馬永龍

（武漢藏龍北路1號武漢430205）

艦載環(huán)境網絡行為規(guī)則庫系統(tǒng)設計與實現

馬永龍

（武漢藏龍北路1號武漢430205）

隨著信息化的高度發(fā)展，海軍艦艇的信息化程度也越來越高。但是如何實現艦載信息化環(huán)境下的用戶行為管理的問題還一直沒有解決，這也給艦載網絡環(huán)境埋下了安全隱患。論文設計了一種行為規(guī)則庫，能夠根據特定的規(guī)則實現網絡用戶行為的管理。首先從規(guī)則庫的部署、架構等方面進行了設計，并在此基礎上進行了實現和驗證。結果表明論文所設計的規(guī)則庫具有高度的靈活性和易用性，有利于艦載環(huán)境下網絡行為的安全管理。

行為規(guī)則；網絡安全；用戶行為

Class NumberTP309

1 引言

海軍由近海走向遠海，發(fā)展航母，開拓遠海、駛向“深藍”，是建設與我國國力匹配軍隊建設的必然要求。習近平主席強調：“要強化信息主導、體系支撐、精兵作戰(zhàn)、聯合制勝的觀念，發(fā)展具有我軍特色的作戰(zhàn)理論和作戰(zhàn)思想。”遠海作戰(zhàn)中，戰(zhàn)場覆蓋地域是一個包含陸地、太空、空中、水面、水下等的多維空間；是一個包含有線計算機網、無線戰(zhàn)場網絡的立體網絡空間，是聯合熱武器和網絡空間武器等協同作戰(zhàn)的一體化作戰(zhàn)空間。目前敵方網絡空間攻擊水平日益臻進，已對我海軍艦載信息系統(tǒng)構成了極大的安全威脅。

艦載信息系統(tǒng)所面臨的安全威脅具有多樣化的特點［1～4］。其中，網絡邊界是艦載信息系統(tǒng)的門戶，因此其網絡邊界安全防護也成為了艦載信息系統(tǒng)防御體系［5～8］的重中之重。艦載信息系統(tǒng)的網絡邊界安全防護需求一般包括：在無線網絡方面，艦艇通過短波、超短波、微波等無線通信手段，實現與岸、艦、飛機等其他信息平臺的互聯互通，由于無線信號的開放性，使得敵方攻擊人員有可能采用無線滲透的方式，實現非法入侵；在有線網絡方面，為了解決不同業(yè)務系統(tǒng)信息的“競爭”和“干擾”問題，艦載信息系統(tǒng)一般都是按照不同的業(yè)務進行分域管理，如指控系統(tǒng)域、傳感器域等等，不同的業(yè)務系統(tǒng)、以及同一個業(yè)務系統(tǒng)中不同的域在互聯互通過程中同樣可能存在越權訪問、非法入侵等安全隱患，并且一個系統(tǒng)的風險可能擴散到其他系統(tǒng)，造成更大的損失。

針對以上情況，在所有的網絡邊界，都需要考慮邊界防護。通過入侵檢測技術可為跨邊界訪問提供安全保障，防止越權訪問和網絡入侵，保障邊界訪問安全，同時還可以限制系統(tǒng)風險在網內的任意擴散，從而有效控制安全事件和安全風險的傳播。入侵檢測的研究可以追溯到20世紀80年代。James Anderson首次在文獻［9］中引入了入侵檢測的概念，入侵檢測通過對運行系統(tǒng)的狀態(tài)和活動進行檢測，分析非授權的訪問和惡意行為，發(fā)現入侵行為，為入侵防范提供了有效的手段。根據入侵檢測的行為，可以將入侵檢測分為兩種，即異常檢測和濫用檢測［10～11］。異常檢測（Anomaly Detection）需要根據歷史信息建立一個系統(tǒng)訪問的正常行為模型，然后基于這個模型對系統(tǒng)和用戶的實際行為進行審計，以判斷用戶的行為是否對系統(tǒng)構成威脅，如果訪問者不符合這個模型的行為被認為是入侵。典型的建立異常檢測模型的方法包括閾值分析法、統(tǒng)計分析法、神經網絡等。濫用檢測（Misuse Detection）的思想最早是由Dorothy Denning提出，通過建立專家系統(tǒng)和既定規(guī)則，查找活動中的已知攻擊。它根據已知的攻擊建立檢測模型，如果訪問者符合這個模型的行為被認為是入侵。典型的建立濫用檢測模型的方法包括專家系統(tǒng)，狀態(tài)轉移圖等。

