张振红

（云南电网有限责任公司信息中心，云南 昆明 650217）

当今时代网络应用规模不断拓展，网上用户数量持续且快速增长，进一步加剧了网络安全问题的严峻性。在信息安全保护的需求下，深度防御体系概念应运而生。深度防御是指在多元化安全机制建立与应用的基础上，通过这些机制的优势互补实现对网络安全的有效防御。在网络技术逐步优化与完善的过程中，深度防御体系模式逐步呈现出开放性特征，并且实现了分布式处理，可操作性也进一步增强。但在网络攻击种类及数量变化的同时，深度防御效率、效果仍有不足，因此，需要通过数据挖掘技术在深度防御网络安全体系中的有效应用化解这一问题。

1 计算机网络病毒的基本特点

1.1 快速扩散性

网络运行过程中，计算机网络病毒会通过多渠道进入计算机网络实施破坏，计算机病毒可在极短的时间内扩散至整个网络系统，既可依托于不良网页实施入侵，也可依托系统漏洞、电子邮件实施入侵。

1.2 强破坏性

计算机网络病毒的破坏性较强，一些网络病毒需要依赖于木马技术或黑客技术而存在，此类病毒属于混合型病毒，普通病毒检验方式极难检测出来，一旦计算机网络系统遭到此类病毒入侵，会导致重要信息被盗取或篡改，也可能导致系统无法正常运行，难以维持计算机的稳定运行。

1.3 多种类性

目前发现的计算机网络病毒有多个类别，并且这些病毒仍在不断地变化，计算机网络病毒具有生产制造容易的特点，并且可依托于高级程序入侵计算机系统。通常一种病毒通过指令改变便可转化为新型病毒，因而网络病毒类别繁杂，预防难度较高。

1.4 强针对性

在计算机网络日益发展的过程中，计算机病毒生产制造的目的也出现了多元变化。以往计算机网络病毒制造者只是为了炫耀其技术的高超性，所产生的负面影响并不大。然而当今时代背景下，计算机网络病毒的针对性越来越强，许多病毒带有较强的攻击性，并且是以获取商业利益为目的编写制造病毒，因而所带来的损害也更为严重。

2 网络病毒防御中数据挖掘技术应用的可行性分析

计算机网络病毒通常是入侵到主机，而后再由主机向其他系统扩散，通过传播逐步进入到用户的操作系统之中，获取用户及存储于网络之中的其他用户信息，并实施信息盗取、篡改、损坏等破坏行为。计算机病毒攻击行为的实施，为数据挖掘技术的应用提供了机会。可通过数据挖掘技术抓取与分析相关数据，并结合数据分析结果判断网络异常情况出现的原因，结合用户需求实施有效地进行安全防护。计算机感染病毒后，计算机系统会扫描主机，于计算机防御系统构建的过程中设置突破口，依托于数据挖掘技术完成新型防御系统的构建，将之划分为数据源、数据挖掘、决策、预处理、规则库、防御等多个模块。依托于网络构建数据源之后，经预处理模块完成数据处理，进而对计算机网络病毒的传播情况进行记录，以此构建免疫体系，系统检测到有同类病毒入侵后会立即发出警报，从而在防御系统支持下实现对主机的有效保护。

3 网络安全深度防御体系的结构分析

网络安全技术模型通常由四部分构建而成，一是安全策略，二是防护，三是检测，四是响应。这四个部分共同构建了一个动态化与系统化的安全循环，其中安全策略起到的主导作用，能够使信息系统的安全性得到有效保证。现阶段，许多网络安全系统采用信息安全技术加固或防护自身，但在网络攻击类型不断创新的情况下，信息系统的安全防护逐步实现了传统静态防护向动态防护的转化，可在防火墙、身份认证以及加密手段应用的基础上，通过漏洞评估、入侵检测等检测工具的应用对系统的安全状态进行评估与把控，从而使系统始终处于安全性与低风险性的状态之下，可依托于动态化的防护手段，提升系统的响应及恢复速度。网络安全深度防御体系除包含基础设施之外，还涵盖日常防御及实时防御两个重要部分，扩展性良好是此体系结构的主要特征。

