局域网用户上网行为审计系统的设计与实现.pdf

《局域网用户上网行为审计系统的设计与实现.pdf》由会员分享，可在线阅读，更多相关《局域网用户上网行为审计系统的设计与实现.pdf（76页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、上海交通大学硕士学位论文局域网用户上网行为审计系统的设计与实现姓名：邓俊申请学位级别：硕士专业：软件工程指导教师：戚正伟20071201局域网用户上网行为审计系统的研究和实现-I-局域网用户上网行为审计系统的研究和实现 摘 要 随着互联网的迅猛发展，许多单位内部局域网都和互联网相连，互联网给人们工作、生活带来了极大的方便，同时造成新的安全隐患，单位内部用户上网行为没有监督和约束，访问非法、黄色站点，滥用网络资源，迫切需要行之有效的网络安全监督保障系统。现有的网络安全措施主要是针对防范外部的入侵和攻击，然而实际上 801以上的安全事件都是从内部发生的，由此可见防范内部比防范外部更重要。另外，对于

2、一些经常处理涉及国家秘密和企业商业秘密信息的部门，为了防止内部人员有意无意地通过互联网传输涉密信息，也需要一个可以自动识别涉密信息关键字，继而过滤、阻止涉密信息的传输。本论文所研究的“局域网用户上网行为审计系统”是记录局域网用户访问互联网的行为过程，控制用户能够使用哪些互联网服务，过滤上传敏感内容，对上网内容进行审计的系统。目前，用户上网行为审计系统的发展相对落后，主要客户是网吧等公共上网场所，其功能与企事业单位上网行为审计系统的需求差别较大。现有网络行为审计产品主要从网络入侵角度考虑，对网络访问事件进行审计。而一个单位的网络既要处理外部入侵，又要对内部用户访问外网行为进行监督，这样的内部网络

3、连接外网才是较安全的。国内很多单位都已建立自己的计算机网络，但一般未建立相应的上网行为审计系统，这主要是对上网行为审计的认识存在误区所导致的，担心涉及个人隐私，担心员工产生抵触情绪。实际上只要开发合理，上网行为审计是能很好地解决此类矛盾。通过对局域网用户访问外部网络的行为进行记录和检查，可有效地发现和防范违规的网络访问，因此研究与开发局域网用户上网行为审计系统具有重要的现实意义。本文对局域网用户上网行为审计的相关技术进行了研究，针对中小规模局域网环境设计和实现了一个基于网络嗅探器技术的用户上网行为审计系统。该系统是我们自主开发的产品，已经在一些涉及国家和企业秘密的部门得到应用，效果良好。论文研

4、究的主要内容包括以下几个方面：(1)阐述了网络审计的关键技术，从系统结构、数据来源以及网络服务控制等方面对用户上网行为审计系统涉及的相关技术进行了研究和总结，为网络行为审计系统奠定理论基础，并对现有的几种网络审计系统进行了局域网用户上网行为审计系统的研究和实现-II-分析介绍。(2)针对用户上网行为审计系统应用的实际需求，确定了其功能需求并设计其体系结构，将其分解为数据采集、数据解析处理、网络服务控制、关键字内容过滤等各个子系统；采取旁路监听的方式采集数据，不影响用户的正常使用；设计了数据采集与存储策略，解决了数据分析与处理等关键技术，实现了高效的数据采集和处理。(3)对 TCP/IP 协议数

5、据封装过程进行分析，分析和比较了三种常见的会话重建技术，设计和实现了一个高效的分层协议解析与数据还原模块。在此模块中，通过规范接口与内部分层，使得该模块具有良好的可重用性和可扩展性。(4)针对字符串集比较大、而模式串中出现的关键字符相对较少的情况，以 BMH 算法为核心，设计了一个字符串比对过滤模块，该模块具有很好的可重用性，几乎不影响用户上网速度。(5)介绍本系统的总体实现模型，以及各个子系统的功能结构和实现方法。通过对系统参数进行设置，可以灵活方便地将该系统应用于各种不同的实际环境中，以满足不同用户的具体需求。(6)对本系统进行测试。介绍测试环境和测试结果，对系统的功能和性能进行了测试，对

