張亞利　睢丹

摘 要：隨著電子技術(shù)的迅猛發(fā)展，計(jì)算網(wǎng)絡(luò)安全問題也受到了各國(guó)科學(xué)家的重視，截止到2016年1月，我國(guó)的網(wǎng)民人數(shù)已經(jīng)突破了9.23億，其中46%的網(wǎng)友遭受過各種各樣的網(wǎng)絡(luò)黑客及軟件的攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全異常報(bào)警系統(tǒng)，通過對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)，對(duì)受到異常數(shù)據(jù)攻擊的網(wǎng)絡(luò)進(jìn)行事件檢測(cè)時(shí)，會(huì)產(chǎn)生巨大數(shù)據(jù)量的報(bào)警信息，此類信息紛繁雜亂，無法歸類整理，因此網(wǎng)絡(luò)信息安全管理員很難在海量的報(bào)警信息中將有效的安全異常報(bào)警數(shù)據(jù)進(jìn)行提取。為此，提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡(luò)安全檢測(cè)技術(shù)與報(bào)警信息場(chǎng)景重構(gòu)融合的設(shè)計(jì)方法，去掉網(wǎng)絡(luò)安全異常報(bào)警中的重復(fù)率高、誤差率大的報(bào)警信息，通過測(cè)試安全異常數(shù)據(jù)之間的因果關(guān)系查找到一個(gè)網(wǎng)絡(luò)安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡(luò)安全異常數(shù)據(jù)的場(chǎng)景效果。針對(duì)報(bào)警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術(shù)進(jìn)行異常報(bào)警數(shù)據(jù)分布，提高了計(jì)算的時(shí)效性，彌補(bǔ)了報(bào)警信息延遲的缺點(diǎn)。仿真實(shí)驗(yàn)表明，利用該文設(shè)計(jì)的方法，能夠保證網(wǎng)絡(luò)安全異常報(bào)警的實(shí)現(xiàn)，提高安全異常數(shù)據(jù)報(bào)警的準(zhǔn)確程度，尤其是在異常數(shù)據(jù)巨大并且復(fù)雜時(shí)能夠較好地完成異常數(shù)據(jù)檢測(cè)，具有較強(qiáng)的實(shí)用性。

關(guān)鍵詞：網(wǎng)絡(luò)安全 異常 報(bào)警系統(tǒng) 設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）01（c）-0088-02

現(xiàn)階段，隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題越來越受到了人們的關(guān)注。為也能夠有效地將網(wǎng)絡(luò)入侵行為和攻擊成功地?cái)r截，各國(guó)學(xué)者花費(fèi)大量時(shí)間與精力進(jìn)行了異常報(bào)警的研究，通過研究網(wǎng)絡(luò)安全異常報(bào)警數(shù)據(jù)分析能夠危害計(jì)算機(jī)的行為，并提前做出防御措施。

傳統(tǒng)的網(wǎng)絡(luò)安全異常報(bào)警系統(tǒng)，通過對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)，對(duì)受到異常數(shù)據(jù)攻擊的網(wǎng)絡(luò)進(jìn)行事件檢測(cè)時(shí)，會(huì)產(chǎn)生巨大數(shù)據(jù)量的報(bào)警信息，此類信息紛繁雜亂，無法歸類整理，因此網(wǎng)絡(luò)信息安全管理員很難在海量的報(bào)警信息中將有效的安全異常報(bào)警數(shù)據(jù)進(jìn)行提取。

此文提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡(luò)安全檢測(cè)技術(shù)與報(bào)警信息場(chǎng)景重構(gòu)融合的設(shè)計(jì)方法，去掉網(wǎng)絡(luò)安全異常報(bào)警中的重復(fù)率高、誤差率大的報(bào)警信息，通過測(cè)試安全異常數(shù)據(jù)之間的因果關(guān)系查找到一個(gè)網(wǎng)絡(luò)安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡(luò)安全異常數(shù)據(jù)的場(chǎng)景效果。針對(duì)報(bào)警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術(shù)進(jìn)行異常報(bào)警數(shù)據(jù)分布，提高了計(jì)算的時(shí)效性，彌補(bǔ)了報(bào)警信息延遲的缺點(diǎn)。仿真實(shí)驗(yàn)表明，利用此文設(shè)計(jì)的方法，能夠保證網(wǎng)絡(luò)安全異常報(bào)警的實(shí)現(xiàn)，提高安全異常數(shù)據(jù)報(bào)警的準(zhǔn)確程度，尤其是在異常數(shù)據(jù)巨大并且復(fù)雜時(shí)能夠較好地完成異常數(shù)據(jù)檢測(cè)，具有較強(qiáng)的實(shí)用性。

1 安全異常檢測(cè)

網(wǎng)絡(luò)異常檢測(cè)能夠確保網(wǎng)絡(luò)自身不受到異常數(shù)據(jù)的入侵和攻擊，檢測(cè)系統(tǒng)通過對(duì)傳輸數(shù)據(jù)進(jìn)行分析，對(duì)可能的有害數(shù)據(jù)進(jìn)行報(bào)警，網(wǎng)絡(luò)啟動(dòng)防御。