入侵檢測模塊的引入可以有效地對付網絡攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎結構的完整性。但是傳統(tǒng)的入侵檢測系統(tǒng)中，普通的基于特征或基于異常的規(guī)則庫都有不足之處：由基于異常的規(guī)則庫作參照數據庫的入侵檢測由于只采用正常數據產生規(guī)則，數據處理量較大，誤報率較高；而由基于特征的規(guī)則庫作參照數據庫的入侵檢測由于只采用入侵數據產生規(guī)則誤報率極小，卻由于對入侵變異和新攻擊入侵的準備不足，漏報率增加，對系統(tǒng)造成嚴重威脅。

針對以上的問題，本文通過對現有入侵檢測技術以及艦載信息系統(tǒng)具體安全防護需求的深入研究，提出了正常規(guī)則和異常規(guī)則并用的規(guī)則庫結構，并采用分布式部署規(guī)則庫系統(tǒng)。本文設定了規(guī)則庫的規(guī)則信息格式，設置了信息化核心應用規(guī)則字典，并詳細說明了規(guī)則的工作原理及運行過程。

2 行為規(guī)則庫的設計說明

本部分著重敘述行為規(guī)則庫的功能設計，即從功能分類設計和總體結構設計兩個角度來分析行為規(guī)則庫的功能。

2.1 艦載環(huán)境網絡行為規(guī)則數據庫的分類設計

2.1.1 用戶操作行為規(guī)則數據庫設計

根據前述分析，用戶的操作行為亦可以分為正常行為和異常行為，為了能夠嚴格地限制用戶的操作行為，確保網絡的安全性，針對網絡中不同角色的用戶需要設計不同的行為規(guī)則庫，確保其中用戶的操作行為的合法性，杜絕異常事件的發(fā)生。用戶可以按照以下幾種準則進行分類，隨后結合需求進行行為規(guī)則庫的設計。首先，按照密級將工作人員分為不同的類型管理，不同類型的用戶具有不同的操作行為限制。再者，按照不同的角色實現用戶的分類，比如對潛臺位作戰(zhàn)人員、對空臺位作戰(zhàn)人員、對海臺位作戰(zhàn)人員等，不同類型的人員也應具有不同的行為規(guī)則庫。最后，按照不同的任務安排，也需要對不同的工作人員進行分類，保證承擔不同任務的人員的行為準則可以實現他們之間信息交換的隔離。具體的操作行為規(guī)則分類設計如圖1所示，關于用戶操作行為規(guī)則主要利用用戶行為信息表USERINFO體現。

2.1.2 用戶操作路徑規(guī)則數據庫設計

操作路徑具體體現為為了完成一項具體的任務和功能所使用的步驟，不同的操作步驟體現為不同的操作路徑，例如打印的操作路徑即為如何在打印機的控制端啟動打印機，隨后在打印機處進行相關打印操作。按照不同的安全需求，對不同的操作路徑會有所限制，亦即只有滿足了操作路徑中的前驅和后繼的關系之后，才能一步步地順利完成某個操作。那么操作路徑規(guī)則數據庫應該包含如圖所示的如下部分：

1）具體的任務的類型（Type），可以表現為操作任務的表格、單據、任務說明、憑證、證書等的統(tǒng)稱，它作為業(yè)務數據的載體而存在，是業(yè)務數據的模式。

2）業(yè)務流程規(guī)則（Process）：描述某個具體的任務在其生命周期中經歷各種業(yè)務操作的狀態(tài)變化過程，業(yè)務流程用一個有向圖來表示，其中節(jié)點表示（流程）狀態(tài)，有向弧表示狀態(tài)之間的轉換，是通過業(yè)務操作觸發(fā)的。每個業(yè)務流程都有唯一的開始狀態(tài)（start），以及零至多個終止狀態(tài)（final）在一個業(yè)務流程中，除了開始狀態(tài)和終止狀態(tài)，其它狀態(tài)都稱為內部狀態(tài)。

3）約束關系（ConstraintFormulas）：任務在其生命期中從一個狀態(tài)轉換到另一個狀態(tài)的條件通常是復雜的，具體包括消息約束、規(guī)則約束和權限約束，其中消息約束用于描述本業(yè)務操作中需要接收（即等待）的那些消息；規(guī)則約束用于描述本業(yè)務操作被觸發(fā)前需要滿足的規(guī)則條件；權限約束則用于描述系統(tǒng)某角色執(zhí)行該業(yè)務操作時所需要滿足的權限。

