网络行为审计范例6篇

前言：中文期刊网精心挑选了网络行为审计范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

网络行为审计范文1

关键词：无拖曳卫星；自适应控制；RBF神经网络；反步法

中图分类号：TP273文献标识码：A

Design of Adaptive Neural Network Controllers for LEO Dragfree Satellite

LI Ji,FAN Huijin

(School of Automation, Huazhong University of Science and Technology, Wuhan,Hubei 430074, China)

Abstract:Lowdisturbance environment can be achieved by the LEO(LowEarth Orbit) dragfree satellite, which benefits the validation of relativity, detection of gravitational waves and measurement of gravity field. For dragfree control purpose, most researches proposed controllers with linearized model and ignoring the nonlinear characteristics, which lower the accuracy of controllers. In this paper, by taking into account of the nonlinear characteristics, an adaptive neural network controller is established based on Lyapunov methods and adaptive backstepping control theory. For nonlinear characteristics and unmodeled dynamics, RBF neural network is employed for approximation. At the same time, we introduce the update laws of adaptive neural network weights, which guarantee the stability of the closedloop system and satisfy requirements of the dragfree satellite control system. The simulation results indicate that the controller is effective and the accuracy of the dragfree satellite can be satisfied．

Key words:Dragfree satellite;adaptive control;RBF neural network;backstepping

1 引 言

低轨卫星在太空飞行的过程中，承受着来自星际空间的各种扰动［1］，例如，地球、太阳、月亮引力的影响，以及大气阻力、太阳辐射和地面反射等非惯性力的影响。然而相对论的验证、引力波探测以及地球重力场的测量等都需要低干扰试验环境。为了消除非惯性力的影响，文献［1］提出无拖曳(drag-free)技术，设计了无拖曳卫星：用一个质量块置于卫星本体内部，质量块将不受大气阻力等外部干扰力的影响，因为质量块不与卫星本体接触，所以几乎处于自由漂移状态，成为理想的宁静参考源。卫星本体保持与质量块之间相互隔离的状态，在适当传感器和控制算法条件下，从而保证卫星本体实现较高的宁静性［1］。

无拖曳卫星控制器不但可以使卫星保持稳定，而且良好的控制效果有助于航天任务的完成以及降低对硬件的要求，所以无拖曳卫星控制器设计一直是无拖曳卫星研究的重点。Stephan Theil［2-3］等人考虑了无拖曳卫星控制系统的不确定性，利用分散控制策略设计了系统的鲁棒控制器。E.Canuto［4-5］等人针对GOCE卫星，建立离散时间状态方程，利用嵌入式模型控制策略设计了可调控制器。文献［6］基于干扰观测模型，设计了混合H2/H

SymboleB@

最优控制器，并以LMI形式给出了求解控制器的条件并证明了控制器的稳定性。文献［7］针对卫星本体与质量块相对轨道动力学模型，采用卡尔曼滤波方法对状态和干扰进行了估计，并基于状态估计设计了最优控制器，有效地抑制了干扰对系统的影响。文献［8］基于H2优化理论设计了最优控制器，通过传递函数法及数值法双重分析表明所设计的控制器符合控制要求。

在这些已有的控制器设计中，大多未考虑系统的非线性环节或采用线性化方法，将系统简化为线性模型，从而降低了控制器的精度。由于无拖曳卫星控制系统本质上是一个复杂的非线性系统，本文将直接针对非线性模型，考虑到系统的非线性特征及未建模动态，利用神经网络对函数的有效逼近能力，对系统模型中的非线性部分进行拟合。首先，本文将无拖曳卫星控制系统根据控制目标划分为三个子系统：卫星本体与质量块相对位移子系统，即drag-free子系统；卫星本体姿态子系统；以及卫星本体与质量块相对姿态子系统。接着，针对每个二阶子系统，利用径向基函数(Radial Basis Function)神经网络对系统的非线性部分进行拟合，通过对基函数中心和方差进行学习，并采用自适应反步控制方法，设计相应控制器，建立神经网络权值自适应律以及分散自适应控制律。仿真结果验证了所设计的控制器的有效性。

计算技术与自动化2014年6月

第33卷第2期李 季等：低轨无拖曳卫星的自适应神经网络控制器设计

本文下面内容安排如下：第2节问题描述，建立无拖曳卫星的动力学模型；第3节针对drag-free控制回路、卫星本体姿态控制回路以及卫星本体与质量块相对姿态控制回路，分别设计控制器，同时给出了稳定性分析；第4节通过仿真证明所设计的控制器的有效性；第5节给出结论与进一步的工作。

2 问题描述

本文所考虑的低轨无拖曳卫星结构设计如下：无拖曳卫星只包含一个质量块，且形状为立方体，卫星内腔壁上的位置敏感器能够测量卫星本体和质量块的相对位置。这里采用静电位置悬浮及测量系统EPS(Electrostatic Positioning/Measurement System) 来测量质量块相对移动并对其施加静电力和力矩，根据EPS的测量结果，命令推进器输出相应的推力，使卫星本体跟踪质量块。推进器可以选择场发射推进器和微胶体推进器，它们具有极低的噪声干扰，而且可以实现极小的推力，非常适合无拖曳控制。但在近地环境中，大气阻力有时比较大，尤其在卫星的迎风面，此时需要采用推力较大的推进器，如离子推进器。所以在近地环境中，无拖曳控制往往采用了多种推进器组合的方式［1,8］。本文将无拖曳卫星控制系统根据控制目标划分为三个控制回路：卫星本体与质量块相对位移控制回路，即dragfree控制回路，卫星本体姿态控制回路以及卫星本体与质量块相对姿态控制回路，相关动力学方程如下［9］：

卫星本体与质量块相对位移动力学方程：

rel=1mtm(FGtm+FDtm+FSCtm)－

1msc(FGsc+FCsc+FDsc+FTMsc)－

2ωsc×rel－ωsc×(ωsc×(rh+rrel))－

sc×(rh+rrel)(1)

其中，rrel表示卫星本体和质量块的相对位移，rh表示敏感器空腔中心与卫星质心的距离，mtm表示质量块的质量，msc代表卫星本体的质量，ωsc表示卫星本体姿态角速度，FGtm、FGsc分别表示卫星本体和质量块受到的重力，FDtm、FDsc分别表示卫星本体和质量块受到的非惯性力，FCsc表示卫星本体受到的控制力，FSCtm、FTMsc表示卫星本体和质量块之间的耦合力。

卫星本体姿态动力学方程：

sc=I－1sc［TCsc+TDsc+TTMsc－ωsc×(Iscωsc)］(2)