6、测试结果和系统性能进行了分析，得出了系统的适用范围和有待改进的方面。测试结果表明系统实现了预期目标。关键词关键词 上网行为审计，关键字过滤，网络嗅探，网络服务控制 局域网用户上网行为审计系统的研究和实现-III-Design and Implementation of Auditing System over Internet Access of Lan/Intranet Users ABSTRACT A great many of internal LAN of companies or organizations are connected to the Internet along wi

7、th the Internet boom.Not only does the Internet provide great conveniences to life and work of common people,but also does it simultaneously lead to some new and hidden safety troubles:The internet access by the interior Intranet users is going on without surveillance and restriction,such as access

8、to illegal websites,pornography website and abuse of network resources,thus it is an in dire need of implementing an effective Network security monitor and safeguard system.The existing network security measures work mainly for preventing attack and invasion outside the Intranet.Actually,over 80%of

9、security accidents take place inside the Intranet,therefore it can be seen from this that it is even more important to guard inside the Intranet than outside.In addition,for those departments involving regularly in the state secrets or commercial secrets of enterprises,a transmission device that can

10、 automatically identify key words concerned secret information then filtrates and checks the transfer of the information is required in order to guard against insiders intentionally or unintentionally transmitting of secret information across the Internet.This thesis studies the Auditing System over

11、 the Internet access of Lan/Intranet Users.The system tracks record of Intranet users access trace when they access to the Internet,restrains the scope of network services they can receive,filtrates the sensitive contents inclusive in the information and implements the follow-up auditing procedures

12、into information which is uploaded by the Intranet users.The evolution of Auditing System over Internet Access of Intranet users is currently at a much slower stage,with its main service for the internet cafes and so on.Its function and performance differs greatly from the requirements of the Auditi

13、ng System over Internet Access of enterprise and public institution.The auditing devices currently available over users access to the Web are designed in terms of network intrusion,and thereby conduct audit work for network access incidents.And much more,the connection between the internal network a

14、nd public network can be secured only when the network of any organizations is capable of handling outside intrusion and implementing supervision over internal users access to the Web.Many 局域网用户上网行为审计系统的研究和实现-IV-domestic organizations establish their own internal computer network but generally witho

15、ut relevant auditing system over Internet access,which is caused primarily by mistaken beliefs that can still be found with reference to surf behavior auditing,worries about its concerning personal privacy,and accordingly employees resistance to the auditing.In reality as long as it is developed rea

16、sonably,such contradictions as mentioned above can be properly settled by auditing system over Internet access.It is of important realistic significance to do research and develop auditing system over internet access for intranet users,since that by recording and inspecting the Intranet users access

17、 to the Web,any illegal access to the network can be effectively found out and guard measures can be taken.This thesis makes a study of the correlation techniques center on the auditing over Intranet users surf behavior on the network,and designs and implements an auditing system over the Internet a

18、ccess of Lan/Intranet users based upon network sniffer technology for the small or medium Intranet environments.The system is designed and developed independently by us,and has been applied by departments that involves State secrets and enterprises commercial secrets with good effects.The main contr

19、ibutions of this thesis are listed as follows:(1)This thesis expatiates upon the key technology of network auditing and attempts to make a research into and summarize correlation technology concerning auditing system over internet access of intranet users from the respects,such as system architectur

20、e,data sources and control of network service,and etc.The study lays the theoretic foundation for auditing system of network behavior and analyzes several existing network auditing systems.(2)In this thesis,both functional requirements and architectures of auditing system over internet access of Int

21、ranet users are determined and designed in connection with the physical demand by the application of the system,which is broken up into such subsystems as data acquisition,analytic data process,network service control and specific keywords content filtering.Data acquisition is made by adopting bypas

22、s monitoring without affecting normal use of intranet users.Data acquisition and Storage Policies are designed,key technologies including data analysis and processing are established,and a highly efficient data acquisition and processing is achieved.(3)An analysis of data encapsulation procedure of

23、TCP/IP protocol is carried out and analysis and comparison among three common Session Reconstruction Techniques are also made in this thesis.And then an efficient hierarchical protocol analytical and data reconstruction module is designed and implemented.The module is provided with favorable reusabi

