網絡安全事件異常檢測問題方案，基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式，提出網絡頻繁密度概念，針對網絡安全異常事件模式的間隔限制，利用事件流中滑動窗口設計算法，對網絡安全事件流中異常檢測進行探討。但是，由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全，使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析，對此加以系統化的論述并找出合理經濟的解決方案。

1、建立信息安全體系統一管理網絡安全

在綜合考慮各種網絡安全技術的基礎上，網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性，將基于時間的統計特征屬性考慮在內，這樣可以提高系統的檢測精度。

1.1網絡安全帳號口令管理安全系統建設

終端安全管理系統擴容，擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署，采用高新技術流程來實現。采用信息化技術管理需要帳號口令，有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統，對所有帳號口令進行統一管理，做到職能化、合理化、科學化。

信息安全建設成功結束后，全網安全基本達到規定的標準，各種安全產品充分發揮作用，安全管理也到位和正規化。此時進行安全管理建設，主要完善系統體系架構圖編輯，加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理，本階段可以考慮成立安全管理部門，聘請專門的安全服務顧問，建立信息安全管理體系，建立PDCA機制，按照專業化的要求進行安全管理通過系統的認證。

邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施，重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此，加強各個局端出口安全防護，并且在各個節點位置部署入侵檢測系統，加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。

1.2綜合考慮和解決各種邊界安全技術問題

隨著網絡病毒攻擊越來越朝著混合性發展的趨勢，在網絡安全建設中采用統一管理系統進行邊界防護，考慮到性價比和防護效果的最大化要求，統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統，考慮到以后各節點將實現INITERNET出口的統一，要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統，可以實現對內部流量訪問業務系統的流量進行集中的管控，包括進行訪問控制、內容過濾等。

網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護，保證內部用戶和系統的安全。但是安全威脅是動態變化的，因此采用深度檢測和防御還不能最大化安全效果，為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測，實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控，通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現，從而提高安全維護人員的預警能力。

1.3防護IPS入侵進行internet出口位置的整合

防護IPS入侵進行internet出口位置的整合，可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾，采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。

在整合后的internet邊界位置放置一臺IPS設備，實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點，為了更好地對各種服務器進行集中防護和監控，將各種業務服務器進行集中管控，并且考慮到未來發展需要，可以將未來需要新增的服務器進行集中放置，這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域，前期可以將已有業務系統進行集中管理。#p#

2、科學化進行網絡安全事件流中異常檢測方案的探討

網絡安全事件本身也具有不確定性，在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論，將其與關聯規則算法結合起來，采用模糊化的關聯算法來挖掘網絡行為的特征，從而提高系統的靈活性和檢測精度。異常檢測系統中，在建立正常模式時必須盡可能多得對網絡行為進行全面的描述，其中包含出現頻率高的模式，也包含低頻率的模式。

2.1基于網絡安全事件流中頻繁情節方法分析

 針對網絡安全事件流中異常檢測問題，定義網絡安全異常事件模式為頻繁情節，主要基于無折疊出現的頻繁度研究，提出了網絡安全事件流中頻繁情節發現方法，該方法中針對事件流的特點，提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制，利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點，對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。

傳統的挖掘定量屬性關聯規則算法，將網絡屬性的取值范圍離散成不同的區間，然后將其轉化為“布爾型”關聯規則算法，這樣做會產生明顯的邊界問題，如果正常或異常略微偏離其規定的范圍，系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中，建立網絡安全防火墻，在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點，利用事件流中滑動窗口設計算法，采用復合攻擊模式方法，對算法進行科學化的測試。

2.2采用系統連接方式檢測網絡安全基本屬性

在入侵檢測系統中，直接采用網絡連接記錄中的基本屬性，其檢測效果不理想，如果將基于時間的統計特征屬性考慮在內，可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論，將其與關聯規則算法結合起來，采用設計化的關聯算法來挖掘網絡行為的特征，從而提高系統的靈活性和檢測精度。異常檢測系統中，在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述，其中包含出現頻率高的模式，也包含低頻率的模式。

在網絡安全數據集的分析中，發現大多數屬性值的分布較稀疏，這意味著對于一個特定的定量屬性，其取值可能只包含它的定義域的一個小子集，屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性，傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間，然后將其轉化為布爾型關聯規則算法，這樣做會產生明顯的邊界問題，如果正常或異常略微偏離其規定的范圍，系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性，在正常和異常行為之間應當有一個平滑的過渡。

另外，不同的攻擊類型產生的日志記錄分布情況也不同，某些攻擊會產生大量的連續記錄，占總記錄數的比例很大，而某些攻擊只產生一些孤立的記錄，占總記錄數的比例很小。針對網絡數據流中屬性值分布，不均勻性和網絡事件發生的概率不同的情況，采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明，設計算法的引入不僅可以提高異常檢測的能力，還顯著減少了規則庫中規則的數量，提高了網絡安全事件異常檢測效率。

2.3建立整體的網絡安全感知系統，提高異常檢測的效率

作為網絡安全態勢感知系統的一部分，建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率，解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用，基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。

通過網絡數據設計公式推導出高位端口計算結果，最后采集局域網中的數據，通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此，如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息，是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術，提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法，根據“加權歐幾里得”距離進行模式匹配。

實驗結果表明，該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力，提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常，及時隔離被攻擊節點阻止危害擴散，并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論，提出了一種新的網絡智能體訓練方法，使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型，表明網絡智能體模型能夠更好的保障網絡安全。

結語：

伴隨著計算機和通信技術的迅速發展，伴隨著網絡用戶需求的不斷增加，計算機網絡的應用越來越廣泛，其規模也越來越龐大。同時，網絡安全事件層出不窮，使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰，傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素，從整體上動態反映網絡安全狀況，并對安全狀況的發展趨勢進行預測和預警，為增強網絡安全性提供可靠的參照依據。因此，針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。