其中，ωsc表示卫星本体姿态角速度，Isc表示卫星本体的转动惯量，TCsc，TDsc，TTMsc分别表示卫星本体受到的控制力矩、干扰力矩和耦合力矩。

卫星本体和质量块的相对姿态动力学方程：

rel=tm－ATSsc+ωtm×ATSωsc=

I－1tm［TCtm+TDtm+TSCtm－

(ωrel+ωsc)×(Itm(ωrel+ωsc))］－

ATSsc－ATSωsc×ωrel(3)

其中，ωrel表示卫星本体和质量块的相对姿态角速度，ωtm表示质量块的姿态角速度，ωsc表示卫星本体姿态角速度，TCtm，TDtm，TSCtm分别表示质量块受到的控制力矩、干扰力矩和耦合力矩，ATS表示从卫星本体坐标系到质量块本体坐标系的旋转矩阵。

通常将质量块和卫星间的静电耦合基本模型看作一个弹簧―阻尼系统，以质量块为例，在敏感器坐标系下受到的耦合力和力矩形式如下：

FSCtm=－Ktransrrel－Dtransrel(4)

TSCtm=－Krotθrel－Drotrel (5)

其中，Ktrans为卫星本体和质量块之间的耦合水平弹性系数，Dtrans为水平阻尼系数，Krot为卫星本体和质量块之间的耦合旋转弹性系数，Drot为旋转阻尼系数。

通过线性化处理后，得到低轨无拖曳卫星控制系统的动力学简化模型如下：

rel=vrel

rel=-Ktransmtmrrel-Dtransmtmvrel-1mscFCsc+

f1(rrel,vrel

sc=ωsc

sc=I-1scTCsc+f2(φsc,ωsc)

rel=ωrel

rel=I-1tmKrotφrel+I-1tmDrotωrel+

I-1tmTCtm-I-1scTCsc+f3(φrel,ωrel)(6)

系统(6)中，φsc、ωsc分别表示卫星本体的姿态角和姿态角速度，rrel、vrel分别表示卫星本体和质量块的相对位移和相对运动速度，φrel、ωrel分别表示卫星本体和质量块的相对姿态角和相对姿态角速度。本文以欧拉角的形式给出了卫星本体和质量块的姿态。

f1(rrel,vrel)，f2(φsc,ωsc)，f3(φrel,ωrel)为未知光滑函数，代表系统的非线性特征、未建模动态及未知扰动。

注2.1与文献［9］相比，本文将扰动项1mscFDsc包含在了f1中，I－1scTDsc包含在了f2中，I－1tmTDtm、I－1scTDsc包含在了f3中，因此，文献［9］中所研究的模型是本文系统(6)的特例。

上述系统中所涉及的变量均为3维：包含x、y、z三个坐标轴方向。为了清晰地阐述本文的主要思想，以下将仅考虑单个坐标轴方向，并且假设变量之间以及坐标轴之间的交叉耦合量足够小。

定义x=［x11,x12,x21,x22,x31,x32］T，其中状态变量依次代表rrel、vrel、φsc、ωsc、φrel、ωrel。

系统(6)可写成如下三个子系统：

卫星本体与质量块相对位移子系统，即dragfree子系统：

Σ1:11=x1212=a1x11+b1x12+c1u1+f1(x11,x12)(7)

卫星本体姿态子系统：

Σ2:21=x2222=c2u2+f2(x21,x22)(8)

卫星本体与质量块相对姿态子系统：

Σ3:31=x3232=a2x31+b2x32－c2u2+c3u3+f3(x31,x32) (9)

其中，a1=－Ktransmtm，a2=I－1tmKrot，b1=－Dtransmtm，b2=I－1tmDrot，c1=－1msc，c2=I－1sc，c3=I－1tm，u1=FCsc，u2=TCsc，u3=TCtm。f1(x11,x12)，f2(x21,x22)，f3(x31,x32)代表系统的不确定性、未建模动态及未知扰动。

3 控制器设计

3.1 RBF神经网络

本文的目的是基于Lyapunov稳定性理论和自适应反步控制，对无拖曳卫星控制系统的非线性模型进行分析，设计一种自适应神经网络控制器。

人工神经网络形式多种多样，RBF神经网络是其中应用较为广泛的一种，表达形式如下［10-11］：

Ψ(X)=WTΦ(X) (10)

其中，W=［w1,w2,...,wl］T∈Rl为权重向量，Φ(x)=［φ1(X),φ2(X),...,φl(X)］T为基函数向量，l为隐含层神经元的个数，X=［x1,x2,...,xn］代表系统中的状态变量，并作为网络的训练样本输入。基函数i(X)选择高斯函数，表达式如下：

φi(X)=exp －X－ci22σ2i(11)

其中，ci=［ci1,ci2,...,cin］T是隐含层第i个径向基函数的中心点，n为输入层向量的维数，σi是径向基函数的宽度。

3.2 dragfree控制回路

3.2.1 控制器设计

系统Σ1表示dragfree控制回路：

Σ1:11=x1212=a1x11+b1x12+c1u1+f1(x11,x12)

f1(x11,x12)为未知光滑函数，由于RBF神经网络对于光滑函数的有效逼近能力，此时我们采用RBF神经网络对其进行拟合，表达式如下：

f1(x11,x12)=WT1Φ1(x11,x12) (12)

定义1为权值的估计值，1为权值的估计误差。即：

1=W1－1(13)

本节将采用RBF神经网络来对f1进行拟合，结合自适应反步控制，建立权重W1的自适应律，通过调节权重，可以达到系统自适应控制的目的。

第一步：考虑x11子系统，选择Lyapunov函数：

V11(x11)=12x211 (14)

对V11求导，得：

11=x1111=

x11x12(15)

将x12看成x11子系统的虚拟控制，令：

x12=z12+α11(x11)(16)

其中，z12为引入的新的虚拟控制，α11(x11)满足α11(0)=0，并选取为：

α11(x11)=－k11x11 (17)

其中，k11＞0为可调参数。所以

11=x11(z12+α11(x11))=

－k11x211+x11z12(18)

第二步：考虑系统(x11,x12)，选择Lyapunov函数：

V12(x12,x12)=V11(x11)+

12z212+12T1Γ11(19)

其中，Γ1为正定矩阵。

对V12求导，得：

12=－k11x211+x11z12+z1212+•T1Γ11=

－k11x211+z12(x11+12－α11x1111)+•T1Γ11=

－k11x211+z12(x11+a1x11+b1x12+

c1u1+WT1Φ1+k11x12)+•T1Γ11=

－k11x211+z12(x11+a1x11+b1x12+

c1u1+T1Φ1+k11x12)+z12T1Φ1+

•T1Γ11=

－k11x211+z12(x11+a1x11+b1x12+

c1u1+T1Φ1+k11x12)+(z12ΦT1+•T1Γ1)1 (20)