4 数据挖掘及其组成

4.1 数据挖掘技术

数据挖掘技术是一种可从规模数据中挖掘与学习潜在知识及有价值知识的技术方法，需要经过数据收集、预处理、特征筛选、深度挖掘、知识表达以及知识利用6个阶段。对研究对象的现有及历史数据进行收集后，以对象为依据构建模型并完成数据分类与格式规范，而后定性描述数据并实施数据去噪等预处理，再将数据中关联性较少的特征数据剔除以降低数据维度，以增强数据挖掘效率、强化知识的可理解性，而后再利用挖掘算法深入挖掘特征数据库中不同形式的数据知识，根据知识库的要求形式完成知识的表达与理解，要求能够在人机交互模式下完成知识的显示与验证，最后利用多种不同的知识模型完成智能信息处理。数据挖掘算法类别众多，具备多种组合方式应用，能够运用多种不同的知识表达形式，结合应用对象的特征及要求选用适合的方法，为多个平台提供应用支持。在已通过验证的数据挖掘算法支持下，实现训练样本中有价值知识内容的筛选。

4.2 数据挖掘技术的组成

4.2.1 数据源模块

此模块的作用是向主机传输网络截获的数据包，这些数据库中涵盖与特定数据有所关联的数据结构，可利用抓包程序完成数据包的接收，而后将之传送给预处理模式，并由其完成数据的预处理。

4.2.2 预处理模块

预处理模块接收到来自于数据源模块提供的信息后，首先需归类分析数据信息，将之转化为统一化的可识别处理的数据，可根据数据包的IP地址进行分类，或是以端口信息作为分类依据，预处理之后数据分析及挖掘需耗费的时间会得到有效节约，可在挖掘效率提升的同时增强数据的辨识度。

4.2.3 数据挖掘模块

作为数据挖掘技术的核心结构，数据挖掘模块由事件库、挖掘算法两个关键部分组成，数据挖掘算法的作用是分析与归纳数据收集后产生的事件库，进而得出具备鲜明特征的数据分析结果。

4.2.4 规则库模块

规则库模块的作用是挖掘已出现的网络病毒，通过病毒识别与归类建立规则集。规则集包含网络病毒的各种信息，可以此信息为依据对计算机网络中潜在的其他病毒展开搜寻，并归类新识别的病毒，进而优化与完善规则库，为后续病毒特征分析奠定基础。

4.2.5 决策模块

决策模块主要是用于匹配数据挖掘后构建而成的数据库及规则库，对二者的数据信息相似性进行比对，若相似度较高，说明数据信息存在病毒特征，意味着网络中存在以往发现过的潜在病毒。若二者不具备相似数据信息，说明数据包中的病毒产生了新的特征，属于新型病毒，因而应将其纳入到新的规则库之中。

5 基于数据挖掘技术的网络安全病毒防御系统构建过程

5.1 关联规则

关联规则是指数据中涵盖关联性知识，若数据库中两个或多个变量之间取值具备规律性，说明数据之间存在关联。数据挖掘具有三种关联关系，一是简单关联，二是因果关联，三是时序关联，排查分析数据之间的关联便是从数据库中查出与确定关联网的过程，可在数据间关系深挖与明确的基础上进一步确定不同数据间的关联规则。

5.2 聚类分析

聚类分析时需要先分解数据包，确保各组同时存在相似特征与不同特征，在聚类数据的基础上对数据分布的稀疏性或致密性进行分析，而后整体化进行模式呈现，如此方可进一步展示数据之间的属性特征。

5.3 分类分析

此种分析是指先预设几种分类，而后结合类别的不同纳入个体，分类分析的目的是通过统计方法的应用，在机器学习方法的辅助下构建分类模型，而后在分类规则的基础上完成数据的分类整理。

5.4 异类分析

异类分析主要是针对数据库中存在显著差异而进行的分析方法，这些数据通常与常规数据存在严重偏离。异类分析时，需要进行孤立点的发现与分析，此分析过程中高价值性数据被发现的几率更高。

5.5 决策树挖掘

决策树是由多节点构建的树形图，其中各个节点均属于性质测试之一，各个树枝分别展示对应的检测结果，各种形式的状态分配则以叶节点表示。分类树中常用ID3与C4.5运算法则，二者均为由上至下的树形结构。基本决策树分类算法的病毒及非病毒分类流程图如图1所示。