4）業(yè)務操作（Operation）：具體描述了某個業(yè)務在一個生命周期中某個時段所處的狀態(tài)。

綜上可見，操作路徑的行為規(guī)則庫主要體現為約束關系，如圖2所示，亦即某個生命周期中每個操作前驅和后續(xù)的約束關系，這部分規(guī)則數據庫表象主要體現為RULES，在后續(xù)會給出詳細的設計。

2.1.3 信息交換規(guī)則數據庫設計

信息交換是操作行為和操作路徑的最終結合和表現形式，既是無論是某種業(yè)務生命周期中不同階段所產生的任何操作行為都可以用信息交換來描述。而信息交換擁有三個層面的含義：

1）信息交換的對象，亦即信息交換兩端的實體，表現為不同的用戶。

2）信息交換的途徑，亦即信息交換的載體，表現為主機層面和網絡層面。

3）信息交換的類型，亦即信息交換的實質，在主機層可以表現為啟動了某一進程或者打開了某一個文檔，在網絡層可以表現為向某個IP地址的主機發(fā)送了某種類型的數據包。鑒于信息交換是操作行為和操作路徑的最終體現，因此網絡行為規(guī)則數據庫的最終表現形式均可以采用信息交換行為規(guī)則數據庫的形式體現，通過制定不同的規(guī)則，實現操作行為和操作路徑的管理。因此這部分的表現除了牽涉到USERINFO數據庫表外，還會牽涉到HOSTINFO表項，主要描述主機層面的信息交換行為規(guī)則，以及TRAFFICINFO表項，主要描述網絡層面的信息交換行為規(guī)則，這兩個數據庫表項會在后續(xù)給出詳細的設計。

2.2 行為規(guī)則數據庫的功能設計

2.2.1 行為規(guī)則數據庫更新

用戶行為規(guī)則庫的更新包括兩個途徑，一個是規(guī)則庫手動更新，另一個是規(guī)則庫自動更新，下面分別敘述兩種途徑。

1）規(guī)則庫手動更新

由授權管理員用戶可對規(guī)則庫進行操作。主要包括：（1）規(guī)則查；（2）規(guī)則刪除；（3）規(guī)則修改；（4）規(guī)則增加?？梢酝ㄟ^后文中提到的規(guī)則庫管理客戶端進行規(guī)則庫的維護和更新，對規(guī)則庫中已有的規(guī)則也可以進行查詢、刪除、修改。

2）規(guī)則庫自動更新

可以在分布式的規(guī)則庫客戶端分發(fā)版本中與主規(guī)則庫建立連接，進行規(guī)則庫的自動更新，以確保規(guī)則的完備性和及時性。主要包括：（1）提示主規(guī)則庫的任何更新；（2）實時更新規(guī)則庫分發(fā)版本。

2.2.2 規(guī)則庫的部署邏輯設計

分布式規(guī)則庫具有物理分布性、邏輯整體性和探測點自治性等特點。部署分布式規(guī)則庫，在一方面實現了規(guī)則庫的多分發(fā)，便于就近選取規(guī)則進行用戶行為分析，提高了網絡安全態(tài)勢檢測效率；另一方面，某一物理規(guī)則庫的被入侵和破壞不會導致整體規(guī)則庫的破壞，從而保證了數據的安全性，提高了規(guī)則庫抵御入侵攻擊的功能。分布式規(guī)則庫無需每個主機上都配備規(guī)則庫，只需合理物理分發(fā)規(guī)則庫的位置，達到部署分布式規(guī)則庫的目的即可。分布式部署規(guī)則庫服務器的邏輯示意圖如圖3所示。

如圖3所示，分布式部署規(guī)則庫系統(tǒng)的方法有一個主規(guī)則庫服務器A，部署在艦載環(huán)境網絡防御系統(tǒng)的中心服務器上，分發(fā)規(guī)則庫服務器B1，B2，…，Bn任何一個與主規(guī)則庫服務器所要恢復的版本相同，也可以使主規(guī)則庫服務器連接分發(fā)規(guī)則庫服務器恢復到所需版本，分發(fā)規(guī)則庫可部署在防御系統(tǒng)的下屬域管理服務器上，并可有冗余規(guī)則庫備份在域管理熱備服務器上。分發(fā)規(guī)則庫服務器按需更新所要的規(guī)則，從而更好地服務于艦載環(huán)境網絡防御系統(tǒng)。

