基于数据挖掘技术的网络入侵检测技术分析

褚建萍

（德州职业技术学院 山东省德州市 253000）

科学技术迅猛发展的今天，使得网络覆盖范围越来越大，应用范围越来越广泛，为现代人生活与工作提供大力支持。与此同时，各种网络入侵技术也随之而更新换代，为网络安全造成更大的安全隐患，对用户的使用造成干扰。针对这一情况，互联网领域逐渐对网络入侵检测技术进行了研究，开发出了多种网络入侵检测平台，但这些研究成果中依然存在一些缺陷，如缺少随机防御功能等，在一定程度上制约了这些研究成果的应用价值。基于此，本文以“基于数据挖掘技术的网络入侵检测技术”为题进行了研究，以开发出一种更加良好的网络入侵检测系统，进一步提升网络系统的安全性。

1 网络入侵风险类型

随着现代互联网应用范围的不断扩大，使得其面临的不法攻击越来越多，如病毒攻击、木马攻击等，在这些不法攻击的作用下，导致网络用户的数据泄漏、丢失、损坏，严重影响下，甚至会导致整个网络系统瘫痪，对人们的生活与工作造成较大危害。具体来说，网络入侵风险类型主要包括下述4 种：

1.1 数据泄漏

现代网络系统用户量较多，使用非常频繁，使得网络中存储了大量的数据信息，如用户个人基本数据、财产数据等。通常情况下，网络系统会对这些数据安全地保管，无关人员无法获取这些数据信息，以保证用户的生命安全及经济财产不会受到损失。但实际当中，网络系统遭受到非法攻击后，用户数据很容易被不法人员窃取，从而对用户的生命安全及经济财产造成损失[1]。

1.2 隔离时失效

网络系统通常由诸多模块构成，如用户端、业务端、数据库等，各模块间通过网络连接到一起。为了确保各模块能够稳定运行，不会受到其他模块安全隐患的影响，需要安装网关、路由器等元件予以隔离。整个网络系统运行时，如果两个模块间的隔离元件失效，则会降低两个模块的安全性，不法人员可随意进入到两个模块内，对内部数据进行窃取，并恶心篡改数据内容等，导致网络系统无法在实际当中发挥出最大的作用[2]。

1.3 用户恶意攻击

对于现代网络系统来说，通常存在一定的开放性特点，且用户类型有很多，每种类型用户的需求各不相同，使得用户的权限存在一定差异，可对网络系统进行不同的操作。但一些用户为了谋取更多的经济效益，刻意利用系统中的漏洞，非法浏览、提取与破坏与自身权限不匹配的数据，或是向网络系统内植入各种木马与病毒，导致整个系统无法正常运行[3]。

1.4 资源滥用

网络系统运行时，所有用户均可登录进来，这一情况的存在，使得系统中可能出现大量用户操作同时占用云计算资源的问题。此外，系统自身运维时，也要占用一定的资源量，使得用户端资源使用情况非常的紧张，难于快速、有效地将用户端与系统连接到一起，影响用户对网络系统的正常使用。

2 云平台服务架构

2.1 总体构架

本文研究当中，针对多语种媒体融合云平台（MMCCP）的运行需求，构建出一种安全防御体系。对于MMCCP 来说，通常为3 层框架结构，由上至下分别为SaaS 层、PaaS 层与IaaS 层，其中，在云平台端，主要用于为用户提供各种服务，具体包括：软件服务、平台服务与基础服务[4]。

在MMCCP 安全平台建设方面，采用的是三维共建的混合云模式，其中，包含三种安全模式，分别为公有云、私有云与专属云，每种模式具有不同的作用，可以针对用户的实际需求，提供不同的云服务，以使用户更加安全可靠地对MMCCP 进行应用[5]。在安全平台当中，三种模式并未固定，可随意配置，以形成不同结构的框架体系。同时，不同人员操作时，能够针对自身实际需求，随意将数据录入到不同模式内，从而构建出多云协同共建的融合云平台。

2.2 公有云

指的是可以向整个网络系统开放的云平台，其主要特点为“公开”，任何网络用户均可进入到该平台当中，也就是说，该平台可以为全部网络用户提供云服务，因而其对配置要求较高，一方面，要同时完成体量较大的运算工作，另一方面，还可以对庞大的数据集群予以存储，更重要的是，该平台还应具备非常高的安全性，避免公用用户对平台操作时出现信息泄露与损坏的问题。

