基于数据挖掘的网络信息安全策略研究(2)

　　一旦数据获取了，我们就要对其进行处理和分析。常用的基于 Python 的规则引擎有几种。PyKE 是一个基于知识的专家系统，采用类似于 Prolog 的语言规范。Prolog 是一种逻辑编程语言，广泛应用于人工智能领域。Pychinko 是一个可以处理语义网的规则引擎，它可以用 RDF 来定义。Intellect 是一个基于领域描述语言（Domain Specific Language，DSL）的规则引擎，可以定义一些规则表达式，来监测网络数据。规则引擎指的是一个创建、存储和管理规则，然后执行规则并推断出其它事实的应用程序。其中的规则主要是指企业或商务业务逻辑、法律条款等。在规则引擎发展的过程中，Rete 算法和 Prolog 语言是两个重要的理论分支，多数规则引擎都是基于以上二者扩展而来的。在工业活动铸造中，发展时间较长、应用广泛的两个体系是 Clips 体系和 Prolog 体系。
　　4 基于数据挖掘的网络信息安全策略
　　4.1 安全的网络环境
　　安全的网络环境包括系统的安全性、防病毒和网络入侵检测、审计分析、网络备份和灾难的恢复等。具体措施如下：隔离和访问控制技术，包括物理和逻辑的隔离，可信与不可信网络的隔离，只允许有授权的用户访问网络资源；采用反病毒技术，病毒已经严重威胁到了网络的安全，它的威胁和破坏性是很难用数字估量的，建立病毒预警、病毒防护和应急机制，就显得尤其必要；网络入侵检测技术会及时对非法入侵者及恶意破坏者建立预警机制，并定期对网络系统进行安全性分析，发现并修正漏洞；分析审计，记录用户使用过程中的计算机网络系统，它不仅能够确定是谁访问了系统，还能记录系统的使用状态，确定是否有网络攻击，审计数据挖掘信息是非常重要的；网络备份和灾难恢复可以确保在最短的时间内使受到破坏的系统恢复可用。
　　4.2 保证数据挖掘信息安全的策略
　　安全的数据挖掘信息指数据挖掘信息的存储安全、传输安全和使用安全。数据挖掘信息的物理完整性，逻辑完整性和保密性组成了数据挖掘信息的存储安全；并要通过数据传输加密技术、数据完整性技术和防抵赖性技术来保证数据挖掘信息传输的安全；数据挖掘信息的使用安全是指，为防止非授权主体擅自使用资源，必须对网络中的主体进行验证。
　　4.3 基于数据挖掘的网络安全数据分析策略
　　4.3.1关联性分析
　　关联分析模型的含义是通过对攻击行为要素的归并和组合，结合数据挖掘相关技术，体现宏观网络上最热门的攻击行为态势。一次攻击行为中，（源地址、目的地址、攻击类型）三要素体现了攻击的本质，三要素任意指定和组合，都反应了有意义的网络攻击态势。
　　4.3.2 事件预测机制
　　事件预测机制是通过对某一事件的发展趋势进行跟踪观测，运用数据挖掘聚类算法，判断其是否会成为大规模网络事件的模型。对于大规模的网络事件，其最具代表性的特点并不是事件发生的次数，而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升，可能就是一次木马网络攻击事件。
　　4.3.3 可控数量预测模型
　　可控数量预测模型是通过观察事件中受控主机状态增长数量，对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机，通过检测被发现后的状态变化增长。例如对于某种病毒，若以前未检测到主机X受到过感染，但是在观测周期内发现了主机X已经被感染了病毒，那么对于该病毒而言，主机X就是其受控主机增长状态。
　　4.3.4分析处理模型
　　分析处理模型的作用在于对运营商的事件处理反馈进行分析，判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估，由此来分析判断运营商对其辖区内的被控主机处理能力。
　　4.3.5网络安全数据分析模型
　　网络安全数据分析模型用于观测网络特征事件的数量，判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准，等学习阶段满足特定条件后便进入实时检测阶段。
　　学习阶段，先由用户给定各类安全事件的定义，统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数，统计单位时间内安全事件的平均数和方差，记平均数为x，方差为？滓。
　　实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi，再判断各安全事件数量是否异常，
　　xi-x<？滓0 正常的安全事件数量；
　　？滓0？艽xi-x<2？滓0 轻度异常的安全事件数量；
　　2σ0？艽xi-x<3？滓0 中度异常的安全事件数量；
　　xi-x？艹3？滓0 重度异常的安全事件数量。
　　其中的？滓0为判断标准，在模型建立时进行配置，可以根据不同情况，重新调整该参数。最后将各类安全事件数量异常的最高值，作为当前时间间隔的安全事件数量指标值。
　　5 结束语
　　当今社会已经进入云计算和大数据时代，计算机网络的应用已经深入到人们生活和生产的各个领域，但随着计算机信息的价值和重要性越来越高，不法分子入侵网络的手段也不断地翻新，使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中，通过聚类挖掘等方法，能够发现一些潜在的威胁与漏洞，更使得该技术具有了良好的发展前景。
　　参考文献