24、lity and expandability by specifying and normalizing Interfaces and Internal hierarchical data structure.(4)In consideration of that string set is larger while key characters appear in pattern string is relatively less,a string set comparison filtering module is 局域网用户上网行为审计系统的研究和实现-V-designed based

25、on BMH algorithm-centric method.The module has excellent reusable capabilities and lightly affects the internet connection speed of users.(5)This thesis presents a systematic realization architecture and functional configuration and accomplishing approaches of each subsystem.By setting parameters of

26、 the system,it can be applied flexibly and conveniently into all sorts of practical conditions so as to satisfy specific requirements of different Intranet users.(6)This thesis designs the test method of the system and describes the test circumstances and result and after the test of its functions a

27、nd features is made,an analysis of the test result and performances of the system is done thereby and the applicable conditions for the system and aspects for further improvement are concluded.The test indicates that the Auditing System operates well and achieves its desired results.Key words:Auditi

28、ng system over internet access,key words filtration,network sniffer,network service control 局域网用户上网行为审计系统的研究和实现-69-局域网用户上网行为审计系统的研究和实现-70-局域网用户上网行为审计系统的研究和实现-1-第一章 绪论 1.1 1.1 选题背景 随着互联网的迅猛发展，我国互联网使用人数快速增长，网络在社会政治、经济和生活的作用越来越突出。互联网的魅力在于其开放性的互联，但是由于其开放性和网络协议及软件系统的缺陷造成网络上的计算机易受攻击。根据国家计算机网络应急技术处理协调中心 CN

29、CERT/CC2006 年上半年网络安全工作报告2中介绍，美国 2006 年第一季度共报告漏洞 1597 个，平均每天超过 17 个。2006 年上半年，发现我国大陆地区 23300 多个 IP 地址的主机被植入木马，5781 个网站被篡改。网络在给我们的工作和生活带来巨大方便的同时，也出现了很多新的问题，在网络应用中出现了很多难以监控和管理的用户行为。比如内部人员工作时间无节制地上网，大量下载多媒体文件，长时间聊天，占用大量工作时间和网络资源，影响正常工作的开展；下载一些来历不明的软件，造成被木马入侵；安装非法软件，入侵和窥伺网络上其他计算机；访问黄色、非法站点，散布非法言论；无意或故意泄漏

30、单位内部的重要资料，从而给单位造成无法估量的损失3,4。对于一些经常处理涉及国家秘密和企业商业秘密信息的部门，有些人是由于疏忽大意，通过互联网传输了涉密信息。更多的人是为了方便，怕麻烦而不走机要通信渠道，出于侥幸心理，认为偶尔传一次涉密信息，不会正巧被别人截获。由于通过互联网传输涉密信息造成的泄密事件发生后，而传输者并不一定知道已经泄密。因此，从源头上发现并阻止涉密信息在网上传输就显得更加重要。现有的网络关键字过滤系统一般都是在服务器端过滤关键字，如邮件服务器和 WEB 服务器通常会对接受到的数据中的敏感字进行过滤，这种过滤主要是防止不合法的内容广泛传播。然而服务器接收到的数据是经过许多主机和

31、网络设备传输的数据，这其中任何一个设备都有能力记录这些数据，这种过滤不能防止泄密事件的发生。另外，如果网络比较繁忙，在服务端过滤信息会影响网络传输质量，高速过滤关键信息对服务器的性能要求很高。因此，只有在客户端进行过滤，从源头切断传输才最有效。与此同时，电子政务、电子商务、网络游戏等互联网业务正在快速扩展，新的操作系统、新应用软件不断投入使用，这些都导致大量人为主观疏忽和网络系统客观漏洞的存在。据国家计算机网络应急技术处理协调中心(CNCERT/CC)2005 年 2月发布的2004 年全国网络安全状况调查报告5显示，在发生网络安全事件中，最多的原因是不正确使用单位网络，占被调查者的 37.5

32、%；其次是未知原因的扫描、可能是为了发现可以利用漏洞，占被调查者的 29.5%；而 19.7%的被调查对象不知道发生网络安全事件的主要原因是什么。而CNCERT/CC在2007年4月公布的 2006年网络安全工作报告6则显示，2006 年 CNCERT/CC 接收的非扫描类事件报告数量接近 2005 年的 3 倍，近几年来网络安全事件增长趋势明显，如图 1-1 所示。局域网用户上网行为审计系统的研究和实现-2-图 1-1 2003 年至 2006 年 CNCERT/CC 接受的安全事件报告数量比较 Figure 1-1.Contrast of Quantity of Case Reports

