基于WEB日志分析的預(yù)警模型研究.pdf

1、隨著Internet規(guī)模的不斷擴(kuò)大、應(yīng)用不斷增多，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各方面，給我們?nèi)粘Ｉ顜?lái)極大的方便。許多機(jī)構(gòu)為了保護(hù)系統(tǒng)的安全性，采用了防火墻、入侵檢測(cè)和病毒保護(hù)系統(tǒng)等行之有效的安全措施；但是，隨著計(jì)算機(jī)技術(shù)的發(fā)展，入侵攻擊手段日趨高明；再好的安全措施也不能確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。因此，機(jī)構(gòu)應(yīng)有能力在系統(tǒng)被攻擊時(shí)能方便而快速地發(fā)現(xiàn)對(duì)方的攻擊行為并采取措施，處理這種緊急事務(wù)的關(guān)鍵之一就是利用各種系統(tǒng)記錄它們所發(fā)生的事件的日志。

2、分析日志數(shù)據(jù)已成為系統(tǒng)管理員評(píng)估系統(tǒng)運(yùn)行狀況和及時(shí)發(fā)現(xiàn)入侵者入侵行為的重要手段。 文章的研究重點(diǎn)是基于 Web 日志分析基礎(chǔ)上的安全預(yù)警模型。文中提出了網(wǎng)站邏輯模型和用戶訪問(wèn)模型的概念。網(wǎng)站邏輯模型形式化表述網(wǎng)站的邏輯結(jié)構(gòu)；用戶訪問(wèn)模型描述用戶對(duì)Web站點(diǎn)進(jìn)行訪問(wèn)的路線。本文的主要工作包括以下三個(gè)方面： 第一，通過(guò)HTTP下載得到Web站點(diǎn)頁(yè)面的源文件，分析源文件中超鏈接和服務(wù)器控件所包含的URL，確定這些URL與當(dāng)前頁(yè)

3、面的鏈接關(guān)系，對(duì)每個(gè) URL 分別進(jìn)行上述分析，由分析結(jié)果獲得網(wǎng)站邏輯模型。 第二，針對(duì) Web 日志數(shù)據(jù)進(jìn)行凈化、識(shí)別等預(yù)處理后，在傳統(tǒng)數(shù)據(jù)挖掘方法基礎(chǔ)上，改進(jìn)挖掘算法并分析日志數(shù)據(jù)，總結(jié)用戶頻繁訪問(wèn)路徑，以此作為用戶訪問(wèn)模型。 第三，以圖的形式描述網(wǎng)站邏輯模型和用戶訪問(wèn)模型，并比較二者之間的異同。如果用戶訪問(wèn)路線圖是網(wǎng)站邏輯結(jié)構(gòu)圖的子圖，可以認(rèn)定該用戶活動(dòng)屬于正常訪問(wèn)，否則即可判定用戶訪問(wèn)行為異常，系統(tǒng)發(fā)出預(yù)警信息。