数据挖掘技术在信息安全证据处理中应用.docVIP

数据挖掘技术在信息安全证据处理中应用 　　摘要：为了有效解决信息安全证据获取和证据规范化等难题，文章从数据挖掘的角度，阐述了如何搜集、处理信息安全在搜索潜在威胁时的证据，给出了如何获取证据以及证据的规范化表示的基本思路，从而增强了信息网络的安全信任属性。 　　关键字：信息安全；数据挖掘；证据；规范化 　　中图分类号：TP393.08 文献标识码：A 文章编号：2095-1302（2013）02-0046-03 　　0 引 言 　　随着现代化计算机技术的不断发展与进步，社会逐步进入网络化和信息化的时代，网络时代信息的有效收集、提取、存储与分析等势必也会与网络产生千丝万缕的联系，但是，现阶段网络信息的安全性受到很大的挑战，对网络信息监督与控制已是迫在眉睫[1]。数据挖掘技术可以及时有效地发现信息本身的特征及不同信息系统之间的关系，进而追踪信息发展，可以有效地实现对信息的监督与控制。在计算机网络系统中，会有很多包含信息安全的证据被隐藏于文本文件或者音频、视频等文件中。而网络数据挖掘技术恰好可以针对证据的这类特点对数据进行分析与整理，发现数据之间的关系及数据本身所存在的某些特征，进而对信息安全进行有效监督与控制。 　　1 数据挖掘技术 　　数据挖掘是人工智能与数据库技术相结合的产物，是从大量的、不完全的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、人们事先不知道的却又潜在有用的信息和知识 的过程[2]。根据数据挖掘的目标，采用人工智能、集合论、统计学等方法，应用相应的数据挖掘算法，分析数据并通过可视化工具表述获得模式或规则。它使数据存储技术进入一个更高级阶段，它不仅利用了传统的数据库的存储功能，对历史数据进行查询和遍历，而且还能够找出历史数据之间的内在联系，掘出数据库中大量数据背后隐藏着的许多重要信息。这些信息是关于数据的整体特征的描述及对发展趋势的预测，在决策生成中具有重要的参考价值。数据挖掘作为一门交叉学科，把人们对数据的应用从低层次的简单查询，提升到从数据中挖掘知识，提供决策支持。该技术所能发现的知识可以划分为如下几种模型：关联模型、回归模型、分类模型以及序列模型等[3]。 　　1.1 关联模型 　　关联模型主要用于分析不同事件之间的关联性，即一个事件发生的同时，另一个事件也经常发生。关联模型中所关注的重点是那些有实用价值的关联发生的事件。其主要依据是事件发生的概率和条件概率应该符合一定的统计意义。关联的规则是形如 x→Y的蕴涵式，表示数据库中满足x条件的记录必定也满足Y的条件。其中x和Y分别称为关联规则的先导（LHS）和后继（RHS）[4]。 　　1.2 回归模型 　　回归模型主要是用于分析一个变量（被解释变量）关于另一个（些）变量（解释变量）的具体依赖关系的计算方法和理论。从一组样本数据出发，确定变量之间的数学关系式对这些关系式的可信程度进行各种统计检验，并从影响某一特定变量的诸多变量中找出哪些变量的影响显著，哪些不显著。利用所求的关系式，根据一个或几个变量的取值来预测或控制另一个特定变量的取值，并给出这种预测或控制的精确程度。 　　1.3 分类模型 　　分类模型主要是通过分析具有类别的样本的特点，得到决定样本属于各种类别的规则或方法。利用这些规则和方法对未知类别的样本分类时应该具有一定的准确度。其主要方法有基于统计学的贝???斯方法、神经网络方法、决策树方法等。 　　1.4 序列模型 　　序列模型主要是在多个序列组成的数据集合中，设定一个最小支持度阈值，挖掘相对时间出现频率较高，即子序列出现的频率不低于给定的最小支持度阈值的模式。序列模式挖掘的对象以及结果都是有序排列的，即数据集中的每个序列在时间或空间上是有序的，输出结果也是有序的。 　　2 数据挖掘技术在信息安全中的应用 　　信息安全的威胁无处不在，图1所示给出了信息网络所遭遇的较大威胁。随着云计算和移动互联让IT产业发生巨变，这将不可避免地带来信息安全产业的变革。以APT为代表的下一代安全威胁带给业界前所未有的挑战，基于社会工程学的攻击方式也令人防不胜防，传统的安全防护手段已经不足以抵抗这些新的威胁。 　　目前，网络信息安全的监督与控制手段主要集中在多种工具的综合利用上，通过多元化的收集工具对信息进行收集，并在此基础上采用一定的计算机算法对数据进行综合处理，之后将信息进行归类，提取需要的信息。这一信息收集处理过程与数据挖掘技术结合，使得整个过程分为数据的采集、预处理、挖掘、结果四部分，程序变得相对简单。但如果与互联网相连接，则会衍生出多种技术的综合使用，比如针对某一特定网站或者数据库的搜索等。通过网络数据挖掘技术和信息处理分析与归类技术对互联网所收集的信息与数据进行整理存储，再以某种特定算法对数据进行分析，之后找出数据的基本