數據挖掘技術在深度防御網絡安全體系中的應用

張振紅

（云南電網有限責任公司信息中心，云南 昆明 650217）

當今時代網絡應用規模不斷拓展，網上用戶數量持續且快速增長，進一步加劇了網絡安全問題的嚴峻性。在信息安全保護的需求下，深度防御體系概念應運而生。深度防御是指在多元化安全機制建立與應用的基礎上，通過這些機制的優勢互補實現對網絡安全的有效防御。在網絡技術逐步優化與完善的過程中，深度防御體系模式逐步呈現出開放性特征，并且實現了分布式處理，可操作性也進一步增強。但在網絡攻擊種類及數量變化的同時，深度防御效率、效果仍有不足，因此，需要通過數據挖掘技術在深度防御網絡安全體系中的有效應用化解這一問題。

1 計算機網絡病毒的基本特點

1.1 快速擴散性

網絡運行過程中，計算機網絡病毒會通過多渠道進入計算機網絡實施破壞，計算機病毒可在極短的時間內擴散至整個網絡系統，既可依托于不良網頁實施入侵，也可依托系統漏洞、電子郵件實施入侵。

1.2 強破壞性

計算機網絡病毒的破壞性較強，一些網絡病毒需要依賴于木馬技術或黑客技術而存在，此類病毒屬于混合型病毒，普通病毒檢驗方式極難檢測出來，一旦計算機網絡系統遭到此類病毒入侵，會導致重要信息被盜取或篡改，也可能導致系統無法正常運行，難以維持計算機的穩定運行。

1.3 多種類性

目前發現的計算機網絡病毒有多個類別，并且這些病毒仍在不斷地變化，計算機網絡病毒具有生產制造容易的特點，并且可依托于高級程序入侵計算機系統。通常一種病毒通過指令改變便可轉化為新型病毒，因而網絡病毒類別繁雜，預防難度較高。

1.4 強針對性

在計算機網絡日益發展的過程中，計算機病毒生產制造的目的也出現了多元變化。以往計算機網絡病毒制造者只是為了炫耀其技術的高超性，所產生的負面影響并不大。然而當今時代背景下，計算機網絡病毒的針對性越來越強，許多病毒帶有較強的攻擊性，并且是以獲取商業利益為目的編寫制造病毒，因而所帶來的損害也更為嚴重。

2 網絡病毒防御中數據挖掘技術應用的可行性分析

計算機網絡病毒通常是入侵到主機，而后再由主機向其他系統擴散，通過傳播逐步進入到用戶的操作系統之中，獲取用戶及存儲于網絡之中的其他用戶信息，并實施信息盜取、篡改、損壞等破壞行為。計算機病毒攻擊行為的實施，為數據挖掘技術的應用提供了機會。可通過數據挖掘技術抓取與分析相關數據，并結合數據分析結果判斷網絡異常情況出現的原因，結合用戶需求實施有效地進行安全防護。計算機感染病毒后，計算機系統會掃描主機，于計算機防御系統構建的過程中設置突破口，依托于數據挖掘技術完成新型防御系統的構建，將之劃分為數據源、數據挖掘、決策、預處理、規則庫、防御等多個模塊。依托于網絡構建數據源之后，經預處理模塊完成數據處理，進而對計算機網絡病毒的傳播情況進行記錄，以此構建免疫體系，系統檢測到有同類病毒入侵后會立即發出警報，從而在防御系統支持下實現對主機的有效保護。

3 網絡安全深度防御體系的結構分析

網絡安全技術模型通常由四部分構建而成，一是安全策略，二是防護，三是檢測，四是響應。這四個部分共同構建了一個動態化與系統化的安全循環，其中安全策略起到的主導作用，能夠使信息系統的安全性得到有效保證。現階段，許多網絡安全系統采用信息安全技術加固或防護自身，但在網絡攻擊類型不斷創新的情況下，信息系統的安全防護逐步實現了傳統靜態防護向動態防護的轉化，可在防火墻、身份認證以及加密手段應用的基礎上，通過漏洞評估、入侵檢測等檢測工具的應用對系統的安全狀態進行評估與把控，從而使系統始終處于安全性與低風險性的狀態之下，可依托于動態化的防護手段，提升系統的響應及恢復速度。網絡安全深度防御體系除包含基礎設施之外，還涵蓋日常防御及實時防御兩個重要部分，擴展性良好是此體系結構的主要特征。