2.3 行為規(guī)則庫的總體結構設計

2.3.1 行為規(guī)則庫在完整系統(tǒng)中的位置

從圖4可以看到行為規(guī)則庫在艦載環(huán)境網絡防御系統(tǒng)運行邏輯體系中的總體位置，行為規(guī)則庫作為入侵檢測模塊中的重要一環(huán)將檢驗數據采集的結果的合法性，并將結果判斷處理，如果檢測出為異常，將由響應模塊處理，否則判斷為正常，將繼續(xù)進行數據采集和處理下一條數據。

其中行為規(guī)則由兩部分組成，一部分是審計數據庫中的正常數據所得到的正常規(guī)則，一部分是由專家經驗和入侵歷史所形成的異常規(guī)則。正常行為規(guī)則是一段時間內事件所表現的穩(wěn)定的行為模式，網絡中核心用戶基本行為模式是確定的不偏離的，而異常行為規(guī)則的加入反映了對過往入侵歷史的處理的記錄，有利于加快入侵檢測及響應的速度。圖5反映了行為規(guī)則庫的組成體系。

因此，行為規(guī)則庫并非固定不變，規(guī)則庫將從不斷更新的數據庫中的正常數據中更新正常規(guī)則，還會從入侵檢測歷史及專家經驗積累中發(fā)現和更新異常規(guī)則，從而保證了規(guī)則庫能夠高效、全面地輔助入侵檢測系統(tǒng)的運行。

2.3.2 行為規(guī)則庫數據字典設計

綜合前述，網絡行為規(guī)則數據庫主要需要涵蓋用戶行為規(guī)則數據庫-可以借用用戶身份信息庫USERINFO實現，操作行為規(guī)則數據庫-可以借用約束關系數據庫RULES實現，信息交換數據庫-可以借用層信息交換HOSTINFO和網絡層信息交換TARAFFICINFO實現。并且行為規(guī)則庫的存儲主體就是入侵檢測的規(guī)則，需要能夠應用于異常行為的檢測。因此行為規(guī)則庫中規(guī)則表的結構，直接會影響到對規(guī)則進行存儲、操作的效率。此處對數據字典和各表進行了詳細的設計。

表1 規(guī)則庫中相關表

表之間并非相互獨立，是有聯動作用的。比如一條用戶信息首先要匹配用戶信息規(guī)則USERINFO，如果匹配成功，將會交由處理規(guī)則RULES進行響應處理。另外，具體規(guī)則將可由業(yè)務流程具體擴充，從而更好服務于艦載環(huán)境網絡防御系統(tǒng)。

受篇幅限制，這里只列出RULES表的詳細設計說明。

RULES表：中文表名：處理規(guī)則；英文表名：RULES。如表2所示。

表2 RULES

說明：本表存放具體的規(guī)則處理及動作注釋。

RID：規(guī)則ID，每一條規(guī)則都有唯一的RID。

VER：通過VER，可以判斷相同RID規(guī)則的最新處理版本；

ACTION：響應動作，指明當數據條匹配到該條具體規(guī)則時，引擎將進行什么樣的操作，取值范圍包括：PASS，LOG，ALERT，FORBID，LIMIT；

MARK：動作注釋，為用戶使用提供幫助。

2.3.3 行為規(guī)則表規(guī)則信息示例

以一條規(guī)則為例，簡要說明核心用戶行為規(guī)則表的結構：

［urid：1002；ver：1；name：null；uno：null；dept：對潛部；title：操作員；ip：null；mac：null；rid：3，4；mark：Someone whose dept is對潛部and title is操作員appeared?。?/p>

［］之間就是整條規(guī)則的內容，規(guī)則是以“選項名：選項內容”規(guī)則內每一字段都會顯示出來，但并不代表所有選項都將在整條規(guī)則生效，對于未采用的選項字段，使用”null”表示通配符，即通配任何內容，這樣既能保證所有同一種類型的規(guī)則都有同樣的選項長度，也能順利解決所有可能出現的規(guī)則。選項之間可以被認為組成了邏輯與（AND）語句。

對于任何一條規(guī)則，XRID和VER都是必須存在的，而且也唯一標識了此規(guī)則。VER字段的存在是為了及時更新規(guī)則最新內容及響應信息，保證處理的正確性。而RID字段的存在是為了在RULES處理規(guī)則表中找到相應的處理規(guī)則ACTION字段，以便及時做出響應。所有的ACTION字段及其含義如下：ALERT-使用選擇的報警方法生成一個警報；LOG-記錄數據；PASS-合法數據；FORBID-禁止該數據用戶進入；LIMIT-限制用戶進入，記錄該數據的用戶信息。

