数据挖掘技术在网络安全中的应用

◆石磊

（济南市科技信息研究所 山东 250014）

近几年，随着大数据库的不断完善，数据挖掘技术也在渐渐地发展。大数据技术实际上牵扯到的学科专业比交叉比较多，在现实使用背景中，经常会和AI技术、人工智能、大数据库、机器学习等技术相结合使用。从经济学角度来讲，数据挖掘技术已经表露出明显的商业价值，在未来极有可能应用到更多的领域中。但是就当下而言，数据挖掘技术仍未达到成熟使用的状态，在数据采取和使用研究中存在很多的安全隐患，尤其是网络安全和数据隐私保护。

1 数据挖掘

数据挖掘[1]，如字面理解，从数据中挖掘出相应的有用信息，从广义上来讲，可以理解为“数据库中的知识发现”，即从大型数据中挖掘出数据隐含的、未知的有用信息。数据挖掘技术使用时，首先要对数据库、“源数据”进行分析，从中筛选出可以使用的数据集合，然后

从中抽取部分集合进行数据转变加工，最终将选中的数据集合加工成适合数据深度挖掘的模式。之后，将处理好的数据进行数据算法提取，将提取出的相关知识进行评估，最终将获取到的信息用通俗易懂的方式呈现给客户。通俗来讲可以概括为数据提取、数据预处理、数据深度挖掘学习、数据提取信息模式评估四个阶段。

2 数据挖掘的主要技术

2.1 数据关联技术

数据关联技术主要使用与发现数据对象之间潜在的关联，通过对数据关联程度进行判断，一般用于数据提取和数据预处理阶段。数据关联技术中一般会对“最小支持度”、“最小可信度”两个参数进行定义。“最小支持度”主要是界定数据对象之间的联系程度，若低于“最小支持度”，则认为数据对象与所需研究对象无关联。“最小可信度”界定的是关联规则的可靠程度，若低于“最小可信度”，则认为此组数据集合的关联规则不可信。

通过设定“最小支持度”和“最小可信度”，实现从数据库、“源数据”中找到既满足“最小支持度”又满足“最小可信度”的数据，可以较为精准地提取出适合研究的数据集合。

2.2 数据分类技术

数据分类技术一般用于对数据的挖掘预测，即通过对数据梳理之后形成相应的数据集合，通过算法或者函数形成相应的分类模型，进而对未来数据的趋势进行预测。数据分类技术使用过程中，首先要进行建模，然后用使用模型对未知数据进行分类，从而达到预测的目的，一般会结合非参数方法、机器学习方法、神经网络算法等使用。

2.3 数据聚类技术

数据分类技术主要针对的是数据的差异性，通过建模将不同性质的数据区别划分。而数据聚类技术落脚点在数据的相似性上，将数据对象分为不同的数据类别，使同一数据类别里的数据尽可能地小。数据聚类一般是通过设定相应的算法实现的[3]，常用的有K-平均算法、AGNES算法、STING算法、SOM算法、DBSCAN算法等。

3 数据挖掘技术在网络安全中的应用

3.1 传统网络安全维护的弊端

在网络安全中，入侵检测技术可谓是网络安全的“中枢神经系统”，是网络安全技术中最重要的组成模块之一。入侵检测技术的好坏将直接影响到网络安全的保障水平，如何在入侵开始但是未给网络安全带来危害时及时的组织入侵，入侵检测技术最主要的研究重点。

在传统的网络安全维护中，由于网络安全的技术扩展性比较差，一般只能发现规定模式版块内的非法入侵行为，就一些版块外的漏洞，不能及时地发现和处理。所以，在传统的网络安全维护中，由于无法感知到未知入侵行为，安全隐患较高，系统检测相应速度慢，并且系统检测的适用性也不高。并且，在传统的网络安全中，对于入侵行为的记录一般采用人工记录的方式，就入侵行为的用户区分一般也是靠人工来实现的，工作量可想而知，工作效率严重跟不上网络入侵的频率[2]。

3.2 数据挖掘技术与入侵检测技术的融合使用

现阶段的入侵检测主要分为两种，一种是基于异常的入侵检测，一种是基于正常的入侵检测，两者经常配合使用。将数据挖掘技术与检测技术相融合，可以极大地改善入侵检测技术的技术水准，在网络安全的维护中有建设性的意义。

（1）基于异常的入侵检测技术

基于异常的入侵检测技术，首先要建立好异常数据模型，将已发现入侵行为特征进行汇总导入到异常数据模型中。异常数据模型中会储存历史入侵攻击的一些标志性特征，当非法入侵再次发生时，当入侵检测是被到入侵与之前入侵有相同标志性特征时，入侵检测系统会直接识别到入侵的发生。基于异常的入侵检测技术的优缺点十分明显，优点是数据来源简单，建模相对比较容易，但是此项技术阶段只能检测已知异常特征的入侵行为，无法识别前期未知攻击，漏洞较多。

随着数据挖掘技术的深入研究，数据挖掘技术渐渐地和入侵检测的异常模型想融合，渐渐赋予异常入侵检测技术新的功能板块——对未来入侵行为进行预测。数据挖掘技术中的数据关联技术，通过对产生入侵行为的历史情况进行数据提取和数据预处理阶段，然后采用数据分类技术，已非法入侵行为的特征为依据设置好“最小支持度”、“最小可信度”，从而深度挖掘出入侵行为的特定攻击手段，然后通过相关建模和算法设定对后期的入侵数据进行预测。

由此可见，基于异常的入侵检测技术与数据挖掘技术结合之后，将数据挖掘技术中的数据预测功能嫁接到了基于异常的入侵检测技术中，从而实现基于异常的入侵检测技术对未知入侵行为的检测功能，极大减小了入侵检测的漏报率。

（2）基于正常的入侵检测

基于正常的入侵检测技术的应用原理与基于异常的入侵检测技术类似，但是着重点不同[4]。基于正常的入侵检测技术实际上对将所有正常网络行为进行分析建模，形成网络安全中的正常模型。当用户行为符合正常模型中的行为特征时，入侵检测技术默认为此行为正常。当用户的行为特征出现正常模型以外的行为特征时，基于正常的入侵检测将会认为发生了入侵行为。在传统的基于正常的入侵检测技术中[5]，正常模型中的特征精准度不高，误报率极高。

数据挖掘中的数据聚类技术，可以将数据对象分为不同的数据类别，并且使同一数据类别里的数据尽可能小，数据精准度上优势明显。故，将正常的入侵检测技术与数据挖掘找那个的聚类技术相柔和，可以极大地提高正常的入侵检测技术正常特征的准确性，从而提高正常的入侵检测的准确性，降低误报率。

4 总结

本文主要对数据挖掘技术在网络安全中的应用进行分析，首先阐述了数据挖掘的操作原理，并从关联性、分类、聚类三种数据挖掘技术进行详细地介绍。然后，从入侵检测技术为支撑点，从基于正常的入侵检测、基于异常的入侵检测两方面详细阐述了数据挖掘技术在入侵检测技术的应用。数据挖掘技术和入侵检测技术相辅相成，共同促进网络安全的快速发展。