計算機網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)倉庫的研究與設(shè)計*

摘要：隨著全球信息化進程的推進，網(wǎng)絡(luò)風(fēng)險已經(jīng)成為阻礙信息化進程的一個重要因素，網(wǎng)絡(luò)安全問題成為公眾關(guān)注的焦點。計算機網(wǎng)絡(luò)安全事件包括病毒、木馬、蠕蟲、網(wǎng)絡(luò)監(jiān)聽、黑客攻擊、惡意軟件、網(wǎng)頁仿冒、僵尸網(wǎng)絡(luò)等，為幫助網(wǎng)民更加有效地防范網(wǎng)絡(luò)安全事件，針對網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)管理的特點，開展了網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)庫和數(shù)據(jù)倉庫的研究與設(shè)計。該研究通過收集、整理和分析一些權(quán)威網(wǎng)站關(guān)于各種網(wǎng)絡(luò)安全事件的統(tǒng)計信息以及歷年的網(wǎng)絡(luò)安全調(diào)查報告，以SQL Server 2000作為數(shù)據(jù)庫管理系統(tǒng)，建立了一個關(guān)于具體網(wǎng)絡(luò)安全事件的數(shù)據(jù)庫和數(shù)據(jù)倉庫，其中數(shù)據(jù)倉庫中存儲了病毒、木馬、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚等具體網(wǎng)絡(luò)安全事件在不同月份或年份的統(tǒng)計信息。隨著數(shù)據(jù)庫中數(shù)據(jù)的不斷完善和充分，可以進一步建立挖掘模型，分析這些歷史數(shù)據(jù)，從而為網(wǎng)絡(luò)安全風(fēng)險防范提供基礎(chǔ)支持。

關(guān)鍵詞 網(wǎng)絡(luò)；風(fēng)險；防范；事件； 數(shù)據(jù)庫；數(shù)據(jù)倉庫

中圖分類號 F062.5 文獻標(biāo)識碼 A 文章編號 1002-2104(2011)02-0091-05

根據(jù)《2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況系列報告》顯示，我國52%網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件，超過九成網(wǎng)民均碰到過網(wǎng)絡(luò)釣魚網(wǎng)站。網(wǎng)絡(luò)安全問題對網(wǎng)民造成的損失主要是時間成本，其次才是經(jīng)濟方面的損失。2009年網(wǎng)民處理網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)癱瘓、數(shù)據(jù)、文件等丟失或損壞等安全事件所支出的服務(wù)相關(guān)費用共計153億元人民幣［1-2］。隨著全球信息化進程的推進，網(wǎng)絡(luò)風(fēng)險已經(jīng)成為阻礙信息化進程的一個重要因素。當(dāng)今國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，網(wǎng)絡(luò)風(fēng)險成為維護國家安全和社會穩(wěn)定的一個焦點，世界各國都給與了極大的關(guān)注和投入。目前國內(nèi)外針對計算機網(wǎng)絡(luò)安全的研究主要集中在對網(wǎng)絡(luò)安全的一般技術(shù)原理上（比如加密算法等），鮮有研究針對一個具體的事件提出詳細和有針對性的防范措施。因此，通過收集和統(tǒng)計大量的網(wǎng)絡(luò)安全事件數(shù)據(jù)，創(chuàng)建計算機網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)庫與數(shù)據(jù)倉庫，對病毒、漏洞、木馬等各種網(wǎng)絡(luò)風(fēng)險進行查詢、分析和統(tǒng)計，可以為網(wǎng)絡(luò)風(fēng)險防范的建設(shè)提供詳實的數(shù)據(jù)支持。同時，通過匯總和分析歷來計算機網(wǎng)絡(luò)安全事件數(shù)據(jù)，給互聯(lián)網(wǎng)用戶提供一種更直觀的認識網(wǎng)絡(luò)風(fēng)險防范重要性的方法，從而提高和加強廣大網(wǎng)民對各種突發(fā)的網(wǎng)絡(luò)安全事件的防范［1-9］。

