网络安全特征8篇

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇网络安全特征，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

篇1

关键词：新型DPI；网络安全态势感知；网络流量采集

经济飞速发展的同时，科学技术也在不断地进步，网络已经成为当前社会生产生活中不可或缺的重要组成部分，给人们带来了极大的便利。与此同时，网络系统也遭受着一定的安全威胁，这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代，无论是国家还是企业、个人，在网络系统中均存储着大量重要的信息，网络系统一旦出现安全问题将会造成极大的损失。

1基本概念

1.1网络安全态势感知

网络安全态势感知是对网络安全各要素进行综合分析后，评估网络安全整体情况，对其发展趋势进行预测，最终以可视化系统展示给用户，同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1：（1）网络安全要素数据采集：借助各种检测工具，对影响网络安全性的各类要素进行检测，采集获取相应数据；（2）网络安全要素数据理解：对各种网络安全要素数据进行分析、处理和融合，对数据进一步综合分析，形成网络安全整体情况报告；（3）网络安全评估：对网络安全整体情况报告中各项数据进行定性、定量分析，总结当前的安全概况和安全薄弱环节，针对安全薄弱环境提出相应的应对措施；（4）网络安全态势预测：通过对一段时间的网络安全评估结果的分析，找出关键影响因素，并预测未来这些关键影响因素的发展趋势，进而预测未来的安全态势情况以及可以采取的应对措施。（5）网络安全态势感知报告：对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施。

1.2DPI技术

DPI（DeepPacketInspection）是一种基于数据包的深度检测技术，针对不同的网络传输协议（例如HTTP、DNS等）进行解析，根据协议载荷内容，分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景，比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域，通过DPI技术的应用识别能力，将网络安全关注的网络攻击、威胁行为对应的流量进行识别，并形成网络安全行为日志，实现网络安全要素数据精准采集。DPI技术发展到现在，随着后端业务应用的多元化，对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展，越来越多的应用采用加密手段和私有协议进行数据传输，网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下，很多网络攻击行为具有隐蔽性，比如数据传输时采用知名网络协议的端口，但是对传输流量内容进行定制，传统DPI很容易根据端口特征，将流量识别为知名应用，但是实际上，网络攻击行为却“瞒天过海”，绕过基于传统DPI技术的IDS、防火墙等网络安全屏障，在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上，对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析，实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标，形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别，还可以对应用层进行深度识别。

2新型DPI技术在网络安全态势感知领域的应用

新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节，应用新型DPI技术，可以实现网络流量的精准采集，避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节，在对数据进行分析时，需要基于新型DPI技术的特征知识库，提供数据标准的说明，帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤，（1）需要对攻击威胁的流量特征、协议特征等进行分析，将特征形成知识库，协议识别引擎加载特征知识库后，对实时流量进行打标，完成流量识别。这个步骤需要确保获取的特征是有效且准确的，需要基于真实的数据进行测试统计，避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后，（2）根据特征库，对流量进行过滤、分发，识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库，在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系，使得系统可以根据异常流量对应的特征库ID，进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。（3）根据网络流量进一步识别被攻击的灾损评估，同样是基于协议识别知识库中行为特征库，判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库，可以采用两种实现技术：分别是协议识别特征库技术和流量“白名单”技术。

2.1协议识别特征库

在网络流量识别时，协议识别特征库是非常重要的，形成协议识别特征库主要有两种方式。一种是传统方式，正向流量分析方法。这种方法是基于网络攻击者的视角分析，模拟攻击者的攻击行为，进而分析模拟网络流量中的流量特征，获取攻击威胁的流量特征。这种方法准确度高，但是需要对逐个应用进行模拟和分析，研发成本高且效率低下，而且随着互联网攻击行为的层出不穷和不断升级，这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步，逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等，通过AI智能算法来进行训练，获取智能特征库。这种方式采用AI智能识别算法实现，虽然在准确率方面要低于传统方式，但是这种方法可以应对互联网上层出不穷的新应用流量，效率更高。而且随着特征库的积累，算法本身具备更好的进化特性，正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为，对于未来可能出现的网络攻击行为，也具备一定的适应性，其适应性更强。这种方式还有另一个优点，通过对新发现的网络攻击、威胁行为特征的不断积累，完成样本库的自动化更新，基于自动化更新的样本库，实现自动化更新的流量智能识别特征库，进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准，新型DPI的协议识别特征库具备更深度的协议特征识别能力，比如对于http协议能够实现基于头部信息特征的识别，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息，对于https协议，也能够实现基于SNI的特征识别。对于目前主流应用，支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等，新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库，使得分析更具目的性。比如通过结合全球IP地址库，实现对境外流量定APP、特定URL或者特定DNS请求流量的识别，分析其中可能存在的跨境网络攻击、安全威胁行为等。

2.2流量“白名单”

在网络流量识别时也同时应用“流量白名单”功能，该功能通过对网络访问流量规模的统计，对流量较大的、且已知无害的TOPN的应用特征进行提取，同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模，在网络流量识别时，可以优先对流量进行“流量白名单”特征比对，比对成功则直接标记为“安全”。使用“流量白名单”技术，可以大大提高识别效率，将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式，这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用，也有很多流量较大的白名单网站采用https作为数据传输协议，新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1：

3新型DPI技术中数据标准

安全态势感知系统在发展中，从各个厂商独立作战，到现在可以接入不同厂商的数据，实现多源数据的融合作战，离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统，各厂商通过制定行业数据标准，一方面行业内部的安全数据采集、数据理解达成一致，另一方面安全态势感知系统在和行业外部系统进行数据共享时，也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分，第一个部分是控制指令部分，安全态势感知系统发送控制指令，新型DPI在接收到指令后，对采集的数据范围进行调整，实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令，也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分，新型DPI在输出安全要素数据时，基于统一的数据标准，比如HTTP类型的数据，统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据，统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件，对输出字段顺序、字段说明进行描述。针对不同的协议数据，定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分，比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准，也就是需要定义安全要素数据以什么形式记录，如果是以文件形式记录，标准中就需要约定文件内容组织形式、文件命名标准等，以及为了便于文件传输，文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2：新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑，为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。

