對基于數據挖掘和機器學習方法的網絡異常檢測技術的相關分析

盧明星

(河南護理職業學院,河南安陽,455000)

0 前言

近幾年，計算機網絡呈現了迅猛的發展勢頭，隨著其在社會民眾日常生活中的普及，使得網絡安全事件的發生率逐漸激增。為了形成網絡資源安全性的保障，持續對網絡安全防護技術進行改進，加強對入侵信息的檢測，有助于產生對計算機的保護作用，對提升網絡系統的安全性大有裨益。基于此，加強對基于數據挖掘和機器學習方法的網絡異常檢測技術的分析，具有十分重要的現實意義。

1 入侵檢測技術

■1.1 定義

入侵檢測技術是指依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。有學者將計算機系統類比于一幢大樓，防火墻則是一幢大樓的門鎖，入侵檢測系統則為這幢大樓里的監視系統。一旦小偷采取非法的形式進入大樓，或者內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。入侵檢測技術能夠實現對入侵行為的及時識別，有助于實現對計算機的良好保護，通過報告計算機網絡的異常狀況，實現對違反安全策略行為的檢測，能夠形成計算機網絡系統的屏障。

若未經授權的信息對計算機進行非法攻擊時，入侵檢測技術能夠實現對其有效檢測和隔離，通過對外部系統的惡意攻擊進行識別和監視，并發出警報，使管理員采取相應的管控措施，能夠建立科學而智能的安全防范體系，提升網絡監管的方便性。入侵檢測技術能夠實現對計算機系統的分析和監管，對計算機網絡的配置情況進行審計，實現對計算機系統漏洞的發掘和處理，對計算機數據的完整性進行評估，借助于對未知攻擊的識別和分析，構建完善的安全防范策略，并針對具體的攻擊措施，實施相對應的解決辦法，對系統性能穩定性的提升大有裨益。

例如，某研究人員充分發揮入侵檢測技術的價值，設計了科學的入侵檢測系統，在系統監控室中間一個超過10米寬的屏幕上，用可視化的形式演示著對網絡安全監測的結果。比如在“成都市網絡安全態勢感知平臺”這個頁面上，有城市安全指數、區域指數、已發現漏洞、受威脅資產等內容，并能夠結合態勢感知平臺負責對安全事件進行監控。

再如，在某醫院的網絡系統運行過程中，加入了入侵檢測技術，實現了對防火墻功能的合理補充，有助于輔助系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），有效提升了提高信息安全基礎結構的完整性。同時，它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。調查數據顯示，自2016年底引入該技術以來，共計診斷出非法入侵8962次，有效維護了網絡的安全性。

■1.2 檢測方法

(1)專家系統

在最初的入侵檢測過程中，專家系統是一種常用方法，主要負責對誤用入侵進行檢測。專家系統在對專家入侵檢測的經驗進行細致總結的基礎上，建立了全面的知識庫，構建了以知識庫為基礎的系統，通過發揮知識庫的價值，摸清入侵行為的發生規律，并借助于專家對入侵行為的分析，將其發生規律進行整合和提取，將其錄入入侵行為特征庫，一旦發生入侵行為，只需在特征庫中提取相關數據，即可實現對入侵行為屬性的科學判別。

專家系統的優勢在于：①特征庫能夠實時擴充；②能夠實現對入侵行為的科學判別。盡管專家系統的知識庫能夠隨時更新，但入侵行為信息的收集仍缺乏全面性，一旦計算機系統遭遇協同攻擊，則計算機系統無法實現對外部攻擊行為的有效識別。

(2)狀態轉換

在誤用入侵的檢測過程中，常常會應用到狀態轉換技術，借助于高層狀態轉換圖，能夠實現對入侵行為和外部攻擊意圖的有效識別，在采用狀態轉換技術分析入侵行為的過程中，需要將計算機系統由安全狀態轉換為入侵狀態，實現對入侵對象動作的識別，將其錄入入侵特征庫，借助于系統數據，實現對入侵行為的檢測。狀態轉換技術具有直觀性的優勢，雖然能夠實現對已知入侵行為的迅速檢測，但針對未知入侵方式，則無法進行精準識別。

(3)統計分析

基于統計分析方法的入侵檢測技術認為，針對計算機網絡的所有入侵行為，都存在一定的規律性，能夠借助于對入侵數據的統計和分析，摸清入侵行為發生的定律。通過對入侵數據與系統數據存在的偏差進行分析，能夠實現對異常入侵行為的認定，并借助于計算機內部變量的賦值，形成安全狀態下的操作規律，在對當前用戶行為進行分析的基礎上，將外部入侵產生的數據值與正常數據值進行對比，若正常數據值與闕值的偏離程度較為明顯，則可將其判定為入侵行為。

(4)神經網絡

近幾年，神經網絡算法在入侵檢測過程中得到了廣泛應用，對比于常規檢測方法，神經網絡算法能夠實現對入侵數據的非參量化統計，有助于借助對歷史數據進行處理和分析，提取入侵行為的主要特征，對網絡數據進行有機整合，結合入侵行為和歷史行為的偏離度與相似度，形成判斷異常入侵行為的良好基礎。

