◆石磊

（濟(jì)南市科技信息研究所 山東 250014）

近幾年，隨著大數(shù)據(jù)庫(kù)的不斷完善，數(shù)據(jù)挖掘技術(shù)也在漸漸地發(fā)展。大數(shù)據(jù)技術(shù)實(shí)際上牽扯到的學(xué)科專業(yè)比交叉比較多，在現(xiàn)實(shí)使用背景中，經(jīng)常會(huì)和AI技術(shù)、人工智能、大數(shù)據(jù)庫(kù)、機(jī)器學(xué)習(xí)等技術(shù)相結(jié)合使用。從經(jīng)濟(jì)學(xué)角度來講，數(shù)據(jù)挖掘技術(shù)已經(jīng)表露出明顯的商業(yè)價(jià)值，在未來極有可能應(yīng)用到更多的領(lǐng)域中。但是就當(dāng)下而言，數(shù)據(jù)挖掘技術(shù)仍未達(dá)到成熟使用的狀態(tài)，在數(shù)據(jù)采取和使用研究中存在很多的安全隱患，尤其是網(wǎng)絡(luò)安全和數(shù)據(jù)隱私保護(hù)。

1 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘[1]，如字面理解，從數(shù)據(jù)中挖掘出相應(yīng)的有用信息，從廣義上來講，可以理解為“數(shù)據(jù)庫(kù)中的知識(shí)發(fā)現(xiàn)”，即從大型數(shù)據(jù)中挖掘出數(shù)據(jù)隱含的、未知的有用信息。數(shù)據(jù)挖掘技術(shù)使用時(shí)，首先要對(duì)數(shù)據(jù)庫(kù)、“源數(shù)據(jù)”進(jìn)行分析，從中篩選出可以使用的數(shù)據(jù)集合，然后

從中抽取部分集合進(jìn)行數(shù)據(jù)轉(zhuǎn)變加工，最終將選中的數(shù)據(jù)集合加工成適合數(shù)據(jù)深度挖掘的模式。之后，將處理好的數(shù)據(jù)進(jìn)行數(shù)據(jù)算法提取，將提取出的相關(guān)知識(shí)進(jìn)行評(píng)估，最終將獲取到的信息用通俗易懂的方式呈現(xiàn)給客戶。通俗來講可以概括為數(shù)據(jù)提取、數(shù)據(jù)預(yù)處理、數(shù)據(jù)深度挖掘?qū)W習(xí)、數(shù)據(jù)提取信息模式評(píng)估四個(gè)階段。

2 數(shù)據(jù)挖掘的主要技術(shù)

2.1 數(shù)據(jù)關(guān)聯(lián)技術(shù)

數(shù)據(jù)關(guān)聯(lián)技術(shù)主要使用與發(fā)現(xiàn)數(shù)據(jù)對(duì)象之間潛在的關(guān)聯(lián)，通過對(duì)數(shù)據(jù)關(guān)聯(lián)程度進(jìn)行判斷，一般用于數(shù)據(jù)提取和數(shù)據(jù)預(yù)處理階段。數(shù)據(jù)關(guān)聯(lián)技術(shù)中一般會(huì)對(duì)“最小支持度”、“最小可信度”兩個(gè)參數(shù)進(jìn)行定義?！白钚≈С侄取敝饕墙缍〝?shù)據(jù)對(duì)象之間的聯(lián)系程度，若低于“最小支持度”，則認(rèn)為數(shù)據(jù)對(duì)象與所需研究對(duì)象無關(guān)聯(lián)?！白钚】尚哦取苯缍ǖ氖顷P(guān)聯(lián)規(guī)則的可靠程度，若低于“最小可信度”，則認(rèn)為此組數(shù)據(jù)集合的關(guān)聯(lián)規(guī)則不可信。

通過設(shè)定“最小支持度”和“最小可信度”，實(shí)現(xiàn)從數(shù)據(jù)庫(kù)、“源數(shù)據(jù)”中找到既滿足“最小支持度”又滿足“最小可信度”的數(shù)據(jù)，可以較為精準(zhǔn)地提取出適合研究的數(shù)據(jù)集合。

2.2 數(shù)據(jù)分類技術(shù)