4新型DPI技术面临的挑战

目前互联网技术日新月异、各类网络应用层出不穷的背景下，新型DPI技术在安全要素采集时，需要从互联网流量中，将网络攻击、异常流量识别出来，这项工作难度越来越大。同时随着5G应用越来越广泛，万物互联离我们的生活越来越近，接入网络的终端类型也多种多样，针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中，将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术，完成网络态势感知系统中的安全要素数据采集，实现从网络流量到数据的转化，这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程，对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估，网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测，实现全貌还原攻击事件、攻击者意图，客观评估攻击投入和防护效能，为威胁溯源提供必要的线索。

5结论

篇2

金属交易通过网络平台进行，当网络受到攻击时，容易导致数据丢失和资产流失，提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制，进行网络攻击的数据信息特征提取，通过时频分析方法进行攻击检测，实现网络安全防御和主动检测。仿真结果表明，采用该模型进行网络攻击检测，对病毒和攻击数据的准确检测概率较高，虚警概率较低，提高了网络安全性能。

关键词：

网络安全；攻击检测；时频分析

随着网络技术在金属交易平台中的应用，许多交易处理都是通过网络平台实施，对金属交易网络平台的安全评估和安全防御成为保障交易双方和用户的信息和资源安全的重要保障。网络攻击者通过窃取金属交易网络平台中的数据信息，进行数据纂改，实现网络攻击的目的。需要对金属交易网络安全防御模型进行优化设计，提高网络安全性能[1]。当前，对网络攻击信号的特征提取和检测算法主要有基于时频分析的网络攻击检测算法、采用经验模态分解的攻击检测方法、基于小波分析的网络攻击检测算法和基于谱特征提取的网络攻击检测算法等[2,3]，上述方法通过构建网络攻击信号的特征提取模型，然后进行时频特征、小波包分解特征和高阶谱特征等，实现对信号的检测和参量估计，达到网络攻击拦截的目的。但是，上述方法在进行网络攻击检测中，存在计算量大，性能不好的问题。对此提出一种基于攻击检测的金属交易网络安全防御模型，实现网络安全防御和主动检测。

1金属交易网络安全防御机制与模型构建

首先分析金属交易网络安全防御机制，金属交易网络在遭到病毒入侵和网络攻击是，主要是通过下面几个方面进行网络安全防御的：Web浏览器。主要包括金属交易网络用户的操作界面和金属交易网络显示界面。金属交易网络数据库的数据、图表均以网页的形式传给客户端浏览器进行浏览。金属交易网络的安全认证中心。当用户登录时，在客户端和Web服务器之间建立SSL安全套接层，所有信息在SSL的加密通道中传输，防止在传输过程中的机密信息被窃取。用户身份认证Web服务。主要用于金属交易网络的资金结算和信息加中，TokenID包括用户登录时间、IP地址、随机数，采用MD5进行加密方式。金属交易网络的Web服务。为金属交易网络系统提供的各种服务，每次调Webservices时，均需要对相关权限进行检验，提高数据库系统的安全性。综上分析，得到金属交易网络的角色等级关系示意图如图1所示。

2网络攻击信息特征提取与攻击检测算法设计

根据上述描述的金属交易网络安全防御机制，采用攻击检测方法进行网络安全检测和防御。

3仿真实验与结果分析

为了测试本文算法在实现金属交易网络安全防御和攻击检测中的性能，进行仿真实验。实验中，采用Hash表构建金属交易网络的网络攻击信号波形，Hash表的访问速率与链路速率相匹配，金属交易网络攻击数据采用的是KDDCup2015病毒数据库，交易网络攻击的相位信息系数μ0=0.001，θ2=0.45π，攻击的相位信息初始值选为θ1=-0.3π，即1024Hz。根据上述仿真环境和参数设定，进行网络攻击检测，得到检测到的网络攻击信号波形如图2所示。对上述攻击信号通过时频分析方法进行特征提取，实现攻击检测，达到网络安全防御的目的，为了对比性能，采用本文方法和传统方法，以准确检测概率为测试指标，得到结果如图3所示。从图可见，采用本文方法进行网络攻击检测，准确检测概率较高，性能较好。

4结语

本文提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制，进行网络攻击的数据信息特征提取，通过时频分析方法进行攻击检测，实现网络安全防御和主动检测。仿真结果表明，采用该模型进行网络攻击检测，对病毒和攻击数据的准确检测概率较高，虚警概率较低，提高了网络安全性能。

参考文献

[1]张海山.基于云存储视频监控系统的研究[J].电子设计工程,2015,(10):169.

[2]刘桂辛.改进的自适应卡尔曼滤波算法[J].电子设计工程,2016,(02):48-51.

