入侵檢測的日志綜合分析模型研究.pdf

1、伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)逐漸成為人們工作和生活中不可或缺的部分。同時，日漸復(fù)雜的網(wǎng)絡(luò)攻擊行為給人們帶來了巨大的損失，這使得網(wǎng)絡(luò)安全技術(shù)受到了研究者的廣泛關(guān)注。在日益復(fù)雜的安全實踐中，以防火墻為代表的第一代網(wǎng)絡(luò)安全技術(shù)暴露出一些缺陷，而入侵檢測系統(tǒng)逐漸成為網(wǎng)絡(luò)安全體系的重要組成部分。 然而，伴隨著高速網(wǎng)絡(luò)的發(fā)展和網(wǎng)絡(luò)帶寬的增長，入侵檢測系統(tǒng)逐漸暴露出日志誤報漏報嚴重、不同系統(tǒng)日志重復(fù)信息過多、攻擊識別率較低等問題，使入侵檢測

2、的改進及日志分析成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。已有的研究成果為日志分析奠定了基礎(chǔ)，但仍存在聚類方法不合理、挖掘方式效率較低、日志信息利用不充分、未有效解決漏報問題等缺陷。 針對上述問題，本文提出了由預(yù)處理、知識庫離線學(xué)習(xí)及事件關(guān)聯(lián)分析三個模塊構(gòu)成的入侵檢測日志綜合分析模型，引入攻擊事件的階段模型及分類體系構(gòu)造合理的事務(wù)集，有效地利用新的增量挖掘算法分析得到客觀的關(guān)聯(lián)規(guī)則，并提出漏報補償匹配方法完成攻擊場景重構(gòu)和攻擊結(jié)果的分析。