劉逸堅

摘要：本文詳細描述了網(wǎng)絡(luò)行為分析系統(tǒng)的設(shè)計實現(xiàn)細節(jié)，同時在真實的教育區(qū)域網(wǎng)絡(luò)中進行了實驗，驗證了系統(tǒng)的功能。首先介紹本系統(tǒng)的應(yīng)用背景——廣州市海珠教育科研網(wǎng)，本系統(tǒng)的設(shè)計與應(yīng)用完全針對該教育科研網(wǎng)，力求能對網(wǎng)內(nèi)用戶（主要是學(xué)生）的網(wǎng)絡(luò)行為進行分析，并在此基礎(chǔ)上進行一定的引導(dǎo)和管理。其次介紹網(wǎng)絡(luò)行為分析系統(tǒng)的設(shè)計實現(xiàn)細節(jié)，從總體設(shè)計目標(biāo)，總體結(jié)構(gòu)以及主要模塊的設(shè)計三個角度加以闡述。最后介紹實驗環(huán)境、實驗過程以及實驗結(jié)果分析。

關(guān)鍵詞：網(wǎng)絡(luò)行為；系統(tǒng)設(shè)計；網(wǎng)絡(luò)行為分析系統(tǒng)；海珠教育科研網(wǎng)

中圖分類號：TP393 文獻標(biāo)識碼：A文章編號：1673-8454（2009）10-0070-05

一、 海珠教科網(wǎng)概述

廣州市海珠教育科研網(wǎng)建設(shè)項目是海珠區(qū)教育基礎(chǔ)設(shè)施項目之一，是海珠區(qū)社會信息化的重要組成部分，具有網(wǎng)絡(luò)管理功能及數(shù)據(jù)中心功能，此中心之上將為基礎(chǔ)教育、職業(yè)教育、成人教育和教師繼續(xù)教育等提供全方位的教育教學(xué)信息資源服務(wù)，為相應(yīng)群體提供電子教學(xué)的平臺及內(nèi)容，并為各教育實體提供相應(yīng)的管理平臺。海珠區(qū)教育科研網(wǎng)中心將集網(wǎng)絡(luò)管理及教育管理信息化、教育教學(xué)資源、教育行政信息、遠程教育、教師培訓(xùn)、社區(qū)成人教育等應(yīng)用項目于一體。

所有的海珠區(qū)完成校園網(wǎng)建設(shè)的中小學(xué)校、幼兒園與海珠教科網(wǎng)中心之間實現(xiàn)高帶寬、穩(wěn)定、安全的連接，廣州市海珠教育科研網(wǎng)以1000M的裸光纖連接廣州市教育科研網(wǎng)，教科網(wǎng)成為全區(qū)各中小學(xué)校、幼兒園校園網(wǎng)和直屬單位網(wǎng)絡(luò)的唯一出口。圖1為廣州市海珠教育科研網(wǎng)拓?fù)鋱D。以下是海珠區(qū)教育信息化的建設(shè)情況：

1.基本情況

海珠區(qū)教育局下轄中學(xué)28所；小學(xué)72所；中職技校2所。學(xué)生總數(shù)10萬多人；在編教師7000多人。

2.網(wǎng)絡(luò)環(huán)境

全區(qū)各級學(xué)校中，92％可以通過寬帶教科網(wǎng)接入互聯(lián)網(wǎng)，8％的學(xué)校通過撥號接入海珠教科網(wǎng)。經(jīng)過持續(xù)建設(shè)后，短時間內(nèi)即可建成支持教育信息化應(yīng)用的寬帶網(wǎng)絡(luò)基礎(chǔ)環(huán)境。

3.硬件設(shè)施

全區(qū)計算機總數(shù)達16496臺。實現(xiàn)總生機比10.88∶1，其中小學(xué)11.7∶1；初中10.24∶1；高中5.49∶1。已達到或超過“校校通”工程的要求。為全區(qū)教育信息化應(yīng)用提供了基本的硬件基礎(chǔ)。

二、網(wǎng)絡(luò)行為分析系統(tǒng)總體設(shè)計

1.設(shè)計目標(biāo)