1 網(wǎng)絡(luò)安全事件主要分類

計算機網(wǎng)絡(luò)安全事件包括病毒、木馬、蠕蟲、網(wǎng)絡(luò)監(jiān)聽、黑客攻擊、惡意軟件、網(wǎng)頁仿冒、僵尸網(wǎng)絡(luò)等，這里主要介紹病毒、木馬、網(wǎng)絡(luò)監(jiān)聽、黑客攻擊和惡意軟件幾種主要的網(wǎng)絡(luò)安全事件［7］。

1.1 病毒

計算機病毒是最常見，也是目前最主要的安全威脅。隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機病毒技術(shù)也在快速地發(fā)展變化之中，而且在一定程度上走在了計算機網(wǎng)絡(luò)安全技術(shù)的前面。目前計算機病毒已經(jīng)發(fā)展到不再是一個簡簡單單的病毒，而是包含了病毒、黑客攻擊、木馬、間諜軟件等多種危害于一身的基于Internet的網(wǎng)絡(luò)威脅。

計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”［4］。隨著信息安全技術(shù)的不斷發(fā)展，病毒的定義已經(jīng)被擴大化。目前，病毒可以大致分為：引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒等幾種。

目前計算機病毒的種類也在不斷發(fā)生變化，新的病毒變種層出不窮，破壞力有不斷增強的趨勢。

1.2 木馬

木馬(Troian，也稱“特洛伊木馬”)程序其實是一種遠程控制程序，也稱間諜程序(spyware)，或者后門程序(Backdoor)。從其“間諜程序”的名稱上可以看出，它的主要目的就是從事各種間諜活動，收集用戶信息；而從其“后門程序”的名稱上可以看出，它的成功入侵是通過用戶計算機系統(tǒng)中的某個程序漏洞進行的。木馬程序通常是通過遠程UDP網(wǎng)絡(luò)通信過程植入用戶系統(tǒng)中，然后利用C／S工作模式進行信息收集、記錄用戶活動、查看用戶密碼、修改用戶注冊表等非法活動。

目前木馬的威脅越來越大，各種木馬程序越來越多，而且這種木馬程序的查殺遠比計算機病毒的查殺要難得多，許多專業(yè)的計算機病毒防護程序都不能很有效地查殺木馬程序。

李鈺翠等：計算機網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)倉庫的研究與設(shè)計中國人口#8226;資源與環(huán)境 2011年 第2期1.3 網(wǎng)絡(luò)監(jiān)聽

[KG(*22]網(wǎng)絡(luò)監(jiān)聽就是那些有意入侵和攻擊的人在目標(biāo)網(wǎng)絡(luò)上所進行的網(wǎng)絡(luò)通信監(jiān)測活動。通過網(wǎng)絡(luò)監(jiān)聽可以從網(wǎng)絡(luò)通信流中獲取所需的用戶信息，如用戶賬戶、密碼、IP地址，MAC地址，還可以分析用戶的日常網(wǎng)絡(luò)活動和習(xí)慣等。

在網(wǎng)絡(luò)中，當(dāng)信息進行傳播時，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置為監(jiān)聽模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個位置都可以實施。黑客一般通過網(wǎng)絡(luò)監(jiān)聽來截取用戶口令，當(dāng)他們成功入侵一臺主機之后，如果再想將戰(zhàn)果擴大到這個主機所在的整個局域網(wǎng)的話，監(jiān)聽往往是他們選擇的捷徑。[KG)]

1.4 黑客攻擊

黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的［6］。

黑客攻擊的手法多種多樣，而且危害非常大。目前絕大多數(shù)中初級黑客們所采用的手法和工具仍具有許多共性，歸納起來分為：網(wǎng)絡(luò)報文嗅探、IP地址欺騙、密碼攻擊、拒絕服務(wù)攻擊和應(yīng)用層攻擊。

