张亚利　睢丹

摘 要：随着电子技术的迅猛发展，计算网络安全问题也受到了各国科学家的重视，截止到2016年1月，我国的网民人数已经突破了9.23亿，其中46%的网友遭受过各种各样的网络黑客及软件的攻击。传统的网络安全异常报警系统，通过对网络入侵行为进行检测，对受到异常数据攻击的网络进行事件检测时，会产生巨大数据量的报警信息，此类信息纷繁杂乱，无法归类整理，因此网络信息安全管理员很难在海量的报警信息中将有效的安全异常报警数据进行提取。为此，提出一种基于异常数据分析的网络安全检测技术与报警信息场景重构融合的设计方法，去掉网络安全异常报警中的重复率高、误差率大的报警信息，通过测试安全异常数据之间的因果关系查找到一个网络安全异常数据流程，完整描述出网络安全异常数据的场景效果。针对报警信息的巨大数据，通过MAPREDUCE技术进行异常报警数据分布，提高了计算的时效性，弥补了报警信息延迟的缺点。仿真实验表明，利用该文设计的方法，能够保证网络安全异常报警的实现，提高安全异常数据报警的准确程度，尤其是在异常数据巨大并且复杂时能够较好地完成异常数据检测，具有较强的实用性。

关键词：网络安全 异常 报警系统 设计

中图分类号：TP393 文献标识码：A 文章编号：1674-098X（2016）01（c）-0088-02

现阶段，随着计算机技术的迅速发展，网络安全问题越来越受到了人们的关注。为也能够有效地将网络入侵行为和攻击成功地拦截，各国学者花费大量时间与精力进行了异常报警的研究，通过研究网络安全异常报警数据分析能够危害计算机的行为，并提前做出防御措施。

传统的网络安全异常报警系统，通过对网络入侵行为进行检测，对受到异常数据攻击的网络进行事件检测时，会产生巨大数据量的报警信息，此类信息纷繁杂乱，无法归类整理，因此网络信息安全管理员很难在海量的报警信息中将有效的安全异常报警数据进行提取。

此文提出一种基于异常数据分析的网络安全检测技术与报警信息场景重构融合的设计方法，去掉网络安全异常报警中的重复率高、误差率大的报警信息，通过测试安全异常数据之间的因果关系查找到一个网络安全异常数据流程，完整描述出网络安全异常数据的场景效果。针对报警信息的巨大数据，通过MAPREDUCE技术进行异常报警数据分布，提高了计算的时效性，弥补了报警信息延迟的缺点。仿真实验表明，利用此文设计的方法，能够保证网络安全异常报警的实现，提高安全异常数据报警的准确程度，尤其是在异常数据巨大并且复杂时能够较好地完成异常数据检测，具有较强的实用性。

1 安全异常检测

网络异常检测能够确保网络自身不受到异常数据的入侵和攻击，检测系统通过对传输数据进行分析，对可能的有害数据进行报警，网络启动防御。

1.1 异常检测技术

网络安全异常检测是通过技术系统对互联网络传输的数据信息进行分析研究，通过模拟行为做出该数据是否有害。检测技术是保护计算机使用者在未受到网络异常数据攻击和入侵前采取保护措施，保护网络信息不被泄漏。

1.2 异常数据分析技术

异常数据分析技术是针对异常检测设备的核心技术。该技术能够解决网络安全入侵检测过程中报警系统报警率高成功率低的缺点。

该技术通过在网络中查找异常攻击数据各种步骤程序中存在的因果关系，将海量报警数据中的攻击以不同攻击目标和同一攻击目标进行阶段分类，重新还原异常数据的入侵和攻击流程，便于网络安全设计员对此类信息进行收集，并对网络安全进行有效保护。

网络报警是基于异常数据的分析检测基础上的一种保障互联网安全的技术。通过报警能够使网络提前进行防御，从而使网络入侵攻击时对系统的分析处理需要很长时间的计算，对报警进行有效无效判定，能够减少大量的报警数据信息，过滤无效数据，关联和融合有效信息，这样既快速又确保了异常数据的完整性。