1.1 異常檢測(cè)技術(shù)

網(wǎng)絡(luò)安全異常檢測(cè)是通過技術(shù)系統(tǒng)對(duì)互聯(lián)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息進(jìn)行分析研究，通過模擬行為做出該數(shù)據(jù)是否有害。檢測(cè)技術(shù)是保護(hù)計(jì)算機(jī)使用者在未受到網(wǎng)絡(luò)異常數(shù)據(jù)攻擊和入侵前采取保護(hù)措施，保護(hù)網(wǎng)絡(luò)信息不被泄漏。

1.2 異常數(shù)據(jù)分析技術(shù)

異常數(shù)據(jù)分析技術(shù)是針對(duì)異常檢測(cè)設(shè)備的核心技術(shù)。該技術(shù)能夠解決網(wǎng)絡(luò)安全入侵檢測(cè)過程中報(bào)警系統(tǒng)報(bào)警率高成功率低的缺點(diǎn)。

該技術(shù)通過在網(wǎng)絡(luò)中查找異常攻擊數(shù)據(jù)各種步驟程序中存在的因果關(guān)系，將海量報(bào)警數(shù)據(jù)中的攻擊以不同攻擊目標(biāo)和同一攻擊目標(biāo)進(jìn)行階段分類，重新還原異常數(shù)據(jù)的入侵和攻擊流程，便于網(wǎng)絡(luò)安全設(shè)計(jì)員對(duì)此類信息進(jìn)行收集，并對(duì)網(wǎng)絡(luò)安全進(jìn)行有效保護(hù)。

網(wǎng)絡(luò)報(bào)警是基于異常數(shù)據(jù)的分析檢測(cè)基礎(chǔ)上的一種保障互聯(lián)網(wǎng)安全的技術(shù)。通過報(bào)警能夠使網(wǎng)絡(luò)提前進(jìn)行防御，從而使網(wǎng)絡(luò)入侵攻擊時(shí)對(duì)系統(tǒng)的分析處理需要很長(zhǎng)時(shí)間的計(jì)算，對(duì)報(bào)警進(jìn)行有效無效判定，能夠減少大量的報(bào)警數(shù)據(jù)信息，過濾無效數(shù)據(jù)，關(guān)聯(lián)和融合有效信息，這樣既快速又確保了異常數(shù)據(jù)的完整性。

2 基于場(chǎng)景重構(gòu)和報(bào)警融合的異常報(bào)警系統(tǒng)

基于網(wǎng)絡(luò)安全異常數(shù)據(jù)檢測(cè)時(shí)會(huì)產(chǎn)生大量的報(bào)警信息，并且產(chǎn)生的海量數(shù)據(jù)均為無效報(bào)警信息，致使網(wǎng)絡(luò)安全異常報(bào)警系統(tǒng)存在巨大的計(jì)算壓力。

2.1 場(chǎng)景重構(gòu)

目前網(wǎng)絡(luò)異常數(shù)據(jù)入侵和攻擊的方法越來越多，技術(shù)越來越完善，一次異常數(shù)據(jù)入侵攻擊涉及多個(gè)流程去完成。根據(jù)異常數(shù)據(jù)信息產(chǎn)生的規(guī)律進(jìn)行數(shù)據(jù)還原，重新查看入侵攻擊流程，就是場(chǎng)景重構(gòu)技術(shù)。場(chǎng)景重構(gòu)主要依據(jù)3個(gè)數(shù)據(jù)庫(kù)：一是報(bào)警信息數(shù)據(jù)屬性相似程度；二是報(bào)警數(shù)據(jù)信息關(guān)聯(lián)程度；三是報(bào)警數(shù)據(jù)信息關(guān)聯(lián)因果程度。

報(bào)警信息數(shù)據(jù)相似度計(jì)算公式為：

（1）

其中要滿足最小條件，為報(bào)警數(shù)據(jù)信息，為網(wǎng)絡(luò)安全異常產(chǎn)生的新的報(bào)警信息，為數(shù)據(jù)特征的關(guān)聯(lián)程度。

2.2 報(bào)警融合

報(bào)警融合技術(shù)就是在網(wǎng)絡(luò)安全異常報(bào)警情況對(duì)入侵攻擊數(shù)據(jù)信息進(jìn)行提前處理。該技術(shù)可以大量降低海量數(shù)據(jù)信息給報(bào)警系統(tǒng)帶來的數(shù)據(jù)處理壓力，使計(jì)算機(jī)計(jì)算速度提高，增加網(wǎng)絡(luò)管理員及時(shí)獲取有效信息的能力。