33、concerning Internet Security between 2003 and 2006 在 Internet 发展过程中，网络规模和网络安全一直是影响网络发展的重要因素。解决网络安全主要采取的技术手段一般有防火墙、入侵检测系统(IDS)、加密应用等7，它们对防止系统入侵都有一定的效果，但在监控和处理网络内部用户访问外部网络、预防用户泄漏重要资料等方面却不尽如人意。而且一旦某个关键点被攻破，整个系统将彻底瘫痪。因此，仅仅具有这些手段还是不够的。据国际上有关统计机构提供的数据，大多数网络入侵和破坏是来自网络内部，绝大多数的单位承认内部员工滥用单位的互联网8。内部的计算机用户攻击和滥用

34、网络是一个非常普遍的现象，尤其是大学和中小规模企业，80%的攻击发生在内部1。因为局域网内部的人员对自己的网络更了解，有一定的授权，又位于防火墙和入侵检测系统的后端，进行入侵或破坏更加容易。内部人员不必掌握很高的计算机技术就能给系统造成重大损失，这样一来，网络安全审计(Network Security Audit,NSA)开始受到广泛的重视9。国内外对于网络安全审计系统的研究起步较晚10。1980 年，Anderson 首次提出了利用系统日志信息进行安全审计的思想，直到 1995 年才发布了第一个具有实用性的网络安全漏洞审计软件 SATAN，但是 SATAN 的技术要求高，使用非常不方便。虽然

35、近年来出现了许多此方面的工具，但大多数是基于系统用户的审计工具，如SCE(Security Configuration Editor)in Windows NT 5.0 或者 Unix 下自带的审计工具，对于整个网络中安全事件的审计能力有限，此外一般的审计软件，对数据的采集有一定的限制。审计的基础是数据，数据是如何采集在很大程度上决定了一个审计软件的质量。由此可见，用户上网行为审计作为网络安全审计的一个分支应该更加独立，成为一个独立的安全软件。近年来，上网行为审计系统已成为网络安全领域的研究重点之一，国内外厂商正加紧进行这方面的研究，提出了一些安全审计系统的模型，如通过修改 Linux 内核实

36、现的基于主机的安全审计系统、在 Linux 系统中通过对所有的系统日志进行挖掘实现的安全审计系统，以及利用防火墙日志实现的安全审计系统等，其审计的重点也逐步从传统的本主机和系统调用过渡到网络的访问行为和网络中的各种数据，但相关研究尚处在探索阶段11-13。对用户上网行为的审计产品很多停留在记录和浏览用户的上网内容，以便于在发现问题后可以追查责任人，难以事先发现和阻止不安全的的网络行为，缺乏在客户端主动过滤敏感字内容的应用系统。局域网用户上网行为审计系统的研究和实现-3-1.2 1.2 系统研究意义 在政府要害部门以及企业关键部门审计监督用户上网行为是维护国家及企业利益有效方法。监督审计用户使用

37、互联网的活动，不仅能够杜绝用户滥用网络资源，提高工作效率，还可以防止用户在网络上传输保密信息和散布有害内容。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用，对于确定是否有网络被攻击的情况以及确定攻击源也很重要。同时，系统事件的记录能够更迅速和系统地识别问题，是网络事故处理的重要依据，能够为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集、积累并加以分析，可以有选择地对某些主机和用户进行审计跟踪和监控。从网络管理角度讲，行为审计便是实现内部监督的重要手段。内部网络的管理和安全的程度是互联网成熟的标志。因此，内部的行为监督必不可少，行为审计系统可以有效地实现对内网的安全监

38、督。在我国网络快速发展和应用的过程中，使用人员和技术水平、安全意识参差不齐，确保信息网络安全已经成为必须要考虑的紧迫问题。现有网络审计产品主要从网络入侵角度考虑，用来对网络访问事件进行审计。一个单位的网络常常既要处理来自外部的入侵，也要对内部用户访问外部网络的行为进行监控，只有这样，一个内部网络连接到外部网络时，才能是比较安全的。目前，用户上网行为审计系统的发展相对落后，主要使用群体是网吧等公共上网场所，这和企事业单位上网行为审计系统的需求差别很大。国内很多单位都已经建立起了自己的计算机网络，但一般都没有建立相应的网络行为审计系统，一方面是由于我们缺乏比较好的上网行为审计产品，更重要的一个原因

