基于主機(jī)日志的入侵檢測研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)科學(xué)的高速發(fā)展，系統(tǒng)攻擊與入侵行為正對國家安全、社會(huì)生活造成越來越大的威脅與隱患。為對系統(tǒng)進(jìn)行安全防御，有效地解決入侵檢測，結(jié)合數(shù)據(jù)挖掘的系統(tǒng)日志分析由此產(chǎn)生。
　　日志數(shù)據(jù)記錄著用戶的訪問信息，這些信息往往蘊(yùn)藏著可疑行為的蛛絲馬跡，因此，日志分析已成為系統(tǒng)入侵檢測的重要環(huán)節(jié)。然而，傳統(tǒng)的數(shù)據(jù)挖掘入侵檢測技術(shù)大多針對網(wǎng)絡(luò)日志，并只側(cè)重于單一數(shù)據(jù)挖掘算法的改進(jìn)方法，不能很好地檢測出內(nèi)網(wǎng)中海量主機(jī)日志中所蘊(yùn)含的潛在威脅與攻擊

2、，因此，本文旨在將數(shù)據(jù)挖掘與入侵檢測技術(shù)相結(jié)合，根據(jù)應(yīng)用場景，發(fā)現(xiàn)安全威脅并提出解決方案。
　　本文提出了基于主機(jī)日志的入侵檢測的系統(tǒng)框架，采用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、時(shí)序分析與誤用檢測、異常檢測相結(jié)合的方法進(jìn)行入侵安全檢測，主要包括日志預(yù)處理，數(shù)據(jù)挖掘，入侵檢測三大模塊。首先，日志預(yù)處理模塊將內(nèi)網(wǎng)中的半結(jié)構(gòu)化主機(jī)日志，進(jìn)行ETL與日志格式統(tǒng)一化，轉(zhuǎn)換成結(jié)構(gòu)化日志，以便數(shù)據(jù)挖掘與分析的讀入與處理。其次，在數(shù)據(jù)挖掘模塊，由關(guān)聯(lián)分析找尋

3、日志各屬性的內(nèi)在橫向聯(lián)系，挖掘日志屬性的隱藏關(guān)聯(lián)，由時(shí)序分析發(fā)現(xiàn)日志量的時(shí)間縱向聯(lián)系，挖掘季節(jié)周期性日志規(guī)律和隨機(jī)異常日志的產(chǎn)生時(shí)段。將新得到日志屬性關(guān)聯(lián)與周期規(guī)律存入規(guī)則數(shù)據(jù)庫，并反復(fù)遞歸循環(huán)，以求得盡可能全面的潛在威脅日志。然后，入侵檢測模塊，根據(jù)實(shí)際場景，利用誤用檢測技術(shù)過濾符合安全規(guī)則的常規(guī)日志，并結(jié)合異常檢測，發(fā)現(xiàn)其他的非正常用戶行為，獲取“可疑”日志數(shù)據(jù)集。根據(jù)安全經(jīng)驗(yàn)，全面分析與處理最終的“可疑”事件，保證內(nèi)網(wǎng)安全。