网络行为监控及其在主动网络安全管理中的应用

摘 要：本文的主要研究内容为针对主动网络安全管理中的用户网络行为技术进行阐述，对网络行为监控中所采用的具体技术流程和措施进行分析。基于现有的用户网络行为分析方法，采用了基于知识发现的决策树选择算法。论文最后，对需要进一步进行解决的问题进行说明，就是如何从用户网络行为数据库中通过决策树算法来构建适合网络管理的模式。

关键词：氧化铝 制造业执行系统 信息化管理 Java开发平台

中图分类号：TP3 文献标识码：A 文章编号：1672-3791（2014）03（c）-0027-02

现代网络环境中，其安全体系的构建主要采取以技术为中心的应对式安全防护策略，需要在应用中根据需求不断增加相应的设备或者软件。现在，互联网平台为了能够有效应对日益复杂和严重的网络威胁，配置了大量的防火墙、防病毒软件、入侵检测、系统漏洞扫描、灾难恢复等多种安全设备。虽然，所采用的这些安全解决方案和策略能够有效解决大部分的网络安全威胁，但是，也给网络安全的管理造成了严重影响。究其根本，就是因为现在所采用的这些策略主要是消极被动地去解决出现的安全问题，网络管理人员难以对采用和设计适合自己的安全管理策略，只能成为复杂新技术和产品的盲从者。现在的网络安全产品还主要从某个侧面对网络安全进行静态的防护，更没有积极主动的网络管理策略和能力。研究和应用结果表明，单靠网络安全产品的简单堆积和产品的缺省配置，是不能解决安全问题的，需要在具体的应用中根据网路偶的不同需求，为其制定相应的安全策略，并对安全组件进行灵活多样的配置，这样，就能够在实现整体和动态安全功能的前提下，将网络运行状态调整到最优的状态点。

1 总体设计

前面已经提到，现有的网络环境主要采用以技术为中心的应对式网络安全防护策略，也就是被动地去解决网络运行中的问题。在本文中，对基于用户网络应为的主动网络安全和管理方式进行研究，下面的图1中，给出了该安全管理方式的总体设计图。

在图1中，网络行为监控器的职责是对用户的网络行为进行监控，并将用户的网络行为监控结果存入数据库中，在使用过程汇总，可以通过相应的技术和方法，将用户所使用网络的行为进行记录，再将记录结果写入行为数据库，从而为网络行为分析器的具体分析过程提供第一手数据和资料。网络行为分析器则需要从行为数据库中对存储的数据进行提取，找到需要的数据记录后利用相应技术和方法对数据进行处理分析，对存在于网络中的某些潜在危险行为进行挖掘，还可以针对危险行为的发展趋势，以及这些危险行为有可能导致的安全问题进行剖析；在后获取报警信息后，就能够将相关信息传送给网络管理人员，为网络管理人员的网络管理和操作提供依据和决策参考。

由网络行为分析器所发出的报警信息，包括了多种网络威胁，比如常见的木马、网络病毒以及非法入侵等等。在收到这些报警信息后，网络管理员需要根据这些报警信息的严重级别，对相应的网络设备和软件进行及时的查询和配置，进而将有可能出现的网络安全隐患消灭在萌芽状态，而非在网络威胁事件发生之后再对相应的网络设备进行查询和配置。这种网络安全的管理模式，就是文中所要研究的主动网络安全管理方式。完成了对网络设备的参数修改后，还应该针对网络用户行为监控器中的监控标识进行相应的修改和设置，确保用户网络行为监控器的监控标识能够与网络管理模块中的管理策略保持一致。

2 安全管理方式的技术分析与设计

2.1 Winpcap工具

Winpcap即Windows packet capture的简称，是Windows平台下的一个公共网路访问系统，可以为用户提供免费服务，采用基于Win32平台的网络分析架构，能够为Win32应用程序的设计提供高效的网络底层访问功能。采用Winpcap的一个明显优势就是能够为用户提供标准的抓包接口，对网路性能和各种效率优化情况进行综合考虑，其中就包括对NPF内核层上的过滤器支持，以及对内核态的统计模式的支持等等，此外，还能够为用户提供数据包的发送功能。利用Winpcap，网络行为监控器能够对流过局域网的所有数据包进行采集，在对数据进行协议分析的基础上，实现对数据包的起始地址、目的地址等网络行为的实时获取，最终实现对局域网内所有链接终端的上网行为的监控。

2.2 网络行为监控器构成

利用网络行为监控器，不仅要对网络使用情况进行检测，还应该将发现的潜在网络危险行为进行记录，并将其保存到数据库。在网络行为监控器中，包含有网络嗅探器和协议分析器等两个主要部分。