篇3

关键词：人工免疫系统；网络安全风险；网络攻击；风险检测

中图分类号：TP393.08

网络安全形势日益严峻，网络安全威胁给网络安全带来了巨大的潜在风险。2011年7月，中国互联网络信息中心了《第28次中国互联网络发展状况统计报告》，该报告调查的数据显示，2011年上半年，我国遇到过病毒或木马攻击的网民达到2.17亿，比例为44.7%[1]。2012年9月，赛门铁克了《2012年诺顿网络犯罪报告》[2]，据该报告估计，在过去的一年中，全球遭受过网络犯罪侵害的成人多达5.56亿，导致直接经济损失高达1100亿美元。计算机网络安全环境变幻无常，网络安全威胁带来的网络安全风险更是千变万化，依靠传统的特征检测、定性评估等技术难以满足网络安全风险检测的有效性和准确性要求。

鉴于上述网络安全形势，如何对网络安全风险进行有效地检测已成为网络安全业界讨论的焦点和网络安全学术界研究的热点，大量研究人员正对该问题开展研究。冯登国等研究人员[3]对信息安全风险评估的研究进展进行了研究，其研究成果对信息安全风险评估的国内外现状、评估体系模型、评估标准、评估方法、评估过程及国内外测评体系进行了分析及探讨。李涛等研究人员[4]提出了一种网络安全风险检测模型，该研究成果解决了网络安全风险检测的实时定量计算问题。韦勇等研究人员[5]提出了基于信息融合的网络安全态势评估模型，高会生等研究人员[6]提出了基于D-S证据理论的网络安全风险评估模型。

1 系统理论基础

在网络安全风险检测的具体实现中，需要一种具有可操作性的工程技术方法，而将人工免疫系统[7]引入到网络安全风险检测技术中便是一条切实可行的方法。人工免疫系统借鉴生物免疫系统的仿生学原理，已成功地应用到解决信息安全问题中[8]，它具有分布式并行处理、自适应、自学习、自组织、鲁棒性和多样性等优良特性，其在解决网络安全领域的难点问题上取得了令人瞩目的成绩[9]。

为了对网络安全风险进行有效的检测，本文借鉴人工免疫系统中免疫细胞识别有害抗原的机理，设计了一种基于人工免疫系统的多结点网络安全风险检测系统，对网络攻击进行分布式地检测，并对网络安全风险进行综合评测。本系统的实现，将为建立大型计算机网络环境下网络安全风险检测系统提供一种有效的方法。

2 系统设计

2.1 系统架构

本系统架构如图1所示，它由主机安全风险检测子系统和网络安全风险检测子系统组成。主机安全风险检测子系统部署在网络主机中，它捕获网络数据包，将网络数据包转换为免疫格式的待检测数据，并根据人工免疫原理动态演化和生成网络攻击检测特征，同时，将攻击检测器与待检测数据进行匹配，并累计攻击检测器检测到网络攻击的次数，最后以此为基础数据计算主机的安全风险。网络安全风险检测子系统部署在单独的服务器中，它获取各主机安全风险检测子系统中的主机安全风险，并综合网络攻击的危险性和网络资产的价值，计算网络安全风险。

图1 系统架构

本系统采用分布式机制将主机安全风险检测子系统部署在多个网络主机结点中，各个主机安全风险检测子系统独立运行，并与网络安全风险检测子系统进行通信，获取网络安全风险检测子系统的网络攻击危险值和网络资产价值，用以计算当前主机结点的安全风险。

2.2 主机安全风险检测子系统

主机安全风险检测子系统由数据捕获模块、数据转换模块、特征生成模块、攻击检测模块和主机安全风险检测模块构成，其设计方法和运行原理如下。

2.2.1 数据捕获模块

本模块将网卡工作模式设置为混杂模式，然后捕获通过本网卡的网络数据包，采用的数据捕获方法不影响网络的正常运行，只是收集当前主机结点发出和收到的网络数据。由于收到的网络数据量比较多，本模块只保留网络数据包的包头信息，并以队列的形式保存在内存中，这些数据交由数据转换模块进行处理，一旦数据转换模块处理完毕，就清除掉这些队列数据，以保证本系统的高效运行。

2.2.2 数据转换模块

本模块从数据捕获模块构建的网络包头队列中获取包头信息，并从这些包头信息中提取出源/目的IP地址、端口号、数据包大小等关键信息，构建网络数据特征。为了采用人工免疫系统原理检测网络数据是否为网络攻击，将网络数据特征转换为免疫数据格式，具体转换方法为将网络包头关键信息转换为二进制字符串，并将其格式化为固定长度的字符串，最后将其形成免疫网络数据队列。

2.2.3 特征生成模块

本模块负责演化和生成检测网络攻击的免疫检测特征。在系统初始化阶段，本模块随机生成免疫检测特征，以增加免疫检测特征的多样性，从而发现更多的网络攻击。免疫检测特征与免疫网络数据队列中的数据进行匹配，采用人工免疫机理，对发现异常的免疫检测特征进行优化升级，达到生成能实际应用到检测网络攻击的免疫检测特征，本文将这些有效的免疫检测特征称为攻击检测器。

2.2.4 攻击检测模块

本模块采用特征生成模块生成的攻击检测器，检测免疫网络数据是否为网络攻击。采用优化的遍历算法，从免疫网络数据队列摘取所有的免疫网络数据，并利用所有的攻击检测器与其进行比较，一旦攻击检测器与免疫网络数据匹配，则判定该免疫网络数据对应的网络数据包为网络攻击，同时累加攻击检测器检测到网络攻击的次数。

2.2.5 主机安全风险检测模块

本模块计算当前主机因遭受到网络攻击而面临的安全风险，它遍历所有的攻击检测器，如果攻击检测器检测到网络攻击的次数大于0，则从网络安全风险检测子系统中下载当前网络攻击的危险值和该主机的资产价值，将这三个数值进行相乘，形成当前网络攻击造成的安全风险值，最后计算所有网络攻击造成的安全风险值之和，形成当前主机造成的安全风险。

2.3 网络安全风险检测子系统

网络安全风险检测子系统由主机安全风险获取模块、网络安全风险检测模块、网络攻击危险值数据库和网络资产价值数据库构成，其设计方法和运行原理如下。

2.3.1 主机安全风险获取模块

为了检测网络面临的整体安全风险，需要以所有的主机安全风险作为支撑，本模块与所有主机结点中的主机安全风险检测子系统进行通信，获取这些主机面临的安全风险值，并将其保存在主机安全风险队列中，为下一步的网络安全风险检测做好基础数据准备。

