在网络安全解决方案中使用数据挖掘技术

网络安全（英语：network security）包含网络设备安全、网络信息安全、网络软件安全。黑客通过基于网络的入侵来达到窃取敏感信息的目的，也有人以基于网络的攻击见长，被人收买通过网络来攻击商业竞争对手企业，造成网络企业无法正常营运，网络安全就是为了防范这种信息盗窃和商业竞争攻击所采取的措施。移动代码（Mobile code）是一种软件技术可由远程系统透过另一个网络转存入本机端进行代理作业，可进行下载或在本机端上执行没有明确安装或者接受者的作业。移动代码的例子包括嵌入型脚本（JavaScript、VBScript）、Java小应用程序、ActiveX 控制、flash动画，并且在一般文书文件资料内嵌入。移动代码也能透过电子邮件方式自动下载并且在客户端执行。移动代码透过电子邮件下载可能附件(例如，大总之文件) 或者透过一个HTML电子邮件内容(例如JavaScript)。例如，ILOVEYOU、TRUELOVE和AnnaK电子邮件电脑病毒/蠕虫病毒全部被作为移动代码实现(VBScript，在Windows为主机写稿子过程中执行的一个.vbs电子邮件附件里)。在几乎所有现实状况中，用户不会意识到移动代码正下载和在他们的本机电脑中执行。

数据挖掘（英语：data mining）是一个跨学科的计算机科学分支 。它是用人工智能、机器学习、统计学和数据库的交叉方法在相对较大型的数据集中发现模式的计算过程。数据挖掘过程的总体目标是从一个数据集中提取信息，并将其转换成可理解的结构，以进一步使用。除了原始分析步骤，它还涉及到数据库和数据管理方面、数据预处理、模型与推断方面考量、兴趣度度量、复杂度的考虑，以及发现结构、可视化及在线更新等后处理。数据挖掘是“数据库知识发现”（Knowledge-Discovery in Databases, KDD）的分析步骤 ，本质上属于机器学习的范畴。类似词语“资料采矿”、“数据捕鱼”和“数据探测”指用数据挖掘方法来采样（可能）过小以致无法可靠地统计推断出所发现任何模式的有效性的更大总体数据集的部分。不过这些方法可以创建新的假设来检验更大数据总体。数据挖掘是因为海量有用资料快速增长的产物。使用计算机进行历史资料分析，1960年代数字方式采集资料已经实现。1980年代，关系数据库随着能够适应动态按需分析资料的结构化查询语言发展起来。数据仓库开始用来存储大量的资料。因为面临处理数据库中大量资料的挑战，于是数据挖掘应运而生，对于这些问题，它的主要方法是资料统计分析和人工智能搜索技术。

在网络安全解决方案中使用数据挖掘技术

数据挖掘可帮助您分析信息、发现新模式和数据以及预测未来趋势。通过在网络安全中利用此过程，您可以改进对恶意软件、系统和网络入侵、内部攻击以及许多其他安全威胁的检测。

网络安全数据挖掘的优点

来自现有数据的有用见解

识别安全漏洞和盲点

检测零日攻击

检测复杂和隐蔽的攻击模式

网络安全数据挖掘的缺点

需要深厚的数据科学专业知识

准备挖掘数据库的时间和精力

不断努力更新分类器和挖掘技术

泄露数据库敏感信息的风险

人工验证数据挖掘结果

预测数据挖掘技术

分类

该技术通过将大型数据集分解为类、概念和变量组来创建数据库模型。通常用于检测垃圾邮件和网络钓鱼电子邮件。

回归分析

这些算法根据数据集中其他变量的已知平均值来预测一个变量的变化值。它用于预测可能的网络攻击。

时间序列分析

这些算法通过分析数据库中任何数据条目更改的时间来发现和预测基于时间的模式。它用于预测安全漏洞和攻击。

描述性数据挖掘技术

关联规则分析

它可以帮助您找到经常一起出现在数据库中的变量之间的可能关系，并发现隐藏的模式。常用于研究攻击者的行为和思维方式。

聚类

它有助于识别具有共同特征的数据项并了解变量的异同。它可以帮助您构建和分析现有数据库。

总结

它专注于编译数据集、类和集群的简要描述。这种数据挖掘技术主要用于生成报告和可视化日志。

数据挖掘在网络安全中的 5 个关键应用

1.恶意软件检测

您可以使用数据挖掘方法来提高恶意软件检测的速度和质量，以及在构建安全软件时检测零日攻击。存在三种检测恶意软件的策略：异常检测、误用检测、混合方法。

2.入侵检测

使用数据挖掘技术，您可以分析审计结果并识别异常模式。因此，您可以检测入侵、网络和系统扫描、拒绝服务和渗透攻击。

3.欺诈检测

利用机器学习的数据挖掘技术可以发现多种类型的欺诈行为，从金融欺诈到电信欺诈和计算机入侵。

4.威胁情报收集

有关网络安全的证据可用于构建挖掘模型并提高预测准确性。数据挖掘算法有助于发现整个组织网络中的隐藏数据，并将其转换为结构化的威胁情报数据库。

5. 内部威胁检测与预测

由于大数据算法可以检测机器和人类用户的异常行为，因此它们被广泛用于检测和预测内部威胁。数据挖掘技术可以帮助您识别任何恶意活动的特征，甚至可以预测可能的攻击。它们在收集威胁情报和检测恶意软件、入侵、欺诈和内部攻击方面特别有效。通过数据挖掘增强保护的主要好处是能够识别已知攻击和零日攻击。