網(wǎng)絡安全異常報警系統(tǒng)的設計與實現(xiàn)

張亞利　睢丹

摘 要：隨著電子技術的迅猛發(fā)展，計算網(wǎng)絡安全問題也受到了各國科學家的重視，截止到2016年1月，我國的網(wǎng)民人數(shù)已經(jīng)突破了9.23億，其中46%的網(wǎng)友遭受過各種各樣的網(wǎng)絡黑客及軟件的攻擊。傳統(tǒng)的網(wǎng)絡安全異常報警系統(tǒng)，通過對網(wǎng)絡入侵行為進行檢測，對受到異常數(shù)據(jù)攻擊的網(wǎng)絡進行事件檢測時，會產(chǎn)生巨大數(shù)據(jù)量的報警信息，此類信息紛繁雜亂，無法歸類整理，因此網(wǎng)絡信息安全管理員很難在海量的報警信息中將有效的安全異常報警數(shù)據(jù)進行提取。為此，提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網(wǎng)絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數(shù)據(jù)之間的因果關系查找到一個網(wǎng)絡安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡安全異常數(shù)據(jù)的場景效果。針對報警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術進行異常報警數(shù)據(jù)分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用該文設計的方法，能夠保證網(wǎng)絡安全異常報警的實現(xiàn)，提高安全異常數(shù)據(jù)報警的準確程度，尤其是在異常數(shù)據(jù)巨大并且復雜時能夠較好地完成異常數(shù)據(jù)檢測，具有較強的實用性。

關鍵詞：網(wǎng)絡安全 異常 報警系統(tǒng) 設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2016）01（c）-0088-02

現(xiàn)階段，隨著計算機技術的迅速發(fā)展，網(wǎng)絡安全問題越來越受到了人們的關注。為也能夠有效地將網(wǎng)絡入侵行為和攻擊成功地攔截，各國學者花費大量時間與精力進行了異常報警的研究，通過研究網(wǎng)絡安全異常報警數(shù)據(jù)分析能夠危害計算機的行為，并提前做出防御措施。

傳統(tǒng)的網(wǎng)絡安全異常報警系統(tǒng)，通過對網(wǎng)絡入侵行為進行檢測，對受到異常數(shù)據(jù)攻擊的網(wǎng)絡進行事件檢測時，會產(chǎn)生巨大數(shù)據(jù)量的報警信息，此類信息紛繁雜亂，無法歸類整理，因此網(wǎng)絡信息安全管理員很難在海量的報警信息中將有效的安全異常報警數(shù)據(jù)進行提取。

此文提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網(wǎng)絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數(shù)據(jù)之間的因果關系查找到一個網(wǎng)絡安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡安全異常數(shù)據(jù)的場景效果。針對報警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術進行異常報警數(shù)據(jù)分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用此文設計的方法，能夠保證網(wǎng)絡安全異常報警的實現(xiàn)，提高安全異常數(shù)據(jù)報警的準確程度，尤其是在異常數(shù)據(jù)巨大并且復雜時能夠較好地完成異常數(shù)據(jù)檢測，具有較強的實用性。

1 安全異常檢測

網(wǎng)絡異常檢測能夠確保網(wǎng)絡自身不受到異常數(shù)據(jù)的入侵和攻擊，檢測系統(tǒng)通過對傳輸數(shù)據(jù)進行分析，對可能的有害數(shù)據(jù)進行報警，網(wǎng)絡啟動防御。

1.1 異常檢測技術

網(wǎng)絡安全異常檢測是通過技術系統(tǒng)對互聯(lián)網(wǎng)絡傳輸?shù)臄?shù)據(jù)信息進行分析研究，通過模擬行為做出該數(shù)據(jù)是否有害。檢測技術是保護計算機使用者在未受到網(wǎng)絡異常數(shù)據(jù)攻擊和入侵前采取保護措施，保護網(wǎng)絡信息不被泄漏。

1.2 異常數(shù)據(jù)分析技術

異常數(shù)據(jù)分析技術是針對異常檢測設備的核心技術。該技術能夠解決網(wǎng)絡安全入侵檢測過程中報警系統(tǒng)報警率高成功率低的缺點。

該技術通過在網(wǎng)絡中查找異常攻擊數(shù)據(jù)各種步驟程序中存在的因果關系，將海量報警數(shù)據(jù)中的攻擊以不同攻擊目標和同一攻擊目標進行階段分類，重新還原異常數(shù)據(jù)的入侵和攻擊流程，便于網(wǎng)絡安全設計員對此類信息進行收集，并對網(wǎng)絡安全進行有效保護。

網(wǎng)絡報警是基于異常數(shù)據(jù)的分析檢測基礎上的一種保障互聯(lián)網(wǎng)安全的技術。通過報警能夠使網(wǎng)絡提前進行防御，從而使網(wǎng)絡入侵攻擊時對系統(tǒng)的分析處理需要很長時間的計算，對報警進行有效無效判定，能夠減少大量的報警數(shù)據(jù)信息，過濾無效數(shù)據(jù)，關聯(lián)和融合有效信息，這樣既快速又確保了異常數(shù)據(jù)的完整性。