2.3.2 网络安全风险检测模块

本模块遍历主机安全风险队列，并从该队列中摘取所有的主机安全风险值。同时，从网络资产价值数据库中读取所有主机的资产价值，然后计算所有主机结点在所有网络资产中的资产权重，并将该权重与对应的主机安全风险值相乘，得到主机安全风险对整体网络安全风险的影响值，最后累加这些影响值作为整体网络面临的安全风险值。

3 结束语

本文设计了一种基于人工免疫原理的多结点网络安全风险检测系统，该系统采用分布式机制，在多个主机结点中部署主机安全风险检测子系统，并采用免疫细胞识别有害抗原的机制，动态生成能识别网络攻击的攻击检测器，针对网络攻击的实际检测情况计算主机面临的安全风险，并对所有结点的安全风险进行综合，以判定整体网络面临的安全风险，该系统的设计方法为网络安全风险检测提供了一种有效的途径。

参考文献：

[1]中国互联网络信息中心.第28次中国互联网络发展状况统计报告 [DB/OL].http：///dtygg/dtgg/201107/W020110719521725234632.pdf.

[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http：///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.

[3]冯登国，张阳，张玉清.信息安全风险评估综述[J].通信学报，2004（07）：10-18.

[4]李涛.基于免疫的网络安全风险检测[J].中国科学E辑（信息科学），2005（08）：798-816.

[5]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009（03）：353-362.

[6]高会生，朱静.基于D-S证据理论的网络安全风险评估模型[J].计算机工程与应用，2008（06）：157-159.

[7]莫宏伟，左兴权.人工免疫系统[M].北京：科学出版社，2009.

[8]李涛.计算机免疫学[M].北京：电子工业出版社，2004.

[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation，2002（03）：281-291.

篇4

关键词： 计算机网络；特征；安全；防范措施

计算机网络安全的含义及其特征

计算机作为一种存在于人们现实生活中必不可少的学习、生活工具，已近深入到社会领域的方方面面，根据不同计算机使用者的不同需求，计算机网络安全的定义也有所区别，现在通用的标准化定义为：“计算机网络安全”即“为网络信息数据系统的安全创建和使用而采取的相关技术上和管理上保护，从而保护计算机硬件、软件数据信息不会因为意外或者和人为故意而遭到破坏、更改和泄漏，加强对计算机网络信息数据系统的保密性、完整性和可利用性的安全设置”。针对个人使用者，计算机网络安全是保护个体信息不受外界陌生人、组织等的恶意破坏、盗取使用；对于企业机关单位等相关机构，网络安全是保护其办公系统、信息机密数据等免于外界黑客组织篡改、伪造、恶意利用等，保护机构信息系统的安全性能；对于国家相关组织，还要考虑应对突发事件、军事、科技等方面的安全性，保持网络通讯连贯性、安全性，提高应对具体事件的反应能力和执行效率。

计算机网络安全的特征：高度的保密性，即计算机网络的信息不能随意泄露给未授权的用户或避免任其利用的过程；信息的完整性，即其他未经过授权的用户不得随意改变、破坏、丢弃信息的特性；操作的可控性，即被授权用户具有对信息的利用、处理的权利，从而控制信息的传播过程；信息的审查性，即当网络安全出现问题时，采取必要的手段加以控制、核查。

2 计算机网络安全的现状分析

随着现代网络技术的飞速发展，计算机网络安全系统具有复杂性和多样性，其安全现状存在隐患，目前，攻击网络安全的各种手段、行为繁多复杂，黑客组织的猖獗、病毒种类繁多、攻击性强等等特征使得网络安全系统受到各方面的威胁，由于互联网本身的无时空性和地域限制，一种病毒的攻击性能够迅速的利用系统漏洞而攻击计算机网络安全，造成网络系统瘫痪，对于人们日常生活办公、企业机关部门信息安全存在极大的不利影响，由此，我们具体分析现代计算机网络安全存在的问题。

2.1 缺乏计算机网络安全意识

在纷繁复杂的网络虚拟世界里，人们畅游在网络环境中，利用网络所带来的便捷功能，但是却普遍缺乏对计算机网络安全方面的认识，现代网络系统，为了提高网络的安全性，采取了去多手段和措施，包括设置网络安全保护软件、设置安全防火墙、安全卫士杀毒等一系列防范措施，但目前人们普遍对网络安全的重要性缺乏认识，当为了满足好奇心或缺乏对黑客威胁破坏性的认识时，这些网络保护措施屏障就发挥不了其安保作用，因此加强人们对网络安全重要性的普遍认识，树立安全上网、打击黑客行为意识是当务之急。

2.2 缺乏计算机安全网络保护的专业技术

目前，威胁于网络安全系统的黑客组织性更强，攻击手段复杂，利用网络系统的漏洞对现实人们的经济、安全生活造成损失，盗取经济利益。造成各种流行肆虐于网络的的恶意网站、网上木马、病毒程序等已经严重威胁了现代网络安全，但是，针对这些恶意的攻击，我国目前的计算机网络安全防备技术尚不能跟上时代的发展要求，以致于网络系统安全问题困扰于个人、家庭、企业机关等各个领域，此外网络软件的漏洞也是造成系统安全攻击的威胁，不少网络软件的“后门”一旦被进入，后果不堪设想。

2.3 缺乏计算机网络安全的法律法规等相关政策保障

目前，我国的立法机关尚没有完善的针对于计算机网络系统安全的法律法规政策，缺乏相关的对黑客组织行为的法律制裁措施，这也是造成现代网络安全隐患的一个重要原因，根据我国网络存在的弊端，立法机关应该出台相关的法律法规来限制威胁行为的猖獗。

