关联分析模型的含义是通过对攻击行为要素的归并和组合，结合数据挖掘相关技术，体现宏观网络上最热门的攻击行为态势。一次攻击行为中，（源地址、目的地址、攻击类型）三要素体现了攻击的本质，三要素任意指定和组合，都反应了有意义的网络攻击态势。
　　4.3.2 事件预测机制
　　事件预测机制是通过对某一事件的发展趋势进行跟踪观测，运用数据挖掘聚类算法，判断其是否会成为大规模网络事件的模型。对于大规模的网络事件，其最具代表性的特点并不是事件发生的次数，而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升，可能就是一次木马网络攻击事件。
　　4.3.3 可控数量预测模型
　　可控数量预测模型是通过观察事件中受控主机状态增长数量，对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机，通过检测被发现后的状态变化增长。例如对于某种病毒，若以前未检测到主机X受到过感染，但是在观测周期内发现了主机X已经被感染了病毒，那么对于该病毒而言，主机X就是其受控主机增长状态。
　　4.3.4分析处理模型
　　分析处理模型的作用在于对运营商的事件处理反馈进行分析，判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估，由此来分析判断运营商对其辖区内的被控主机处理能力。
　　4.3.5网络安全数据分析模型
　　网络安全数据分析模型用于观测网络特征事件的数量，判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准，等学习阶段满足特定条件后便进入实时检测阶段。
　　学习阶段，先由用户给定各类安全事件的定义，统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数，统计单位时间内安全事件的平均数和方差，记平均数为x，方差为？滓。
　　实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi，再判断各安全事件数量是否异常，
　　xi-x<？滓0 正常的安全事件数量；
　　？滓0？艽xi-x<2？滓0 轻度异常的安全事件数量；
　　2σ0？艽xi-x<3？滓0 中度异常的安全事件数量；
　　xi-x？艹3？滓0 重度异常的安全事件数量。
　　其中的？滓0为判断标准，在模型建立时进行配置，可以根据不同情况，重新调整该参数。最后将各类安全事件数量异常的最高值，作为当前时间间隔的安全事件数量指标值。
　　5 结束语
　　当今社会已经进入云计算和大数据时代，计算机网络的应用已经深入到人们生活和生产的各个领域，但随着计算机信息的价值和重要性越来越高，不法分子入侵网络的手段也不断地翻新，使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中，通过聚类挖掘等方法，能够发现一些潜在的威胁与漏洞，更使得该技术具有了良好的发展前景。
　　参考文献
　　[1] 朱玉全，杨鹤标，孙蕾.数据挖掘技术[M].南京：东南大学出版社，2006.11.
　　[2] Han J.， Kamber M.，范明（译）.数据挖掘： 概念与技术 [M].北京： 机械工业出版社，2001.
　　[3] 中华人民共和国科学技术部火炬中心“推进我国软件企业工509000质量体系认证的研究”课题组.软件企业工509000质量体系的建立和认证.清华大学出版社，2011.
　　[4] 刘占全.网络管理与防火墙技术.人民邮电出版社，2010.
　　[5] 樊成丰、林东.网络数据挖掘信息安全&PGP加密.清华大学出版社，2010.
　　[6] 斯帝芬P罗宾斯.管理学.中国人民大学出版社，2010.
　　[7] 张健.防毒杀毒一防杀计算机病毒自学教程.电子工业出版社，2010.
　　[8] 舒南飞.网络安全态势评估和预测的新进展.信息技术与应用学术会议论文， 2009： 56-57.

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。