整條規(guī)則內容（即［］的所有內容）會存入響應分類信息規(guī)則表中的TEXT字段，該字段存放了完整的規(guī)則信息，可以備份生成規(guī)則文件，以備提取。

3 行為規(guī)則庫的原型開發(fā)實現

根據上面所提到的開發(fā)需求及設計思路本文設計了用戶行為規(guī)則庫的原型，原型開發(fā)主要分為兩個部分，一部分是規(guī)則庫的后臺數據庫表的實現，另一部分是規(guī)則庫系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能，下面將分兩小節(jié)具體闡述用戶行為規(guī)則庫的原型開發(fā)實現。

3.1 規(guī)則庫的后臺數據庫表的實現

行為規(guī)則數據庫的后臺數據庫表包括了處理規(guī)則和具體的分類業(yè)務規(guī)則。依據上一章所設計的數據庫的后臺規(guī)則表所實現的具體處理規(guī)則和具體分類業(yè)務規(guī)則，以下以處理規(guī)則RULES和其中一個業(yè)務規(guī)則USERINFO為例，分析規(guī)則內的字

段間邏輯及規(guī)則間邏輯關系。

3.1.1 操作路徑行為規(guī)則庫中的具體業(yè)務規(guī)則與處理規(guī)則

如圖6，具體處理規(guī)則主要的示例展示，具體包括了RID，VER，ACTION及MARK四個字段及PASS，ALERT，LOG，FORBID，LIMIT等處理類型，RID字段表示處理規(guī)則規(guī)則號，VER字段表示規(guī)則版本，每條規(guī)則只保留最新版本。ACTION字段是響應類型，該字段在反應同時會上交給上級流程進行進一步入侵檢測及處理。MARK字段顯示了該處理的注釋，PASS表示“通過”，一般無需注釋，表示該條數據為正常合法數據。

如圖7，以USERINFO為例，詳細分析具體分類業(yè)務規(guī)則及字段間邏輯關系。該表包括URID，VER，NAME，UNO，DEPT，TITLE，IP，MAC，RID，MARK，TEXT共11個字段。其中TEXT字段將保存完整規(guī)則內容，可以導出為文本規(guī)則，便于備份及導入處理。而RID字段是VARCHAR類型，可含有多個規(guī)則，比如URID號為1002的規(guī)則，RID為3，4兩條，表示會觸發(fā)兩種處理規(guī)則，便于處理。

3.1.2 操作路徑和用戶規(guī)則表間的邏輯關系

以USERINFO表和RULES規(guī)則表為例，USERINFO中的RID為RULES中的RID號，從而兩個表是聯動關系，即當用戶信息類某條具體數據符合某條USERINFO規(guī)則時，該規(guī)則觸發(fā)RID號中的RULES具體處理規(guī)則，從而進行處理，同時將該規(guī)則中的ACTION信息上交上一級模塊，進行進一步檢測及處理。以符合1002號規(guī)則的某條數據為例，該數據觸發(fā)1002號規(guī)則，該規(guī)則將觸發(fā)RID為3，4的RULES處理規(guī)則，而RULES表中RID為3的ACTION響應為LOG，表中RID為4的ACTION響應為FORBID，從而將會觸發(fā)上級模塊禁止該用戶的訪問同時將訪問記錄登入日志處理。如圖8。

3.2 規(guī)則庫系統(tǒng)頁面的前端設計開發(fā)

在需求分析及數據庫后臺表設計實現的基礎上，設計了核心用戶行為規(guī)則庫的前端，并開發(fā)了原型，前端的主要功能如下：

1）連接規(guī)則庫?？梢赃B接主規(guī)則庫或者分發(fā)規(guī)則庫，并進行用戶登錄以驗證。

2）規(guī)則表查看及操作。可以查看當前規(guī)則庫系統(tǒng)下的所有規(guī)則庫，并進行導入導出規(guī)則庫的設置和規(guī)則庫的刪除功能。

3）規(guī)則具體操作。主要包括規(guī)則的查詢、添加、更新以及刪除等主要功能。

4）規(guī)則庫的更新設置。這部分主要涉及規(guī)則庫間的通信。

規(guī)則庫管理客戶端的主要功能是對規(guī)則庫系統(tǒng)進行管理。其主要功能包括選擇規(guī)則庫系統(tǒng)、用戶登錄、選擇規(guī)則表、對規(guī)則表和規(guī)則進行處理和更新等。