1.5 惡意軟件

惡意軟件也稱為流氓軟件，是對破壞或者影響系統(tǒng)正常運行的軟件的統(tǒng)稱。惡意軟件介于病毒軟件和正規(guī)軟件之間，同時具備正常功能(下載、媒體播放等)和惡意行為(彈廣告、開后門)，會給用戶帶來實質(zhì)危害。惡意軟件主要包括：廣告軟件、瀏覽器劫持、行為記錄軟件、惡意共享軟件(Malicious Shareware)、搜索引擎劫持軟件、自動撥號程序、網(wǎng)絡(luò)釣魚和垃圾郵件等。

其中，網(wǎng)絡(luò)釣魚是通過垃圾郵件、即時聊天工具、手機短信或網(wǎng)頁虛假廣告發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性信息，意圖引誘用戶給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將用戶引誘到一個通過精心設(shè)計與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取用戶在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。

網(wǎng)絡(luò)釣魚最早在中國出現(xiàn)是2004年，雖然并不是一種新的入侵方法，但是它的危害范圍卻在逐漸擴大，成為近年來最為嚴(yán)重的網(wǎng)絡(luò)安全威脅之一。據(jù)有關(guān)調(diào)查顯示：2009年有超過9成網(wǎng)民遇到過網(wǎng)絡(luò)釣魚。其中，有77%的網(wǎng)民電子郵件或MSN/QQ等聊天工具收到可疑中獎信息；65.7%的網(wǎng)民遇到過手機或電話收到莫名的網(wǎng)上購物刷卡記錄或中獎提示；43.3%的網(wǎng)絡(luò)購物用戶打開頁面時遇到可疑頁面；35.7%的網(wǎng)民在電子郵件或聊天工具中收到可疑網(wǎng)上銀行鏈接。

此外，根據(jù)中國反釣魚網(wǎng)站聯(lián)盟統(tǒng)計，2009年接到釣魚網(wǎng)站舉報數(shù)量為9 185個，并且保持著快速增長趨勢。2009年第一季度為791個，到第四季度猛增至5 095個。同時，在遭遇過網(wǎng)絡(luò)釣魚事件中的網(wǎng)民中，11.9%的網(wǎng)民蒙受了經(jīng)濟損失。釣魚網(wǎng)站除了給網(wǎng)民帶來經(jīng)濟損失，同時也使大批網(wǎng)民對互聯(lián)網(wǎng)產(chǎn)生不信任心理，導(dǎo)致網(wǎng)民減少甚至避免使用某些網(wǎng)絡(luò)應(yīng)用，從而阻礙了我國互聯(lián)網(wǎng)的健康發(fā)展。

2 網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)庫設(shè)計

2.1 概念設(shè)計

2.1.1 概念設(shè)計的目標(biāo)和任務(wù)

概念設(shè)計是數(shù)據(jù)庫設(shè)計的關(guān)鍵，概念結(jié)構(gòu)是對現(xiàn)實世界的一種抽象，包括三種抽象，分別是分類、聚集、概括［7］。能不能將實體及聯(lián)系抽象成合適的概念模型，關(guān)系到后續(xù)數(shù)據(jù)庫的邏輯設(shè)計。

概念模型是對現(xiàn)實世界建模，所以概念模型能夠方便準(zhǔn)確地表示出信息世界中的常用概念。概念模型的表示方法很多，最為常用的就是實體-聯(lián)系方法，該方法用E-R圖來描述現(xiàn)實世界的概念模型。

在概念設(shè)計階段，要抽象出實體，實體的屬性，以及實體之間的聯(lián)系。一般先繪制局部E-R圖，在此基礎(chǔ)上通過消除冗余，命名沖突、屬性沖突和結(jié)構(gòu)沖突，得到全局E-R圖。