（1） 功能要求

①實現(xiàn)海珠區(qū)教育科研網(wǎng)所有用戶上網(wǎng)行為詳細記錄，為保障網(wǎng)絡(luò)安全提供了審計數(shù)據(jù)基礎(chǔ)。系統(tǒng)應(yīng)實現(xiàn)對廣州市“教育e時代”教育專網(wǎng)用戶的上網(wǎng)行為記錄、審計、統(tǒng)計與分析，能給教育行政部門提供了未成年人上網(wǎng)行為、熱門網(wǎng)站、潮流行為及其網(wǎng)上興趣愛好等重要基礎(chǔ)信息、分析數(shù)據(jù)和具體分析結(jié)果，能在通過流行的信息網(wǎng)絡(luò)加強未成年人思想道德教育工作上提供大量準(zhǔn)確可靠的決策依據(jù)。

②從海量的上網(wǎng)記錄數(shù)據(jù)中，按要求、按規(guī)則及時排查分析出不良上網(wǎng)行為的信息。根據(jù)海珠區(qū)教育科研網(wǎng)網(wǎng)絡(luò)出口的統(tǒng)計數(shù)據(jù)，平均每秒在線并發(fā)連接數(shù)是12000，并發(fā)連接數(shù)峰值是16000。這樣每天網(wǎng)絡(luò)審計的記錄都是海量數(shù)據(jù)，利用人工排查分析出不良上網(wǎng)行為幾乎是不可能的。系統(tǒng)應(yīng)能自動根據(jù)入侵檢測規(guī)則、防黃規(guī)則、防毒規(guī)則和其它安全規(guī)則進行自動排查分析，從而準(zhǔn)確地獲得不良上網(wǎng)行為的記錄信息。

③對網(wǎng)上不良行為、犯罪活動進行跟蹤和追查。對網(wǎng)內(nèi)用戶或冒充廣州市海珠區(qū)教育科研網(wǎng)用戶，進行危害國家安全與社會穩(wěn)定行為進行追查：如對信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加的；故意制作、傳播計算機病毒等破壞性程序的；宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪等行為。我們都能利用網(wǎng)絡(luò)行為分析系統(tǒng)對這些行為進行分析，并嚴(yán)密的監(jiān)控和跟蹤。

④建立市、區(qū)、校的教科網(wǎng)聯(lián)防安全機制，形成廣州市教育科研網(wǎng)絡(luò)統(tǒng)一安全陣線。系統(tǒng)能與海珠區(qū)教育科研網(wǎng)中的IDS系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)和千兆防火墻實現(xiàn)安全聯(lián)動。對多次追查并列入黑名單的用戶和上網(wǎng)行為進行自動深入跟蹤并做詳細記錄，發(fā)現(xiàn)有不法網(wǎng)上行為和操作時，應(yīng)立即向“教育e時代”專網(wǎng)IDS系統(tǒng)、“教育e時代”專網(wǎng)CA認(rèn)證系統(tǒng)和防火墻報警，必要時實現(xiàn)強硬安全措施，通過自動防火墻設(shè)置立即中斷該網(wǎng)上行為和用戶登錄。與此同時，要將分析報告出現(xiàn)的網(wǎng)上不良行為自動報告廣州市教育科研網(wǎng)入侵檢測系統(tǒng)并報警，另外，能與各區(qū)教育科研網(wǎng)防火墻聯(lián)動，實現(xiàn)市區(qū)聯(lián)防。

（2）性能要求

①系統(tǒng)的穩(wěn)定性和安全性。系統(tǒng)是面向海珠區(qū)教育科研網(wǎng)的所有用戶，記錄學(xué)生每分每秒的上網(wǎng)動作和具體信息。區(qū)教科網(wǎng)共有10萬多用戶，系統(tǒng)的記錄、分析和處理并發(fā)量非常大，而且盡量避免出現(xiàn)錯記和遺漏等現(xiàn)象。所以網(wǎng)絡(luò)行為分析系統(tǒng)的設(shè)計必須能夠根據(jù)需求，充分考慮用戶的并發(fā)數(shù)量，提供高度的穩(wěn)定性和安全性。

②安全聯(lián)動性。網(wǎng)絡(luò)行為分析系統(tǒng)發(fā)現(xiàn)預(yù)設(shè)的非法網(wǎng)上行為時，要及時向網(wǎng)絡(luò)管理員報警，并自動進行安全聯(lián)防動作，即向IDS系統(tǒng)和防火墻發(fā)出防范動作請求，由防火墻實施安全保護策略。