图1 基于决策树的病毒与非病毒分类流程

5.5.1 分类条件

基于决策树分类病毒与非病毒时，条件1代表具备破坏能力的恶意程序，条件2指的是具备传染能力的恶意程序，而条件3则代表的是具备隐藏功能的恶意程序。

5.5.2 病毒程序检测步骤

具备破坏能力的程序会到达节点1，无破坏能力的程序划分至叶节点1，可判定此程序属于非恶意程序。而后，节点1的恶意程序若是有传染能力，便会划分到节点2，不具备传染能力的程序归类到叶节点1，可判定此程序不属于病毒程序。到达节点2的恶意程序若存在隐藏功能，可将之判断为病毒程序，应归类到节点3中，其他程序为非病毒程序，归类至叶节点3。网络防御系统的作用是在病毒出现时快速捕获样本，从而总结出有效抵御与消除病毒的方案。决策树模型的应用可降低手工归类病毒的工作量，能够基于近似病毒样本的分析实现高效分析处理。

6 深度防御体系中数据挖掘技术的实践应用

6.1 基于IDS的典型深度防御体系结构

深度防御网络安全体系当中，入侵检测系统属于十分关键的构建技术，此技术发挥着重要的作用。以下便以基于IDS（入侵检测系统）的典型深度防御体系结构为例，如图2所示，分析数据挖掘技术在此深度防御网络安全体系中的具体应用。

图2 典型深度防御体系结构

在此典型深度防御体系结构当中，各个局域网中均设置了IDS，且LPS（本地安全策略服务器）负责管理IDS中的信息。GPS（全局安全策略服务器）负责控制各个LPS信息，同时也可对各分支上的IDS行为进行监控。为此，需要通过深度防御网络安全体系的防御能力提升有效展现系统效能。

6.2 数据挖掘技术在深度防御体系结构中的应用

在这个深度防御网络安全体系结构中，LPS及GPS负责管理大规模的数据信息，并且将数据挖掘技术应用于GPS管理过程当中，可在数据挖掘的基础上构建一个联合防御系统。其中，LPS的作用是随时收集在线日志，同时也可向GPS安全传送数据，而GPS则负责深度挖掘日志信息中有价值的数据信息。

6.2.1 数据挖掘阶段划分

（1）离线学习

首先由LPS将所收集的日志全部传送至GPS，而后将这些日志纳入到学习样本集之中，利用数据挖掘工具实施挖掘进而获得规则集，而后再依托于规则集协调器推动机器学习算法的运行，而后对规则参数进行优化调整，再以规则集为依据建立有效分类器。构建分类器时，先要经过数据预处理，设定好记录格式，再将完成预定的数据填入数据挖掘格式之中。之后运行挖掘工具，在学习样本基础上产生规则集，最后将规则集转为能够执行的形式。

（2）在线检测

在线检测也可划分为3个阶段，首先是通过数据在线挖掘过程实现数据库中所记录数据的分类检测。之后需要以规则库为依据进行规则参数的调整，并对活动日志展开在线数据挖掘。此后，安全策略分派器待命，在线数据挖掘命令下达后便可执行。

6.2.2 数据挖掘技术的作用过程

此深度防御体系结构当中，各个IDS在LPS管理之下，且同时被GPS管理。GPS所包含的联合防御模块需在数据挖掘技术支持下实现对LPS中所收集事件的分析。若得出攻击检测结果，则立即向LPS或IDS发送指令，由其通过策略调整阻止网络攻击。在这一过程中，数据挖掘可依托于自学习建模功能，以入侵监控数据为基础，结合不同情况下的入侵监控数据，完成特征分析与提取过程。而后通过特征综合而构建特征数据库，为挖掘建模提供支持。而后可在KNN（最邻近结点算法）或PCA（主成分分析算法）的支持下完成数据特征的关联分析，从而达到数据降维的目的。之后可利用决策树方法对决策规则进行挖掘，而后利用多层感知器网络，结合BP学习规则，对自学习构建决策分类器提供训练支持。

7 结束语

在互联网与各生产生活领域逐步融合的过程中，网络安全防御当中数据挖掘技术所起到的作用越发显著。在大数据模块中，可用于防护计算机网络诈骗、评估危机等多个层面，可有效检测病毒入侵活动。深度防御安全体系当中数据挖掘技术的应用是当今社会病毒防御工具先进性的重要体现，可精准预测与检测病毒入侵形式与入侵数据。数据挖掘技术的应用，担负着保护电脑系统的重要作用。在智能信息处理理论方面，数据挖掘是关键研究内容，同时也是极为有效的工具，在复杂应用对象模型构建及优化的过程中具有重要作用，数据挖掘技术在深度防御网络安全体系中应用，能够促进系统效率提升，既与体系特点相契合，也可满足体系的要求。