網絡行為監控及其在主動網絡安全管理中的應用

李劍

摘 要：本文的主要研究內容為針對主動網絡安全管理中的用戶網絡行為技術進行闡述，對網絡行為監控中所采用的具體技術流程和措施進行分析。基于現有的用戶網絡行為分析方法，采用了基于知識發現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。

關鍵詞：氧化鋁 制造業執行系統 信息化管理 Java開發平臺

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2014）03（c）-0027-02

現代網絡環境中，其安全體系的構建主要采取以技術為中心的應對式安全防護策略，需要在應用中根據需求不斷增加相應的設備或者軟件?，F在，互聯網平臺為了能夠有效應對日益復雜和嚴重的網絡威脅，配置了大量的防火墻、防病毒軟件、入侵檢測、系統漏洞掃描、災難恢復等多種安全設備。雖然，所采用的這些安全解決方案和策略能夠有效解決大部分的網絡安全威脅，但是，也給網絡安全的管理造成了嚴重影響。究其根本，就是因為現在所采用的這些策略主要是消極被動地去解決出現的安全問題，網絡管理人員難以對采用和設計適合自己的安全管理策略，只能成為復雜新技術和產品的盲從者?，F在的網絡安全產品還主要從某個側面對網絡安全進行靜態的防護，更沒有積極主動的網絡管理策略和能力。研究和應用結果表明，單靠網絡安全產品的簡單堆積和產品的缺省配置，是不能解決安全問題的，需要在具體的應用中根據網路偶的不同需求，為其制定相應的安全策略，并對安全組件進行靈活多樣的配置，這樣，就能夠在實現整體和動態安全功能的前提下，將網絡運行狀態調整到最優的狀態點。

1 總體設計

前面已經提到，現有的網絡環境主要采用以技術為中心的應對式網絡安全防護策略，也就是被動地去解決網絡運行中的問題。在本文中，對基于用戶網絡應為的主動網絡安全和管理方式進行研究，下面的圖1中，給出了該安全管理方式的總體設計圖。

在圖1中，網絡行為監控器的職責是對用戶的網絡行為進行監控，并將用戶的網絡行為監控結果存入數據庫中，在使用過程匯總，可以通過相應的技術和方法，將用戶所使用網絡的行為進行記錄，再將記錄結果寫入行為數據庫，從而為網絡行為分析器的具體分析過程提供第一手數據和資料。網絡行為分析器則需要從行為數據庫中對存儲的數據進行提取，找到需要的數據記錄后利用相應技術和方法對數據進行處理分析，對存在于網絡中的某些潛在危險行為進行挖掘，還可以針對危險行為的發展趨勢，以及這些危險行為有可能導致的安全問題進行剖析；在后獲取報警信息后，就能夠將相關信息傳送給網絡管理人員，為網絡管理人員的網絡管理和操作提供依據和決策參考。

由網絡行為分析器所發出的報警信息，包括了多種網絡威脅，比如常見的木馬、網絡病毒以及非法入侵等等。在收到這些報警信息后，網絡管理員需要根據這些報警信息的嚴重級別，對相應的網絡設備和軟件進行及時的查詢和配置，進而將有可能出現的網絡安全隱患消滅在萌芽狀態，而非在網絡威脅事件發生之后再對相應的網絡設備進行查詢和配置。這種網絡安全的管理模式，就是文中所要研究的主動網絡安全管理方式。完成了對網絡設備的參數修改后，還應該針對網絡用戶行為監控器中的監控標識進行相應的修改和設置，確保用戶網絡行為監控器的監控標識能夠與網絡管理模塊中的管理策略保持一致。

2 安全管理方式的技術分析與設計

2.1 Winpcap工具

Winpcap即Windows packet capture的簡稱，是Windows平臺下的一個公共網路訪問系統，可以為用戶提供免費服務，采用基于Win32平臺的網絡分析架構，能夠為Win32應用程序的設計提供高效的網絡底層訪問功能。采用Winpcap的一個明顯優勢就是能夠為用戶提供標準的抓包接口，對網路性能和各種效率優化情況進行綜合考慮，其中就包括對NPF內核層上的過濾器支持，以及對內核態的統計模式的支持等等，此外，還能夠為用戶提供數據包的發送功能。利用Winpcap，網絡行為監控器能夠對流過局域網的所有數據包進行采集，在對數據進行協議分析的基礎上，實現對數據包的起始地址、目的地址等網絡行為的實時獲取，最終實現對局域網內所有鏈接終端的上網行為的監控。

2.2 網絡行為監控器構成

利用網絡行為監控器，不僅要對網絡使用情況進行檢測，還應該將發現的潛在網絡危險行為進行記錄，并將其保存到數據庫。在網絡行為監控器中，包含有網絡嗅探器和協議分析器等兩個主要部分。

