網絡行為監(jiān)控及其在主動網絡安全管理中的應用

李劍

摘 要：本文的主要研究內容為針對主動網絡安全管理中的用戶網絡行為技術進行闡述，對網絡行為監(jiān)控中所采用的具體技術流程和措施進行分析?；诂F有的用戶網絡行為分析方法，采用了基于知識發(fā)現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。

關鍵詞：氧化鋁 制造業(yè)執(zhí)行系統(tǒng) 信息化管理 Java開發(fā)平臺

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2014）03（c）-0027-02

現代網絡環(huán)境中，其安全體系的構建主要采取以技術為中心的應對式安全防護策略，需要在應用中根據需求不斷增加相應的設備或者軟件。現在，互聯網平臺為了能夠有效應對日益復雜和嚴重的網絡威脅，配置了大量的防火墻、防病毒軟件、入侵檢測、系統(tǒng)漏洞掃描、災難恢復等多種安全設備。雖然，所采用的這些安全解決方案和策略能夠有效解決大部分的網絡安全威脅，但是，也給網絡安全的管理造成了嚴重影響。究其根本，就是因為現在所采用的這些策略主要是消極被動地去解決出現的安全問題，網絡管理人員難以對采用和設計適合自己的安全管理策略，只能成為復雜新技術和產品的盲從者?，F在的網絡安全產品還主要從某個側面對網絡安全進行靜態(tài)的防護，更沒有積極主動的網絡管理策略和能力。研究和應用結果表明，單靠網絡安全產品的簡單堆積和產品的缺省配置，是不能解決安全問題的，需要在具體的應用中根據網路偶的不同需求，為其制定相應的安全策略，并對安全組件進行靈活多樣的配置，這樣，就能夠在實現整體和動態(tài)安全功能的前提下，將網絡運行狀態(tài)調整到最優(yōu)的狀態(tài)點。

1 總體設計

前面已經提到，現有的網絡環(huán)境主要采用以技術為中心的應對式網絡安全防護策略，也就是被動地去解決網絡運行中的問題。在本文中，對基于用戶網絡應為的主動網絡安全和管理方式進行研究，下面的圖1中，給出了該安全管理方式的總體設計圖。

在圖1中，網絡行為監(jiān)控器的職責是對用戶的網絡行為進行監(jiān)控，并將用戶的網絡行為監(jiān)控結果存入數據庫中，在使用過程匯總，可以通過相應的技術和方法，將用戶所使用網絡的行為進行記錄，再將記錄結果寫入行為數據庫，從而為網絡行為分析器的具體分析過程提供第一手數據和資料。網絡行為分析器則需要從行為數據庫中對存儲的數據進行提取，找到需要的數據記錄后利用相應技術和方法對數據進行處理分析，對存在于網絡中的某些潛在危險行為進行挖掘，還可以針對危險行為的發(fā)展趨勢，以及這些危險行為有可能導致的安全問題進行剖析；在后獲取報警信息后，就能夠將相關信息傳送給網絡管理人員，為網絡管理人員的網絡管理和操作提供依據和決策參考。

由網絡行為分析器所發(fā)出的報警信息，包括了多種網絡威脅，比如常見的木馬、網絡病毒以及非法入侵等等。在收到這些報警信息后，網絡管理員需要根據這些報警信息的嚴重級別，對相應的網絡設備和軟件進行及時的查詢和配置，進而將有可能出現的網絡安全隱患消滅在萌芽狀態(tài)，而非在網絡威脅事件發(fā)生之后再對相應的網絡設備進行查詢和配置。這種網絡安全的管理模式，就是文中所要研究的主動網絡安全管理方式。完成了對網絡設備的參數修改后，還應該針對網絡用戶行為監(jiān)控器中的監(jiān)控標識進行相應的修改和設置，確保用戶網絡行為監(jiān)控器的監(jiān)控標識能夠與網絡管理模塊中的管理策略保持一致。

2 安全管理方式的技術分析與設計

2.1 Winpcap工具

Winpcap即Windows packet capture的簡稱，是Windows平臺下的一個公共網路訪問系統(tǒng)，可以為用戶提供免費服務，采用基于Win32平臺的網絡分析架構，能夠為Win32應用程序的設計提供高效的網絡底層訪問功能。采用Winpcap的一個明顯優(yōu)勢就是能夠為用戶提供標準的抓包接口，對網路性能和各種效率優(yōu)化情況進行綜合考慮，其中就包括對NPF內核層上的過濾器支持，以及對內核態(tài)的統(tǒng)計模式的支持等等，此外，還能夠為用戶提供數據包的發(fā)送功能。利用Winpcap，網絡行為監(jiān)控器能夠對流過局域網的所有數據包進行采集，在對數據進行協議分析的基礎上，實現對數據包的起始地址、目的地址等網絡行為的實時獲取，最終實現對局域網內所有鏈接終端的上網行為的監(jiān)控。