③可擴展性。學(xué)生網(wǎng)絡(luò)行為分析系統(tǒng)要具備網(wǎng)絡(luò)流量監(jiān)控和各種上網(wǎng)行為控制功能的可擴展性能。例如：上網(wǎng)流量分析、上網(wǎng)時間分析、上網(wǎng)瀏覽網(wǎng)站類型分析和黃色網(wǎng)站、病毒、網(wǎng)絡(luò)入侵分析等功能。

2.總體架構(gòu)

網(wǎng)絡(luò)行為分析系統(tǒng)的主要架構(gòu)為B/S架構(gòu)，無論是前臺操作或是后臺管理，全部操作均使用通用瀏覽器進行，保證系統(tǒng)易于操作、易于使用、界面友好。利用服務(wù)器端IIS將網(wǎng)站架構(gòu)在Internet平臺，主體程序使用J2EE、

Microsoft Active Server Page作為網(wǎng)站的主體編寫語言，利用XML技術(shù)，結(jié)合電子身份認(rèn)證系統(tǒng)（NETCA），并提供用戶管理、系統(tǒng)管理、日志管理等功能，為用戶提供了信息安全平臺。

系統(tǒng)基于面向服務(wù)的架構(gòu)（Service-Oriented Architecture ，SOA）使服務(wù)器作為網(wǎng)絡(luò)行為分析系統(tǒng)的核心。服務(wù)器用開放式標(biāo)準(zhǔn)，并通過遠程登錄的后即可進行操作。系統(tǒng)應(yīng)能與入侵檢測、原有防火墻進行B/S方式的聯(lián)動，是利用加密的SSL消息建立安全的連接，構(gòu)建一個安全數(shù)據(jù)傳輸通道和基于ActiveX DLL數(shù)據(jù)庫連接實現(xiàn)的，這個方法和基于SAML的安全性令牌不相關(guān)。通過配置不同的Credential Mapper和Identity Asserter對，可以支持其他的安全性令牌類型。

圖2是針對海珠區(qū)教科網(wǎng)用戶及管理員的數(shù)據(jù)交換圖。網(wǎng)絡(luò)行為分析系統(tǒng)的體系結(jié)構(gòu)如圖3所示。

3.模塊分析

系統(tǒng)主要分為數(shù)據(jù)采集模塊、預(yù)處理模塊、數(shù)據(jù)包解碼模塊、主題分析模塊、行為分析模塊，各模塊之間的關(guān)系圖4所示。

（1） 數(shù)據(jù)采集模塊

網(wǎng)絡(luò)監(jiān)聽技術(shù)本來是提供給網(wǎng)絡(luò)安全管理人員進行管理的工具，可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，使用監(jiān)聽技術(shù)進行攻擊并不是一件難事，只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。

網(wǎng)絡(luò)行為分析系統(tǒng)的工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，包中包含著應(yīng)該接收數(shù)據(jù)包主機的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收。但是，當(dāng)服務(wù)器打開工作監(jiān)聽模式，無論數(shù)據(jù)包中的目標(biāo)地址是什么，服務(wù)器都將接收（通過鏡像口復(fù)制流經(jīng)網(wǎng)關(guān)的所有數(shù)據(jù)）。

本模塊實現(xiàn)的功能到Libpcap庫流程的循環(huán)抓包前為止通過OpenPcap函數(shù)依次調(diào)用圖5的Libpcap庫中的函數(shù)。

（2）預(yù)處理模塊

預(yù)處理程序的模塊化，使得網(wǎng)絡(luò)行為分析系統(tǒng)的功能可以很容易地擴展，用戶和程序員能夠?qū)⒛K化的插件方便地融入網(wǎng)絡(luò)行為分析系統(tǒng)之中。預(yù)處理程序代碼在探測引擎被調(diào)用之前運行，但在數(shù)據(jù)包譯碼之后。通過這個機制，數(shù)據(jù)包可以通過額外的方法被修改或分析。使用Preprocessor關(guān)鍵字加載和配置預(yù)處理程序，SetPktProcessor函數(shù)實現(xiàn)數(shù)據(jù)包解碼，根據(jù)Datalink（由上面的Libpcap庫函數(shù)得到）的值來判斷并關(guān)聯(lián)解碼，函數(shù)解碼結(jié)構(gòu)如圖6所示。

（3）應(yīng)用協(xié)議解析模塊

應(yīng)用協(xié)議解析模塊是網(wǎng)絡(luò)行為分析系統(tǒng)中的核心模塊。本文實現(xiàn)的應(yīng)用層協(xié)議識別是基于正則表達式的分組內(nèi)容模式匹配。