此外，计算机网络安全存在诸多问题的原因诸多，下面我们列举几方面：

1）计算机网络结构存在风险隐患。计算机网络的贯通性、结构性是的网络安全系统纷繁复杂，多重局域网组成的因特网是一个互相联系、通用的网络系统，一旦当某种危险信息触发时会间接和直接的影响到其他网络系统的安全性，攻击者利用这种网络的贯通性和衔接性，传播和不良信息、盗取机密数据安全从而破坏系统安全。

2）网络IP系统的易攻击性。IP/TCP是现代因特网的基础协议，由于它们具有公众性，从而导致黑客可以利用它的安全缺陷来实施网络攻击。

3）网络数据信息泄露、篡改。网络系统上的大量信息的于传播都是没有一定限制功能手段，而且由于大部分数据流缺乏加锁保密措施，导致信息容易被盗取、窃听的可能性高，因此，不少黑客组织利用这种信息的无密性进行电子邮件、传输文件等信息的篡改、盗取，降低了网络信息安全性。

4）软件漏洞。软件漏洞包括以下几个方面：操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。一旦遭受病毒攻击，会带来灾难性的后果。

3 加强计算机网络安全防范的具体措施

首先，提高网络安全的防范意识，明确网络安全发展目标。

篇5

目前网络网络安全产品缺乏协调统一，安全产品孤立，这对网络安全来说是十分不利。基于此，本文提出了“网络安全管理平台”，对网络安全管理设备进行统一管理，在网络安全管理平台中对数据同和方法进行应用，解决了管理过程中一系列的复杂问题。

【关键词】

数据融合；网络安全；管理平台

网络安全的最终目前是确保业务的连续性，本质则是风险管理。数据融合技术是利用多个传感器在空间和时间上的互补或冗余进行组合，从而获取被检测数据的一致性描述或解释。在网络管理安全平台中利用数据融合技术可以有效的减少模糊信息，确保系统的安全性。

一、网络安全中引入数据融合的原因

目前，网络遭受的攻击手段越来越多，面对众多的网络攻击手段，单一的网络安全产品显得十分无力。例如，基于病毒码的防病毒软件无法及时的发现蠕虫攻击，而孤立的对网络安全设备进行分析处理，无法对整个系统的态势和安全状况做出准确判断，这对网络运行的安全性来说是一项极大的隐患。网络防御手段随着计算机技术的快速发展也逐渐增多，其中包括的主要手段有：防火墙、防病毒软件等，这产品在应用过程中会形成大量不同类型的安全信息，从而使系统统一和相互协调管理成为了安全管理中的难点问题。

二、网络安全管理平台中对数据融合的应用

2.1数据融合的层次

数据融合技术是近几年才被应用到网络安全管理平台中的，数据融合层次的分类和每一类所包括的内容如下：

1像素级融合:在收集到的原始数据基础融合，也被称作最地基融合，该融合的最大优势就是可以保留更多的数据，为了提供大量的为信息，但缺点也较为明显，由于数据量过大，因此处理起来十分麻烦，不仅耗时长，而且需要付出较大的经济代价。

2特征级融合:在数据融合前，对所采集到的信息的特征进行提取，然后对特征进行处理，完成相应的分析和处理工作，该融合方式的优点是完成了对信息的压缩，便于实时处理工作的开展。此融合技已经在网络入侵检测系统中得到了应用。

3决策级融合:决策级融合是高层次融合，主要为控制决策提供强有力的支持，在决策级融合过程中需要对特技融合中所提到各项信息进行应用，然后进行再一次的融合，重中获取决策依据。该融合的主要优势在于，具有一定的抗干扰性，容错性好，对信息的来源没有过多要求，但需要注意，在融合之间需要对信息的格式进行转换，转变为同一格式，一边融合的顺利开展。现代网络安全管理中应用的数据融合模式主要集中在对像素级和特征级信息融合，例如，防毒墙、智能IDS等，决策级信息融合更多的是在集中式网络安全管理中，在决策级融合中所使用的数据主要来自初层次上各种安全设备在经历特征级融合之后而产生的信息。

2.2数据融合在多网络安全技术中的应用实例

在多网络安全技术下，安全设备融合数据的目的、层次、效果都比较特殊。例如，入侵检测系统在运行过程中主要工作数对特征级融合中的信息进行检测。在具体分析过程中，提出了基于多网络安全技术融合的安全评估系统。在该系统中，评估系统输入信息为安全技术产生了大量的源信息，信息在格式上可能有所不同，为了便于融合与处理，需要将所有的信息都转化为统一标准格式。整个系统在融合算法中采取的都为证据理论法，对信息的归类处理主要通过聚类合并的方式完成，然后完成对结果的判断，最终将结果存储到数据库中。此外，该系统在对整个网络安全态势的分析主要通过案例推理和贝叶斯网络相结合的方式完成，使网络安全的各项技术都系统中都得到了充分发挥，从而更加全面的掌握了安全管理系统中信息的动态变化和安全性，确保了整个系统的安全性。

三、结束语

电子信息技术发展到今天，信息安全不再是某一个环节上的问题，其已经成为了一个立体的、动态的体系。因此在安全保障措施的制定上，需要从技术、运行、管理三个层面入手。将数据融合技术融入到管理平台中，从整体上加强对安全性的深入探讨与分析，从而获得更加精准的分析结果，彻底摆脱对安全设备进行间断管理的不利局面，全面实现智能化网络管理，确保网络安全管理平台的健康运行。

作者：意合巴古力·吴思满江 单位：新疆广电网络股份有限公司

参考文献

篇6

从本质上来说，网络不但在企业处理各种人事与资产管理中起着重要的作用，其对于对外进行业务拓展，优化企业资源配置上也有重要帮助。但是网络安全问题一直是影响企业信息安全，制约企业经济效益提升的主要因素。因此，加强网络安全风险评级技术的研究，提高网络安全系数具有极其重要的现实意义。

