一种计算机网络异常检测的方法、系统及移动终端技术方案

本发明专利技术公开了网络安全技术领域的一种计算机网络异常检测的方法、系统及移动终端，该检测方法的具体步骤如下：S1：监视、分析用户以及系统活动；S2：检查系统配置和漏洞；S3：识别已知攻击并向相关人员报警；S4：统计分析用户及系统日常行为；S5：评估重要系统和数据的完整性；S6：操作系统日志管理，并识别违反安全策略的用户活动，本发明专利技术将检测系统布置在网络的各个节点上，使攻击者不易转移证据，检测实时性强，能够降低本身攻击的可能性，同时利用神经网络具备的高度学习和自适应能力，能够以很高的准确率识别新的入侵行为特征，并且能够以一定的概率识别出新的入侵行为特征和已知入侵行为的变种形式。

A method, system and mobile terminal for computer network anomaly detection

The invention discloses a method for anomaly detection, a computer network technology in the field of network security system and a mobile terminal, the specific steps of the detection method is as follows: S1: monitoring and analysis of user and system activity; S2: check system configuration and vulnerability; S3: identify known attacks and to alert relevant personnel; statistics: S4 analysis of daily behavior of users and system; S5: assessment of the integrity of critical systems and data; S6: operating system log management, and identify the violation of security policy user activity, the invention will detect the system layout of each node in the network, the attacker will not easily transfer evidence of real-time detection, can reduce the possibility of the attack itself at the same time, the use of high learning and adaptive ability of neural network to have the intrusion feature recognition accuracy is very high and new. The new characteristics of the intrusion behavior and the variant forms of the known intrusion behavior are identified by a certain probability.

【技术实现步骤摘要】
一种计算机网络异常检测的方法、系统及移动终端
本专利技术涉及网络安全
，具体为一种计算机网络异常检测的方法、系统及移动终端。
技术介绍
随着计算机网络的迅速发展，网络威胁和其他网络相关的问题日益增多，如网络攻击、数据盗窃、病毒、蠕虫、恶意端口扫描活动等网络威胁的作用速度加快、变化速率更快、更加复杂。当前，尽管有外围防御，网络威胁还是会通过计算机网络直接潜入，因此出现了很多威胁检测的工具。传统的检测包含简单的或者深度的数据包检测，通常可以被归类为入侵检测防护设备或者防病毒系统。这些设备以特征的形式设置了威胁数据库，让威胁数据库的特征和计算机网络传输的数据包进行匹配，由于特征创造过程是人为操作的，出现新的网络威胁特征，或者网络威胁特征发生变化，威胁数据库就不能及时创造出新型特征。另一个传统的检测方法是通过监测流量率来检测异常，流量监测异常的检测方法会产生大量的错误警报，因为与网络威胁无关的许多原因会导致流量的变化率或者其他可观察量的发生，另外传统的流量异常检测系统起初是用来检测在预定行为中的变化。为此，我们提出了一种计算机网络异常检测的方法、系统及移动终端投入使用，以解决上述问题。
技术实现思路
本专利技术的目的在于提供一种计算机网络异常检测的方法、系统及移动终端，以解决上述
技术介绍
中提出的问题。为实现上述目的，本专利技术提供如下技术方案：一种计算机网络异常检测的方法，该检测方法的具体步骤如下：S1：监视、分析用户以及系统活动；S2：检查系统配置和漏洞；S3：识别已知攻击并向相关人员报警；S4：统计分析用户及系统日常行为；S5：评估重要系统和数据的完整性；S6：操作系统日志管理，并识别违反安全策略的用户活动。优选的，所述步骤S1中的监视行为通过分布在网络传输各个节点上的并带有加密信道的神经元网络进行。优选的，一种计算机网络异常检测系统，该系统由单片机、网络数据预处理模块、特征检测模块、神经网络检测模块、状态建模模块、专家系统以及日志记录模块组成；所述单片机用于接受所述网络数据预处理模块上传的网络状态，并针对网络状态数据进行分析处理；所述网络数据预处理模块对采样数据进行数据离散化、归一化处理，并进行无监督的聚类分析；所述特征检测模块采用特征语言定义系统轮廓，并将系统行为与系统轮廓比较，将不属于系统轮廓的网络行为定为网络入侵行为，其内置所述异常评估模块，评估网络入侵行为等级；所述神经网络检测模块包括网络信息跟踪模块和网络信息管理模块，采用梯度最速下降搜索，按照网络实际输出的均方误差最小的准则求解网络权值和网络各节点的阈值，并判断出网络各个节点的网络异常；所述状态建模模块将网络入侵行为表示为多个不同的状态，并建立时间序列模型；所述专家系统用于给定网络入侵行为描述规则的情况下对网络系统的安全状态进行推理；所述日志记录模块还与系统备份模块连接，用于实时记录网络异常以及入侵行为的攻击次数以及类型，通过所述系统备份模块提供记录查询端口。优选的，所述状态建模模块在观察网络可疑行为期间，所有状态都存在，则判定为恶意入侵。优选的，一种计算机网络异常检测移动终端，包括设备本体和网络异常检测系统；所述网络异常检测系统用于实时检测网络运行的安全状态，并提供安全预警；所述设备本体由防水外壳以及安装在防水外壳表面的各种信号指示灯组成，所述防水外壳上还提供数据输出/输入端口，同时所述设备本体通过串行通信与所述网络异常检测系统连接。与现有技术相比，本专利技术的有益效果是：本专利技术将检测系统布置在网络的各个节点上，能够检测基于协议的攻击，使攻击者不易转移证据，检测实时性强，同时利用神经网络具备的高度学习和自适应能力，能够以很高的准确率识别新的入侵行为特征，并且能够以一定的概率识别出新的入侵行为特征和已知入侵行为的变种形式。附图说明图1为本专利技术系统原理框图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。请参阅图1，本专利技术提供一种计算机网络异常检测的方法，该检测方法的具体步骤如下：S1：监视、分析用户以及系统活动，监视行为通过分布在网络传输各个节点上的并带有加密信道的神经元网络进行；S2：检查系统配置和漏洞；S3：识别已知攻击并向相关人员报警；S4：统计分析用户及系统日常行为；S5：评估重要系统和数据的完整性；S6：操作系统日志管理，并识别违反安全策略的用户活动。本专利技术还提供了一种计算机网络异常检测系统，该系统由单片机、网络数据预处理模块、特征检测模块、神经网络检测模块、状态建模模块、专家系统以及日志记录模块组成；所述单片机用于接受所述网络数据预处理模块上传的网络状态，并针对网络状态数据进行分析处理；所述网络数据预处理模块对采样数据进行数据离散化、归一化处理，并进行无监督的聚类分析；所述特征检测模块包括网络信息跟踪模块和网络信息管理模块，采用特征语言定义系统轮廓，并将系统行为与系统轮廓比较，将不属于系统轮廓的网络行为定为网络入侵行为，其内置所述异常评估模块，评估网络入侵行为等级；所述神经网络检测模块采用梯度最速下降搜索，按照网络实际输出的均方误差最小的准则求解网络权值和网络各节点的阈值，并判断出网络各个节点的网络异常；所述状态建模模块将网络入侵行为表示为多个不同的状态，并建立时间序列模型，所述状态建模模块在观察网络可疑行为期间，所有状态都存在，则判定为恶意入侵；所述专家系统用于给定网络入侵行为描述规则的情况下对网络系统的安全状态进行推理；所述日志记录模块还与系统备份模块连接，用于实时记录网络异常以及入侵行为的攻击次数以及类型，通过所述系统备份模块提供记录查询端口。本专利技术还提供了一种计算机网络异常检测移动终端包括设备本体和网络异常检测系统；所述网络异常检测系统用于实时检测网络运行的安全状态，并提供安全预警；所述设备本体由防水外壳以及安装在防水外壳表面的各种信号指示灯组成，所述防水外壳上还提供数据输出/输入端口，同时所述设备本体通过串行通信与所述网络异常检测系统连接。尽管已经示出和描述了本专利技术的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本专利技术的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本专利技术的范围由所附权利要求及其等同物限定。本文档来自技高网...