2.1.2 概念設(shè)計的成果展示

E-R圖是直觀表示概念模型的有力工具，在圖中有4個基本成分：

a.矩形框：表示實體類型（考慮問題的對象）；

b.菱形框：表示聯(lián)系類型（實體間的聯(lián)系）；

c.橢圓形框：表示實體類型和聯(lián)系類型的屬性；

d.直線：聯(lián)系類型與設(shè)計的實體類型之間以直線連接，并在直線上部標(biāo)上聯(lián)系的種類（1：1，1：n或m：n）。

通過分析，設(shè)計出數(shù)據(jù)庫的實體聯(lián)系模型圖，見圖1。

圖1 實體聯(lián)系圖

Fig.1 Entity relationship diagram

病毒屬性見圖2；漏洞屬性見圖3；僵尸網(wǎng)絡(luò)屬性見圖4；軟件屬性見圖5。

圖2 病毒屬性圖

Fig.2 Virus property diagram

圖3 漏洞屬性圖

Fig.3 Loophole property diagram

圖4 僵尸網(wǎng)絡(luò)屬性圖

Fig.4 Botnet property diagram

圖5 軟件屬性圖

Fig.5 Software property diagram

2.2 邏輯結(jié)構(gòu)設(shè)計

概念結(jié)構(gòu)設(shè)計階段得到的E-R模型是用戶的模型，它獨立于任何一種數(shù)據(jù)模型，獨立于任何一個具體的DBMS。為了建立用戶所要求的數(shù)據(jù)庫，需要把上述概念模型轉(zhuǎn)換為某個具體的DBMS所支持的數(shù)據(jù)模型。數(shù)據(jù)庫邏輯設(shè)計的任務(wù)就是將概念結(jié)構(gòu)轉(zhuǎn)換成特定DBMS所支持的數(shù)據(jù)模型的過程。

采用SQL SERVER 2000設(shè)計數(shù)據(jù)庫，并用工具PowerDesigner設(shè)計數(shù)據(jù)庫的邏輯結(jié)構(gòu)，顯然，數(shù)據(jù)庫中可以建立4張表，分別為：病毒表、漏洞表、僵尸網(wǎng)絡(luò)表以及軟件表。

3 網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)倉庫設(shè)計

為了對不同的信息來源進行集成、合并和匯總摘要，便出現(xiàn)了數(shù)據(jù)倉庫—大型的、集中的數(shù)據(jù)存儲庫。在數(shù)據(jù)倉庫中，信息被收集、組織，并可供隨時調(diào)用和分析，以便決策者能夠根據(jù)實際數(shù)據(jù)進行正確的決策。通俗地講，數(shù)據(jù)庫是獲取數(shù)據(jù)的，而數(shù)據(jù)倉庫則是用來分析數(shù)據(jù)的［9］。

廣義的數(shù)據(jù)倉庫包括兩部分：一是數(shù)據(jù)倉庫數(shù)據(jù)庫，用于存儲數(shù)據(jù)倉庫的數(shù)據(jù)；二是數(shù)據(jù)分析部分，用于對數(shù)據(jù)倉庫數(shù)據(jù)庫中的數(shù)據(jù)進行分析［9-12］。

3.1 創(chuàng)建數(shù)據(jù)倉庫數(shù)據(jù)庫

安裝好SQL Server 2000后，打開企業(yè)管理器，在其中創(chuàng)建名為“網(wǎng)絡(luò)安全事件”的數(shù)據(jù)庫。“網(wǎng)絡(luò)安全事件”數(shù)據(jù)庫中共有11張表（見表1），可以分為兩類：一類是事實數(shù)據(jù)表，用來存儲數(shù)據(jù)倉庫中的實際數(shù)據(jù)，這類表只有一張，為“安全事件事實數(shù)據(jù)表”；另一類為維度數(shù)據(jù)表，用來存儲數(shù)據(jù)倉庫中的維度數(shù)據(jù)，除事實數(shù)據(jù)表以外的10張表均為維度表。

3.2 創(chuàng)建數(shù)據(jù)分析數(shù)據(jù)庫

為了能夠使用“分析服務(wù)器”來分析數(shù)據(jù)倉庫中的數(shù)據(jù)，還需要建立分析數(shù)據(jù)庫。啟動SQL Server 2000的“分析管理器”（Analasis Manager），在其中新建名為“網(wǎng)絡(luò)安全事件”的數(shù)據(jù)庫，然后將數(shù)據(jù)倉庫中的數(shù)據(jù)庫連接到分析數(shù)據(jù)庫中來。