2.2.1 网络嗅探器

通过对经过网络监控器的所有数据进行采集，可以准确判断各个数据包的源地址与目的地址，然后对所有数据包的网络行为进行分类处理，将处理结果发送到协议分析器。

2.2.2 协议分析器

对网络嗅探器所得到的初步分析结果进行进一步的深入分析，能够对用户的具体网络行为进行判断，在数据包与标识匹配成功的情况下，就能够在网络行为数据库中进行记录。

2.3 网络行为分析器实现过程

2.3.1 对用户网络行为进行分析的现状

在现有技术条件下，对用户网络行为的分析过程，主要通过对网络行为数据库中的数据进行统计分析所得到的，不过，此类分析过程对网络管理员的经验比较依赖，所以，在网络管理员对用户上网行为的数据库结构、IP协议等不是特别清楚的话，就难以进行正确的统计与分析。

2.3.2 知识发现技术

文中的主要思路就是利用知识发现理论和技术对用户的网络行为进行分析。其实，知识发现技术就是从海量数据中发现有用知识的完整过程，也是一个人机进行反复交互的处理过程。要实现准确的知识发现，需要经过多个步骤，且很多决策过程都需要用户的支持。从宏观的层面来看，知识发现的过程主要包括数据整理、数据挖掘和结果评估等三个不同的部分。

在这三个构成部分中，数据挖掘是知识发现的核心，需要利用专门算法从大量数据中对模式进行抽取，也就是从当前数据中抽取潜在的、隐含的且具有应用价值信息的过程。作为知识发现中的核心内容，数据挖掘与传统的分析工具相比，差距在于数据挖掘所采用的为基于发现的方法，通过模式匹配和其他算法来实现不同数据之间关系的确定。

现在，在数据挖掘技术中，还包括有其他方法，如统计分析方法、神经元方法、决策树和遗传方法等。其中，决策数一种经常用于预测模型的算法，该算法能够将大量数据进行有目的分类，进而从数据中得到更加有价值的信息。所以，在用户网络行为分析过程中，就能够采用决策树算法来实现。现在所采用的决策树算法主要有ID3、CART算法等等。

2.4 防护效果与分析

文中所采用的网络安全管理模式与传统的网络安全防护技术相比，其根本区别就在于传统防护技术着重于对外部攻击的防护，而文中方式则更多的强调自身管理与外部方法的并重。

基于用户网络行为的主动网络安全管理方式的根本出发点，就在于能够对网络上的各种非法网络攻击行为进行有效抑制和防护，比如针对常见的黑客攻击活动，就能够较好地解决现在网络中所广泛存在的网络安全问题，有效解决和减少网络上的攻击行为，增加网络使用的安全性。举例，如果发现有潜在的黑客存在于网络用户中，在出现网络安全问题的情况下，就能够对非法攻击者进行准确定位；特别是由于对本地网络用户对外部网络的攻击行为进行了有效监控，所以，在国际互联网中，就能够有效减少网络的攻击流量；在大部分网络攻击行为被本地监控系统发现的情况下，就可以将网络安全管理的问题从网络间向地区间进行限定。不过，文中所分析的基于用户行为分析的网络安全技术在网络实现中，其关键问题还在于系统的部署。

只有在所有的接入网络都采用此类安全管理模式的情况下，才能实现更加安全的网络环境。基于现有网络中的包括路由器在内的网络连接设备，以及包括防火墙在内的网络安全设备等，都可以增添安全功能，再与现有的网络安全防护措施相结合，就能够有效增强互联网中的安全性能。

3 结语

基于现有的用户网络行为分析方法，采用了基于知识发现的决策树选择算法。论文最后，对需要进一步进行解决的问题进行说明，就是如何从用户网络行为数据库中通过决策树算法来构建适合网络管理的模式。从基于用户网络行为监控的主动网络安全管理方式中可以发现，对用户的网络行为进行分析是实现安全管理的前提，能够为配置管理和修改奠定基础。

参考文献

[1] 庄小妹.计算机网络攻击和防范技术初探[J].科技资讯，2007（5）.

[2] 邓明林，魏文全.网络反攻击技术的研究[J].计算机与网络，2009（2）.

[3] 庄小妹.计算机网络攻击技术和防范技术初探[J].科技资讯，2006（23）.

[4] 鲁昭.计算机网络攻击常见方法[J].科技经济市场，2006（5）.

[5] 陆宗跃.网络安全及安全技术的探讨[J].湖北成人教育学院学报，2005（1）.

[6] 伏晓，蔡圣闻，谢立.网络安全管理技术研究[J].计算机科学，2009，36（2）：15-19.

[7] 费绍敏，龚晓峰，李宾，等.基于Winpcap的网络监控系统的设计与实现[J].通信技术，2009，42（11）：206-210.

[8] 韩锐生，赵彬，徐开勇.基于策略的一体化网络安全管理系统[J].计算机工程，2009，35（8）：201-204.