2 基于场景重构和报警融合的异常报警系统

基于网络安全异常数据检测时会产生大量的报警信息，并且产生的海量数据均为无效报警信息，致使网络安全异常报警系统存在巨大的计算压力。

2.1 场景重构

目前网络异常数据入侵和攻击的方法越来越多，技术越来越完善，一次异常数据入侵攻击涉及多个流程去完成。根据异常数据信息产生的规律进行数据还原，重新查看入侵攻击流程，就是场景重构技术。场景重构主要依据3个数据库：一是报警信息数据属性相似程度；二是报警数据信息关联程度；三是报警数据信息关联因果程度。

报警信息数据相似度计算公式为：

（1）

其中要满足最小条件，为报警数据信息，为网络安全异常产生的新的报警信息，为数据特征的关联程度。

2.2 报警融合

报警融合技术就是在网络安全异常报警情况对入侵攻击数据信息进行提前处理。该技术可以大量降低海量数据信息给报警系统带来的数据处理压力，使计算机计算速度提高，增加网络管理员及时获取有效信息的能力。

在减少网络安全异常报警信息误报率高的条件下，对入侵攻击情况进行还原明确异常数据的风险程度，根据评估报告进行网络安全防御措施的启动程度。

该类计算方法结合了报警信息数据属性相似程度，报警数据信息关联程度和报警数据信息关联因果程度。根据系数高低进行决定数据是否进行融合。最终产生的结果就是将安全异常数据产生的报警融合加入到入侵攻击的流程中，将多个融合到不同攻击的过程进行合并，还原产生完成异常数据入侵攻击流程图。

通过对基于网络安全异常数据检测及场景重构技术，可以得到任何一个异常数据攻击的全部流程，将异常数据入侵场景重构，去掉多余报警数据信息，直观展现异常入侵流程。

3 仿真实验

为验证网络安全异常报警系统设计的有效性进行仿真实验。用MATLAB进行环境仿真。

测试系统配置：服务器中央处理器intel（R）core（TM） i8CPU：5.00GHz

测试服务器内存：8.00N GB

测试服务器软件配置：WINDOWS7 专业版操作系统

物联网客户端配置：内存2 GB CPU个数：1

物联网服务端配置：内存2 GB CPU个数：4

网络安全异常报警系统检测过程较为复杂，首先对网络安全异常数据信息特征提取时间进行测试。目的在于测试此文方法相对传统方法在异常数据特征提取时效的效果。其结果如图1所示。

通过图1可以看出，在相同条件下进行异常数据特征提取的过程中，此文算法提取异常特征量明显高于传统算法，并且随着时间推移，此文算法成果几何倍地高于传统算法。

4 结语

提出一种基于异常数据分析的网络安全检测技术与报警信息场景重构融合的设计方法，去掉网络安全异常报警中的重复率高、误差率大的报警信息，通过测试安全异常数据之间的因果关系查找到一个网络安全异常数据流程，完整描述出网络安全异常数据的场景效果。针对報警信息的巨大数据，通过MAPREDUCE技术进行异常报警数据分布，提高了计算的时效性，弥补了报警信息延迟的缺点。仿真实验表明，利用此文设计的方法，能够保证网络安全异常报警的实现，提高安全异常数据报警的准确程度，尤其是在异常数据巨大并且复杂时能够较好地完成异常数据检测，具有较强的实用性。

参考文献

[1] W.Kim.Cloud computing：Today and Tomorrow[J].Journal of Object Technology， 2009（8）：65-72.

[2] MoradiM，Zulkemine M.A neural network based system for intrusion detection andclassification ofattacks[D].Queen University，Canada，2004.

[3] 杨长春，沈晓玲.基于云计算的SLIQ并行算法研究[J].计算机工程与科学，2012（3）：62-66.