網(wǎng)絡(luò)信息系統(tǒng)日志分析與審計技術(shù)研究.pdf

1、Internet無法真正約束人們的上網(wǎng)的行為，在互聯(lián)網(wǎng)上發(fā)布、傳播有害信息的問題日漸突出，利用互聯(lián)網(wǎng)實(shí)施的違法犯罪活動也逐漸增多。要控制關(guān)鍵的80％的安全漏洞，關(guān)鍵在于解答四個根本問題：1)發(fā)生了什么？2)發(fā)生的具體時間？3)誰在搞破壞？4)應(yīng)采取什么措施？針對系統(tǒng)的不完全的安全性，需要有一種技術(shù)手段進(jìn)行彌補(bǔ)，網(wǎng)絡(luò)信息系統(tǒng)日志分析與安全審計技術(shù)就是這樣一種技術(shù)。 對信息系統(tǒng)日志的分析和審計就是對操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動所產(chǎn)生

2、的一系列的計算機(jī)安全事件進(jìn)行記錄和分析的過程。本文通過討論日志分析與審計技術(shù)在國內(nèi)外的研究現(xiàn)狀，概括了日志分析的重要性和必要性。本文以此為目的，首先描述了日志分析與審計的數(shù)據(jù)準(zhǔn)備過程，包括日志數(shù)據(jù)的捕獲，幾種日志格式——syslog格式、Traffic Log格式和WELF格式的詳細(xì)分析和日志數(shù)據(jù)的預(yù)處理過程。文章重點(diǎn)介紹了四種用于日志分析與審計的算法及應(yīng)用：基于正則表達(dá)式的模式匹配算法用于對日志數(shù)據(jù)進(jìn)行初步的解析；基于數(shù)據(jù)挖掘的關(guān)聯(lián)分

3、析主要運(yùn)用Apriori算法對日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)模式的挖掘；聚類分析算法則采用RIPPER算法對用戶行為進(jìn)行分類；Teiresias算法起初用于生物研究領(lǐng)域，本文將這種算法用于日志分析中用戶行為頻繁模式的挖掘，并獲得很好的效果。文中對每種算法進(jìn)行了詳細(xì)的描述，包括算法的概念、功能、具體實(shí)現(xiàn)和改進(jìn)方法。最后，文章提出基于日志分析的網(wǎng)絡(luò)安全審計系統(tǒng)的設(shè)計模型，系統(tǒng)允許網(wǎng)絡(luò)管理員制定安全策略，通過對日志數(shù)據(jù)的分析和審計對網(wǎng)絡(luò)內(nèi)用戶的行為進(jìn)行實(shí)時