数据挖掘技术在网络安全中的运用

摘要：21世纪是互联网的时代，无论是生产还是生活都离不开互联网，在网络给我们的生活带来极大的便利的同时，网络上一些不安全因素也侵害信息安全和财产安全，因此必须要在使用网络的时候明确一些危害的来源，找到解决的方案。数据挖掘技术作为当前最新型的计算机网络防御构建技术对于净化网络空间，保证使用者信息财产安全有着极为重要的作用。本文将从计算机网络病毒和危险进行分析从而进一步提出相关的数据挖掘技术原理与实际应用途径，希望能对有关人员起到一定的帮助作用。

关键词：数据挖掘技术；网络安全；计算机；病毒；应用

一、当前我国网络安全现状与技术

互联网之所以便捷主要是因为其具有以下几种特点：（1）无主管性：每个人都可以是计算机和网络的主人。（2）跨国性：利用网络可以轻松实现跨国交流，因此这也加大了网络安全的防范难度。（3）不设防性：大部分计算机不具有较高安全系数的防御系统，因此容易成为黑客和病毒的攻击目标。除此之外一些网络犯罪分子更加猖獗，依靠技术肆意破坏网络安全。当前我国的网络安全方面主要面临的隐患有以下几点。

（一）不法分子对网络的恶意破坏

因为信息价值的重要性大量不法分子利用黑客技术对个人用户和企业用户计算机进行攻击，并大量在网页和一些应用软件中植入病毒和木马程序，在没有专业杀毒软件的情况下或是由于轻信钓鱼网站的陷阱就很容易被攻击或者造成信息丢失。在目前世界范围内黑客网站的数量已经突破十万，并且其规模和技术还在快速增长，甚至部分技术增长速度要超过一半杀毒软件的木马识别数据库，令用户防不胜防。还有计算机病毒的攻击，这种攻击往往不容易被察觉也并没有实质性表现，只是一段运行代码就可以让计算机或者软件处于瘫痪状态，严重会造成大量数据的丢失状况。目前我国在应对黑客和病毒方面的措施还比较落后，互联网风险还比较大。

（二）网络违法犯罪引发的严重危害

相比于黑客和病毒的攻击网络违法犯罪对于个人用户和企业用户的危害更为直接，往往会直接影响到生活和经济。当前利用网络技术进行犯罪的主要形式有：（1）经济诈骗类：有很多不法分子利用银行的漏洞或是受害者防范意识不强的心理来进行犯罪，他们盗刷银行卡，通过各种手段窃取银行卡信息，造成了很大的经济损失。还有利用伪基站等技术进行电信诈骗的犯罪事件，其影响恶劣让人触目惊心。（2）信息类犯罪：当前很多不法分子利用各种渠道来获取用户在网页上浏览的痕迹和在一些网站上留下的个人信息，他们窃取其电话、各种证件的号码来实施犯罪，更有甚者还会窃取个人企业机密信息甚至国家机密信息进行贩卖或是进行相关犯罪活动，这对用户的安全造成了巨大的威胁，在很大程度上破坏了社会稳定性和国家安全。（3）金融类犯罪，目前各个银行的手机客户端和微信支付宝等第三方客户端在用户当中得到普及，一些不法分子利用一些非法手段进行用户支付密码的窃取，或是进行相关金融诈骗造成了金融安全的严重漏洞，这严重危害了互联网的健康发展。

（三）传统的网络入侵检测方法所存在的弊端

传统的网络入侵检测方法的弊端也给了不法分子可乘之机，网络入侵检测大体上分为异常入侵检测和误用入侵检测两种方法：（1）误用入侵检测方法：这种方法只能对以往的行为进行相关检测，而对于一些新入侵行为则无法进行发现和预警，这种检测结果的实际效果非常小，因此在当前网络入侵检测中该种方法逐渐被淘汰掉。（2）异常入侵检测方法：这种检测方法相比于误用入侵检测法要先进的多，对于一些小规模网站的检测有着很高效便捷的效果，能够有效做到入侵甄别。但是如果网络入侵手段比较高明且伪装比较好或是一些个大型的网站检测这种方法就显得力不从心。异常入侵检测法用到了数据挖掘的技术，但是其核心还是围绕传统的统计方法和贝叶斯网络来展开的，随着网络规模的不断扩大该种技术的适应性变得越来越差，因此开发以数据挖掘为核心的网络防护技术显得至关重要和迫切。