选取控制量为

u1=1c1(－x11－a1x11－b1x12－T1Φ1－

k11x12－k12z12) (21)

其中，k11＞0，k12＞0为可调参数。

权值自适应律1为

•1=z12Γ－T1Φ1=

(x12+k11x11)Γ－T1Φ1(22)

3.2.2 稳定性分析

定理 1［12］ 考虑如下非线性系统

=f(x)

且

f(0)0 (23)

若存在具有连续1阶偏导数的标量函数V(x)，满足以下条件：

1)V(x)是正定的；

2)(x)=dV(x)/dt是负定的；

3)当x

SymboleB@

时，V(x)

SymboleB@

。

则在系统原点处的平衡状态是大范围渐近稳定的。

通过上述控制器设计，由式(19)，显然V12是正定的，又12=－k11x211－k12z212，由于k11，k12为大于零的可调参数，所以12是负定的，当x11

SymboleB@

，z12

SymboleB@

时，V12

SymboleB@

，所以x11，z12在平衡状态是大范围渐近稳定的。又由式(16)和式(17)可知，当t

SymboleB@

，x110，z120时，有x120，所以x11，x12在平衡状态是大范围渐近稳定的。

3.3 姿态控制回路

3.3.1 卫星本体姿态控制回路

卫星本体姿态状态方程如下：

Σ2:21=x2222=c2u2+f2(x21,x22)

f2(x21,x22)为未知光滑函数，我们采用RBF神经网络对其进行拟合，表达式如下：

f2(x21,x22)=WT2Φ2(x21,x22)(24)

定义2为权值的估计值，2为权值的估计误差。即：

2=W2－2(25)

本节将采用RBF神经网络来对f2进行拟合，结合自适应反步控制，建立权重W2的自适应律，通过调节权重，可以达到系统自适应控制的目的。

第一步：考虑x21子系统，选择Lyapunov函数：

V21(x21)=12x221(26)

对V21求导，得：

21=x2121=x21x22(27)

将x22看成x21子系统的虚拟控制，令：

x22=z22+α21(x21)(28)

其中，z22为引入的新的虚拟控制，α21(x21)满足α21(0)=0，并选取为：

α21(x21)=－k21x21(29)

其中，k21＞0为可调参数。所以

21=x21(z22+α21(x21))=－k21x221+x21z22(30)

第二步：考虑系统(x21,x22)，选择Lyapunov函数：

V22(x21,x22)=V21(x21)+

12z222+12T2Γ22(31)

其中，Γ2为正定矩阵。

对V22求导，得：

22=－k21x221+x21z22+z2222+•T2Γ22=

－k21x221+z22(x21+22－α21x2121)+•T2Γ22=

－k21x221+z22(x21+c2u2+WT2Φ2+

k21x22)+•T2Γ22=

－k21x221+z22(x21+c2u2+T2Φ2+

k21x22)+z22T2Φ2+•T2Γ22=

－k21x221+z22(x21+c2u2+T2Φ2+

k21x22)+(z22ΦT2+•T2Γ2)2 (32)

选取控制量为

u2=1c2(－x21－T2Φ2－

k21x22－k22z22) (33)

其中，k21＞0，k22＞0为可调参数。

权值自适应律2为

•2=z22Γ－T2Φ2=(x22+k21x21)Γ－T2Φ2 (34)

3.3.2 卫星本体与质量块相对姿态控制回路

卫星本体与质量块相对姿态状态方程如下：

Σ3:31=x3232=a2x31+b2x32－c2u2+c3u3+f3(x31,x32)

f3(x31,x32)为未知光滑函数，我们采用RBF神经网络对其进行拟合，表达式如下：

f3(x31,x32)=WT3Φ3(x31,x32) (35)

定义3为权值的估计值，3为权值的估计误差。即：

3=W3－3(36)

本节将采用RBF神经网络来对f3进行拟合，结合自适应反步控制，建立权重W3的自适应律，通过调节权重，可以达到系统自适应控制的目的。

第一步：考虑x31子系统，选择Lyapunov函数：

V31(x31)=12x231 (37)

对V31求导，得：

31=x3131=x31x32(38)

将x32看成x31子系统的虚拟控制，令：

x32=z32+α31(x31)(39)

其中，z32为引入的新的虚拟控制，α31(x31)满足α31(0)=0，并选取为：

α31(x31)=－k31x31 (40)

其中，k31＞0为可调参数。所以

31=x31(z32+α31(x31))=－k31x231+x31z32(41)

第二步：考虑系统(x31,x32)，选择Lyapunov函数：

V32(x31,x32)=V31(x31)+

12z232+12T3Γ33(42)

其中，Γ3为正定矩阵。

对V32求导，得：

32=－k31x231+x31z32+z3232+•T3Γ33=

－k31x231+z32(x31+32－α31x3131)+•T3Γ33=

－k31x231+z32(x31+a2x31+b2x32－c2u2+

c3u3+WT3Φ3+k31x32)+•T3Γ33=

－k31x231+z32(x31+a2x31+b2x32－c2u2+

c3u3+T3Φ3+k31x32)+z32T3Φ3+

•T3Γ33=

－k31x231+z32(x31+a2x31+b2x32－c2u2+

c3u3+T3Φ3+k31x32)+(z32ΦT3+•T3Γ3)3 (43)

选取控制量为

u3=1c3(－x31－a2x31－b2x32+c2u2－

T3Φ3－k31x32－k32z32)(44)

其中，k31＞0，k32＞0为可调参数。

权值自适应律3为

•3=z32Γ－T3Φ3=(x32+k31x31)Γ－T3Φ3(45)

3.3.3 稳定性分析

由定理1，对于子系统Σ2，由式(31)，显然V22是正定的，又22=－k21x221－k22z222，由于k21，k22为大于零的可调参数，所以22是负定的，当x21

SymboleB@

，z22

SymboleB@

时，V22

SymboleB@

，所以x21，z22在平衡状态是大范围渐近稳定的。又由式(28)和式(29)可知，当t

SymboleB@

，x210，z220时，有x220，所以x21，x22在平衡状态是大范围渐近稳定的。同理可得，x31，x32在平衡状态是大范围渐近稳定的。

4 仿真分析

本节为了证实所提出的控制器的有效性，在matlab/simulink环境下进行了仿真验证。

仿真参数如下［9］：卫星本体质量为1050 kg，质量块质量为1 kg，卫星本体和质量块之间的初始相对距离为rrel=1×10－3m，卫星本体和质量块之间的初始相对姿态为φrel=1•π/180rad，卫星本体和质量块之间的耦合水平弹性系数Ktrans=1×10－6N/m，水平阻尼系数Dtrans=1.4×10－11N/m2，卫星本体和质量块之间的耦合旋转弹性系数Krot=1×10－9N•m/rad，旋转阻尼系数Drot=3.3×10－14N/rad，卫星本体的转动惯量Isc=200kg•m2，质量块的转动惯量Itm=2.667×10－4kg•m2。

