基于网络行为的计算机网络安全预警系统

基于网络行为的计算机网络安全预警系统

郑嘉明,陈豪,张国恩

国网福建省电力有限公司信息通信分公司

国网福建省电力有限公司信息通信分公司

福建省亿力信息技术有限公司

福建省福州市  350001

摘要：目前，网络技术的迅猛发展，其建设之初所具有的开放性、共享性、身份追踪性，以及“尽力而为”的安全防护理念，已经给网络安全造成了巨大的威胁，在应对安全问题方面，传统的防火墙、入侵检测、信息审计、漏洞扫描等设备和措施已经显得力不从心，暴露出了许多问题。面对这些实际情况，如何增加网络防护的安全性成为人们竟相研究和探讨的热点。为此，必须深入研究分析基于网络行为的计算机网络安全预警系统，积极制定安全策略和防范措施，预测危险发生，最后给出及时报告和应急处理方案，甚至可以当即处置高危行为，确保网络运行安全可靠。

关键词：网络行为;计算机网络安全;预警系统

引言

只有设计符合网络用户自身行为特征的计算机网络安全预警系统以及响应系统。又对用户的网络行为特征进行深度的发。同时利用自适应规制调度的方式建设网络行为大数据模型，并结合计算机网络预警迭代，才能够更好地提高计算机网络安全，提升计算机网络安全的防护性能。

1网络安全预警的类型

网络安全预警系统主要是根据从网络上采集的流量数据进行分析，发现病毒、木马和攻击入侵行为等，在攻击行为未奏效之前，即与特征数据库或预先设置的阀值进行比对，从而判断其使用行为的安全性，对危险行为提前阻断。如果攻击行为已经造成伤害，在及时进行阻断的同时，对所造成的影响和伤害采取评价与记录两种方式进行处理。网络安全预警程序存在意义在意相关入侵事件影响继续恶化时，可以有效的完成阻断和抵制，快速合理的通过应急处理设备解决。网络安全预警按照其相应目标以及模式大体上包含漏洞预警、攻击行为预警和攻击趋势预警。

1.1安全漏洞预警

所谓的安全漏洞就是指系统的软、硬件和协议在设计、实现和运行过程中出现在计划之外的安全问题。站在程序本身以及控制的立场进行研究，这种漏洞包含系统漏洞、服务漏洞和用户管理漏洞。通过这些漏洞，网络攻击者能够轻易进入系统内部，进行资源的侵占和非法访问等违规操作。网络攻击一般都是一种访问等级的提升，即通过利用网络漏洞，将自己从一个较低的访问等级提升到一个更高层次的访问等级，然后对系统进行进一步的破坏和攻击。网络安全漏洞预警就是要及时发现系统漏洞，研究漏洞，预测攻击者可能利用漏洞进行攻击的可能性和趋势，最终以最大限度来预防攻击行为的发生。

1.2攻击行为预警

网络攻击者要实现对网络的成功攻击，就必须按照一定的攻击步骤逐步展开，最终完成一次完整的网络攻击。对于每个单独的攻击，是不会对网络造成多大威胁的，只有所有的单个攻击联合起来，协调统一之后，才可能完成一次完整的攻击。攻击行为预警就是在攻击者实施网络攻击的过程中，对其采取的一系列单个攻击所组成的复合攻击进行分析，及时发现某一部分单个攻击的迹象，然后根据攻击知识库或攻击行为特征库，比对之后就有可能预测下一步攻击行为，从而提前预警，采取应急响应措施。

1.3攻击趋势预警

攻击者在实施攻击过程中，其攻击行为总是存在一定的趋势性，能够及时检测出这种趋势，并对下一步的攻击趋势做出预测，并及时采取有效措施进行控制和防止事态的进一步恶化，也就是攻击趋势预警。这种形式需要结合出现的或者目前存在的入侵现象的发展状态预测出后续会出现的入侵方式，接着在后续的情况出现以前，可以完成攻击行为科学的判断和预测。攻击趋势预警根据特定网络攻击发生的历史规律来预测将来攻击行为的发展趋势，可分为中短期预警和长期的安全预警。预测攻击行为的发展趋势，最重要是了解入侵事件长期以来呈现出来的特点，攻击阶段的呈现出来的特征推理涵盖的内容有：确定入侵情况的相关信息、确定合理有效的拟合图、形成回归方程、计算攻击事件的趋势信息。