2.2.1 網絡嗅探器

通過對經過網絡監控器的所有數據進行采集，可以準確判斷各個數據包的源地址與目的地址，然后對所有數據包的網絡行為進行分類處理，將處理結果發送到協議分析器。

2.2.2 協議分析器

對網絡嗅探器所得到的初步分析結果進行進一步的深入分析，能夠對用戶的具體網絡行為進行判斷，在數據包與標識匹配成功的情況下，就能夠在網絡行為數據庫中進行記錄。

2.3 網絡行為分析器實現過程

2.3.1 對用戶網絡行為進行分析的現狀

在現有技術條件下，對用戶網絡行為的分析過程，主要通過對網絡行為數據庫中的數據進行統計分析所得到的，不過，此類分析過程對網絡管理員的經驗比較依賴，所以，在網絡管理員對用戶上網行為的數據庫結構、IP協議等不是特別清楚的話，就難以進行正確的統計與分析。

2.3.2 知識發現技術

文中的主要思路就是利用知識發現理論和技術對用戶的網絡行為進行分析。其實，知識發現技術就是從海量數據中發現有用知識的完整過程，也是一個人機進行反復交互的處理過程。要實現準確的知識發現，需要經過多個步驟，且很多決策過程都需要用戶的支持。從宏觀的層面來看，知識發現的過程主要包括數據整理、數據挖掘和結果評估等三個不同的部分。endprint

在這三個構成部分中，數據挖掘是知識發現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發現中的核心內容，數據挖掘與傳統的分析工具相比，差距在于數據挖掘所采用的為基于發現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現?，F在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比，其根本區別就在于傳統防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監控系統發現的情況下，就可以將網絡安全管理的問題從網絡間向地區間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環境?；诂F有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監控系統的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統[J].計算機工程，2009，35（8）：201-204.endprint

在這三個構成部分中，數據挖掘是知識發現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發現中的核心內容，數據挖掘與傳統的分析工具相比，差距在于數據挖掘所采用的為基于發現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現?，F在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比，其根本區別就在于傳統防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監控系統發現的情況下，就可以將網絡安全管理的問題從網絡間向地區間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環境。基于現有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監控系統的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統[J].計算機工程，2009，35（8）：201-204.endprint

在這三個構成部分中，數據挖掘是知識發現的核心，需要利用專門算法從大量數據中對模式進行抽取，也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發現中的核心內容，數據挖掘與傳統的分析工具相比，差距在于數據挖掘所采用的為基于發現的方法，通過模式匹配和其他算法來實現不同數據之間關系的確定。

現在，在數據挖掘技術中，還包括有其他方法，如統計分析方法、神經元方法、決策樹和遺傳方法等。其中，決策數一種經常用于預測模型的算法，該算法能夠將大量數據進行有目的分類，進而從數據中得到更加有價值的信息。所以，在用戶網絡行為分析過程中，就能夠采用決策樹算法來實現。現在所采用的決策樹算法主要有ID3、CART算法等等。

2.4 防護效果與分析

文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比，其根本區別就在于傳統防護技術著重于對外部攻擊的防護，而文中方式則更多的強調自身管理與外部方法的并重。

基于用戶網絡行為的主動網絡安全管理方式的根本出發點，就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護，比如針對常見的黑客攻擊活動，就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題，有效解決和減少網絡上的攻擊行為，增加網絡使用的安全性。舉例，如果發現有潛在的黑客存在于網絡用戶中，在出現網絡安全問題的情況下，就能夠對非法攻擊者進行準確定位；特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控，所以，在國際互聯網中，就能夠有效減少網絡的攻擊流量；在大部分網絡攻擊行為被本地監控系統發現的情況下，就可以將網絡安全管理的問題從網絡間向地區間進行限定。不過，文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中，其關鍵問題還在于系統的部署。

只有在所有的接入網絡都采用此類安全管理模式的情況下，才能實現更加安全的網絡環境?；诂F有網絡中的包括路由器在內的網絡連接設備，以及包括防火墻在內的網絡安全設備等，都可以增添安全功能，再與現有的網絡安全防護措施相結合，就能夠有效增強互聯網中的安全性能。

3 結語

基于現有的用戶網絡行為分析方法，采用了基于知識發現的決策樹選擇算法。論文最后，對需要進一步進行解決的問題進行說明，就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現，對用戶的網絡行為進行分析是實現安全管理的前提，能夠為配置管理和修改奠定基礎。

參考文獻

[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊，2007（5）.

[2] 鄧明林，魏文全.網絡反攻擊技術的研究[J].計算機與網絡，2009（2）.

[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊，2006（23）.

[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場，2006（5）.

[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報，2005（1）.

[6] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009，36（2）：15-19.

[7] 費紹敏，龔曉峰，李賓，等.基于Winpcap的網絡監控系統的設計與實現[J].通信技術，2009，42（11）：206-210.

[8] 韓銳生，趙彬，徐開勇.基于策略的一體化網絡安全管理系統[J].計算機工程，2009，35（8）：201-204.endprint