网络安全事件流中异常检测的方法分析

引言

    要想检测到网络中的异常事件流，我们必须首先设定事件检测模式与频繁密度的概念。然后应用异常事件模式的间隔限制，辅之以设计的滑动窗口算法，我们就可以实现对网络中异常事件流的检测了。当然，由于网络协议设定上存在的疏漏，以及网络管理与使用的不当，最近的网络安全问题尤为严重。因此探讨网络安全事件流的特点与提出相应的措施来改进监测机制显得势在必行且具有很大的经济效益。

1改善网络安全建设方案

    考虑到各种网络安全技术，我们如果能在网络安全异常检测中采用统一管理系统，就可以提高系统的检测精度。因为在统一的管理系统中，我们可以利用连接到的基本属性，将基于时间的统计特点融于自身，当然可以明显的提高对网络安全的侦测预警能力。下面简单论述一下几条完善网络安全的措施：

    1.1用户自身加强口令管理

    我们对于口令再熟悉不过了，而我们的计算机安全就很大程度上取决于口令的安全。

    当今的黑客侵入计算机系统窃取口令的常用方法通常有以下几种：首先是通过非法的网络设备监听以达到窃取用户口令的目的：其次是在知道用户的帐号后，利用一些专门软件强行破解用户口令；最后就是在获得一个服务器上的用户口令文件后，用暴力破解程序及用户口令。这种方法尤其对那些警惕性不高的用户会构成巨大的威胁。因此如果用户在自身的口令管理上做好防范工作，那么也就切断了网络安全从用户端侵入的隐患。

    1．2统一账号管理

    进行安全管理建设进行安全管理建设的主要内容为：采用信息化、科技化技术进行帐号口令的管理，达到人手一账号和安全化的帐号管理。同时逐渐改善网络的审核体系、网络安全设备、主机以及应用系统。并且以高新技术为依托，建设出一整套切实可行的帐号口令统一管理系统。这样不仅能达到对帐号口令的管理，还可以做到专门化、优势化、合理化。众所周知，体系框架中尤为重要的就是网络平台的监管、账号和授权的管理、认证以及审核管理。为了构建完善的体系框架，有必要组建安全管理部门，由资深的安全顾问为领头人，逐步建立完善的信息安全管理体系。

    最后还要注重边界安全。我们一般通过安全域划分和加强安全边界防护措施来达到边界安全的目的。这就要求对于Intemet外网出口安全问题予以重点考虑，相应的，我们一般采用的技术有网络边界隔离与入侵防护等。

    1．3采用IPS系统

    通过在重要服务器区域的边界应用入侵防护系统，以此对于集中进行的访问进行控制和综合过滤，达到保护网络安全的目的。而增设IPS系统就可以预防服务器由于未及时添加补丁或者一时的疏忽而导致的入侵事件的发生。例如在网络的边界位置安放IPS系统边界位置，就可以轻松的实现对网络流量的实时实地的检测，以达到安全过滤的目的。

2升级检测系统

    由于在网络安全问题中存在模糊地带，如安全与威胁就没有明显的界限。因此很有必要在网络安全事件检测中引入模糊集理论。通过此理论的引入，使得模糊集理论与关联规则算法结合起来，采用在模糊条件下的关联算法来检测、分析网络中的行为特征，从而可以更为高效且不失灵活的对网络安全保驾护航。

    2．1完善检测算法

    传统的算法只是将网络属性的取值范围分散成不同的区间，并将其转换为“布尔型”关联的规则算法。这样的算法显而易见会产生许多的边界问题，例如对于略微偏离原来规定的范围的异常，系统就会做出错误的判断，从而导致网络安全受到威胁。于是考虑到事件流的特点，采用事件流中滑动窗口设计算法，辅之以复合攻击模式的方法，对算法进行科学化的测试。试验检测的结果证明，这种算法不仅在网络时空的复杂性还是漏报率等方面均符合网络安全事件流中异常检测的要求。

    2.2提高检测精度

    一个完善的异常检测系统，应该尽可能全面的对网络行为进行准确的描述，即不仅覆盖高频率模式，更应该包含低频率模式。但是在一般的入侵检测系统中，通常都是直接采用网络连接记录中的基本属性，于是可想而知得到的检测效果均不理想。

    关联算法的引入对于提高异常检测能力有明显的优势。由于不同的攻击类型所引起的记录不同，即攻击的次数与记录所占的比例不成正比。而关联算法将遇到的情况与数据逻辑相结合可以有效地提高监测的精度。

    而如果把基于时间的统计特征属性也考虑在内，就可以进一步的提高系统的检测精度。于是网络安全事件流的异常检测有必要引入数据化理论，并将其与关联规则算法结合起来，深入全面的挖掘网络行为特征，从而进一步提高系统的检测的灵活性和精度。

    2．3提升检测效率

    如何在当今迅速快捷，高效、高规模的数据传输中以最快的速度对网络异常行为作出预警是眼下的当务之急。我们当下基于入侵检测技术和数据流挖掘技术，提出了一个大规模网络数据流频繁模式挖掘和检测算法。这种算法可以精确地检测出网络流量出现的异常，为增强网络的预警能力的能力，构造了一个管控同时进行的网络模型。这种网络模型不仅可以自觉地检测威胁、发出预警，还可以隔离威胁，并同时记录入侵对象的特征。

3结束语

    计算机技术的发展日新月异，而与之相对的计算机入侵手段也日益先进，这种潜在威胁的存在使得计算机的优势打折，并在一定程度上对人们的经济与生活带来诸多烦恼。因此对于计算机的异常检测与安全防护显得尤为重要，并且防护的水平要与时俱进，将异常入侵带来的损失降到最低，使得我国的网络环境更为洁净。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：网络安全事件流中异常检测的方法分析

本文网址：http://www.toberp.com/html/consultation/1083952018.html