仿真结果如图1―图3所示。

图1 卫星本体与质量块的相对位移

图2 卫星本体的姿态

从图1中可以看出，在含有不确定的情况下，通过设计的控制器，卫星本体与质量块的相对位移最终趋于零，说明卫星本体能够很好的跟踪质量块，达到dragfree控制的要求，并且精度在10－6数量级，满足dragfree控制的精度需求。图2~图3给出了卫星本体的姿态以及卫星本体与质量块的相对姿态及其控制精度，仿真结果很好的满足了卫星本体与质量块姿态的一致性。

图3 卫星本体与质量块的相对姿态

5 结 论

本文针对无拖曳卫星控制系统，考虑到系统的不确定性、未建模动态以及外界的未知扰动，采用神经网络的方法进行补偿，基于Lyapunov 稳定性理论，结合自适应反步控制，得到权值的更新律以及相应的控制器。仿真结果表明，所设计的控制器有效地抑制了不确定对控制系统的影响。

与传统卫星控制系统相比，无拖曳卫星对控制系统提出了极高的性能指标要求，下一步将考虑存在耦合时，卫星模型的建立和控制器的设计。

参考文献

［1］ 施梨，曹喜滨，张锦绣，等. 无阻力卫星发展现状［J］. 宇航学报, 2010,31(6):1511-1520.

［2］ PETTAZZI L, LANZON A,THEILS. Design of Robust Decentralized Controllers for Dragfree Satellite［C］.Proc.47th IEEE conf. Decision and Control, 2008:602-607.

［3］ PETTAZZI A,LANZON A,THEIL S. Design of Robust Drag-Free Controllers with Given Structure［J］. GUIDANCE, CONTROL, AND DYNAMICS, 2009,32(5):1609=1620.

［4］ ANDREIS D,CANUTO E. DragFree and Attitude Control for the GOCE satellite［C］.Proc.44th IEEE conf. Decision and Control, 2005:4041-4046.

［5］ CANUTO E,BONA B,CALAFIORE BM. Indri. Dragfree control for the European satellite GOCE. Part I:modelling［C］.Proc.41th IEEE conf. Decision andControl, 2002:1269-1274.

［6］ 曹喜滨，施梨，董晓光，等. 基于干扰观测的无阻力卫星控制器设计［J］.宇航学报, 2012,33(4):411-418.

［7］ 李传江，王玉爽，马广富，等. 带卡尔曼估计器的无拖曳卫星干扰补偿控制［J］.哈尔滨工业大学学报, 2012,44(7):8-13.

［8］ 李洪银，胡明. 单测试质量无拖曳卫星无拖曳及姿态系统仿真及其控制研究［J］.天文学报, 2011,52(6):525-536.

［9］ 王玉爽. 无拖曳卫星控制方法研究［D］. 哈尔滨：哈尔滨工业大学, 2011.

［10］宋申民，于志刚，段广仁. BTT导弹自适应神经网络控制［J］.宇航学报, 2007,28(5):1224-1230.

网络行为审计范文2

关键词：BP神经网络；三维加速度；特征值提取

中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2016）51-0197-02

随着物联网的高速发展，智慧医疗的应用也越来越广泛，人体行为识别作为智能监测中一个重要的研究方向，也逐渐受到各国学者的广泛关注。随着我国人口老龄化不断加剧，老年人意外摔倒问题受到人们关注，而人体行为识别方法的研究将推进更有效更准确的跌倒检测算法研究。按照信号的获取方式，可将现有的人体行为识别方法分为以下两种：基于计算机视觉的方法和基于传感器的方法。基于三轴加速度信号的识别方法属于第二种，第二种方法相较于第一种具有低功耗、高精度、携带方便等优点。目前BP神经网络是目前人工神经网络中研究最深入、应用最广泛的一种。本文选用已有的三轴加速度信号数据集，在MATLAB仿真环境下，基于BP神经网络设计并实现人体行为识别算法。

一、数据预处理

本文选用的三轴加速度数据来源于南加州大学人体行为数据集，这个数据集包括了对14名受测者的12种动作的三轴加速度信号采集。采集过程中，三轴加速度传感器位于受测者右前臂；采样频率为100Hz；12种动作每种动作由每名受测者做5次，即对每种动作采集70个样本，每个样本采集时长不定但是足够捕获动作的所有信息。考虑实际意义，本文只选取上述14名受测者的7类动作，共计490个加速度数据样本。在特征值提取前需要对滤波得到的加速度数据再进行加窗处理。选用窗口长度N为512的矩形窗，则结合采样频率可得窗口时间跨度为5.12秒，足够包含单个完整动作。经过预处理后的数据才可以用于后续的特征值的提取，并用来训练和测试所建立的BP神经网络。

二、BP神经网络的建立

BP神经网络由输入层、输出层和隐含层组成，其中输入层与输出层各为一层，隐含层可以有多层。在网络中，相邻两层间实现全连接，而处于同一层的神经元之间无连接。BP学习算法需要提供教师信号。BP网络的学习过程包括工作信号的正向传播和误差信号的反向传播，并通过修改连接两个神经元的边的权值来使得误差函数达到最小。①工作信号的正向传播。设X■■表示第k层神经元i的输入总和，Y■■为输出，第k-1层神经元j到第k层神经元i的权值为Wij，则有如下函数关系：Y■■=f（X■■）X■■=■W■Y■■ （1）

称f激励函数，通常取f为非对称Sigmoid函数，即 f（X■■）=■ （2）

②误差信号的反向传播。设输出层为第m层，则输出层第i个神经元的实际输出为Y■■，设对应的教师信号为Yi，定义误差函数e为 e=■■（Y■■-Y■）■ （3）

定义d■■表示误差函数e关于U■■的偏导数，可推得 当k=m时，有d■■=Y■■（1-Y■■）（Y■■-Y■）（4）

k

③权值的修正。设某一次学习权值的修改量为ΔWij，考虑两次学习的相关性，可定义权值修改量如下：

ΔWij（t+1）=-μ・d■■・Y■■+γ・ΔWij（t）（6）

其中，γ为表示两次修正间的相关程度的系数， μ为学习速率。综上，BP神经网络的学习目标就是：找一组最合适的边的权值Wij，使得误差函数满足 e=min■■（Y■■-Y■）■ （7）