該模塊從正則表達式規(guī)則庫中載入各種應(yīng)用協(xié)議的正則表達式特征字，實時對分組內(nèi)容進行匹配。本文目前實現(xiàn)的正則表達式規(guī)則庫總共包含78種應(yīng)用協(xié)議的特征字。

（4） 主題分析模塊

主題分析功能模塊主要實現(xiàn)的功能是，對一些統(tǒng)計分析主題進行常用統(tǒng)計、相關(guān)分析、聚類分析和判別分析等，從而得出科學(xué)的統(tǒng)計分析信息。這些統(tǒng)計分析信息主要是以排行榜和統(tǒng)計報表的形式顯示。

一些分析主題的例子包括：學(xué)生最喜愛的網(wǎng)站排行、學(xué)生最喜愛的搜索引擎排行、學(xué)生最喜愛的欄目排行、學(xué)生最喜愛的論壇排行等。

1）學(xué)生網(wǎng)上流行前線：記錄學(xué)生上網(wǎng)最關(guān)注的時事、體育、娛樂熱點話題，在一個固定的時間（如一個星期，一個月）系統(tǒng)自動得出學(xué)生最關(guān)心的網(wǎng)上流行話題統(tǒng)計表，用戶也可以自定義時間段得出所需要的統(tǒng)計報表。

2）學(xué)生最喜愛的網(wǎng)站排行：記錄學(xué)生所有曾經(jīng)瀏覽的網(wǎng)站的IP地址，統(tǒng)計每一個IP地址的訪問總?cè)舜魏驮L問頻率。

3）學(xué)生最喜愛的搜索引擎排行：記錄學(xué)生所有曾經(jīng)訪問的搜索引擎的IP地址、URL和引擎名稱，統(tǒng)計每一個搜索引擎的總訪問人次和訪問頻率。

4）學(xué)生最喜愛的欄目排行：收集學(xué)生較多關(guān)注的網(wǎng)站欄目，記錄該欄目的網(wǎng)頁URL，把不同網(wǎng)站同一類型的欄目當(dāng)成一個欄目統(tǒng)計其訪問總?cè)舜巍?/p>

5）學(xué)生最喜愛的資源排行：統(tǒng)計學(xué)生較多關(guān)注的網(wǎng)絡(luò)資源，如電影、動漫、連續(xù)劇、MP3等，統(tǒng)計每一類的訪問總?cè)舜蔚贸雠判邪瘛?/p>

6）學(xué)生最喜愛的軟件排行：統(tǒng)計學(xué)生所有曾經(jīng)下載的軟件，瀏覽學(xué)習(xí)或者下載過其教程的軟件。

7）學(xué)生最喜愛的論壇排行：記錄學(xué)生所以曾經(jīng)登錄、發(fā)帖的論壇的IP地址和論壇名稱，統(tǒng)計其訪問總?cè)舜魏驮L問頻率，每星期更新排行榜。

8）學(xué)生最喜愛的聊天工具排行：統(tǒng)計學(xué)生所有曾經(jīng)使用的聊天工具名稱和其連接端口。

9）學(xué)生最喜愛的下載網(wǎng)站排行：記錄學(xué)生所有曾經(jīng)訪問的主流專業(yè)下載網(wǎng)站的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜魏驮L問頻率。

10）學(xué)生最喜愛的音樂站排行：記錄學(xué)生所有曾經(jīng)訪問的主流音樂網(wǎng)站的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜魏蛯W(xué)生上這類網(wǎng)站的目的（下載音樂、關(guān)注動向等）。

11）學(xué)生最喜愛的娛樂站排行：記錄學(xué)生所有曾經(jīng)訪問的主流娛樂網(wǎng)站的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜魏蛯W(xué)生關(guān)注的娛樂項目（電影、音樂、八卦新聞等）。

12）學(xué)生最喜愛的游戲站排行：記錄學(xué)生所有曾經(jīng)訪問的主流游戲網(wǎng)站的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜?、學(xué)生關(guān)注的游戲類型（網(wǎng)游、大型單機游戲、游戲等）和學(xué)生在線玩小游戲的頻率和所使用的端口。