3.3 創(chuàng)建多維數(shù)據(jù)集

創(chuàng)建數(shù)據(jù)倉庫的最終目的是要從大量的數(shù)據(jù)中分析出可以用于決策的數(shù)據(jù)，而多維數(shù)據(jù)集則是分析數(shù)據(jù)倉庫數(shù)據(jù)的基本單位。多維數(shù)據(jù)集提供一種便于使用的查詢數(shù)據(jù)的機制，不但快捷，而且響應(yīng)時間一致。最終我們可以使用客戶端應(yīng)用程序連接到分析管理器，并查詢該服務(wù)器上的多維數(shù)據(jù)集。

創(chuàng)建多維數(shù)據(jù)集是對數(shù)據(jù)倉庫進行數(shù)據(jù)分析和挖掘的前提，而維度則是創(chuàng)建多維數(shù)據(jù)集所必需的條件，也是數(shù)據(jù)倉庫數(shù)據(jù)分析的基礎(chǔ)。

維度是多維數(shù)據(jù)集的一種結(jié)構(gòu)特性，是描述事實數(shù)據(jù)表中數(shù)據(jù)類別（級別）的有組織的層次結(jié)構(gòu)。這些類別通常描述相似成員的集合，用戶要根據(jù)它們進行分析。例如，某個地理緯度可能包括國家、地區(qū)、州或省以及城市等級別：時間維度則有年、月、日等級別。一般來說，維度僅對數(shù)據(jù)倉庫中的數(shù)據(jù)進行性質(zhì)方面的描述，不涉及任何數(shù)字。

3.3.1 創(chuàng)建維度

共創(chuàng)建3個維度，即時間維度、地點維度和種類維度，其中時間維度通過數(shù)據(jù)庫中的時間表創(chuàng)建，地點維度通過地點表創(chuàng)建，種類維度通過種類表創(chuàng)建。事實數(shù)據(jù)表則選擇安全事件事實數(shù)據(jù)表。

3.3.2 創(chuàng)建多維數(shù)據(jù)集

在Analasis Manager中創(chuàng)建名為“網(wǎng)絡(luò)安全事件”的多維數(shù)據(jù)集，同時也可以查看該多維數(shù)據(jù)集的視圖。

3.3.3 瀏覽多維數(shù)據(jù)集數(shù)據(jù)

在Analysis Manager中可以查看多維數(shù)據(jù)集中的數(shù)據(jù)。

4 結(jié) 論

網(wǎng)絡(luò)安全事件數(shù)據(jù)管理是實現(xiàn)網(wǎng)絡(luò)風(fēng)險防范建設(shè)的重要技術(shù)基礎(chǔ)，本文在大量收集和分析各類網(wǎng)絡(luò)安全事件數(shù)據(jù)的基礎(chǔ)上，結(jié)合數(shù)據(jù)特點設(shè)計了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫和數(shù)據(jù)倉庫，并在Microsoft SQL Server 2000環(huán)境下予以實現(xiàn)。該數(shù)據(jù)庫結(jié)構(gòu)簡單、功能實用、占用系統(tǒng)資源少，對網(wǎng)絡(luò)風(fēng)險防范建設(shè)具有重要作用。

（編輯：李 琪）

參考文獻(References)

［1］[ZK(#]中國互聯(lián)網(wǎng)絡(luò)信息中心，國家互聯(lián)網(wǎng)應(yīng)急中心.2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報告［R］. 2010.［CNNIC，CNCERT.2009 Chinese Netizens Network Information Security Survey Report［R］. 2010.］

［2］Bouden M， Moulin B， Gosselin P. Epidemic Propagation of Wwest Nnile Virus Using a Multiagent Geosimulation under Various Shortterm Climate Scenarios［C］. SpringSim08: Proceedings of the 2008 Spring Simulation Multiconference，Ottawa，Canada，Pages: 98-105.