【关键词】网络安全 风险防控 技术

目前，国外有关学者已经对网络安全风险防控进行了相关理论研究，结合我国网络安全的现状，对我国制定网络安全风险防控策略也具有现实指导意义，并且在此基础上需要更多的创新形式，来进行网络安全风险的防控工作，最终实现网络安全风险防控目标。

1 网络安全风险的特点

1.1 可预测性

从理论角度上讲，个别风险的发生是偶然的，不可预知的，但通过对大量风险的观察研究发现，风险往往呈现出明显的规律性。网络安全风险预测是网络安全领域一个新兴的研究热点和难点，是预防大规模网络入侵攻击的前提和基础，同时也是网络安全风险感知过程中的一个必不可少的环节。为此，研究者建立了实时网络安全风险概率预测的马尔可夫时变模型，并基于此模型，给出了网络安全风险概率的预测方法。这说明网络安全风险呈现出规律性特征，借助于科学模型以及数理统计等方法，可在此基础上进行预测性分析，这也为我们发现、评估、预测、规避网络安全风险提供了理论支撑。

1.2 难以识别性

网络安全风险与其他风险相区别的显著特征在于它的载体依附性，网络安全风险依附于网络，产生于网络，而网络的复杂性、蔓延性、不可预测性特征也决定了网络安全风险的难以识别。网络安全风险广泛存在于计算机网络的各个层面，同时也潜伏在网络使用的各个时期，由于网络的虚拟性特征明显，决定了网络安全风险漏洞的识别是一项纷繁复杂的工作，需要对网络整体进行筛选和发现，网络安全风险的难以识别性使得网络安全风险防控的成本增加。

1.3 交互性

互联网作为平等自由的信息沟通平台，信息的流动和交互是双向式的，信息沟通双方可以与另一方进行平等的交互。安全风险相伴互联网互生，并且呈现出不同领域内互为交织的特点。例如，网络一方面使得金融机构拓宽了业务范围，但同时以网络为中介的交易风险也增大，使其成为我国社会风险防控的重要组成部分。

2 网络安全风险防控技术分析

2.1 防火墙技术

随着人们网络安全和防范意识的提高，网络安全技术的研发速率也不断增加，基本上实现了对多数网络安全问题的防护与处理。尤其是在一些企业单位，为了保证内部信息安全，采用了多种安全防护技术，其中最为常用的是防火墙技术。设置防火墙后，能够对对网络上的访问信息进行扫描和检查，一旦检测到非法的，或者未授权的访问信息时，防火墙的安全防护系统启动，自动清除这些非法访问信息，以此保证网络内外安全。从防火墙的工作原理上看，它属于被动式安全防护技术，即只有非法或未授权信息出现时，才能发挥安全保护作用。

2.2 网络扫描技术

在网络安全风险评估中，最常用的技术手段就是网络扫描技术。网络扫描技术不仅能够实时监控网络动态，而且还可以将相关的信息自动收集起来。近年来，网络扫描技术的使用更为广泛和频繁，相对于原有的防护机制来说，网络扫描技术可以使网络安全系数有效的提升，从而将网络安全风险明显的降低。由于网络扫描技术作为一种主动出击的方式，能够主动的监测和判断网络安全隐患，并第一时间进行处理和调整，对恶意攻击起到一个预先防范的作用。

3 网络安全风险防控策略

3.1 完善应急预案设计

网络安全风险具有不确定性，最典型的就是它的发生时间不固定，因此，做好网络安全风险防控最重要的策略就是将网络风险防控工作常态化。网络安全风险防控需要一整套切实可行的、逻辑上具有连续性的预案设计，即网络安全政策的建设。完整的网络安全政策建设应包括以下几个方面的内容：网络安全风险的收集、网络安全风险的分析研判、网络安全的漏洞识别、网络安全漏洞/脆弱点强化、网络安全风险分层面控制、网络安全风险点对点消除。

3.2 主动配合行业监管

目前，部分行业由于行业的特殊性质或者不愿意公开等理由，使得部分行业的操作处于不透明状态。虽然行业有其自身保护机密不被侵犯的权利，但是这种不透明化也会给风险的防控设置阻碍。网络安全风险防控与对象有着紧密联系，针对不同行业的不同特点，防控的策略也不尽相同，因此，行业要实现网络安全风险防控效果的最大化就应主动配合国家和政府的行业监管，使行业内能够做到透明化的操作实现透明化。

3.3 强化行业部门协作

网络安全风险防控是一个系统工程，需要各行各业以及行业的各个部门实现全方位的协作。而现实中网络安全风险有时候也是由于信息传递滞后、上下级信息传递阻碍或者行业、部门不合作造成的，而它的存在不仅会造成网络安全事故的发生，也会带来一系列连锁反应，事故得不到及时解决，会使得网络安全风险持续存在并且持续升高，造成更加严重的后果。各个行业或者部门要想打破这种阻碍信息共享的障碍，必须加强沟通对话，在协调各方利益的基础上，共谋网络安全风险防控的策略框架。

4 结语

总而言之，网络安全风险防控是当前社会的热点议题。网络技术的发展不仅给现代社会带来巨大便利，同时也使得网络攻击日趋常态化，从而引发了一系列的网络犯罪问题。只有网络安全，国家才能安全。进行网络安全风险的防控需要进行风险原因分析，把握网络安全风险级别，识别风险漏洞。

参考文献

篇7

关键词:网络安全态势感知技术;关键技术结构;安全

现阶段，各类信息传播速度逐渐提高，网络入侵、安全威胁等状况频发，为了提高对网络安全的有效处理，相关管理人员需要及时进行监控管理，运用入侵检测、防火墙、网络防病毒软件等进行安全监管，提高应用程序、系统运行的安全性。对可能发生的各类时间进行全面分析，并建立应急预案、响应措施等，以期提高网络安全等级。