13）學(xué)生最喜愛的新聞?wù)九判校河涗泴W(xué)生所有曾經(jīng)訪問的主流新聞門戶網(wǎng)站的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜魏蛯W(xué)生關(guān)注的新聞欄目（體育、時事）等。

14）學(xué)生最喜愛的電子郵局排行：記錄學(xué)生所有曾經(jīng)訪問的電子郵局的IP地址和網(wǎng)站名稱，統(tǒng)計訪問總?cè)舜魏驮L問頻率。

15）使用匿名代理的統(tǒng)計分析：統(tǒng)計使用匿名代理上網(wǎng)的數(shù)量。

16）瀏覽性教育相關(guān)網(wǎng)站欄目的統(tǒng)計分析：記錄學(xué)生瀏覽性教育相關(guān)網(wǎng)站、欄目的IP地址或者網(wǎng)頁URL，統(tǒng)計訪問總?cè)舜巍?/p>

17）瀏覽暴力相關(guān)網(wǎng)站的統(tǒng)計分析：記錄學(xué)生瀏覽暴力相關(guān)的IP地址，統(tǒng)計訪問總?cè)舜巍?/p>

18）瀏覽色情/性行為相關(guān)網(wǎng)站的統(tǒng)計分析：記錄學(xué)生瀏覽色情/性行為相關(guān)網(wǎng)站的IP地址，統(tǒng)計訪問總?cè)舜巍?/p>

19）對指定關(guān)鍵字庫進行搜索的統(tǒng)計分析：統(tǒng)計學(xué)生對指定關(guān)鍵字庫中存在的關(guān)鍵字的搜索人次和搜索頻率。

（5） 行為分析模塊

行為分析功能模塊是以數(shù)據(jù)倉庫為基礎(chǔ)，運用數(shù)據(jù)挖掘的各種技術(shù)，對歷史的，綜合的數(shù)據(jù)進行統(tǒng)計，以統(tǒng)計報表的形式輸出統(tǒng)計結(jié)果，方便用戶進行下一步的分析（如圖7）。這個功能模塊主要包括三方面統(tǒng)計數(shù)據(jù)：一是訪問人群信息統(tǒng)計，主要包括新訪問者與重復(fù)訪問者的數(shù)據(jù)統(tǒng)計，具體信息還包括這些人群地理分布等；二是訪問行為統(tǒng)計分析，主要包括以單篇日志為單位的訪問量分布統(tǒng)計、以日志分類為單位的分布統(tǒng)計等；三是對網(wǎng)志站點向外鏈接與來訪站點分布的統(tǒng)計，還包括通過搜索引擎訪問網(wǎng)志的信息分布統(tǒng)計等。

下面介紹粗糙集對學(xué)生上網(wǎng)行為數(shù)據(jù)挖掘的實現(xiàn)原理。假設(shè)現(xiàn)有8種類型的信息記錄構(gòu)成了一個數(shù)據(jù)集合A，記為：A={x1,x2,x3,x4,x5,x6,x7 ,x8}，每種數(shù)據(jù)記錄都有信息屬性，按照信息安全類別的不同，我們將這些信息分成R1={安全，普通，危險}三個大類，那么所有安全的信息構(gòu)成集合X1={x1,x2,x6,x8}，普通信息構(gòu)成集合X2={x3,x4}，危險的信息是：X3={x5,x7 }。按照信息安全類別這個屬性我們就把數(shù)據(jù)集合A進行了一個劃分(所謂A的劃分就是指對于A中的任意一個元素必然屬于且僅屬于一個分類），那么數(shù)據(jù)集合屬性就形成了一種知識。一種對集合A的劃分就對應(yīng)著關(guān)于A中數(shù)據(jù)的一個知識，假如還有其他的屬性，比如還有訪問類別R2={學(xué)習(xí),娛樂,數(shù)據(jù)傳輸}，傳輸方式R3={Http,FTP,流媒體}，這樣加上R1屬性對A構(gòu)成的劃分分別為：

