摘要：立足于网络安全技术，详细研究了基于异常检测的网络安全技术内容，并对其实现路径及其关键技术进行了分析。总体而言，本文所介绍的基于异常检测的网络安全技术具有技术可行性，能够满足未来网络安全管理的技术要求，因此值得推广。

关键词：异常检测；网络安全技术；数据挖掘

1基于异常检测下的网络安全技术研究

1.1异常检测

网络中的异常范围很广，包括越权访问、流量异常、设备失效等，其中流量异常时最常见的异常情况，一般在网络异常发生时，排出设备硬件故障之后，其他的诸多异常都应该考虑网络安全技术的可能。除了流量异常之外，相关人员还需要关注主机与设备的突然异常情况，通过及时查阅节点连接图的参数数据，可以获得异常检测的相关信息，方便技术人员识别故障信息。

1.2主要技术手段

一般在异常检测中，网络安全技术主要以相关设备控制系统为基础，通过对控制系统进行深度分析，并结合系统（设备）以往的网络业务行为，自动实现网络业务行为安全建模，这种方法就可以对各项网络行为及其业务操作过程进行检测，一旦检测出异常，则证明存在安全风险。在这个操作过程下会出现两种结果：结果1：系统没有发现异常，则会继续维持系统的正常运行；结果2：系统发现异常，则会对可疑网络行为进行监控，并将监控过程与结果存储在数据库中；系统在监督同时会从多个技术角度，对其网络行为进行判断，挖掘影响网络安全的源头，并将可疑网络行为的详细信息反馈给安全技术人员。

1.3异常检测的网络安全技术手段

在当前网络安全技术分析中，异常检测可以提供全面的网络数据支持，并根据不同的场景连接频次、上下行流量变化等关键数据，动态分析不同时间节点下的网络运行情况，并在监测到异常之后可以对异常行为进行分析，判断异常行为下的流量走势变化，制定异常行为的时间曲线，最终实现了对异常行为的详细分析。在上述技术手段的基础上，在网络信息安全技术中，常见的安全技术主要分为以下几方面：（1）基于网络线路速率的异常检测。在该技术中，主要以时间为X轴，根据X轴上的数据变化，统计一个特定时间区间内的异常数据，通过对这些数据进行分析、查看、预警等方法，计算出正常的网络安全流量，若出现异常，则需要考虑安全风险的可能。（2）在异常检测中，还可以通过对地址与端口的识别，在查阅历史流量基线的基础上，由系统对地址与端口进行识别，当发现地址与端口存在异常时，也会及时提供安全警报信息[1]。

2基于异常检测的网络安全技术系统研究

2.1系统结构

本文所介绍的基于数据挖掘的网络异常安全检测系统结构如图1所示。

2.2关键技术

2.2.1网络数据捕获

在基于数据挖掘的网络异常安全行为检测中，需要对整个网络体系中的不同关键节点的数据进行识别，并通过基于网络的入侵检测方法，先将捕获得到的异常行为数据进行过滤之后，设置敏感性的属性字段，这样当异常行为符合敏感属性字段的要求时，在接收器对数据包进行预处理，将预处理所得的字段进行信息识别，形成完整的数据包参数，成为数据挖掘过程中可以识别的信息，方便做深入检测。从技术手段来看，这种处理方法最显著的优点，就是可以完成以太网的异常行为信息传播，并通过不同端口来实现这一功能。

2.2.2异常行为特征的提取与处理

在网路安全事件发生之后，异常行为对于计算机网络系统具有攻击性，并且这种攻击性也会在很多方面得到表现，因此在该系统中，对异常行为特征的提取与处理不能从表面的结构上实现，而是要从异常行为的本质特征入手，对网络上的各种行为模式进行详细的分析之后，提取其中的关键要素。

2.2.3报警机制

在本文系统所介绍的报警机制中，其系统功能可以被封为主动报警与被动褒奖两方面，其中主动报警是系统在工作人员主动控制的情况下，为了阻止异常行为而采取的一种报警行为，通过这种方法能够改变异常入侵情况。而被动报警则是在对入侵信息进行识别、拦截之后，由系统直接发送给工作人员，由工作人员自觉采取下一步工作。在系统实现阶段，不论是选择哪一种报警类型，最常见的还是屏幕报警，系统在监测到异常之后，会直接以弹幕的形式将异常行为显示出来，并且随着系统对异常行为识别的深入，弹幕中还会显示更多的安全信息，包括异常行为的来源、攻击目标、意图等。

2.2.4样本库的构建

样本库在实际上就是将各种异常行为完整的展示出来之后，可以将各种安全信息直接记录在数据库中，并将其作为数据挖掘的关键对象。在这种技术体系下，技术人员可以在数据库中记录各种异常行为事件，确保可以及时采取应对措施。

3结束语

本文所介绍的异常检测网络安全系统具有技术可行性，可以最大程度上保证异常检测结果的准确性，有助于实现网络安全，对于安全事件具有很强的识别能力，因此应该在更多地区做进一步推广。

参考文献

[1]尚文利，张修乐，刘贤达，等.工控网络局域可信计算环境构建方法与验证[J].信息网络安全，2019（04）：1-10.

作者:庞凌 单位:南部战区海军