【技术保护点】
一种计算机网络异常检测的方法，其特征在于：该检测方法的具体步骤如下：S1：监视、分析用户以及系统活动；S2：检查系统配置和漏洞；S3：识别已知攻击并向相关人员报警；S4：统计分析用户及系统日常行为；S5：评估重要系统和数据的完整性；S6：操作系统日志管理，并识别违反安全策略的用户活动。

【技术特征摘要】
1.一种计算机网络异常检测的方法，其特征在于：该检测方法的具体步骤如下：S1：监视、分析用户以及系统活动；S2：检查系统配置和漏洞；S3：识别已知攻击并向相关人员报警；S4：统计分析用户及系统日常行为；S5：评估重要系统和数据的完整性；S6：操作系统日志管理，并识别违反安全策略的用户活动。2.根据权利要求1所述的一种计算机网络异常检测的方法，其特征在于：所述步骤S1中的监视行为通过分布在网络传输各个节点上的并带有加密信道的神经元网络进行。3.一种计算机网络异常检测系统，其特征在于：该系统由单片机、网络数据预处理模块、特征检测模块、神经网络检测模块、状态建模模块、专家系统以及日志记录模块组成；所述单片机用于接受所述网络数据预处理模块上传的网络状态，并针对网络状态数据进行分析处理；所述网络数据预处理模块对采样数据进行数据离散化、归一化处理，并进行无监督的聚类分析；所述特征检测模块采用特征语言定义系统轮廓，并将系统行为与系统轮廓比较，将不属于系统轮廓的网络行为定为网络入侵行为，其内置所述异常评估模块，评估网络入...

【专利技术属性】
技术研发人员：常本超，郭莉娜，张岐山，李东东，
申请(专利权)人：黄河交通学院，
类型：发明
国别省市：河南,41