2 數據挖掘技術

■2.1 定義

數據挖掘技術的涉及的范圍較廣，與統計學、機器學習和模式識別等領域知識均存在不同程度的交叉。數據挖掘是指依據一定的規則，從大數據庫中對大量隨機、隱含的數據進行整理和查看，獲取想要的信息。現階段，數據挖掘已經成為人工智能領域學者的主要研究對象，若能夠運用科學方法，從原始數據中提取有用的知識，則能夠實時挖掘出外侵行為數據，對入侵防控方案制定的科學性大有裨益。數據挖掘技術主要包括信息收集、數據集成、數據規約、數據清理和數據變換幾個方面的內容。

其中，信息收集是指結合的數據分析對象的特征信息，采用科學的信息收集方法，將收集到的信息存入數據庫。對于海量數據，選擇一個合適的數據存儲和管理的數據倉庫是至關重要的[1]。數據集成是指把不同來源、格式、特點性質的數據在邏輯上進行統一和集中，為企業提供全面的數據共享。數據規約指的是執行多數的數據挖掘算法即使在少量數據上也需要很長的時間，而做商業運營數據挖掘時往往數據量非常大。數據規約技術可以用來得到數據集的規約表示，它小得多，但仍然接近于保持原數據的完整性，并且規約后執行數據挖掘結果與規約前執行結果相同或幾乎相同。數據清理是指在數據庫中的數據有一些是不完整的、含噪聲的且是不一致的，需要進行數據清理，將完整、正確、一致的數據信息存入數據倉庫中。數據變換借助于平滑聚集，數據概化，規范化等方式將數據轉換成適用于數據挖掘的形式，對于有些實數型數據,通過概念分層和數據的離散化來轉換數據也是重要的一步[2]。

例如，有研究人員通過對網絡異常檢測技術的充分運用，構建了算法框架，并提出了包含稀疏和平滑約束的MIL排序損失來訓練模型，使用MIL的思路構建訓練集合，使用C3D+FC 的網絡來獲取異常評分，最后采用提出的MIL排序損失來訓練模型。通過這種方式，實現了對網絡異常的科學檢測。

再如，某物流網站借助于智選物流平臺的優勢，通過對數據挖掘技術進行充分運用，建立了聯通各個第三方快遞公司的信息系統，實現了對物流鏈的實時監控。通過收集豐富的快遞數據，獲取快遞網點反饋，及時發現異常快遞，當包裹出現異常時，快遞公司會主動反饋異常信息，賣家能夠在線和網點溝通處理異常件。通過這種方式，有效解決了因網絡異常所導致的快件延誤和丟失等問題，為用戶滿意度的提升奠定了良好基礎。

■2.2 方法

(1)關聯規則分析法

現階段，隨著信息網絡發展步伐的逐漸加快，對數據存儲工作也形成了挑戰，對關聯規則的應用需求逐漸增加。關聯規則能夠借助于對數據之間相關性的分析，發現對象之間存在的規律，若規律符合入侵數據的分布規律，則可判定為網絡異常現象。在運用關聯規則對入侵行為進行判斷的過程中，通常從以下兩個方面進行：首先，應將繁項集的定義作為參考依據，尋找符合最小支持度的項目集合，并結合強規則的具體條件，實現對強則的構建。關聯算法的規則具有多樣性的特點，主要分為樹頻集算法和Apriori算法等[3]。

(2)分類預測分析法

在以往的網絡異常數據分析的過程中，通常包含分類和預測兩種主要形式，分類分析主要是指通過建立重要數據的相關模型，完成網絡異常分析工作，預測分析法則能夠通過構建數據預測模型的方式，實現對未來入侵行為的發展趨勢的預測。分類分析法通常需要明確離散值的大小，預測分析法則需要將連續值函數模型作為保障。在采用分類分析法對網絡異常行為進行分析的過程中，首先要結合數據集，劃分成不同的數據庫單元，完成模型的構建，并建立訓練數據集。然后，需要將各個數據庫元組作為訓練的樣本，建立在一定規則的基礎上，為網絡異常行為判定提供參考依據。借助于對學習模型的分類規則，實現對位置數據元組的分類。預測分析法通常用于評估無標號樣本，其分類算法主要包含判定樹、遺傳算法和貝葉斯算法等。

(3)聚類分析法

聚類分析法主要指的是將不同數據對象之間的相似性作為分組依據，將數據對象劃分為不同的類和簇。一般情況下，同類數據的相似度高于不同類相似對象。聚類分析法主要以劃分方法、劃分層次。劃分密度、網格和模型作為分類依據，屬于數據挖掘的新型技術，且取得了良好的應用成果。聚類分析法是統計分析法的變換和延伸，在網絡異常行為檢測方面具有較高的應用價值。

(4)序列模式分析法

序列模式分析法主要指的是對網絡異常數據之間的關系進行分析，明確其中的相關性，在不同數據之間發現其共有屬性的相關性，實現對系統日志規則的挖掘，并建立相應的序列。序列模式分析法主要包含Apriori算法和序列生長技術兩種類型，其序列大多以最高模式存在，能夠充分滿足最小支持度的要求，若能夠加大對序列模式分析法的應用力度，則能夠提升對網絡異常信息檢測的精準性。

3 結論

綜上所述，應網絡異常檢測過程中，應加大對入侵檢測技術和數據挖掘技術的應用力度，實現對外部攻擊數據信息的精準識別，進而采取相對應的防控策略，確保計算機網絡始終處于安全運行狀態。