數(shù)據(jù)分類技術(shù)一般用于對(duì)數(shù)據(jù)的挖掘預(yù)測(cè)，即通過對(duì)數(shù)據(jù)梳理之后形成相應(yīng)的數(shù)據(jù)集合，通過算法或者函數(shù)形成相應(yīng)的分類模型，進(jìn)而對(duì)未來數(shù)據(jù)的趨勢(shì)進(jìn)行預(yù)測(cè)。數(shù)據(jù)分類技術(shù)使用過程中，首先要進(jìn)行建模，然后用使用模型對(duì)未知數(shù)據(jù)進(jìn)行分類，從而達(dá)到預(yù)測(cè)的目的，一般會(huì)結(jié)合非參數(shù)方法、機(jī)器學(xué)習(xí)方法、神經(jīng)網(wǎng)絡(luò)算法等使用。

2.3 數(shù)據(jù)聚類技術(shù)

數(shù)據(jù)分類技術(shù)主要針對(duì)的是數(shù)據(jù)的差異性，通過建模將不同性質(zhì)的數(shù)據(jù)區(qū)別劃分。而數(shù)據(jù)聚類技術(shù)落腳點(diǎn)在數(shù)據(jù)的相似性上，將數(shù)據(jù)對(duì)象分為不同的數(shù)據(jù)類別，使同一數(shù)據(jù)類別里的數(shù)據(jù)盡可能地小。數(shù)據(jù)聚類一般是通過設(shè)定相應(yīng)的算法實(shí)現(xiàn)的[3]，常用的有K-平均算法、AGNES算法、STING算法、SOM算法、DBSCAN算法等。

3 數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)的弊端

在網(wǎng)絡(luò)安全中，入侵檢測(cè)技術(shù)可謂是網(wǎng)絡(luò)安全的“中樞神經(jīng)系統(tǒng)”，是網(wǎng)絡(luò)安全技術(shù)中最重要的組成模塊之一。入侵檢測(cè)技術(shù)的好壞將直接影響到網(wǎng)絡(luò)安全的保障水平，如何在入侵開始但是未給網(wǎng)絡(luò)安全帶來危害時(shí)及時(shí)的組織入侵，入侵檢測(cè)技術(shù)最主要的研究重點(diǎn)。

在傳統(tǒng)的網(wǎng)絡(luò)安全維護(hù)中，由于網(wǎng)絡(luò)安全的技術(shù)擴(kuò)展性比較差，一般只能發(fā)現(xiàn)規(guī)定模式版塊內(nèi)的非法入侵行為，就一些版塊外的漏洞，不能及時(shí)地發(fā)現(xiàn)和處理。所以，在傳統(tǒng)的網(wǎng)絡(luò)安全維護(hù)中，由于無法感知到未知入侵行為，安全隱患較高，系統(tǒng)檢測(cè)相應(yīng)速度慢，并且系統(tǒng)檢測(cè)的適用性也不高。并且，在傳統(tǒng)的網(wǎng)絡(luò)安全中，對(duì)于入侵行為的記錄一般采用人工記錄的方式，就入侵行為的用戶區(qū)分一般也是靠人工來實(shí)現(xiàn)的，工作量可想而知，工作效率嚴(yán)重跟不上網(wǎng)絡(luò)入侵的頻率[2]。

3.2 數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)的融合使用

現(xiàn)階段的入侵檢測(cè)主要分為兩種，一種是基于異常的入侵檢測(cè)，一種是基于正常的入侵檢測(cè)，兩者經(jīng)常配合使用。將數(shù)據(jù)挖掘技術(shù)與檢測(cè)技術(shù)相融合，可以極大地改善入侵檢測(cè)技術(shù)的技術(shù)水準(zhǔn)，在網(wǎng)絡(luò)安全的維護(hù)中有建設(shè)性的意義。

（1）基于異常的入侵檢測(cè)技術(shù)

基于異常的入侵檢測(cè)技術(shù)，首先要建立好異常數(shù)據(jù)模型，將已發(fā)現(xiàn)入侵行為特征進(jìn)行匯總導(dǎo)入到異常數(shù)據(jù)模型中。異常數(shù)據(jù)模型中會(huì)儲(chǔ)存歷史入侵攻擊的一些標(biāo)志性特征，當(dāng)非法入侵再次發(fā)生時(shí)，當(dāng)入侵檢測(cè)是被到入侵與之前入侵有相同標(biāo)志性特征時(shí)，入侵檢測(cè)系統(tǒng)會(huì)直接識(shí)別到入侵的發(fā)生?；诋惓５娜肭謾z測(cè)技術(shù)的優(yōu)缺點(diǎn)十分明顯，優(yōu)點(diǎn)是數(shù)據(jù)來源簡(jiǎn)單，建模相對(duì)比較容易，但是此項(xiàng)技術(shù)階段只能檢測(cè)已知異常特征的入侵行為，無法識(shí)別前期未知攻擊，漏洞較多。