三、BP神经网络结构设计

1.输入层。BP神经网络的输入即为各种行为的特征向量，因此首先需要选取合适的特征值构建特征向量。根据统计学原理和所选加速度信号数据集的特征，选取5个特征值：均值、方差、相关系数、偏度和峰度。5个特征值均以窗长N为提取单位，特征值的计算直接使用MATLAB已有的函数。以窗长为单位，分别计算三个轴的加速度信号的上述5种特征值，一次特征值提取可得到一个15维的特征向量，将此向量作为BP神经网络的输入，则输入层可有15个神经元。

2.隐含层。隐含层待定的系数包括隐含层的层数和每个隐含层包含的神经元个数。为提高学习速率，通常选用单隐层的神经网络，但为获得更好的学习效果，本文考虑单隐层以及双隐层的BP神经网络。

关于隐含层神经元的个数n1选取，本文参考公式如下：n■=■+p （13）

其中，n0为输入层神经元个数，nm为输出层神经元个数，p为[1，10]之间的一个常数。在利用上述公式估算的基础上，根据网络学习的结果对隐含层神经元个数再做调整，以达到最好的学习效果。

3.输出层。神经网络的输出层表示人体行为识别的结果，即判断该动作属于哪一类。根据所研究的7类动作，可以构造一个7维的输出向量。每一个输出向量对应每一次输出，向量的每一维对应每一类动作。若输入特征值来源于第Z类动作，则期望的输出向量为第Z维置“1”，其余维置“0”，而实际的输出向量的7个维度的数值分别代表属于7种动作的可能性大小，取数值最大的维度为分类结果。

网络行为审计范文3

关键词：安全审计；监控系统；系统设计；系统应用；信息网络

中图分类号：TP39；F239文献标识码：A文章编号：1003-5168（2015）08-0006-3

随着计算机技术、信息技术不断推陈出新，各类威胁到网络信息安全的因素越来越多，虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵，保护数据信息不受侵犯［1］。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此，在现有技术的基础上，通过引入安全审计系统对用户的网络行为加以记录，对网络安全隐患给出评判具有重要的现实意义。

1网络安全审计的必要性

1.1提高企业数据安全管理绩效

近年来，我国信息化程度不断加深，尤其新媒体技术和自媒体技术的出现，企业信息的网络化、无边界化趋势越来越明显，也使得网络信息安全问题不断突显。在这种情况下，无论是企业本身还是参与网络信息提供和维护的第三方，在端口和信息通道内都加强了对信息安全策略的部署，无论是信息的控制还是数据的授权，都在大量管理制度和规则下运行。即便如此，与网络信息安全相关的各类故障还是不断出现，甚至会给企业的网络运营和实际经营都造成了消极影响。但是，当我们对信息安全漏洞进行分析和查验时发现，一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失，其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为，对于一般的网络信息或者数据，借助防火墙、防病毒软件、反入侵系统等都能够解决，在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作，就会使在信息外部建立起来的防线无能为力［2］。一项最新的调查显示，企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下，亟须提高企业的内部审计能力，对内部用户的误用、滥用信息行为进行审计和监管，对那些可能或者已经造成各种安全事故的人员，在要求其协助网管人员找出原因外，还对其按照相关法律法规进行严肃处理，以杜绝此类事件再次发生。

1.2提高网络运维绩效

当前，在网络环境中构建统一的安全审计平台，提高网络运维绩效，是十分必要的。在这一平台之上，能够对重要设备系统的安全信息进行统一监管，以便能够在海量数据中挖掘出有价值的信息，使信息的获取和使用更加有效。可见，提高网络信息的可靠性和真实性，借助网络信息安全审计提供网络运维管理绩效，是网络化运营需要认真思考的问题［3］。实际上，信息的安全防御是信息安全审计的一种，都是要在信息生产的源头对其进行管理和监控，并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范，在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中，对非法操作行为和动作进行还原，使违法、违规用户的不当操作暴露出来，为认定其非法行为提供真实有效的客观证据。因此，对网络信息进行安全审计是一项复杂的系统工程，不但要规范网络、主机以及数据库的访问行为，还要对用户的使用习惯、信息内容形成和改变进行监控和审计，以便有效地完成对各类信息的监管，提高信息质量，为企事业单位的信息运用和网络运营提供安全保障。

1.3提高网络信息安全性

在网络空间中，有以下安全问题值得用户关注并予以重视：①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的，这种做法不但能提高网络信息的安全性，还能在访问控制的作用下，限制外来用户对关键资源的访问，以保证非法用户对信息或数据的入侵，同时也能对合法用户的行为进行规范，防止因操作不当而造成破坏［4］。需要注意的，访问控制系统不但界定了访问主体还界定了访问，其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计，能在很大程度上实现对网络信息的安全审计，使网络信息处在安全状态；②虽然网络是开放的，但网络数据却具有私有性，只有在被授权的情况下才能让非用户或者原始使用者访问，否则将被控制在不可见的范围。为了实现这一点，就需要进行网络安全管理，包括网络安全审计，通过信息加密，比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平，还要维护与检查安全日志；③提高网络信息安全性，为社会组织的网络化行为提供安全保障，除了要对现实中传输的信息进行安全审查外，对网络中传输的信息也要进行安全审计，通过对网络操作行为的监控，评判信息的安全等级，有针对性地对网络加以控制。

2信息时代网络安全审计的关键技术与监控范畴

在网络信息安全审计的过程中，为了最大限度地提高审计效果，不但需要借助多种信息、网络和计算机技术，还应进一步界定网络审计的监控范围，使网络信息安全审计能够在更为广阔的领域得到应用。

2.1网络安全审计的关键技术

在前文的分析中可知，在当前网络环境中，网络信息安全的直接威胁主要来自网络内部，要建立切实有效的监督体制，对有破坏信息安全倾向的员工进行监督，以保障信息安全。为了实现这个目标，除了要在制度上加以制约外，还应借助以下网络安全审计技术：①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体，以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁，但是由于监视器是这一信息系统的核心模块，需要高度保护，一旦出现故障，就会引发其他转发器都陷入被动境地，无法正常提交结果；②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术，以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术，以大量日志行为为样本，对数据中体现出来的行为进行描述、判断与比较，特征模型，并最终对用户行为特征和行为结果进行界定；③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术，该关键技术的使用能够改变网络单元状态，使连接权值处在动态之中，一旦加入一个连接或者移去一个连接，就能够向管理者指示出现了事件异常，需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下，要将多种技术配合使用，以便能对出现的异常情况做出解释，这对确认用户或者事故责任人是有明显帮助的；④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来，使问题的解决能够借助输入的信息。为了评估这些事实，在运行审计系统之前，需要编写规则代码，而这也恰是能够有效防范网络信息安全威胁的有效手段。