4 數據挖掘及其組成

4.1 數據挖掘技術

數據挖掘技術是一種可從規模數據中挖掘與學習潛在知識及有價值知識的技術方法，需要經過數據收集、預處理、特征篩選、深度挖掘、知識表達以及知識利用6個階段。對研究對象的現有及歷史數據進行收集后，以對象為依據構建模型并完成數據分類與格式規范，而后定性描述數據并實施數據去噪等預處理，再將數據中關聯性較少的特征數據剔除以降低數據維度，以增強數據挖掘效率、強化知識的可理解性，而后再利用挖掘算法深入挖掘特征數據庫中不同形式的數據知識，根據知識庫的要求形式完成知識的表達與理解，要求能夠在人機交互模式下完成知識的顯示與驗證，最后利用多種不同的知識模型完成智能信息處理。數據挖掘算法類別眾多，具備多種組合方式應用，能夠運用多種不同的知識表達形式，結合應用對象的特征及要求選用適合的方法，為多個平臺提供應用支持。在已通過驗證的數據挖掘算法支持下，實現訓練樣本中有價值知識內容的篩選。

4.2 數據挖掘技術的組成

4.2.1 數據源模塊

此模塊的作用是向主機傳輸網絡截獲的數據包，這些數據庫中涵蓋與特定數據有所關聯的數據結構，可利用抓包程序完成數據包的接收，而后將之傳送給預處理模式，并由其完成數據的預處理。

4.2.2 預處理模塊

預處理模塊接收到來自于數據源模塊提供的信息后，首先需歸類分析數據信息，將之轉化為統一化的可識別處理的數據，可根據數據包的IP地址進行分類，或是以端口信息作為分類依據，預處理之后數據分析及挖掘需耗費的時間會得到有效節約，可在挖掘效率提升的同時增強數據的辨識度。

4.2.3 數據挖掘模塊

作為數據挖掘技術的核心結構，數據挖掘模塊由事件庫、挖掘算法兩個關鍵部分組成，數據挖掘算法的作用是分析與歸納數據收集后產生的事件庫，進而得出具備鮮明特征的數據分析結果。

4.2.4 規則庫模塊

規則庫模塊的作用是挖掘已出現的網絡病毒，通過病毒識別與歸類建立規則集。規則集包含網絡病毒的各種信息，可以此信息為依據對計算機網絡中潛在的其他病毒展開搜尋，并歸類新識別的病毒，進而優化與完善規則庫，為后續病毒特征分析奠定基礎。

4.2.5 決策模塊

決策模塊主要是用于匹配數據挖掘后構建而成的數據庫及規則庫，對二者的數據信息相似性進行比對，若相似度較高，說明數據信息存在病毒特征，意味著網絡中存在以往發現過的潛在病毒。若二者不具備相似數據信息，說明數據包中的病毒產生了新的特征，屬于新型病毒，因而應將其納入到新的規則庫之中。

5 基于數據挖掘技術的網絡安全病毒防御系統構建過程

5.1 關聯規則

關聯規則是指數據中涵蓋關聯性知識，若數據庫中兩個或多個變量之間取值具備規律性，說明數據之間存在關聯。數據挖掘具有三種關聯關系，一是簡單關聯，二是因果關聯，三是時序關聯，排查分析數據之間的關聯便是從數據庫中查出與確定關聯網的過程，可在數據間關系深挖與明確的基礎上進一步確定不同數據間的關聯規則。

5.2 聚類分析

聚類分析時需要先分解數據包，確保各組同時存在相似特征與不同特征，在聚類數據的基礎上對數據分布的稀疏性或致密性進行分析，而后整體化進行模式呈現，如此方可進一步展示數據之間的屬性特征。

5.3 分類分析

此種分析是指先預設幾種分類，而后結合類別的不同納入個體，分類分析的目的是通過統計方法的應用，在機器學習方法的輔助下構建分類模型，而后在分類規則的基礎上完成數據的分類整理。

5.4 異類分析

異類分析主要是針對數據庫中存在顯著差異而進行的分析方法，這些數據通常與常規數據存在嚴重偏離。異類分析時，需要進行孤立點的發現與分析，此分析過程中高價值性數據被發現的幾率更高。

5.5 決策樹挖掘

決策樹是由多節點構建的樹形圖，其中各個節點均屬于性質測試之一，各個樹枝分別展示對應的檢測結果，各種形式的狀態分配則以葉節點表示。分類樹中常用ID3與C4.5運算法則，二者均為由上至下的樹形結構。基本決策樹分類算法的病毒及非病毒分類流程圖如圖1所示。