2 基于場景重構和報警融合的異常報警系統(tǒng)

基于網(wǎng)絡安全異常數(shù)據(jù)檢測時會產(chǎn)生大量的報警信息，并且產(chǎn)生的海量數(shù)據(jù)均為無效報警信息，致使網(wǎng)絡安全異常報警系統(tǒng)存在巨大的計算壓力。

2.1 場景重構

目前網(wǎng)絡異常數(shù)據(jù)入侵和攻擊的方法越來越多，技術越來越完善，一次異常數(shù)據(jù)入侵攻擊涉及多個流程去完成。根據(jù)異常數(shù)據(jù)信息產(chǎn)生的規(guī)律進行數(shù)據(jù)還原，重新查看入侵攻擊流程，就是場景重構技術。場景重構主要依據(jù)3個數(shù)據(jù)庫：一是報警信息數(shù)據(jù)屬性相似程度；二是報警數(shù)據(jù)信息關聯(lián)程度；三是報警數(shù)據(jù)信息關聯(lián)因果程度。

報警信息數(shù)據(jù)相似度計算公式為：

（1）

其中要滿足最小條件，為報警數(shù)據(jù)信息，為網(wǎng)絡安全異常產(chǎn)生的新的報警信息，為數(shù)據(jù)特征的關聯(lián)程度。

2.2 報警融合

報警融合技術就是在網(wǎng)絡安全異常報警情況對入侵攻擊數(shù)據(jù)信息進行提前處理。該技術可以大量降低海量數(shù)據(jù)信息給報警系統(tǒng)帶來的數(shù)據(jù)處理壓力，使計算機計算速度提高，增加網(wǎng)絡管理員及時獲取有效信息的能力。

在減少網(wǎng)絡安全異常報警信息誤報率高的條件下，對入侵攻擊情況進行還原明確異常數(shù)據(jù)的風險程度，根據(jù)評估報告進行網(wǎng)絡安全防御措施的啟動程度。

該類計算方法結合了報警信息數(shù)據(jù)屬性相似程度，報警數(shù)據(jù)信息關聯(lián)程度和報警數(shù)據(jù)信息關聯(lián)因果程度。根據(jù)系數(shù)高低進行決定數(shù)據(jù)是否進行融合。最終產(chǎn)生的結果就是將安全異常數(shù)據(jù)產(chǎn)生的報警融合加入到入侵攻擊的流程中，將多個融合到不同攻擊的過程進行合并，還原產(chǎn)生完成異常數(shù)據(jù)入侵攻擊流程圖。

通過對基于網(wǎng)絡安全異常數(shù)據(jù)檢測及場景重構技術，可以得到任何一個異常數(shù)據(jù)攻擊的全部流程，將異常數(shù)據(jù)入侵場景重構，去掉多余報警數(shù)據(jù)信息，直觀展現(xiàn)異常入侵流程。

3 仿真實驗

為驗證網(wǎng)絡安全異常報警系統(tǒng)設計的有效性進行仿真實驗。用MATLAB進行環(huán)境仿真。

測試系統(tǒng)配置：服務器中央處理器intel（R）core（TM） i8CPU：5.00GHz

測試服務器內(nèi)存：8.00N GB

測試服務器軟件配置：WINDOWS7 專業(yè)版操作系統(tǒng)

物聯(lián)網(wǎng)客戶端配置：內(nèi)存2 GB CPU個數(shù)：1

物聯(lián)網(wǎng)服務端配置：內(nèi)存2 GB CPU個數(shù)：4

網(wǎng)絡安全異常報警系統(tǒng)檢測過程較為復雜，首先對網(wǎng)絡安全異常數(shù)據(jù)信息特征提取時間進行測試。目的在于測試此文方法相對傳統(tǒng)方法在異常數(shù)據(jù)特征提取時效的效果。其結果如圖1所示。

通過圖1可以看出，在相同條件下進行異常數(shù)據(jù)特征提取的過程中，此文算法提取異常特征量明顯高于傳統(tǒng)算法，并且隨著時間推移，此文算法成果幾何倍地高于傳統(tǒng)算法。

4 結語

提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網(wǎng)絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數(shù)據(jù)之間的因果關系查找到一個網(wǎng)絡安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡安全異常數(shù)據(jù)的場景效果。針對報警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術進行異常報警數(shù)據(jù)分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用此文設計的方法，能夠保證網(wǎng)絡安全異常報警的實現(xiàn)，提高安全異常數(shù)據(jù)報警的準確程度，尤其是在異常數(shù)據(jù)巨大并且復雜時能夠較好地完成異常數(shù)據(jù)檢測，具有較強的實用性。

參考文獻

[1] W.Kim.Cloud computing：Today and Tomorrow[J].Journal of Object Technology， 2009（8）：65-72.

[2] MoradiM，Zulkemine M.A neural network based system for intrusion detection andclassification ofattacks[D].Queen University，Canada，2004.

[3] 楊長春，沈曉玲.基于云計算的SLIQ并行算法研究[J].計算機工程與科學，2012（3）：62-66.