2.2网络信息安全审计的监控范畴

2.2.1信息安全审计方法。经验表明，一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等，用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行：采集对被审计单位的相关信息数据，以保证数据的全面性与完整性；对采集到的数据信息进行综合分析与处理，使之能够转换成对于审计工作对应的数据形式；借助计算机审计软件完成对审计数据的复核。按照业内的经验，在网络信息安全审计的设计过程中，需要将数据采集环节作为整个审计工作的前提与基础，是其中的核心环节，否则，将无法保证数据的完整性、全面性和准确性以及及时性，后面的审计工作也就无法正常开展。一般而言，借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式，它们之间具有相似性。按照这两种方式完成数据采集，一旦其中一方数据的存储格式改变，就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响，降低信息安全审计的灵活性。因此，在实际操作中，要保证数据存储格式的一致性，防止审计低效。

2.2.2信息安全审计设备。在网络信息安全审计中，只要将需要管理的网络设备（比如出口路由器、核心交换机、汇聚交换机与接入交换机等）添加到相关安全审计系统之中，就能够获得发送过来的SNMP数据包。随后，信息安全审计系统就会对数据包依据事件的等级和重要性予以分类，以便在后续的查询和使用中更加方便。实际上，网络的信息安全设备种类繁多，具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则，开启对应的SNMP功能之后，将相关设备添加到网络中安全审计系统之后，就能够进行相关操作。当然，在这一过程中，要对串联在网络中的设备予以重点关注，要保证甚至能够允许SNMP数据包通过。由此可以看出，借助安全设备实现对网络信息的监控和审计，能够为网络信息安全提供必要保障。当然，由于监控信息会不断更新，加之由于海量数据造成的压力，要依照实际需求确定监控信息可以被记录，以便能够缩小记录范围，为信息安全审计提供更有价值、更具针对性的数据。

2.2.3信息安全审计流程。通过指派权限，设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障，可以对应地分析和查找问题，找到解决问题的途径。此外，网络信息系统的类别较多，以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下，就需要以信息手册为蓝本，在与开发人员进行沟通之后，确定开放日志接口，并将其纳入到网络信息安全审计的范畴。

3网络信息安全审计监控系统的设计与应用

3.1网络信息安全审计系统的运行设计

当前，网络信息安全审计系统经常使用两个端口，其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据，无论是系统日志还是安全审计系统的安全管控中心，都要设在同一服务器之上。这样一来，基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时，按照要求从相关子系统模块中获取数据，以保证各个系统内的信息实现共享，提高信息安全审计的效率。

3.2网络信息安全审计系统的实现

网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统，社会组织还能借助网络安全监控体系，实现对网络操作对象的实时监控，保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为：①借助网络文件监控能够实现消息的安全传递，借助标签维护可实现对安全标签的及时、正确处理；②借助多线程技术，构建网络信息安全监控系统的驱动程序消息控制模块，实现对驱动程序的全程监视，并保证信息接收与发送过程处在安全保护之中；③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截，以保证网络数据访问处在全面审核与严格控制之中，使网络环境中文件的安全得到保障。

3.3网络信息安全审计系统的实际应用

通常而言，网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样，才能在投入使用之后，完全、精准地记录用户的网上操作行为，也能对数据库服务器的运行予以全面监控。比如，一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁，那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中，管理者能够借此对用户信息和相关操作进行快速定位，在极短的时间内就能够查出事故责任人，为信息安全运行和非法行为的处置都提供极大便利。此外，基于先进技术建立起来的网络信息安全审计系统，还可以在全局层面上监视网络安全状况，对出现的任何问题都能够予以有效把控，对那些可能造成企业重大变故或者机密、核心信息的外泄行为，能够借助网络信息实时动态监控系统做出积极反应。

参考文献：

［1］付晓坤.网络安全审计技术的运用［J］.中国水运，2013（9）：50-51.

［2］张文颖.探讨网络安全中安全审计与监控系统的设计与实现［J］.电脑知识与技术，2013（16）：37-38.

［3］伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求［J］.信息安全与技术，2011（12）：34-36.

网络行为审计范文4

随着互联网的发展，网络逐渐成为完成业务工作不可或缺的手段，很多政府、银行、企业纷纷将核心业务基于网络来实现。然而，网络的不断普及带来了大量的安全问题。目前全球数据泄密事件53.7%的是由于人为疏忽造成，15.8%是由内部恶意窃密，23.3%是由于黑客等外部攻击行为造成，7.2%是由于意外造成的数据丢失。根据IDC数据显示，内部泄密事件从46%上升到了67%，而病毒入侵从20%，下降到5%。

2.信息安全审计定义及作用

2.1信息安全审计定义

信息安全审计是针对网络用户行为进行管理[1]，综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控，记录网络中发生的一切，寻找非法和违规行为，为用户提供事后取证手段。

2.2信息安全审计的作用

跟踪检测。以旁路、透明的方式实时对进出内部网络的电子邮件和传输信息等进行数据截取和还原，并可根据用户需求对通信内容进行审计，提供敏感关键词检索和标记功能，从而防止内部网络敏感信息的泄漏以及非法信息的传播。取证监控。还原系统的相关协议，完整记录各种信息的起始地址和使用者，识别谁访问了系统，访问时间，确定是否有网络攻击的情况，确定问题和攻击源，为调查取证提供第一手的资料。

3.其他安全产品安全审计方面的缺陷

防火墙只是内外部网络之间建立起隔离，控制外部对受保护网络的访问，通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。入侵检测对网络中的数据包进行监测，对一些有入侵嫌疑的包进行报警，准实时性较强，但采用的数据分析算法不能过于复杂，通常只是对单个数据包或者一小段时间内的数据包进行简单分析判断，误报率和漏报率较高。漏洞扫描、防病毒等设备主要发现网络、应用软件、操作系统的逻辑缺陷和错误，提早防范网络、系统被非法入侵、攻击；发现处理病毒。

4.信息安全审计系统的分类

主机审计：审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；统一安全策略，实现集中审计等。网络审计：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。数据库审计：审计对数据库的操作行为，如增、删、改等，发现各种非法、违规操作。业务审计：对业务系统的操作行为进行审计，如提交、修改业务数据等，满足管理部门运维管理和风险内控需要。日至审计：审计网络设备、安全设备、应用系统、操作系统的日志，发现安全事件，保存证据。