A/R1={X1,X2,X3}={{x1,x2,x6},{x3,x4},{x5,x7,x8}}

（安全類別分類）

A/R2={Y1,Y2,Y3}={{x1,x2},{x5,x8},{x3,x4,x6,x7}}

（訪問類型分類）

A/R3={Z1,Z2,Z3}={{x1,x2,x5},{x6,x8},{x3,x4,x7}}

（傳輸方式分類）

這些所有的分類合在一起就形成了一個基本系統(tǒng)分析的知識庫。除了安全的{x1,x2,x6}、Http傳輸?shù)膡x1,x2,x5}、學(xué)習(xí)類型的{x1,x2}這樣的概念以外還可以表達例如：Http傳輸?shù)膶W(xué)習(xí)類型{x1,x2,x5}∩{x1,x2}={x1,x2}，危險的數(shù)據(jù)傳輸({x5,x7,x8}∩{x3,x4,x7}∩{x3,x4,x6,x7}={x7}，危險的FTP傳輸{x5,x7,x8}∪{x6,x8}={x5,x6,x7,x8}。而類似這樣的概念可以通過求交運算得到，比如X1與Y1的交就表示安全的學(xué)習(xí)訪問。所有的這些能夠用交、并表示的概念以及加上上面的三個基本知識(A/R1,A/R2.A/R3)一起就構(gòu)成了一個知識系統(tǒng)記為R=R1∩R2∩R3，它所決定的所有知識是A/R={{x1,x2},{x3},{x4},{x5},{x6},{x7},{x8}}以及A/R中集合的并。

網(wǎng)絡(luò)行為分析系統(tǒng)分析型數(shù)據(jù)庫（DW數(shù)據(jù)）中的二維表如表1所示。

可以看出，這個表就是上面的那個例子的二維表格體現(xiàn)，而最后一列是我們的決策屬性，也就是說評價什么樣的數(shù)據(jù)集合正常。這個表中的每一行表示了類似這樣的信息：安全的學(xué)習(xí)類型Http訪問正常，危險的娛樂類型FTP訪問異常等等。系統(tǒng)把所有的記錄看成是論域A={x1,x2,x3,x4,x5,x6,x7,x8}，任意一個列表示一個屬性構(gòu)成了對論域的元素上的一個劃分，在劃分的每一個類中都具有相同的屬性，而條件屬性：安全類別、訪問類型、傳輸方式都是可以通過管理員添加設(shè)置。系統(tǒng)將管理員設(shè)置的條件屬性發(fā)送至內(nèi)部判斷機制類，自動計算決策屬性（最后一項的是否正常）的近似值，最后我們得到化簡后的知識庫R2,R3，從而能得到下面的決策規(guī)則：安全的學(xué)習(xí)->正常，學(xué)習(xí)Http->正常，危險的數(shù)據(jù)傳輸->異常，流媒體數(shù)據(jù)傳輸->正常，危險的FTP->異常，利用粗集的理論還可以對這些規(guī)則進一步化簡得到：安全->正常，學(xué)習(xí)->正常，危險->異常。這就是上面這個數(shù)據(jù)表所包含的真正有用的知識，而這些知識都是從數(shù)據(jù)庫有粗糙集方法自動學(xué)習(xí)得到的。

三、小結(jié)

本文詳細描述了網(wǎng)絡(luò)行為分析系統(tǒng)的設(shè)計實現(xiàn)細節(jié)，同時在真實的教育科研網(wǎng)絡(luò)中進行了實驗，驗證了系統(tǒng)的功能。

首先介紹了本系統(tǒng)的應(yīng)用背景——廣州市海珠教育科研網(wǎng)，本系統(tǒng)的設(shè)計與應(yīng)用完全針對該教育區(qū)域網(wǎng)，力求能對網(wǎng)內(nèi)用戶（主要是學(xué)生）的網(wǎng)絡(luò)行為進行分析并在此基礎(chǔ)上進行一定的引導(dǎo)和管理。第二部分是網(wǎng)絡(luò)行為分析系統(tǒng)的設(shè)計實現(xiàn)細節(jié)，從總體設(shè)計目標(biāo)，總體結(jié)構(gòu)以及主要模塊的設(shè)計三個角度加以闡述。最后還介紹了實驗的環(huán)境、實驗過程以及實驗結(jié)果分析。

參考文獻：

[1]殷肖川，劉志宏，姬偉鋒，萬映輝.網(wǎng)絡(luò)編程與開發(fā)技術(shù)[M].西安：西安交通大學(xué)出版社，2003：33-92.

[2]盧開澄.計算機密碼學(xué)——計算機網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全[M].北京：清華大學(xué)出版社，1998：12-23.

[3]陳蕾蕾，曲保章.IP數(shù)據(jù)報重組算法及實現(xiàn)[J].今日電子，1998.第7期：31-33.

（編輯：隗爽）