大数据技术在网络入侵检测的应用.docVIP

大数据技术在网络入侵检测的应用 　　摘要：简要叙述了大数据技术在构建全新网络入侵检测体系中的应用情况，分析、研究了基于大数据技术的全新网络入侵检测防御体系构建策略，以期能为相关工作提供参考。 　　关键词：计算机网络；入侵检测体系；大数据 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）15-0021-02 　　随着计算机网络技术的发展，网络用户的数据保护技术、网络计算机的入侵检测技术也随之不断发展进步。目前计算机网络已经进入大数据时代，数据量以几何形式增长，如何在大数据环境下构建一个全新的网络防御体系，挖掘相关的安全规则，分析协调由各种异构数据组成的安全事件，有效防御非法网络入侵，保证网络用户的隐私数据安全，成为网络安全需要着重考虑的问题。 　　1 大数据技术 　　大数据技术是指对规模非常庞大的数据进行快速地组织、分析、处理的技术。因此大数据首先包括数据处理，也就是数据的收集、清洗、集成；其次是对数据进行数据挖掘或者分析处理。大数据有4个特点，一般被称为4V特性 ：volume、velocity、variety、veracity， 分别表示数据量大、数据处理速度快、数据结构复杂、信息价值密度小。大数据技术的发展前景和应用领域非常广阔，对计算机网络技术、通信网路技术等的应用具有重要的价值。 　　2 大数据技术的应用 　　2.1 用于入侵检测防御体系的可能性 　　为了更好地将大数据技术应用在入侵检测领域，需要进一步了解入侵检测的相关机制，为大数据的使用提供依据。入侵检测（Intrusion Detection）是指计算机用户在使用网络的过程中，对网络中非法用户或者非法程序针对计算机系统入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为[1]。 　　在入侵检测中，监视、分析用户及系统活动，并予以迅速地反应，正是大数据技术的核心内容，因此将大数据技术应用于网络安全的入侵检测是可行并且有效的。 　　2.2 在入侵检测体系构建中的应用 　　基于大数据技术形成的计算机网络入侵检测防御体系，是全新的计算机网络安全防御方式，它能够更加全面、有效地处理计算机网络信息的安全问题。具体来讲，可以分为如下几个步骤： 首先是数据抽取，对网络中的各种行为进行行为特征的抽取；其次是数据预处理，将抽取得到的行为特征数据进行清洗、集成、转换预处理，形成相对一致性的数据格式；然后通过构建模型，建立入侵检测的行为模型；最后是安全防护检测，对非法的网络行为进行拦截和响应。在数据抽取和预处理中，由于数据来源复杂，数据格式不统一，数据量巨大，因此需要对数据设置有效的处理规则，保证数据的完整性与有效性，提高数据的质量，这是大数据技术的基础。通过对收集到的数据进行入侵模型的构建，得到相关的入侵行为特征，然后通过入侵行为特征进行网络行为的判别处理。 　　2.3 大数据技术下的入侵防御 　　基于大数据技术的入侵防御系统可以采取多样化的行为特征分析方式。基本上数据挖掘成熟的分析方法都可以在大数据背景下的入侵检测中得到应用，主要有以下几种方式：①异类分析。分析行为规则中明显偏离正常网络行为的数据，这些数据往往严重偏离了正常用户的上网特征，而这些有违常理的行为特征的分析，可能会发现一些更有价值的结果。②聚类分析。分析行为数据中的行为分类，将各个行为自动按照一定的规则归纳成几个组别，形成全局的行为模式分布模型，从而展现各个行为模式之间的关系。③序列分析。对用户的行为模式进行动态化的统计，研究行为模式背后的先后序列归纳的情况，从而区分正常的网络行为模式与入侵的网络行为模式，针对不同的入侵模式，进行不同的处理。 　　3 构建网络入侵防御体系的策略 　　构建基于大数据技术的网络入侵防御体系，首先要进行深入的理论研究，在现有大数据平台的基础上，对获取的大量用户行为数据进行大数据处理，得到相关的理论成果，这是软件企业推广大数据入侵防御体系的动力；其次要建立健全大数据技术与相关软件的标准，提高相关软件的质量；与此同时，不仅要在技术上重视大数据技术的发展，还要积极扶持大数