2.2 網絡行為監(jiān)控器構成

利用網絡行為監(jiān)控器，不僅要對網絡使用情況進行檢測，還應該將發(fā)現的潛在網絡危險行為進行記錄，并將其保存到數據庫。在網絡行為監(jiān)控器中，包含有網絡嗅探器和協議分析器等兩個主要部分。

2.2.1 網絡嗅探器

通過對經過網絡監(jiān)控器的所有數據進行采集，可以準確判斷各個數據包的源地址與目的地址，然后對所有數據包的網絡行為進行分類處理，將處理結果發(fā)送到協議分析器。

2.2.2 協議分析器

對網絡嗅探器所得到的初步分析結果進行進一步的深入分析，能夠對用戶的具體網絡行為進行判斷，在數據包與標識匹配成功的情況下，就能夠在網絡行為數據庫中進行記錄。

2.3 網絡行為分析器實現過程

2.3.1 對用戶網絡行為進行分析的現狀

在現有技術條件下，對用戶網絡行為的分析過程，主要通過對網絡行為數據庫中的數據進行統(tǒng)計分析所得到的，不過，此類分析過程對網絡管理員的經驗比較依賴，所以，在網絡管理員對用戶上網行為的數據庫結構、IP協議等不是特別清楚的話，就難以進行正確的統(tǒng)計與分析。

2.3.2 知識發(fā)現技術

文中的主要思路就是利用知識發(fā)現理論和技術對用戶的網絡行為進行分析。其實，知識發(fā)現技術就是從海量數據中發(fā)現有用知識的完整過程，也是一個人機進行反復交互的處理過程。要實現準確的知識發(fā)現，需要經過多個步驟，且很多決策過程都需要用戶的支持。從宏觀的層面來看，知識發(fā)現的過程主要包括數據整理、數據挖掘和結果評估等三個不同的部分。endprint

在這三個構成部分中，數據挖掘是知識發(fā)現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發(fā)現中的核心內容，數據挖掘與傳統(tǒng)的分析工具相比，差距在于數據挖掘所采用的為基于發(fā)現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統(tǒng)計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現?，F在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統(tǒng)的網絡安全防護技術相比，其根本區(qū)別就在于傳統(tǒng)防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發(fā)點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發(fā)現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監(jiān)控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監(jiān)控系統(tǒng)發(fā)現的情況下，就可以將網絡安全管理的問題從網絡間向地區(qū)間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統(tǒng)的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環(huán)境?；诂F有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發(fā)現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監(jiān)控的主動網絡安全管理方式中可以發(fā)現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監(jiān)控系統(tǒng)的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統(tǒng)[J].計算機工程，2009，35（8）：201-204.endprint

在這三個構成部分中，數據挖掘是知識發(fā)現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發(fā)現中的核心內容，數據挖掘與傳統(tǒng)的分析工具相比，差距在于數據挖掘所采用的為基于發(fā)現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統(tǒng)計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現?，F在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統(tǒng)的網絡安全防護技術相比，其根本區(qū)別就在于傳統(tǒng)防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發(fā)點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發(fā)現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監(jiān)控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監(jiān)控系統(tǒng)發(fā)現的情況下，就可以將網絡安全管理的問題從網絡間向地區(qū)間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統(tǒng)的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環(huán)境?；诂F有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發(fā)現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監(jiān)控的主動網絡安全管理方式中可以發(fā)現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監(jiān)控系統(tǒng)的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統(tǒng)[J].計算機工程，2009，35（8）：201-204.endprint

在這三個構成部分中，數據挖掘是知識發(fā)現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發(fā)現中的核心內容，數據挖掘與傳統(tǒng)的分析工具相比，差距在于數據挖掘所采用的為基于發(fā)現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統(tǒng)計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現?，F在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統(tǒng)的網絡安全防護技術相比，其根本區(qū)別就在于傳統(tǒng)防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發(fā)點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發(fā)現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監(jiān)控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監(jiān)控系統(tǒng)發(fā)現的情況下，就可以將網絡安全管理的問題從網絡間向地區(qū)間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統(tǒng)的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環(huán)境?；诂F有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發(fā)現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監(jiān)控的主動網絡安全管理方式中可以發(fā)現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監(jiān)控系統(tǒng)的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統(tǒng)[J].計算機工程，2009，35（8）：201-204.endprint