39、是对上网行为审计的认识存在误区，担心涉及个人隐私问题，在单位内部使用容易造成员工的抵触情绪。实际上只要做好解释工作，上网行为审计系统可以更好地保护个人隐私，能够防止别人窃取你的隐私。表 1-1 本文所研究的用户上网行为审计系统与传统的网络安全审计系统的主要区别 Table1-1.Key distinction between internet users surf behavior auditing system and traditional Internet Security auditing system in this thesis.用户上网行为审计系统用户上网行为审计系统 传统的网络

40、安全审计系统传统的网络安全审计系统 审计对象 内网用户的上网行为 访问内网的外网用户 网络访问控制粒度 细 粗 审计数据获取方式 旁路监听 系统主机日志 关键字过滤功能 有 无 1.3 1.3 论文的研究目标与主要内容 1.3.1 研究目标 论文的研究目标旨在以分析现有的网络安全审计技术和系统为出发点，针对中小规模局域网对上网行为审计的实际需求，在对数据采集与存储策略、数据分析与处理、字符串过滤等关键技术进行研究的基础上设计一个基于网络嗅探器(Sniffer)技术的用户上网行为审计系统，完成各个功能模块的实现，并对系统进行必要的测试与性能分析。局域网用户上网行为审计系统的研究和实现-4-1.3

41、.2 主要内容 本文的主要内容是围绕用户上网行为审计系统的体系结构设计，研究数据采集与存储策略、数据分析与处理、关键字过滤等技术，提出具体设计与实现方法。具体研究内容包括：(1)对现有网络审计技术的研究，主要涉及系统结构、数据来源、网络服务控制等方面。(2)对国内外几种典型的网络审计系统进行分析。(3)针对中小规模局域网的实际情况，进行用户上网行为审计系统的功能需求分析。(4)设计用户上网行为审计系统的体系结构，并对数据采集与存储策略、数据分析与处理等关键技术进行研究。(5)对用户上网行为审计系统的实现方法进行研究，包括系统总体的实现模型、各子系统与用户界面的实现机制和功能结构。(6)对系统的

42、测试与性能分析。1.4 1.4 论文章节安排 本文的总体结构大体分为三个大部分：第一部分为理论研究，主要包括第一章和第二章；第二部分为系统设计、实现和测试，主要包括第三章至第五章；最后第六章总结全文。具体的内容安排如下：第一章绪论部分，介绍论文的研究背景、研究意义，并给出论文的研究目标与主要内容。第二章首先介绍了网络审计的相关概念，接着从系统结构、数据来源、网络服务控制技术等方面对网络安全审计技术进行了探讨，最后对现有的典型系统进行了分析。第三章针对用户上网行为审计系统应用的实际需求，确定了其功能需求并设计其体系结构，将其分解为数据采集、数据解析处理、网络服务控制、关键字内容过滤等各个子系统，

43、并解决了数据采集与存储策略、数据分析与处理等关键技术 第四章首先介绍了用户上网行为审计系统的开发环境，接着提出系统的实现方法，包括总体的实现模型以及数据采集子系统、数据分析与处理子系统、网络服务控制子系统、关键字过滤子系统和用户界面等各个部分的实现机制和功能结构。第五章依据用户上网行为审计系统测试的目标和环境进行详细测试，并给出测试结果，进而对系统的性能进行了分析，最后附加了系统运行的适用环境。第六章对整篇论文进行总结，并对未来工作进行展望。局域网用户上网行为审计系统的研究和实现-5-第二章 现有网络安全审计技术与系统的研究 建立一个良好的网络安全审计系统涉及许多方面的问题。本章首先介绍了网络

