数据挖掘技术支持下网络信息安全对策研究
2018-10-25刘惠彬
刘惠彬
(武汉绿色网络信息服务有限责任公司,武汉 湖北 430000)
数据挖掘在整体网络数据库中获得所需的数据安全管理信息。而基于整体网络数据库内部不稳定数据因素的多样性及隐蔽性,常规的防火墙或杀毒措施并不能发挥有效的作用。这种情况下就需要对整体数据挖掘网络安全数据分析环节进行进一步分析。首先在数据挖掘目标设定前期,可对相应挖掘目标数据进行集合处理,并依据相应处理目标对其进行同类型选择。因此为了保证数据挖掘环节网络信息安全,对数据挖掘技术实施进行进一步分析非常必要。
1 网络安全威胁
1.1 网络木马及僵尸网络
僵尸网络、木马病毒主要是在计算机网络系统运行的过程中,利用相应计算机系统自身漏洞及病毒自动传播功能,将一些隐蔽病毒导入服务器终端或者计算机网络客户端,从而促使与计算机网络相连的设备都感染相应病毒。
1.2 P2P下的Dos攻击
基于P2P隐蔽性、可拓展性、开放性的特点,现阶段部分违法人员利用互联网物理结构开展逻辑网络攻击。通过木马、病毒、蠕虫等恶意信息伪装,促使相应网络资源使用者受到无意识损失,继而导致整体网络信息系统的损坏。
1.3 拒绝服务攻击
拒绝服务攻击是网络信息安全威胁的主要方面,依据我国工业与信息部门发布的《互联网安全信息通报实施办法》的相关内容,拒绝服务攻击具有一定针对性,其主要是利用连续服务指令发出,控制服务器失去服务资源供给功能。同时拒绝正常网络通信服务,最终导致服务器崩溃。
2 数据挖掘技术支持下网络信息安全管理模型构建
2.1 数据挖掘技术概述
数据挖掘技术主要是基于用户行为的新一代移动数据分析平台,其具有实时全量采集用户行为的能力。数据挖掘技术在实际应用中包括数据变换、数据清理、数据挖掘实施过程、模式评估和知识表示等几个环节。其中数据挖掘主要是根据数据仓库中的数据信息,选择合适的分析工具,应用统计方法、事例推理、决策树、规则推理、模糊集、甚至神经网络、遗传算法的方法处理信息,最终获得需要的分析信息。
2.2 网络信息安全管理模型中的数据挖掘算法
网络信息安全管理模型中的数据挖掘算法主要包括分类算法、序列分析算法等。一方面分类算法主要是通过属性不统一的属性集合,首先利用分析数据训练的形式,构建一个完善的分类属性模型。在数据训练分类模型构建的基础上,可从某个方面对相应模型属性进行统一描述。在具体的模型属性分析环节,大多利用相关模型数据库元组分析的方式,进行某个数据训练样本属性类别分析。通过监督数据训练,结合相应数学公式,可逐步实现分类规则的明确。最后在相应模型分类规则明确之后,可依据相应分类规则对模型预估精确程度进行逐一分析,结合分类精度测试样本设置,可逐步确定测试集模型。另一方面序列分析算法主要是基于不同数据记录检的相关性分析。序列分析算法在应用过程中,可以针对相应事件进行交易序列模式挖掘,从而获得符合用户规定的最小支持频繁序列。在以往审计数据关联度分析的基础上,可结合具体数据关联规则,进行序列模式的选择,最终进行原始数据序列功能的设置。针对网络攻击与时间变量的相关联系,基于序列分析算法的数据挖掘可依据关联性分析,对网络攻击与时间间联系进行逐步明确。
2.3 基于数据挖掘的入侵检测模式构建
基于数据挖掘的入侵检测系统主要包括数据采集、数据预处理、数据决策、数据算法等几个方面[1]。首先数据采集及预处理主要通过在相应计算机网络模块内,进行程序内数据截取,然后结合特定类型的网络数据信息,将其转化为ASCII格式网络数据包。通过对相应网络数据包进一步分类处理,可形成具有多种网络连接形式的网络数据包。而相应网络连接形式其数据源IP地址也具有独特性,这就在一定程度上为数据挖掘提供了有效的依据。需要注意的是,在数据挖掘入侵检测过程中,需要将相应计算机网络内部用户行为数据、当前计算机业务数据进行有机整合,并将不必要的数据进行筛除处理,从而保证数据挖掘环节的高效进行。