［3］Grand J. Research Lessons from Hardware Hacking［J］. Communications of the ACM， 2006，49(6):44-49.

［4］國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.CNCERT-CC網(wǎng)絡(luò)安全工作報告［R］. http://www.cert.org.cn/［CNCERT/CC.CNCERT-CC Network Security Report ［R］. http://www.cert.org.cn/］

［5］吳亞非.中國信息安全年鑒［M］.北京：中國水利水電出版社，2007. ［Wu Yafei. Yearbook of Chinas Information Security ［M］.Beijing: China Water Power Press，2007.］

［6］王春東.信息安全管理［M］.武漢：武漢大學(xué)出版社，2008. ［Wang Chundong. Information Security Management ［M］.Wuhan: Wuhan University Press，2008.］

［7］黎志.網(wǎng)絡(luò)信息安全狀況與可信計算［J］.2009，21(7):155-157.［Li Zhi. Network Information Security and Trusted Computing ［J］，2009，21(7):155-157.］

［8］中國互聯(lián)網(wǎng)絡(luò)信息中心.中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告［R］. http://research.cnnic.cn/［China Internet Development Statistics Report ［R］. CNNIC. http://research.cnnic.cn/.］

［9］羅運模.SQL Server 2000數(shù)據(jù)倉庫應(yīng)用開發(fā)［M］.北京：人民郵電出版社.2001. ［Luo Yunmo. SQL Server 2000 Data Warehouse Application Development ［M］.Beijing: Posts Telecom Press.2001.］

［10］王珊，陳紅.數(shù)據(jù)庫系統(tǒng)原理［M］. 北京：清華大學(xué)出版社.2007. ［Wang Shan，Chen Hong. Principles of Database Systems ［M］. Beijing:Tsinghua University Press.2007.］

［11］沈兆陽.SQL Server 2000 OLAP解決方案-數(shù)據(jù)倉庫與Analysis Services［M］. 北京：清華大學(xué)出版社.2001. ［Shen Zhaoyang. SQL Server 2000 OLAP SolutionsData Warehousing and Analysis Services ［M］. Beijing:Tsinghua University Press.2001.］

［12］FumeyNassah G. The Management of Economic Ramification of Information and Network Security on an Organization［C］. Proceedings of the 4th Annual Conference on Information Security Curriculum Development，September 2007：159-160.

Research and Design of the Computer Network

Information Security Database

LI Yucui1，2 WU Jianjun3 LIU Rongxia4 LI Shuren5 GAO Jianguo6 ZHENG Yanting7 DANG Depeng1

(1. Beijing Normal University， Department of Computer Science and Technology， Beijing 100875，China;

2. China Mobile Communications Corporation Gansu Company， LanzhouGansu 730070，China;

3. Beijing Normal University， Institute for Disaster and Emergency Management， Beijing 100875，China;

4. Chinas Agenda 21 Administration Center， Beijing 100089，China;5. Computer Network Information Center，

Beijing 100190，China;6. Institute of Geology， China Earthquake Administration，Beijing 100080，China;

7. Beijing Normal University， Institute of Economic and Resources Management， Beijing 100875，China)

Abstract In order to provide information and recommendations for investigators of network information security and internet users and help internet users more effectively prevent network security incidents， the paper describes the network information security in the harsh situation. And then a network risk database and a data warehouse are studied and designed on the basis of the network data management features. In this paper， based on the collection， collation and analysis of various network security event information and annual network security reports from some authoritative websites， the database and the data warehouse about network security incidents are established. Moreover， the data warehouse contains the statistical information on specific network security incidents in different months and years such as viruses， trojan horses， botnets and phishing. With the increasing data in the database and the data warehouse， more mining models will be built to analyze these historical data， furthermore， to provide a solid foundation to support the network security system .

Key words incidents of network security;database;data warehouse