44、安全审计的相关概念，接着从系统结构、数据来源、网络服务控制技术等方面对网络安全审计技术进行了探讨，最后对现有的几种系统进行了分析。2.1 2.1 网络审计概念 网络安全审计概念在国际标准化组织(ISO)和国际电工委员会(IEC)1998年颁布的信息技术安全性评估通用准则(Common Criteria for Information Technology Security Evaluation,简称 CC 准则)中作了具体的定义，该准则目前被广泛地用于评估系统的安全性19。该准则定义网络安全审计的主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安

45、全审计事件选择等。参照美国国家标准可信计算机系统评估标准（Trusted Computer System Evaluatuion Criteria）10，对网络审计的要求主要包括：记录与再现 系统能够记录所有的安全事件，同时，如果有必要，应该能够再现产生某一系统状态的主要行为。记录入侵行为 系统应该能够检查出大多数常见的入侵企图，同时，经过适当的设计，应该能够阻止这些入侵行为。每条审计记录至少应包含以下信息：事件发生的时间、事件类型、主题标识、执行结果、引起事件的用户标识以及对每一个审计事件与该事件有关的审计信息。威慑作用 应该对系统中具有的安全审计功能及其性能进行适当的宣传，这样可以对入侵者

46、和使用网络的人起到威慑作用，又可以减少合法用户无意中违反安全策略。安全审计浏览 该功能主要是指经过授权的管理人员对于审计记录的访问和浏览。审计系统需要提供审计浏览的工具。通常审计系统对审计数据的浏览有授权控制，审计记录只能被授权的用户浏览，并且对于审计数据也是有选择地浏览。有些审计系统提供数据解释和条件搜寻等功能，帮助管理员方便地浏览审计记录。安全审计事件选择 局域网用户上网行为审计系统的研究和实现-6-该功能是指管理员可以选择接受审计的事件。一个系统通常不可能记录和分析所有的事件，因为选择过多的事件将无法实时处理和存储，所以安全审计事件选择的功能可以减少系统开销，提高审计的效率。此外，因为不

47、同场合的需求不同，所以需要为特定场合配置特定的审计事件选择。审计系统应能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，例如：与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。2.2 2.2 安全审计的主要技术 2.2.1 基于于内核的网络安全审计技术 这种方法是从操作系统内核收集数据，作为检测入侵或异常行为的根据。该方法主要用于开放源代码的 Linux 系统。其优点是具备良好的检测效率和数据源的可信度。但这种方法对操作系统本身的安全性有很强的依赖性14。2.2.2 基于规则库的安全审计方法 基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚

48、本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。当然它也有其自身的局限性，对于某些特征十分明显的网络攻击行为，该技术的效果非常之好15。2.2.3 基于代理的网络安全审计技术 代理（Agent）可以被看作是在网络中执行某项特定监视任务的软件实体。Agent通常以自治的方式在目标主机上运行，本身只受操作系统的控制，因此不会受到其它进程的影响。通过 Agent，可以综合运用误用检测和异常检测，从而弥补两者各自的缺陷。但这种方法中监视器是系统的关键部件。如果某个监视器停止工作，所

49、有在该监视器控制下的转发器都无法提交结果，而且当多个监视器对同一问题做出报告，可能产生信息的不一致性和重复性16。2.2.4 基于数据挖掘的网络安全审计技术 将数据挖掘应用于入侵检测己经成为一个研究热点，但是真正实现这样一套系统的还不多见。国外这方面做比较深入研究的主要有 Columbia University 的 Wenke Lee 研究组和 University of New Mexico(UNM)的 Stephanie Forrest 研究组。国内这方面的研究则刚刚起步，中国科学院的国家信息安全重点实验室、东北大学国家软件工程研究中心、国防科技大学计算机学院等走在前列。数据挖掘本身是一项

50、通用的知识发现技术，这恰好与当前网络安全审计的现实相吻合。目前，操作系统的日益复杂化和网络数据流量的急剧膨胀，导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息，人们希望能够对其进行更高抽象层次的分析，以便更好地利用这些数据17。2.2.5 神经网络技术应用于网络安全审计 神经网络是一种非参量化的分析技术，使用自适应学习技术来提取异常行为的特征通过训练得出正常的行为模式。神经网络由大量的被称为“神经元”的处理单局域网用户上网行为审计系统的研究和实现-7-元组成，神经元之间通过带权值的连接进行交互。这种方法的优点是：具备了非参量化统计分析的优点。存在的问题是：神经网络的不