其次在数据目标确定之后,可针对相应数据状态,结合数据噪声去除措施的实施,可保证整体数据处理的完整性及实用性。在数据挖掘环节,需要依据相应的关联规则数据库、序列模式分析算法、系统网络算法、窗口聚类分析算法等算法进行挖掘引擎的设置。在具体的数据审计程序,则需要对数据挖掘环节进行入侵数据规则的设置,随之结合数据库内部规则的对比分析,确定最终数据挖掘模式。最后在数据决策环节,主要依据前期数据挖掘算法测试数据进行相应执行指令的下达。若入侵数据线系统为恶意行为,则相应计算机系统会自动发出预警信息,并采取相应的断开连接、端口关闭等防御措施,反之则允许并持续监测。
2.4 基于数据挖掘的异常风险检测
基于数据挖掘的网络异常风险检测主要包括误用检测、异常风险检测两个方面。其中误用检测主要是依据某种供给特殊模式的样本,通过样本训练集合,完成相应网络环境的安全检测[2]。
异常检测则是依据流量行为模型的设置,对相应互联网络异常情况进行统一分析。网络异常检测主要利用关联分析算法,对相应计算机网络内部异常行为进行关联分析,从而保证整体异常检测效率。基于数据挖掘的异常风险检测系统主要是依据TCP这一基础网络入侵数据,进行3次握手连接模式的构建(见图1)。在3次握手模式描述环节,可以结合马尔科夫模型及HMM的相关内容,在服务器与客户端状态转移频率分析的基础上,对TCP执行环节进行具体模型。同时结合TCP协议标识的合理调整,进行特征数据库体积的设置,实现数据挖掘网络异常风险的实时监测。
图1 基于数据挖掘的异常风险检测流程
3 数据挖掘技术支持下网络信息安全管理要点
3.1 构建安全的网络信息环境
安全的网络运行环境是数据挖掘网络信息安全管理工作开展的基础。在实际网络环境运行中,主要包括整体计算机网络系统的安全性、网络入侵检测、灾难的恢复、网络备份、防病毒等几个方面因素。在实际网络环境安全维护过程中,主要从物理、逻辑两个方面对可信、不可信网络进行隔离访问控制。通过用户访问网络授权的管理,可为基础网络安全管理提供有效的保障。在这个基础上,可采取网络入侵检测技术,对非法入侵、恶意破坏等行为进行统一分析,结合恶意破坏检测预警机制的建立,可定期对相应计算机网络内部进行安全检测,保证计算机系统内部风险因素的及时处理。通过非法入侵检测预警机制的运行,可为相应计算机网络运行环境的安全运行打下坚实的基础。在实际网络信息环境管理过程中,也可利用反病毒技术,对整体网络安全威胁进行量化分析。通过病毒防护、病毒应急、病毒预警等体系的集中设置,结合审计分析模式的构建。可在对相应计算机网络使用环节计算机系统运行数据进行统一分析,从而在系统访问权限合理分析的同时,可根据系统使用情况,及时发现网络恶意攻击情况,便于数据挖掘工作的顺利执行。若相应计算机网络系统已遭受恶意攻击,则需要利用网络备份、灾难恢复模式,在一定时间内进行系统恢复,维护整体网络环境的稳定运行。
3.2 保证数据挖掘信息的安全
数据挖掘环境信息的安全主要在基础挖掘信息储存安全的基础上,还包括数据后期传输安全、使用安全等几个方面。如采用僵木蠕检测识别技术,可对IRC/HTTP/P2P的僵尸网络控制报文识别进行有效辨别,其主要通过加密报文的形式,对僵尸网络的控制。同时通过行为分析,根据指定控制端的IP地址确定僵尸网络。而对于疑似的恶意代码样本检测,僵木蠕检测识别技术可通过流量基线,对拒绝服务攻击流量进行检测,并按照指定时间段、源、目的IP,协议类型等数据,进行参数导出。
4 结语
在云计算及大数据时代,计算机网络技术逐渐在社会各个行业得到了广泛的应用。但是在计算机信息技术应用过程中,非法网络入侵、网络恶意攻击问题的发生频率也不断增加。这种情况下,传统的网络安全防御技术就无法满足现阶段网络信息安全管理的需要。因此相关人员应注意将数据挖掘技术与网络信息安全管理模式进行有效结合,从而保证潜在网络威胁的有效处理,保证整体计算机网络环境的安全运行。