二、计算机病毒特点

计算机病毒不好被控制防范有很大程度上来源于病毒自身的特点，一般病毒的特点可以总结为三种：传染性强、传播方式多样和破坏性强。这三种特点让计算机病毒的防控工作成为了难点。

（一）病毒的传染性特点

之所以称之为“病毒”是因为它像现实生活中的生物病毒一样拥有者较强的传染性。与现实中生物病毒所不同的地方是计算机病毒是由黑客编制的程序代码，它的“宿主”可以是计算机中的任何一个软件或是文件、文件夹，由于是人为编制的原因其适应性一般较强能够兼容在任意符合条件的储存介质中进行搜索。所谓传染性指的是“病毒”的自我繁殖过程，一旦计算机的一个文件或是程序软件感染病毒，在启动时如果关联到任何其他软件都可能造成并发“感染”，病毒的恐怖之处还在于当被感染用户进行联机上网时它还可以入侵与之相关的其他设备造成大规模入侵持续感染，危害极大。

（二）病毒有多重传播方式

病毒传播方式多种多样，这来源于互联网的开放性，一般来讲病毒最主要的传播方式要借助于系统漏洞和电子邮件，目前利用电子邮件进行病毒传播的行为比较常见，当打开电子邮件后里面的一个链接就很可能导致计算机感染病毒。当然利用网络系统漏洞来进行病毒传播的也屡见不鲜，当因为漏洞感染病毒时，病毒会在计算机上对远程主机系统进行不断的扫描和搜索，当这种搜索搜寻到新的漏洞时便会让远程主机感染病毒，进而让更多用户受到侵害。

（三）病毒破坏性极强

计算机病毒的破坏性在于持续泄漏用户的数据信息，一旦通过黑客木马等感染病毒，依据病毒的潜伏性隐蔽性特点就很有可能造成长期的损失，最严重的状况可能让整个计算机和网络系统瘫痪，让正常工作被迫停止。

三、数据挖掘技术概述

数据挖掘技术的基础是当前的数据库技术，它的核心是通过对一个范围内所有数据的挖掘研究来找到其中有用的数据来进行收集和整理，在整理之后最重要的是要将得到的数据内在的联系进行发掘，通过数据之间的各种表现来找到客观的规律，进而进行相关判断。一般进行数据挖掘后往往能够找到平时难以发现的联系，找到新的突破口。数据挖掘的过程一般要分为三个阶段：（1）数据的准备。将需要的数据录入到系统中。（2）设置数据挖掘的模式，在这个环节需要根据所需要挖掘的数据的不同和预期结果的不同来进行模式设置，在模式设置后可以让系统更高效的运行。（3）分析后的数据整理：分析后的数据整理主要是得出数据间的潜在联系，将数据进行总结归类，并将结果作为后期的数据处理依据。利用数据挖掘进行计算机网络防控的优势在于它能更好的发现平时不易察觉的数据间的联系，这也正是针对病毒的隐蔽性特点，利用数据挖掘可以较快速的实现对未知入侵的检测，并且还能将得到的结果进行备份处理，这样对于服务器和服务器也可以实现高效的监督和检查效果。数据挖掘的方法还有较强的适应能力，能够根据病毒等的不断变化而随之变化，当前的利用数据挖掘技术实现的“人工免疫”防控技术能够实现计算机网络的自我监督，自我更新，这种动态化的学习能力克服了传统网络监测技术的更新慢，动态反应慢的问题，针对未来未知的可能发生的病毒侵害，这种方法显现了其优势。

四、利用数据挖掘进行网络安全防控的工作原理

（一）工作原理

数据挖掘技术的原理要分为几个模块：（1）数据源模块：这个模块的主要功能是将网络上的数据进行整合，并将整合后的数据源传输给终端主机，在这个阶段不需要进行过多的处理只需要进行简单的预处理，最主要还是要抓住特定数据的相关结构。（2）预处理模块：预处理模块的主要工作时进行数据的分类，并将数据的格式进行规划统一将其转化为主机能够识别的格式。进行数据分类时主要是依据数据的来源IP与端口位置，利用预处理技术能够减少数据的冗余，让数据的辨识度得到提高，最终提高终端的处理效率。（3）数据挖掘模块：该模块依据不同的模式有着不同的算法，通过该步骤能够较准确的发掘数据间的潜在联系，为后期的进一步决策做好数据分析基础。（4）规则库模块：规则库模块包括对以往病毒种类的储存和对新型病毒种类的更新，它会将以往挖掘过的病毒的信息存储在其中，并以此对当前挖掘结果进行分析，一旦出现吻合就会以识别出来。如果出现新病毒则会纳入其储存库中。（5）决策模块，这时整个系统的最终模块，决策模块是最终决定挖掘结果的，如果病毒与库中出现大面积吻合则可直接判断为病毒进行防御，如果吻合度不高但挖掘结果表明其风险性较大，则进一步进行决策判断，如果其是病毒则纳入库中进行收集并进行防御。