圖1 基于決策樹的病毒與非病毒分類流程

5.5.1 分類條件

基于決策樹分類病毒與非病毒時，條件1代表具備破壞能力的惡意程序，條件2指的是具備傳染能力的惡意程序，而條件3則代表的是具備隱藏功能的惡意程序。

5.5.2 病毒程序檢測步驟

具備破壞能力的程序會到達節點1，無破壞能力的程序劃分至葉節點1，可判定此程序屬于非惡意程序。而后，節點1的惡意程序若是有傳染能力，便會劃分到節點2，不具備傳染能力的程序歸類到葉節點1，可判定此程序不屬于病毒程序。到達節點2的惡意程序若存在隱藏功能，可將之判斷為病毒程序，應歸類到節點3中，其他程序為非病毒程序，歸類至葉節點3。網絡防御系統的作用是在病毒出現時快速捕獲樣本，從而總結出有效抵御與消除病毒的方案。決策樹模型的應用可降低手工歸類病毒的工作量，能夠基于近似病毒樣本的分析實現高效分析處理。

6 深度防御體系中數據挖掘技術的實踐應用

6.1 基于IDS的典型深度防御體系結構

深度防御網絡安全體系當中，入侵檢測系統屬于十分關鍵的構建技術，此技術發揮著重要的作用。以下便以基于IDS（入侵檢測系統）的典型深度防御體系結構為例，如圖2所示，分析數據挖掘技術在此深度防御網絡安全體系中的具體應用。

圖2 典型深度防御體系結構

在此典型深度防御體系結構當中，各個局域網中均設置了IDS，且LPS（本地安全策略服務器）負責管理IDS中的信息。GPS（全局安全策略服務器）負責控制各個LPS信息，同時也可對各分支上的IDS行為進行監控。為此，需要通過深度防御網絡安全體系的防御能力提升有效展現系統效能。

6.2 數據挖掘技術在深度防御體系結構中的應用

在這個深度防御網絡安全體系結構中，LPS及GPS負責管理大規模的數據信息，并且將數據挖掘技術應用于GPS管理過程當中，可在數據挖掘的基礎上構建一個聯合防御系統。其中，LPS的作用是隨時收集在線日志，同時也可向GPS安全傳送數據，而GPS則負責深度挖掘日志信息中有價值的數據信息。

6.2.1 數據挖掘階段劃分

（1）離線學習

首先由LPS將所收集的日志全部傳送至GPS，而后將這些日志納入到學習樣本集之中，利用數據挖掘工具實施挖掘進而獲得規則集，而后再依托于規則集協調器推動機器學習算法的運行，而后對規則參數進行優化調整，再以規則集為依據建立有效分類器。構建分類器時，先要經過數據預處理，設定好記錄格式，再將完成預定的數據填入數據挖掘格式之中。之后運行挖掘工具，在學習樣本基礎上產生規則集，最后將規則集轉為能夠執行的形式。

（2）在線檢測

在線檢測也可劃分為3個階段，首先是通過數據在線挖掘過程實現數據庫中所記錄數據的分類檢測。之后需要以規則庫為依據進行規則參數的調整，并對活動日志展開在線數據挖掘。此后，安全策略分派器待命，在線數據挖掘命令下達后便可執行。

6.2.2 數據挖掘技術的作用過程

此深度防御體系結構當中，各個IDS在LPS管理之下，且同時被GPS管理。GPS所包含的聯合防御模塊需在數據挖掘技術支持下實現對LPS中所收集事件的分析。若得出攻擊檢測結果，則立即向LPS或IDS發送指令，由其通過策略調整阻止網絡攻擊。在這一過程中，數據挖掘可依托于自學習建模功能，以入侵監控數據為基礎，結合不同情況下的入侵監控數據，完成特征分析與提取過程。而后通過特征綜合而構建特征數據庫，為挖掘建模提供支持。而后可在KNN（最鄰近結點算法）或PCA（主成分分析算法）的支持下完成數據特征的關聯分析，從而達到數據降維的目的。之后可利用決策樹方法對決策規則進行挖掘，而后利用多層感知器網絡，結合BP學習規則，對自學習構建決策分類器提供訓練支持。

7 結束語

在互聯網與各生產生活領域逐步融合的過程中，網絡安全防御當中數據挖掘技術所起到的作用越發顯著。在大數據模塊中，可用于防護計算機網絡詐騙、評估危機等多個層面，可有效檢測病毒入侵活動。深度防御安全體系當中數據挖掘技術的應用是當今社會病毒防御工具先進性的重要體現，可精準預測與檢測病毒入侵形式與入侵數據。數據挖掘技術的應用，擔負著保護電腦系統的重要作用。在智能信息處理理論方面，數據挖掘是關鍵研究內容，同時也是極為有效的工具，在復雜應用對象模型構建及優化的過程中具有重要作用，數據挖掘技術在深度防御網絡安全體系中應用，能夠促進系統效率提升，既與體系特點相契合，也可滿足體系的要求。