5.信息安全审计系统的设计

主流的信息安全审计系统分为探针引擎和管理应用平台两部分组成[2]。探针引擎的主要功能:监听网络数据，并将数据临时保存。将不同的数据流汇聚，形成一个应用链接；根据设定的规则，对采集的数据进行初步过滤，并对采集的数据进行协议分析，提取内容信息。如在Smtp，pop3协议中，提取邮件体和附件；将采集后的数据按规定格式存储和传输。根据需要，进行传输加密。管理应用平台是由web管理平台+控制中心+数据库组成的三层结构。WEB管理控制平台主要功能：业务逻辑展现，系统管理、日志管理、策略管理、报表管理、查询统计分析。控制中心主要功能：文件中心主要是用于系统报警原始文件存储、文件读取；统计中心主要是用于定期对系统关键词报警信息、行为日志数据、网络流量数据、系统操作行为进行分类统计；数据中心主要是实现数据库与探针引擎之间的桥梁，实现策略下发、探针引擎接入控制、数据转存功能。数据库主要功能：用于结构化数据的存储。

6.信息安全审计技术在工作中的基本应用

HTTP敏感信息检测：HTTP协议的网页浏览、网页发帖监测，记录中标网页的URL、浏览时间、源IP、目的IP、源端口、目的端口以及源、目的MAC地址，并还原、保存原始网页文件到本地磁盘。通过IP地址、域名、时间范围、协议类型等组合查询查看报警信息并输出报表，通过“查看文件”链接查看原始浏览网页文件内容，通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。邮件敏感信息检测：SMTP，POP3中的敏感信息监测，记录中标网页的信息摘要、关键词、接收用户、发送用户、IP地址，并还原、保存原始邮件到本地磁盘，系统默认收、发邮件端口分别为110、25。可以通过接收用户名、发送用户名、时间范围、IP地址查询条件检索邮件敏感信息并输出报表，通过“查看文件”链接打开查看原始邮件主题、正文内容，通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。IP流量监测：监测IP主机数据流向、流量大小，按总计流量从高到低排序，并可清零流量重新统计。数据库日志检测：监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作日志记录，并记录数据库服务器及操作用户的IP、登录用户名、MAC地址、操作时间等信息。

7.结语

如何保证网络行为、信息内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题。信息安全审计技术是对网络行为进行检测与防范，也是对信息系统建设的重要补充，将继续在信息安全中发挥重要的作用。

作者:张楠 单位:吉林省统计局数据管理中心

参考文献:

网络行为审计范文5

在国外，随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布，国外的信息安全审计己经企业，得到了广泛的应用。而在我国，信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进，信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统，其功能不一，部署使用力一式也不相同。如何在等保建设中更好的应用审计系统，木文在以下内容中给出了分析和建议。

1信息安全审计的意义和目的

计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称五性。安全审计是这五性的重要保障之一，它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统，任何人进出银行，柜台操作都进行如实录像记录，一旦有异常事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。

信息系统的安全审计工作更为复杂，通过统一收集信息系统中的设备、系统、终端、应用的登录、操作日志以及其它各种网络行为，例如互联网访问，FTP传输、电子邮件等记录，通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理，发现异常事件，及时采取相应措施。

通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下:

(1)对正在发生的各类信息事件进行监控、记录和告警;

(2)为安全主管提供审计记录和分析决策，及时针对异常行为采取措施;

(3)通过安全审计记录，可以对于发生的信息系统破坏行为提供有效的法律追究证据;

(4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。

2等级保护中安全审计问题

2.1等级保护中的安全审计要求

等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络，主机，数据库和应用都有相应的安全审计要求。

2.1.1各安全域通用要求

(1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;

(2)应保护审计进程，避免受到未预期的中断;

(3)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

2.1.2网络设备和网络安全设备特殊要求

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

2.1.3主机和数据安全审计特殊要求

(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等;

(3)应能够根据记录数据进行分析，并生成审计报表。

2.2等级保护中存在的安全审计问题

在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患，不但影响了测评结果也给企业带来了安全风险。

2.2.1网络设备和安全设备存在的问题

(1)未开启安全审计功能，或只设置了相应的日志服务器但没专人定期对日志分析、记录;

(2)记录内容较简单，只包含用户登录行为，而对设备运行情况、网络告警信息、流量信息都未记录;

(3)只是简单的对日志进行保存，并未能运用这些数据做分析统计并从中发现问题;

(4)对审计记录的保存未做过优化或定期检查，没有专人进行维护，不能确保审计记录不会被修改或删除。

2.2.2主机和数据库存在的问题

(1) LINUX系列主机安全审计功能一般都未启，而对于WINDOWS系列的主机安全审计功能均是系统默认设置。

(2)主机开启了审计服务但审计对象只包含了操作系统用户，而对数据库用户和其他系统的用户并未进行审计。

(3)只是简单对日志进行保存，并没有专人对这些数据统进行计分析统计。

(4)对审计日志的记录的内容采取了系统默认保存方法，对日志存储位置、存储最大值以及达到最大值后的处理都未设置。

(5)对审计进程和审计日志均没有专人去做维护检查，不能保证审计系统的安全运行，审计日志不被非法修改。

2.3等级保护中安全审计的重要性

从保测评的结果看来，不少企业对安全审计不够重视，信息安全建设主要集中于传统的信息安全基础设施，如部署防火墙，IPS等。目前企业的信息安全管理主要依托于这类网关型安全设备上，忽略了事中监控和事后审计溯源的安全管理。从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性，对信息安全审计所需的各类资源投入不足。有效安全审计手段的缺失不仅使企业信息安全等级保护不足，而且也使企业自身信息安全管理体系存在短板，导致企业存在以下安全风险:

(1)内部风险:由内部员工违规操作导致的安全风险和网络的非法接入带来的风险。

(2)第二力一维护:企业系统由第二力一维护所带来的风险。

(3)系统日志:单纯的分析业务系统或者数据库系统的日志，都无法对整个访问过程是否存在风险进行判断。

4信息安全审计系统在等级保护建设中的应用

等级保护建设中提出了很多具体的安全审计要求。不少企业不知从何处着手开展工作。信息安全审计系统种类繁多、针对性强，在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点，有针对性的进行建设才能最终满足等级保护要求，提高企业安全水平。

4.1等保三级系统中网络设备和网络安全设备的安全审计

4.1.1等级保护基木要求

(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

(2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

(3)应能够根据记录数据进行分析，并生成审计报表;

(4)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

4.1.2可采用的审计系统

按照等级保护二级系统中对网络设备和网络安全设备的安全审计基本要求，可采用网络审计系统。

4.1.3符合度分析

网络审计系统通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全而记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位。

4.2等保三级系统中主机和数据库的安全审计

4.2.1等级保护基木要求

(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

(2)审计内容应包括重要用户行为、系统资源的异常使用和}重要系统命令的使用等系统内重要的安全相关事件;

(3) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

(4)应能够根据记录数据进行分析，并生成审计报表;

