網(wǎng)絡(luò)信息系統(tǒng)日志分析與審計(jì)技術(shù)研究.pdf

1、Internet無(wú)法真正約束人們的上網(wǎng)的行為，在互聯(lián)網(wǎng)上發(fā)布、傳播有害信息的問(wèn)題日漸突出，利用互聯(lián)網(wǎng)實(shí)施的違法犯罪活動(dòng)也逐漸增多。要控制關(guān)鍵的80％的安全漏洞，關(guān)鍵在于解答四個(gè)根本問(wèn)題：1)發(fā)生了什么？2)發(fā)生的具體時(shí)間？3)誰(shuí)在搞破壞？4)應(yīng)采取什么措施？針對(duì)系統(tǒng)的不完全的安全性，需要有一種技術(shù)手段進(jìn)行彌補(bǔ)，網(wǎng)絡(luò)信息系統(tǒng)日志分析與安全審計(jì)技術(shù)就是這樣一種技術(shù)。 對(duì)信息系統(tǒng)日志的分析和審計(jì)就是對(duì)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動(dòng)所產(chǎn)生

2、的一系列的計(jì)算機(jī)安全事件進(jìn)行記錄和分析的過(guò)程。本文通過(guò)討論日志分析與審計(jì)技術(shù)在國(guó)內(nèi)外的研究現(xiàn)狀，概括了日志分析的重要性和必要性。本文以此為目的，首先描述了日志分析與審計(jì)的數(shù)據(jù)準(zhǔn)備過(guò)程，包括日志數(shù)據(jù)的捕獲，幾種日志格式——syslog格式、Traffic Log格式和WELF格式的詳細(xì)分析和日志數(shù)據(jù)的預(yù)處理過(guò)程。文章重點(diǎn)介紹了四種用于日志分析與審計(jì)的算法及應(yīng)用：基于正則表達(dá)式的模式匹配算法用于對(duì)日志數(shù)據(jù)進(jìn)行初步的解析；基于數(shù)據(jù)挖掘的關(guān)聯(lián)分

3、析主要運(yùn)用Apriori算法對(duì)日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)模式的挖掘；聚類分析算法則采用RIPPER算法對(duì)用戶行為進(jìn)行分類；Teiresias算法起初用于生物研究領(lǐng)域，本文將這種算法用于日志分析中用戶行為頻繁模式的挖掘，并獲得很好的效果。文中對(duì)每種算法進(jìn)行了詳細(xì)的描述，包括算法的概念、功能、具體實(shí)現(xiàn)和改進(jìn)方法。最后，文章提出基于日志分析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)模型，系統(tǒng)允許網(wǎng)絡(luò)管理員制定安全策略，通過(guò)對(duì)日志數(shù)據(jù)的分析和審計(jì)對(duì)網(wǎng)絡(luò)內(nèi)用戶的行為進(jìn)行實(shí)時(shí)