攻擊行為。同時相關的工作人員也需要加強重視，雖然已經將數據挖掘技術引入網絡的入侵檢測系統中，能夠確保不斷增加其自身的效果。由于網絡能夠隨時隨地制造出大量的毫無意義的信息，為確保能夠對此類干擾信息進行有效地降低，相關的工作人員必須確保通過對具有針對性的網絡協議進行使用，才能夠確保一定的約束與過濾其行為[5]。

5 結語

總而言之，因為網絡需要對大量的應用與數據進行承載，從而導致需要具備大量的安全審計數據信息。所以通過提取與處理這些數據信息，而且能夠確保通過對其所含有的網絡入侵行為的特征量進行萃取，已經成為網絡安全防范工作中極其重要的問題。同時因為網絡入侵檢測屬于對安全審計信息進行處理與操作，不斷對數據挖掘技術進行引入，確保在大量的數據中網絡系統，不僅能夠對潛在的知識信息進行快速的判斷與提取，也能夠對其是否存在具體的網絡攻擊行為進行判別。所以需要不斷對基于數據挖掘的網絡入侵安全保護系統進行研究與探討，從而確保充分地發揮網絡入侵安全防護系統的效能。

[參考文獻]

[1]李玉東，史健芳.基于數據挖掘的網絡入侵檢測系統研究[J].中國石油和化工，2014（11）：253-256.

[2]邢雪霞.基于數據挖掘的網絡入侵檢測系統的研究[D].成都：成都理工大學，2014.

[3]林輝.基于數據挖掘的入侵檢測技術研究[J].民營科技，2016（3）：92.

[4]林傳慧，吳偉明.基于數據挖掘的高速網絡入侵檢測系統的研究[J].數字技術與應用，2014（9）：193.

[5]袁騰飛.基于數據挖掘的入侵檢測系統研究[D].成都：電子科技大學，2014.