1网络安全态势感知系统的结构、组成

网络安全态势感知系统属于新型技术，主要目的在于网络安全监测、网络预警，一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业，充分提高了网络安全稳定性，便于对当前网络环境进行全面评估，可提高对未来变化预测的精确性，保证网络长期合理运行。一般网络安全态势感知系统包括：数据信息搜集、特征提取、态势评估、安全预警几大部分。其中，数据信息搜集结构部分是整个安全态势感知系统的的关键部分，一般需要机遇当前网络状况进行分析，并及时获取相关信息，属于系统结构的核心部分。数据信息搜集方法较多，基于Netow技术的方法便属于常见方法。其次，网络安全感知系统中，特征提取结构，系统数据搜集后，一般需要针对大量冗余信息进行管理，并进行全面合理的安全评估、安全监测，一般大量冗余信息不能直接投入安全评估，为此需要加强特征技术、预处理技术的应用，特征提取是针对系统中有用信息进行提取，用以提高网络安全评估态势，保证监测预警等功能的顺利实现。最终是态势评估、网络安全状态预警结构，常用评估方法包括：定量风险评估法、定性评估法、定性定量相结合的风险评估方法等，一般可基于上述方法进行网络安全态势的科学评估，根据当前状况进行评估结果、未来状态的预知，并考虑评估中可能存在问题，及时进行行之有效的监测、预警作业。

2网络安全态势感知系统的关键技术

2.1网络安全态势数据融合技术

互联网中不同安全系统的设备、功能存在一定差异，对应网络安全事件的数据格式也存在一定差异。各个安全系统、设备之间一般会建立一个多传感环境，需要考虑该环境条件下，系统、设备之间互联性的要求，保证借助多传感器数据融合技术作为主要支撑，为监控网络安全态势提供更加有效的资料。现阶段，数据融合技术的应用日益广泛，如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等，为评估和预警网络安全态势提供重要参考依据。数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合，可提高数据精度、数据细节的合理性，但是缺点是处理数据量巨大，一般需要考虑计算机内存、计算机处理频率等硬件参数条件，受限性明显，需要融合层次较高。决策性融合中，处理数据量较少，但是具有模糊、抽象的特点，整体准确度大幅下降。功能级融合一般是处于上述两种方法之间。网络安全态势数据的融合分为以下几部分：数据采集、数据预处理、态势评估、态势预测等。（1）数据采集网络安全数据采集的主要来源分为三类：一是来自安全设备和业务系统产生的数据，如4A系统、堡垒机、防火墙、入侵检测、安全审计、上网行为管理、漏洞扫描器、流量采集设备、Web访问日志等。（2）数据预处理数据采集器得到的数据是异构的，需要对数据进行预处理，数据内容的识别和补全，再剔除重复、误报的事件条目，才能存储和运算。（3）态势感知指标体系的建立为保证态势感知结果能指导管理实践，态势感知指标体系的建立是从上层网络安全管理的需求出发层层分解而得的，而最下层的指标还需要和能采集到的数据相关联以保证指标数值的真实性和准确性。（4）指标提取建立了指标体系后，需要对基层指标进行赋值，一般的取值都需要经过转化。第五、数据融合。当前研究人员正在研究的数据融合技术有如下几类：贝叶斯网络、D-S证据理论等。

2.2计算技术

该技术一般需要建立在数学方法之上，将大量网络安全态势信息进行综合处理，最终形成某范围内要求的数值。该数值一般与网络资产价值、网络安全时间频率、网络性能等息息相关，需要随时做出调整。借助网络安全态势技术可得到该数值，对网络安全评估具有一定积极影响，一般若数据在允许范围之内表明安全态势是安全的，反之不安全。该数值大小具有一定科学性、客观性，可直观反映出网络损毁、网络威胁程度，并可及时提供网络安装状态数据。

2.3网络安全态势预测技术

网络安全态势预测技术是针对以往历史资料进行分析，借助实践经验、理论知识等进行整理，分析归纳后对未来安全形势进行评估。网络安全态势发展具有一定未知性，如果预测范围、性质、时间和对象等不同，预测方法会存在明显差异。根据属性可将网络安全态势预测方法分为定性、时间序列、因果分析等方法。其中定性预测方法是结合网络系统、现阶段态势数据进行分析，以逻辑基础为依据进行网络安全态势的预测。时间序列分析方法是根据历史数据、时间关系等进行系统变量的预测，该方法更注重时间变化带来的影响，属于定量分析，一般在简单数理统计应用上较为适用。因果预测方法是结合系统各个变量之间的因果关系进行分析，根据影响因素、数学模型等进行分析，对变量的变化趋势、变化方向等进行全面预测。

3结语

网络安全事件发生频率高且危害大，会给相关工作人员带来巨大损失，为此，需要加强网络安全态势的评估、感知分析。需要网络安全相关部门进行安全态势感知系统的全面了解，加强先进技术的落实，提高优化合理性。同时加强网络安全态势感知系统关键技术的研发，根据网络运行状况进行检测设备、防火墙、杀毒软件的设置，一旦发现威胁网络安全的行为，需要及时采取有效措施进行处理，避免攻击行为的发展，提高网络安全的全面合理性。

参考文献

篇8

关键词：网络安全；异常检测；方案

网络安全事件异常检测问题方案，基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式，提出网络频繁密度概念，针对网络安全异常事件模式的间隔限制，利用事件流中滑动窗口设计算法，对网络安全事件流中异常检测进行探讨。但是，由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全，使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析，对此加以系统化的论述并找出合理经济的解决方案。