在減少網(wǎng)絡(luò)安全異常報(bào)警信息誤報(bào)率高的條件下，對(duì)入侵攻擊情況進(jìn)行還原明確異常數(shù)據(jù)的風(fēng)險(xiǎn)程度，根據(jù)評(píng)估報(bào)告進(jìn)行網(wǎng)絡(luò)安全防御措施的啟動(dòng)程度。

該類計(jì)算方法結(jié)合了報(bào)警信息數(shù)據(jù)屬性相似程度，報(bào)警數(shù)據(jù)信息關(guān)聯(lián)程度和報(bào)警數(shù)據(jù)信息關(guān)聯(lián)因果程度。根據(jù)系數(shù)高低進(jìn)行決定數(shù)據(jù)是否進(jìn)行融合。最終產(chǎn)生的結(jié)果就是將安全異常數(shù)據(jù)產(chǎn)生的報(bào)警融合加入到入侵攻擊的流程中，將多個(gè)融合到不同攻擊的過程進(jìn)行合并，還原產(chǎn)生完成異常數(shù)據(jù)入侵攻擊流程圖。

通過對(duì)基于網(wǎng)絡(luò)安全異常數(shù)據(jù)檢測(cè)及場(chǎng)景重構(gòu)技術(shù)，可以得到任何一個(gè)異常數(shù)據(jù)攻擊的全部流程，將異常數(shù)據(jù)入侵場(chǎng)景重構(gòu)，去掉多余報(bào)警數(shù)據(jù)信息，直觀展現(xiàn)異常入侵流程。

3 仿真實(shí)驗(yàn)

為驗(yàn)證網(wǎng)絡(luò)安全異常報(bào)警系統(tǒng)設(shè)計(jì)的有效性進(jìn)行仿真實(shí)驗(yàn)。用MATLAB進(jìn)行環(huán)境仿真。

測(cè)試系統(tǒng)配置：服務(wù)器中央處理器intel（R）core（TM） i8CPU：5.00GHz

測(cè)試服務(wù)器內(nèi)存：8.00N GB

測(cè)試服務(wù)器軟件配置：WINDOWS7 專業(yè)版操作系統(tǒng)

物聯(lián)網(wǎng)客戶端配置：內(nèi)存2 GB CPU個(gè)數(shù)：1

物聯(lián)網(wǎng)服務(wù)端配置：內(nèi)存2 GB CPU個(gè)數(shù)：4

網(wǎng)絡(luò)安全異常報(bào)警系統(tǒng)檢測(cè)過程較為復(fù)雜，首先對(duì)網(wǎng)絡(luò)安全異常數(shù)據(jù)信息特征提取時(shí)間進(jìn)行測(cè)試。目的在于測(cè)試此文方法相對(duì)傳統(tǒng)方法在異常數(shù)據(jù)特征提取時(shí)效的效果。其結(jié)果如圖1所示。

通過圖1可以看出，在相同條件下進(jìn)行異常數(shù)據(jù)特征提取的過程中，此文算法提取異常特征量明顯高于傳統(tǒng)算法，并且隨著時(shí)間推移，此文算法成果幾何倍地高于傳統(tǒng)算法。

4 結(jié)語

提出一種基于異常數(shù)據(jù)分析的網(wǎng)絡(luò)安全檢測(cè)技術(shù)與報(bào)警信息場(chǎng)景重構(gòu)融合的設(shè)計(jì)方法，去掉網(wǎng)絡(luò)安全異常報(bào)警中的重復(fù)率高、誤差率大的報(bào)警信息，通過測(cè)試安全異常數(shù)據(jù)之間的因果關(guān)系查找到一個(gè)網(wǎng)絡(luò)安全異常數(shù)據(jù)流程，完整描述出網(wǎng)絡(luò)安全異常數(shù)據(jù)的場(chǎng)景效果。針對(duì)報(bào)警信息的巨大數(shù)據(jù)，通過MAPREDUCE技術(shù)進(jìn)行異常報(bào)警數(shù)據(jù)分布，提高了計(jì)算的時(shí)效性，彌補(bǔ)了報(bào)警信息延遲的缺點(diǎn)。仿真實(shí)驗(yàn)表明，利用此文設(shè)計(jì)的方法，能夠保證網(wǎng)絡(luò)安全異常報(bào)警的實(shí)現(xiàn)，提高安全異常數(shù)據(jù)報(bào)警的準(zhǔn)確程度，尤其是在異常數(shù)據(jù)巨大并且復(fù)雜時(shí)能夠較好地完成異常數(shù)據(jù)檢測(cè)，具有較強(qiáng)的實(shí)用性。

參考文獻(xiàn)

[1] W.Kim.Cloud computing：Today and Tomorrow[J].Journal of Object Technology， 2009（8）：65-72.

[2] MoradiM，Zulkemine M.A neural network based system for intrusion detection andclassification ofattacks[D].Queen University，Canada，2004.

[3] 楊長(zhǎng)春，沈曉玲.基于云計(jì)算的SLIQ并行算法研究[J].計(jì)算機(jī)工程與科學(xué)，2012（3）：62-66.