4 結語

結合艦載環(huán)境下網絡安全管理的需要，本文從管理需求出發(fā)，給出了行為安全管理規(guī)則庫的設計思路，并在此基礎上實現了行為規(guī)則庫的原型，原型開發(fā)主要分為兩個部分，一部分是規(guī)則庫的后臺數據庫表的實現，另一部分是規(guī)則庫系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能。分析結果表明，本文所設計的規(guī)則庫具有高度的靈活性和易用性，有利于艦載環(huán)境下網絡行為的安全管理。

與常用的行為規(guī)則庫系統(tǒng)相比，本文所采用規(guī)則庫的創(chuàng)新主要體現在以下方面：

1）將正常規(guī)則和異常規(guī)則相結合應用于規(guī)則庫。正常規(guī)則是從正常合法數據中抽取出來的數據模式，而異常規(guī)則是從入侵攻擊歷史及專家經驗中得到的特征規(guī)則。異常規(guī)則便于及時發(fā)現已知異常，提高入侵檢測效率；而正常規(guī)則可以將未發(fā)現的未知異?；蜃儺惖娜肭旨皶r通知上一級模塊，更好維護網絡監(jiān)控系統(tǒng)。

2）分布式冗余部署規(guī)則庫系統(tǒng)。由于規(guī)則庫系統(tǒng)的重要作用，因此對行為規(guī)則庫系統(tǒng)的冗余備份變極其重要。而分布式子規(guī)則庫系統(tǒng)的引入有助于更好服務位于不同物理地點的數據采集代理。

3）分發(fā)規(guī)則庫系統(tǒng)的更新設置。本文采用了兩類途徑—即自動更新和手動更新—更新分發(fā)規(guī)則庫的規(guī)則表。與傳統(tǒng)規(guī)則更新的不同之處在于本文可以復選需要更新的規(guī)則表，定制按需更新。

［1］解紹梅，郝威.海上編隊信息系統(tǒng)安全防護需求分析［J］.艦船電子工程，2013，33（1）：20-22.

［2］王斌，林海濤.艦船通信系統(tǒng)安全保密需求分析［J］.信息安全與通信保密，2011（10）：79-81.

［3］鄭劍云，孫曉峰，朱義勝.艦艇通信系統(tǒng)網絡安全防護研究［J］.艦船電子工程，2011，31（4）：122-124，164.

［4］嚴新榮.艦船通信安全保密研究.2008，30（Supplement）：50-53.

［5］楊露菁，郝威，盧煒.海上編隊信息系統(tǒng)的分等級安全防護體系［J］.指揮控制與仿真，2013，35（2）：1-4，8.

［6］楊露菁，郝威，盧煒.海上編隊信息系統(tǒng)安全域防護策略［J］.指揮控制與仿真，2013，35（4）：36-40.

［7］石劍琛.艦船電子信息系統(tǒng)安全防護體系研究［J］.計算機與數字工程，2012，40（2）：68-71，82.

［8］裴曉黎.艦載信息基礎設施信息安全研究［J］.計算機與數字工程，2014，42（8）：1436-1439.

［9］Anderson JP.Computer security threat monitoring and surveillance［R］.Technical Report，79F296400，Fort Washington：James P.Anderson Company，1980.

［10］Valeur F，Vigna G，Kruegel C，et al.Comprehensive approach to intrusion detection alert correlation［J］.IEEE Transactions on dependable and secure computing，2004，1（3）：146-169.

［11］魏宇欣，武穆清.智能網格入侵檢測系統(tǒng)［J］.軟件學報，2006，17（11）：2384-2394.

Design and Implementation of Behavior Rule Base System for Shipborne Environment Network

MA Yonglong
（No.1 Canglong North Road，Wuhan430205）

With the rapid development of information technology，naval ships are becoming more and more information-based.However，how to implement the user behavior management in the ship based information environment has not been solved，which has also laid a hidden danger for the carrier network environment.In this paper，a behavior rule base is designed，which can manage user behavior according to specific rules.This paper starts with the design of architecture and deployment of the rule base，then does the implementation and verification on the basis of the design.The results show that the rule base designed in this paper is highly flexible and easy to use，and is conducive to the security management of network behavior.

behavior rule，network security，user behavior

TP309

10.3969/j.issn.1672-9730.2017.07.004

2017年1月3日，

2017年2月19日

馬永龍，男，碩士，高級工程師，研究方向：指揮控制、信息安全。