網絡安全異常報警系統的設計與實現

張亞利　睢丹

摘 要：隨著電子技術的迅猛發展，計算網絡安全問題也受到了各國科學家的重視，截止到2016年1月，我國的網民人數已經突破了9.23億，其中46%的網友遭受過各種各樣的網絡黑客及軟件的攻擊。傳統的網絡安全異常報警系統，通過對網絡入侵行為進行檢測，對受到異常數據攻擊的網絡進行事件檢測時，會產生巨大數據量的報警信息，此類信息紛繁雜亂，無法歸類整理，因此網絡信息安全管理員很難在海量的報警信息中將有效的安全異常報警數據進行提取。為此，提出一種基于異常數據分析的網絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數據之間的因果關系查找到一個網絡安全異常數據流程，完整描述出網絡安全異常數據的場景效果。針對報警信息的巨大數據，通過MAPREDUCE技術進行異常報警數據分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用該文設計的方法，能夠保證網絡安全異常報警的實現，提高安全異常數據報警的準確程度，尤其是在異常數據巨大并且復雜時能夠較好地完成異常數據檢測，具有較強的實用性。

關鍵詞：網絡安全 異常 報警系統 設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2016）01（c）-0088-02

現階段，隨著計算機技術的迅速發展，網絡安全問題越來越受到了人們的關注。為也能夠有效地將網絡入侵行為和攻擊成功地攔截，各國學者花費大量時間與精力進行了異常報警的研究，通過研究網絡安全異常報警數據分析能夠危害計算機的行為，并提前做出防御措施。

傳統的網絡安全異常報警系統，通過對網絡入侵行為進行檢測，對受到異常數據攻擊的網絡進行事件檢測時，會產生巨大數據量的報警信息，此類信息紛繁雜亂，無法歸類整理，因此網絡信息安全管理員很難在海量的報警信息中將有效的安全異常報警數據進行提取。

此文提出一種基于異常數據分析的網絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數據之間的因果關系查找到一個網絡安全異常數據流程，完整描述出網絡安全異常數據的場景效果。針對報警信息的巨大數據，通過MAPREDUCE技術進行異常報警數據分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用此文設計的方法，能夠保證網絡安全異常報警的實現，提高安全異常數據報警的準確程度，尤其是在異常數據巨大并且復雜時能夠較好地完成異常數據檢測，具有較強的實用性。

1 安全異常檢測

網絡異常檢測能夠確保網絡自身不受到異常數據的入侵和攻擊，檢測系統通過對傳輸數據進行分析，對可能的有害數據進行報警，網絡啟動防御。

1.1 異常檢測技術

網絡安全異常檢測是通過技術系統對互聯網絡傳輸的數據信息進行分析研究，通過模擬行為做出該數據是否有害。檢測技術是保護計算機使用者在未受到網絡異常數據攻擊和入侵前采取保護措施，保護網絡信息不被泄漏。

1.2 異常數據分析技術

異常數據分析技術是針對異常檢測設備的核心技術。該技術能夠解決網絡安全入侵檢測過程中報警系統報警率高成功率低的缺點。

該技術通過在網絡中查找異常攻擊數據各種步驟程序中存在的因果關系，將海量報警數據中的攻擊以不同攻擊目標和同一攻擊目標進行階段分類，重新還原異常數據的入侵和攻擊流程，便于網絡安全設計員對此類信息進行收集，并對網絡安全進行有效保護。

網絡報警是基于異常數據的分析檢測基礎上的一種保障互聯網安全的技術。通過報警能夠使網絡提前進行防御，從而使網絡入侵攻擊時對系統的分析處理需要很長時間的計算，對報警進行有效無效判定，能夠減少大量的報警數據信息，過濾無效數據，關聯和融合有效信息，這樣既快速又確保了異常數據的完整性。