2.3 私有云

指的是具有一定私密性的平台，用于为媒体用户提供各种服务。在媒体机构当中，根据自身实际要求，构建出相应的云平台，以此对多媒体数据进行存储，同时为员工各种软件服务等，确保媒体工作正常开展。私有云既有一定的隐私性，又包含一定的公开性，可以看成私有云的补充，使得用户在享有公有云服务的同时，能够进一步提升平台使用的安全性，为媒体工作的开展打下良好基础。

2.4 专属云

指的是隐私性最强的平台，只会对某一类特定用户提供服务。专属云内的物理框架内，安装相应的隔离元件，用于对登录用户身份信息的识别，对于不符合身份要求的用户则禁止进入到平台内，以此提升平台的安全性。由于该平台具有非常高的隐私性，且只会对某一类特定用户提供服务，因而在设计时，可予以进行个性化设计，以使其可以为用户提供最佳的服务。

3 云应用随机化防御安全体系架构

3.1 安全体系架构

3.1.1 总体构架

对于本文构建出来的MMCCP 安全防御体系来说，其中包含多个层次，涉及诸多领域，在物理硬件方面，主要包括：物理基础设施，如计算机、CPU 等，用于用户的操作；虚拟主机，用于病毒保护、攻击预警等；虚拟网络，用于加密通信，扫描、检测与审计等，提升数据传输的安全性；数据库，用于对平台内部数据的存储、传输与访问等；应用模块，用于为用户应用进行监测、防护与预警等。在五个模块共同作用下，进一步提升整个平台系统的安全性。具体来说，本平台的安全体系构架如图1 所示。

图1： 安全体系架构结构图

3.1.2 物理基础设施

处于整个体系的最上层，用于提高平台架构物理层方面的安全性。在一个安全体系架构当中，通常包含诸多硬件，如计算机，用于数据的计算与分析；硬盘，用于数据的存储；网络端口，用于各硬件设备的连接；服务器终端，用于向用户提供各种应用服务；传输网，用于对整个网络平台进行有效的管理。

3.1.3 虚拟主机

通过虚拟主机的设置，可以设置出诸多虚拟的IP地址，当平台受到外界不法攻击时，可自动对这些攻击进行阻挡，防止病毒、木马等信心进入到平台内，且出现病毒、木马攻击后，还会向管理员发出相应的预警信息。虚拟主机设置过程中，应用了防火墙等安全防护技术，以使各个虚拟主机保持独立。

3.1.4 虚拟网络

具体由两方面构成：一个是虚拟化安全，即在各虚拟主机之间，构建出相应的隔离层，以将各虚拟机独立出来，确保虚拟主机间数据正常传输的基础上，能够提升整个虚拟网络的安全性。另一个是网络安全，主要针对网络传输与网络层的各个接口，在网络层当中，通过防火墙等技术手段，对边界予以隔离，以此提升网络层通信的安全性。此外，在平台运行过程中，还应注重不法攻击的扫描与检测等。

3.1.5 数据安全

平台内含有大量的数据信息，通过对这些数据传输、访问等保护，提升数据传输时的安全性，避免出现数据泄露、损坏等问题，使得数据在实际当中发挥出更大的作用。

3.1.6 应用安全

主要对平台中的各种应用赋予进行保护，以此向用户提供更加安全的服务。其中，主要有：应用监测，即检测应用服务是否存在隐患；应用预警，当发现平台中出现安全隐患后，向相关用户发出警报等，以保证整个平台安全、稳定运行。

3.2 随机化防御机制

3.2.1 常规云网络平台介绍

对于常规云网络平台来说，安全性相对较低，不论是在用户端，还是在SaaS 层、PaaP 层与IaaS 层，都能够受到外界恶意信号的攻击，且攻击位置并不固定，时间具有明显的随机性，从而提升了系统平台的安全防御难度，不利于平台安全、稳定地运行，其原理如图2 所示。