隨著數(shù)據(jù)挖掘技術(shù)的深入研究，數(shù)據(jù)挖掘技術(shù)漸漸地和入侵檢測(cè)的異常模型想融合，漸漸賦予異常入侵檢測(cè)技術(shù)新的功能板塊——對(duì)未來入侵行為進(jìn)行預(yù)測(cè)。數(shù)據(jù)挖掘技術(shù)中的數(shù)據(jù)關(guān)聯(lián)技術(shù)，通過對(duì)產(chǎn)生入侵行為的歷史情況進(jìn)行數(shù)據(jù)提取和數(shù)據(jù)預(yù)處理階段，然后采用數(shù)據(jù)分類技術(shù)，已非法入侵行為的特征為依據(jù)設(shè)置好“最小支持度”、“最小可信度”，從而深度挖掘出入侵行為的特定攻擊手段，然后通過相關(guān)建模和算法設(shè)定對(duì)后期的入侵?jǐn)?shù)據(jù)進(jìn)行預(yù)測(cè)。

由此可見，基于異常的入侵檢測(cè)技術(shù)與數(shù)據(jù)挖掘技術(shù)結(jié)合之后，將數(shù)據(jù)挖掘技術(shù)中的數(shù)據(jù)預(yù)測(cè)功能嫁接到了基于異常的入侵檢測(cè)技術(shù)中，從而實(shí)現(xiàn)基于異常的入侵檢測(cè)技術(shù)對(duì)未知入侵行為的檢測(cè)功能，極大減小了入侵檢測(cè)的漏報(bào)率。

（2）基于正常的入侵檢測(cè)

基于正常的入侵檢測(cè)技術(shù)的應(yīng)用原理與基于異常的入侵檢測(cè)技術(shù)類似，但是著重點(diǎn)不同[4]?；谡５娜肭謾z測(cè)技術(shù)實(shí)際上對(duì)將所有正常網(wǎng)絡(luò)行為進(jìn)行分析建模，形成網(wǎng)絡(luò)安全中的正常模型。當(dāng)用戶行為符合正常模型中的行為特征時(shí)，入侵檢測(cè)技術(shù)默認(rèn)為此行為正常。當(dāng)用戶的行為特征出現(xiàn)正常模型以外的行為特征時(shí)，基于正常的入侵檢測(cè)將會(huì)認(rèn)為發(fā)生了入侵行為。在傳統(tǒng)的基于正常的入侵檢測(cè)技術(shù)中[5]，正常模型中的特征精準(zhǔn)度不高，誤報(bào)率極高。

數(shù)據(jù)挖掘中的數(shù)據(jù)聚類技術(shù)，可以將數(shù)據(jù)對(duì)象分為不同的數(shù)據(jù)類別，并且使同一數(shù)據(jù)類別里的數(shù)據(jù)盡可能小，數(shù)據(jù)精準(zhǔn)度上優(yōu)勢(shì)明顯。故，將正常的入侵檢測(cè)技術(shù)與數(shù)據(jù)挖掘找那個(gè)的聚類技術(shù)相柔和，可以極大地提高正常的入侵檢測(cè)技術(shù)正常特征的準(zhǔn)確性，從而提高正常的入侵檢測(cè)的準(zhǔn)確性，降低誤報(bào)率。

4 總結(jié)

本文主要對(duì)數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行分析，首先闡述了數(shù)據(jù)挖掘的操作原理，并從關(guān)聯(lián)性、分類、聚類三種數(shù)據(jù)挖掘技術(shù)進(jìn)行詳細(xì)地介紹。然后，從入侵檢測(cè)技術(shù)為支撐點(diǎn)，從基于正常的入侵檢測(cè)、基于異常的入侵檢測(cè)兩方面詳細(xì)闡述了數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)技術(shù)的應(yīng)用。數(shù)據(jù)挖掘技術(shù)和入侵檢測(cè)技術(shù)相輔相成，共同促進(jìn)網(wǎng)絡(luò)安全的快速發(fā)展。