1、建立信息安全体系统一管理网络安全

在综合考虑各种网络安全技术的基础上，网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性，将基于时间的统计特征属性考虑在内，这样可以提高系统的检测精度。

1.1网络安全帐号口令管理安全系统建设

终端安全管理系统扩容，扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署，采用高新技术流程来实现。采用信息化技术管理需要帐号口令，有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统，对所有帐号口令进行统一管理，做到职能化、合理化、科学化。

信息安全建设成功结束后，全网安全基本达到规定的标准，各种安全产品充分发挥作用，安全管理也到位和正规化。此时进行安全管理建设，主要完善系统体系架构图编辑，加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理，本阶段可以考虑成立安全管理部门，聘请专门的安全服务顾问，建立信息安全管理体系，建立PDCA机制，按照专业化的要求进行安全管理通过系统的认证。

边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施，重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此，加强各个局端出口安全防护，并且在各个节点位置部署入侵检测系统，加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。

1.2综合考虑和解决各种边界安全技术问题

随着网络病毒攻击越来越朝着混合性发展的趋势，在网络安全建设中采用统一管理系统进行边界防护，考虑到性价比和防护效果的最大化要求，统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统，考虑到以后各节点将实现INITERNET出口的统一，要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统，可以实现对内部流量访问业务系统的流量进行集中的管控，包括进行访问控制、内容过滤等。

网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护，保证内部用户和系统的安全。但是安全威胁是动态变化的，因此采用深度检测和防御还不能最大化安全效果，为此建议采用入侵检测系统对通过UTM的流量进行动态的检测，实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控，通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现，从而提高安全维护人员的预警能力。

1.3防护IPS入侵进行internet出口位置的整合

防护IPS入侵进行internet出口位置的整合，可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤，采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。

在整合后的internet边界位置放置一台IPS设备，实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点，为了更好地对各种服务器进行集中防护和监控，将各种业务服务器进行集中管控，并且考虑到未来发展需要，可以将未来需要新增的服务器进行集中放置，这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域，前期可以将已有业务系统进行集中管理。

2、科学化进行网络安全事件流中异常检测方案的探讨

网络安全事件本身也具有不确定性，在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论，将其与关联规则算法结合起来，采用模糊化的关联算法来挖掘网络行为的特征，从而提高系统的灵活性和检测精度。异常检测系统中，在建立正常模式时必须尽可能多得对网络行为进行全面的描述，其中包含出现频率高的模式，也包含低频率的模式。

2.1基于网络安全事件流中频繁情节方法分析

针对网络安全事件流中异常检测问题，定义网络安全异常事件模式为频繁情节，主要基于无折叠出现的频繁度研究，提出了网络安全事件流中频繁情节发现方法，该方法中针对事件流的特点，提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制，利用事件流中滑动窗口设计算法。针对复合攻击模式的特点，对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。

传统的挖掘定量属性关联规则算法，将网络属性的取值范围离散成不同的区间，然后将其转化为“布尔型”关联规则算法，这样做会产生明显的边界问题，如果正常或异常略微偏离其规定的范围，系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中，建立网络安全防火墙，在网络系统的内部和外网之间构建保护屏障。针对事件流的特点，利用事件流中滑动窗口设计算法，采用复合攻击模式方法，对算法进行科学化的测试。

2.2采用系统连接方式检测网络安全基本属性

在入侵检测系统中，直接采用网络连接记录中的基本属性，其检测效果不理想，如果将基于时间的统计特征属性考虑在内，可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论，将其与关联规则算法结合起来，采用设计化的关联算法来挖掘网络行为的特征，从而提高系统的灵活性和检测精度。异常检测系统中，在建立正常的数据化模式尽可能多得对网络行为进行全面的描述，其中包含出现频率高的模式，也包含低频率的模式。

在网络安全数据集的分析中，发现大多数属性值的分布较稀疏，这意味着对于一个特定的定量属性，其取值可能只包含它的定义域的一个小子集，属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性，传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间，然后将其转化为布尔型关联规则算法，这样做会产生明显的边界问题，如果正常或异常略微偏离其规定的范围，系统就会做出错误的判断。网络安全事件本身也具有模糊性，在正常和异常行为之间应当有一个平滑的过渡。

另外，不同的攻击类型产生的日志记录分布情况也不同，某些攻击会产生大量的连续记录，占总记录数的比例很大，而某些攻击只产生一些孤立的记录，占总记录数的比例很小。针对网络数据流中属性值分布，不均匀性和网络事件发生的概率不同的情况，采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明，设计算法的引入不仅可以提高异常检测的能力，还显著减少了规则库中规则的数量，提高了网络安全事件异常检测效率。

2.3建立整体的网络安全感知系统，提高异常检测的效率

作为网络安全态势感知系统的一部分，建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率，解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用，基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。

通过网络数据设计公式推导出高位端口计算结果，最后采集局域网中的数据，通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此，如何在大规模网络环境下进行检测网络异常并为提供预警信息，是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术，提出了一个大规模网络数据流频繁模式挖掘和检测算法，根据“加权欧几里得”距离进行模式匹配。

实验结果表明，该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力，提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常，及时隔离被攻击节点阻止危害扩散，并报告攻击特征实现信息共享。综合网络选择原理和危险理论，提出了一种新的网络智能体训练方法，使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型，表明网络智能体模型能够更好的保障网络安全。

结语：

伴随着计算机和通信技术的迅速发展，伴随着网络用户需求的不断增加，计算机网络的应用越来越广泛，其规模也越来越庞大。同时，网络安全事件层出不穷，使得计算机网络面临着严峻的信息安全形势的挑战，传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对安全状况的发展趋势进行预测和预警，为增强网络安全性提供可靠的参照依据。因此，针对网络的安全态势感知研究已经成为目前网络安全领域的热点。

参考文献：

[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报，2000，(4).