图2： 常规云网络平台被攻击原理图

3.2.2 基于随机化防御的安全体系

针对网络攻击随机性的特点，本研究当中，设计出一种基于随机化防御的网络安全体系，各层平台间数据传输时，均予以随机化处理，即在对数据传输的过程中，通过随机密钥的方式，将信息进行加密处理，只有掌握密钥的用户，才可提取数据信息。这种情况下，不法人员在任何时间、任何位置进行攻击，均会由于缺少密钥而进入到各层平台内，防止不法人员对平台内部的数据进行窃取与破坏，从而提升云网络平台的安全性。如图3 所示。

图3： 本文提出的安全体系被攻击原理图

为了确保云平台服务的安全性，应在各层当中，分别予以随机化防御部署，以随机化参数信息传递的方式，结合随机化密钥的手段，提升数据传输与存储的安全性。在相邻两服务层间，利用APIs 的方式，对内部数据予以传输，对各个信息服务层的随机化密钥进行处理，阴虚应在各服务站内，安装相应的管理模块。通过特殊的协议，将随机化参数传输到各层及各种应用服务当中。

3.2.3 数据传输随机化

在平台内部，安装了大量的数据传输单元，通过这些单元，完成平台与用户端的数据传输，而在各数据传输单元间，则利用管理云网络的方式予以调节。整个网络由上至下分别包括三个部分：数据随机化，在数据当中加入随机生成的密钥；指令随机化，在指令当中加入随机生成的密钥；地址随机化，在IP 地址上加入随机生成的密钥。与此同时，还会通过二次加密处理的方式，将密钥相关信息传输给接收端，用于对数据的接收，从而提升整个数据传输过程的安全性[6]。

在平台的顶层，用户录入相应的需求信息，并逐渐传递到平台的最下层，在管理单元当中，对数据解密处理，以获取其中包含的信息，如指令内部、对方的IP地址等，在这些信息的驱动下，将相应的程序激活，以此向用户提供相应服务。云平台运行时，想要使随机化防御发挥出更大的作用，应在物理基础设施端，分别进行各种接口的随机化处理，以防止各接口被不法人员攻击。用户对平台操作时，可针对具体需求，激活对应的随机化接口，以加强对整个系统的管理，提升对外界攻击的抵抗效果。

3.2.4 安全防御报警模块

将该防御机制应用到云网络平台当中后，能够全面对各种恶意攻击进行抵御。但需要注意的是，上述体系仅具有抵御的功能，无法向相关工作人员进行报警，从而对云平台的运行造成一定干扰。所以，在随机化防御体系内，还构建了安全防御报警模块。采集到相应的状态数据后，通过相应的方式对数据进行处理，根据处理结果，判断平台内部是否出现异常问题，若发现异常问题，则自动生成告警信息，并将告警信息展示出来，若未发现异常问题，则直接将平台运行情况展示出来。与此同时，还会将相关数据录入到数据库内，对相关数据予以存储。

4 仿真验证

为了进一步验证上述网络入侵检测系统的应用效果，本研究当中选择了几种网络攻击作为研究对象，对该系统进行了检测，以此判断云网络平台对网络攻击的抵御效果，评估系统异常的误报率。在网络攻击方面，主要有5 种，分别为：代码注入病毒、缓存污染、C 运行库攻击、IP 洪水攻击、DoS 攻击。通过实验分析，可以得到如表1 与表2 所示结果。通过表1 的观察能够发现，在抵御概率方面，相对于未采用该系统前，抵御成功率大大提升，因而云平台可以更加安全地运行。通过对表2 的观察能够发现，从整体角度来说，误报率相对较高一些；在各攻击类型方面，漏报率与误报率也存在一定差异，其中，误报率最高的一项仅有1.57%，而漏报率最高的一项仅有1.08%。由此表明，本系统具有良好的应用效果，可大大提升云平台的安全性。

表1： 网络入侵检测系统应用前后网络攻击抵御效果对比

表2： 网络入侵检测系统误报漏报检测结果

5 总结

综上所述，本文以数据挖掘技术为依托，开发出了一种网络入侵检测系统，该系统主要由两大模块构成，分别为：安全体系架构与随机化防御机制，在两大模块共同作用下，提升整个云网络平台的安全性，为整个平台更好地运行打下良好基础。