2基于网络行为的计算机网络安全预警系统分析

2.1系统网络架构

设计的网络安全预警系统在服务器中创建对应储存列阵和服务器汇集网络程序，在研究过程中重点使用区域网络存储数据。在对数据存储过程中，划分为不同区域进行存储。最后利用集群技术调取，使各个区域中的数据相互作用。主要使用Web技术、数据库等类型，并且根据多级冗余方式保证系统能够安全、可靠地运行。在交换机外部对入侵系统和防火墙的检测体制进行明确，从而能够抵御危险。在系统和数据库访问过程中，为了使数据流动，以关键词、时间段等方式得到数据，保证定位和请求能够精准地传递和发送。通过多重相互确认更快地进行访问。为了保证系统的安全性，利用部署信息强隔离装置、入侵检测设备和防火墙等障碍组织外界入侵，及时地发现网络安全威胁并且消除，系统要限制同、个用户在相同时间内登录的次数。如果连续多次的登录失败，系统要自动断开连接，并且在一段时间中用户都无法能继续登录。实施设备特权的用户权限分离，在系统不支持的时候要求部署日志服务器保证管理员操作被审计，网络特权用户管理员不能够操作审计记录。

2.2使用行为分析和预测模块

首先，用户的网络行为分析模块是通过用户在网络中使用的流量进行分析，并结合各层协议实现的实时与非实时形式所呈现出来的。同时，该行为分析某个做为整个预警系统的基础模块，能够对计算机网络的基础流量信息进行采集，并对信息存储与分析。此模块能够实现网络使用行为分析，以当前行为为基础构成使用行为模型。收集信息流、提取特征值、预测使用行为，实现危险行为的预警。

(1)创建使用行为序列。分析用户现在行为，以行为相似性实现用户分类，输出现在使用行为，更新用户行为序列。(2)创建使用行为模式。此部分功能为构成实用行为模式，利用读取操作得出用户行为序列，针对使用行为序列中的多次出现数据、序列分析处理，对使用行为模式进行总结。在对行为分析之后，就要开展使用行为的预测，保证管理员能够精准预测用户下一步的使用行为，制定科学的安全策略。预测模型挖掘多个用户行为模式之后，以此生成行为带权有向图。以此图掌握不同行为彼此之间前后关系，此图构成并不需要人工干预，和具体需求结合，工作人员只需要对系统提交预测精度，就能够对时间长短进行决定。成功得到预测模型之后，系统和模型结合进行预测。对两个行为的可能性(并不是唯一的)要全面考虑。为了达到最佳预测效果，充分发挥行为带权有向图的权值．使此权值中最大后继行为作为预测行为。此系统能够实现灵活自适应，使用预测行为标准对比网络用户使用行为结果。之后保存使用权值准确性，在权值调整模块中记载。针对网络使用行为权值实时调整与完善，保证安全预警系统更加的精准。

2.3网络数据包的存储

计算机网络预警系统的抓包软件，是通过抓获流经交换机的以太网格式数据包，并对相应的数据进行分析后，把解析的信息存储到相应的数据包信息库中。

2.4计算机网络安全数据库

该预警系统以用户的使用行为作为基础展开预警和响应，并对用户的网络使用行为特征值数据、行为数据等进行设计与分析。利用数据采集子系统、网络行为分析子系统、网络行为预测子系统等设计，来维护计算机网络的安全。

结束语

为了有效避免网络信息的泄漏与计算机网络瘫痪等问题，同时提高计算机网络安全预警能力，就需要基于网络行为，对计算机网络安全预警系统进行设计。借此，提高计算机网络的安全及其安全问题应急响应能力。因此基于网络行为提出了计算机网络安全预警及响应系统设计的方案。通过计算机网络安全预警误差分量、网络行为特征检测模式下的计算机网络安全预警水平．提升对计算机网络入侵的动态检测与实时预警能力。

参考文献

[1]苏醒．基于网络行为的计算机网络安全预警与响应 系统研究[J]．电子测量技术，2019，42(21)： 123-126．

[2]孟志军，胡孟林．基于网络行为分析的网络安全预 警系统设计与实现[J]．电子技术与软件工程， 2018，(15)：189．

[3]翁子盛，黄德宫．基于入侵防御的计算机网络安全 系统构建分析[J]．中国新通信，2019，021 (021)：136．