2 基于場景重構和報警融合的異常報警系統

基于網絡安全異常數據檢測時會產生大量的報警信息，并且產生的海量數據均為無效報警信息，致使網絡安全異常報警系統存在巨大的計算壓力。

2.1 場景重構

目前網絡異常數據入侵和攻擊的方法越來越多，技術越來越完善，一次異常數據入侵攻擊涉及多個流程去完成。根據異常數據信息產生的規律進行數據還原，重新查看入侵攻擊流程，就是場景重構技術。場景重構主要依據3個數據庫：一是報警信息數據屬性相似程度；二是報警數據信息關聯程度；三是報警數據信息關聯因果程度。

報警信息數據相似度計算公式為：

（1）

其中要滿足最小條件，為報警數據信息，為網絡安全異常產生的新的報警信息，為數據特征的關聯程度。

2.2 報警融合

報警融合技術就是在網絡安全異常報警情況對入侵攻擊數據信息進行提前處理。該技術可以大量降低海量數據信息給報警系統帶來的數據處理壓力，使計算機計算速度提高，增加網絡管理員及時獲取有效信息的能力。

在減少網絡安全異常報警信息誤報率高的條件下，對入侵攻擊情況進行還原明確異常數據的風險程度，根據評估報告進行網絡安全防御措施的啟動程度。

該類計算方法結合了報警信息數據屬性相似程度，報警數據信息關聯程度和報警數據信息關聯因果程度。根據系數高低進行決定數據是否進行融合。最終產生的結果就是將安全異常數據產生的報警融合加入到入侵攻擊的流程中，將多個融合到不同攻擊的過程進行合并，還原產生完成異常數據入侵攻擊流程圖。

通過對基于網絡安全異常數據檢測及場景重構技術，可以得到任何一個異常數據攻擊的全部流程，將異常數據入侵場景重構，去掉多余報警數據信息，直觀展現異常入侵流程。

3 仿真實驗

為驗證網絡安全異常報警系統設計的有效性進行仿真實驗。用MATLAB進行環境仿真。

測試系統配置：服務器中央處理器intel（R）core（TM） i8CPU：5.00GHz

測試服務器內存：8.00N GB

測試服務器軟件配置：WINDOWS7 專業版操作系統

物聯網客戶端配置：內存2 GB CPU個數：1

物聯網服務端配置：內存2 GB CPU個數：4

網絡安全異常報警系統檢測過程較為復雜，首先對網絡安全異常數據信息特征提取時間進行測試。目的在于測試此文方法相對傳統方法在異常數據特征提取時效的效果。其結果如圖1所示。

通過圖1可以看出，在相同條件下進行異常數據特征提取的過程中，此文算法提取異常特征量明顯高于傳統算法，并且隨著時間推移，此文算法成果幾何倍地高于傳統算法。

4 結語

提出一種基于異常數據分析的網絡安全檢測技術與報警信息場景重構融合的設計方法，去掉網絡安全異常報警中的重復率高、誤差率大的報警信息，通過測試安全異常數據之間的因果關系查找到一個網絡安全異常數據流程，完整描述出網絡安全異常數據的場景效果。針對報警信息的巨大數據，通過MAPREDUCE技術進行異常報警數據分布，提高了計算的時效性，彌補了報警信息延遲的缺點。仿真實驗表明，利用此文設計的方法，能夠保證網絡安全異常報警的實現，提高安全異常數據報警的準確程度，尤其是在異常數據巨大并且復雜時能夠較好地完成異常數據檢測，具有較強的實用性。

參考文獻

[1] W.Kim.Cloud computing：Today and Tomorrow[J].Journal of Object Technology， 2009（8）：65-72.

[2] MoradiM，Zulkemine M.A neural network based system for intrusion detection andclassification ofattacks[D].Queen University，Canada，2004.

[3] 楊長春，沈曉玲.基于云計算的SLIQ并行算法研究[J].計算機工程與科學，2012（3）：62-66.