本發明提供一種基于遺傳神經網絡檢驗內網用戶行為的方法和系統，所述方法基于采集的實際內網用戶行為的數據，結合遺傳算法的全局搜索能力和后向神經網絡的局部精確搜索能力，對用戶行為的數據進行訓練，從而使遺傳神經網絡在學會用戶行為模式后，能將用戶數據轉換成相應數值后進行實時用戶行為分析，并極大地提高了檢驗內網用戶行為的速度。

技術領域

本發明涉及計算機網絡安全領域，并且更具體地，涉及一種基于遺傳神經網絡檢驗內網用戶行為的方法和系統。

背景技術

現有技術中，信息安全的防御理念集中在防火墻等網關級別以及一些網絡邊界，包括系統的漏洞掃描，入侵檢測系統，安全審計系統等，主要的安全監控設施設置在網絡入口。目前這些技術相對成熟，很大程度上能夠防止外部不安全因素的入侵和威脅。根據有關權威機構的研究顯示：來自于網絡外部的不安全事件只占20％，源于內部網絡的不安全事件卻占80％的比例。可見，內網不安全因素遠高于外網，如何保障內網信息安全是網絡管理人員需要面對的重要問題。

目前大多企業和單位網絡采用的內網信任機制，這種機制默認企業和單位內部接觸網絡的工作人員都是安全可信任的，這就是造成這種現象出現的主要原因。內網用戶是直接操作內網的主要群體，而用戶行為是靈活多變不可預測的，很多安全事件都是源于內網用戶的非法操作，如果內網中沒有一個有效管理和監控內網用戶行為的審計制度，對內部用戶行為就沒有制約。內部網絡的許多信息都是保密的，一旦出現破壞及涉密事件，后果很嚴重。因此，需要一種能夠實時記錄和監督內網用戶行為的機制，當發生異常時，能夠及時報警并提供事后證據，從而來管理和監督內網用戶的行為。

安全審計技術是一種主動的網絡防范技術。安全審計的任務是通過對內部用戶行為的記錄，收集待審計的數據，最終實現審計分析和異常檢測。安全審計的發展從早期的對本機系統日志的審計到現在的對局域網中各主機日志及網絡數據包的審計。在系統結構角度，安全審計已從早期的集中式結構審計發展到分布式結構審計。傳統審計方式是在數理統計、規則匹配及數據挖掘基礎上實現的。由于基于數理統計與規則匹配的方式需手動對規則庫進行更新，缺乏自學能力而導致效率偏低；數據挖掘因為需要與序列方法、關聯規則結合后才具備自動更新所需規則庫以達到對異常能力的辨別效率，實現上具有較大難度。

發明內容

為了解決背景技術存在的傳統網絡安全審計方式缺乏自學能力并且數據挖掘難度高的技術問題，本發明提供一種基于遺傳神經網絡檢驗內網用戶行為的方法，所述方法包括：

步驟1、采集內網用戶行為的數據，針對每一個內網用戶，從采集的所述用戶行為數據中分別提取用戶行為的特征并對所述用戶行為的特征進行格式轉換，得到用戶行為特征值；

步驟2、將每一個用戶的用戶行為特征值進行二進制編碼組合成0/1 串，并將每個所述0/1串作為遺傳算法的個體；

步驟3、利用適應度函數計算個體適應度，淘汰適應度低的個體，并對未淘汰的個體中兩個個體的相似度小于設定閾值p的個體進行交叉操作，對未進行交叉操作且個體相似度在設定區間的個體采取變異操作，產生下一代個體，其中，所述下一代個體包括未淘汰個體中進行交叉操作后的個體、進行變異操作后的個體以及交叉操作和變異操作均未進行的個體，所述適應度函數的公式為：

式中，f為適應度函數，b為常數，N為個體的個數，y_i為實際輸出值，t_i為期望值；

步驟4、當Gen小于Max時，轉步驟3，Gen大于等于Max時，轉步驟5，其中，Gen為迭代次數，Max為設置的最大迭代次數；

步驟5、當遺傳算法的迭代達到全局最優解時轉步驟6，當遺傳算法的迭代沒達到全局最優解時，轉步驟3；