(5)应保护审计进程，避免受到未预期的中断;

4.2.2可采用的审计系统

按照等级保护二级系统中对主机和数据库的安全审计基本要求，可采用终端审计系统、运维审计系统、数据库审计系统。

5总结

网络行为审计范文6

关键词：网络安全审计；日志；日志格式

中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)14-20803-02

1 引言

防火墙、入侵检测系统和安全审计系统等安全产品为内部网络提供了良好的保护作用。安全审计系统提供了一种通过收集各种网络信息从而发现有用信息的机制，将这种机制应用于局域网内部，从多种网络安全产品中收集日志和警报信息并分析，从而实现效能的融合，与防火墙、入侵检测系统等安全产品形成合力，为局域网的安全提供强有力的保障。

如何高效的从各种网络设备所生成的海量的日志数据信息中提取有用信息，通过格式的统一整合后为安全审计系统提供统一接口，这是安全审计系统一项十分关键的工作，也是影响整个系统性能的一个重要因素，本文就此进行探讨。

2 安全审计系统的功能需求

安全监控与审计技术通过实时监控网络活动，分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、跟踪识别违反安全法则的行为等功能，使系统管理员可以有效地监控、评估自己的系统和网络。监控审计技术是对防火墙和入侵检测系统的有效补充，弥补了传统防火墙对网络传输内容粗粒度(传输层以下)的控制不足，同时作为一种重要的网络安全防范手段，对检测手段单一的入侵检测系统也是有益的补充，能及时对网络进行监控，规范网络的使用[1]。

目前，安全审计系统是网络安全领域的一个研究热点，许多研究者都提出了不同的系统模型，这包括对内容进行审计的安全审计系统、对用户行为进行审计的安全审计系统以及对各种安全设备生成的日志进行审计的安全审计系统等等。

基于日志的网络安全审计系统是一个日志接收与日志分析的审计系统，该系统能够接收、分析审计局域网内的防火墙、入侵检测系统等网络安全产品生成的日志，审计局域网内的网络信息安全。基于日志的网络安全审计系统的功能需求如下：

(1) 集中管理：审计系统通过提供一个统一的集中管理平台，实现对日志、安全审计中心、日志数据库的集中管理，包括对日包更新、备份和删除等操作。

(2) 能采集各种操作系统的日志，防火墙系统日志，入侵检测系统日志，网络交换及路由设备的日志，各种服务和应用系统日志，并且具备处理多日志来源、多种不同格式日志的能力。

(3) 审计系统不仅要能对不同来源的日志进行识别、归类和存储，还应能自动将其收集到的各种日志转换为统一的日志格式，以供系统调用。并且能以多种方式查询网络中的日志记录信息，以报表的形式显示。

(4) 能及时发现网络存在的安全问题并通知管理员采取相应措施。系统必须从海量的数据信息中找出可疑或危险的日志信息，并及时以响铃、E-mail或其他方式报警，通知管理员采取应对措施及修复漏洞。

(5) 审计系统的存在应尽可能少的占用网络资源，不对网络造成任何不良的影响。

(6) 具备一定的隐蔽性和自我保护能力。具有隐蔽性是说系统的存在应该合理“隐藏”起来，做到对于入侵者来说是透明而不易察觉系统的存在。

(7) 保证安全审计系统使用的各种数据源的安全性和有效性。若采用未经加密的明文进行数据传输，很容易被截获、篡改和伪造，工作站与服务器之间的通讯应进行加密传输，可采用SSL、AES、3DES等加密方式。

(8) 具有友好的操作界面。

3 安全审计系统的模型概述

如图1所示，基于日志的安全审计系统主要包含如下模块：

(1) ：负责收集各种日志数据，包括各种操作系统的日志，防火墙系统日志、入侵检测系统日志、网络交换及路由设备的日志、各种服务和应用系统日志等。定时或实时发送到审计中心。其间，日志数据的传送采用加密方式进行发送，防止数据被截获、篡改和伪造。

(2) 数据预处理模块：将采集到的日志数据经过解密后按照数据来源存入相应的数据库中。

(3) 系统管理模块：负责对日志、安全审计中心、日志数据库的集中管理，包括对日志数据的更新、备份和删除等操作。

(4) 数据处理模块：负责自动将收集到的各种日志转换为统一的日志格式，并且从海量的数据中通过模式匹配，发现并找出可疑或危险的日志信息，交由“日志报警处理模块”进行处理。

(5) 日志报警处理模块：处理已发现的问题，以响铃、E-mail或其他方式报警通知管理员采取应对措施。

(6) 数据库模块：负责接收、保存各种日志数据，包括策略库也存放其中。

(7) 接口模块：供用户访问、查询。

4 安全审计系统中有用数据整合的方法

4.1 安全审计系统的数据源

安全审计系统可以利用的日志大致分为以下四类[2]：

4.1.1 操作系统日志

a) Windows系统日志。Windows NT/2K/XP的系统日志文件有应用程序日志、安全日志和系统日志等，日志默认位置在%systemroot%\system32\config目录下。Windows是使用一种特殊的格式存放它的日志文件，这种格式的文件通常只可以通过事件查看器EVENT VIEWER读取。

b) Linux/Unix系统日志。在Linux/Unix系统中，有三个主要的日志子系统：连接时间日志、进程统计日志和错误日志。错误日志――由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。

4.1.2 安全设备日志

安全设备日志主要是指防火墙，入侵检测系统等网络安全设备产生的日志。这部分日志格式没有统一标准。目前，国内多数防火墙支持WELF(Web Trends Enhanced Log Format)的日志格式，而多数入侵检测系统的日志兼容Snort产生日志格式。

4.1.3 网络设备日志

网络设备日志是指网络中交换机、路由器等网络设备产生的日志，这些设备日志通常遵循RFC3164(TheBSD syslog Protocol)规定的日志格式,可以通过syslogd实现方便的转发和处理。一个典型的syslog记录包括生成该记录的进程名字、文本信息、设备和优先级范围等。

4.1.4 应用系统日志

应用系统日志包含由各种应用程序记录的事件。应用系统的程序开发员决定记录哪一个事件。Web应用程序日志往往是系统管理员最关心的应用系统日志之一。

a) Apache日志。Apache日志记录Apache服务器处理的所有请求和出错信息，它支持两种格式的日志：普通记录格式(Common Log Format)，组合记录格式(Combined Log Format)。

b) IIS日志。IIS日志文件记录了所有访问IIS服务程序的信息，IIS日志文件一般位于如下路径：%systemroot%\system32\LogFiles。IIS支持“W3C扩充日志文件格式”、“NCSA通用日志格式”和“ODBC数据库日志格式”。