（二）构建以数据挖掘技术为基础的计算机网络安全病毒防御系统

构建防御系统需要以下几个阶段：（1）关联原则：关联规则是数据挖掘技术的基础，在数据挖掘时主要是依据数据间的因果、时序和简单三种关联关系来进行判断，并将复杂的数据整理成相互关联的关联网。（2）聚类分析：聚类分析首先要将有同一特性的数据划分到一个组内，这样不同的组有不同的特性在挖掘时就可以进行组内挖掘和组关系之间的挖掘实现疏密分布识别，对于全局性的把控有很大帮助。（3）分类分析：分类分析主要用到了统计的方法，将预定的分类个体按照类别进行录入能够充分的利用机器学习的方法构建模型进而达到分析数据的目的。（4）异类分析：异类分析的核心是找到与其他数据偏离较大的数据或是不能分组的孤立数据，往往这种数据是整个数据挖掘的突破口，能够在其中找到想要的结果。

（三）决策树挖掘

决策树挖掘的理论是将判断条件进行分解，依据从大到小，从广到细的原则将数据的判断进行逐级划分，进行分别的状态测试，当有一级不满足判断条件即可做出相应的防御反应。一般利用数据挖掘来进行决策树挖掘的条件为（1）该程序是否有破坏能力。（2）该程序是否有传染复制能力。（3）该程序是否具备隐蔽性能力。依据决策树进行逐级分析判断能够很好的利用以往数据库中的存储的结果，同时在逐级判断的过程中可以在第一步或是前几步就得出病毒的信息，这样可以大大的减少计算机的分析时间和压力，为后面的系统细致分析做好基础。

五、基于数据挖掘技术的防御系统构建策略

构建基于数据挖掘技术的防御系统需要分成几个步骤来实现。

（一）构建健全的数据挖掘技术理论体系

数据挖掘理论体系在实时更新着，因此企业技术专业人员要首先完善理论技术的体系构建，要加强企业与国外先进技术的融合和国内高校新成果的结合，要积极构建适合自己行业模式的数据挖掘系统，在基础理论上加以深化。要依照企业内部需要进行数据挖掘模块划分以适应企业自身的需求。

（二）构建数据挖掘技术的标准和软件系统

一般软件系统的获得有三种途径，第一种是直接购买成品软件，这种方法一般对于企业适应性较差但是方便快捷。第二种是企业进行自主软件开发，这种方法需要投入大量人力物力资源，适合经济实力足够的大型企业，软件能够直接与企业需要相符提高防御效率。第三种是聘请专业公司人员进行辅助开发，这时一般企业最多选择的方式。随着数据挖掘技术交互性的增强订立数据挖掘的标准非常重要，要引进标准的处理数据库服务器进行硬件支撑，利用国际通用的数据语言进行标准化作业可以实现更高效率的数据挖掘。

（三）利用专业化人员进行后期网络管理维护

数据挖掘技术是持续保证企业网络安全的关键技术，因此在建设完毕后需要专业人员进行维护和管理。企业应当积极聘请专业人员进行相关维护工作，同时积极组织企业内部人员进行相关理论的学习与研究，与时俱进。企业可以与高等院校形成合作关系，利用高校研究成果辅助企业健全网络管理维护工作。

结语

综上而言，数据挖掘技术是针对网络安全方面目前的高效率应用技术，企业要积极针对此加以建设以防范可能发生的黑客攻击病毒侵入导致的信息机密泄露事件。要不断对该技术进行创新应对未来更多变的网络环境。

参考文献：

[1]郑艳君.数据挖掘技术在网络安全中的应用[J].计算机仿真,2011,28(12):118-121.

[2]陆科达,万励,吴洁明等.基于数据挖掘技术的网络安全事件预测研究[J].科技通报,2012,28(6):37-39.

[3]刘军.数据挖掘技术在网络入侵检测中的应用[J].南京工业大学学报（自然科学版）,2006,28(2):79-84.

作者：史宝萍 单位：中国人民大学