一、基于多源日志的网络威胁分析系统设计与实现
(一)国内外研究现状
互联网飞速发展带来很多便利的同时,网络安全的复杂性和重要性也日渐突出。根据《2017中国网站安全形式分析报告》指出,2017年,全国攻击187.5万个网站,遭受到了各类漏洞攻击总共26.4亿次,相较于2016年,增长了54.4%。现阶段对于网站漏洞的攻击呈现除了数量达,种类多的特点。
随着网络安全越来越受到人们的重视,入侵监测系统、防火墙、漏洞扫描等众多安全设备被部署到网络中。这些设备在运行过程中会产生大量的日志信息,这些日志作为记载数据包出入防火墙的重要信息,通过分析这些日志信息,可以实时监控硬件,对异常行为和攻击进行定位。人们对于日志分析的重视程度也在不断的加大,国内外众多学者和实验室等都投入到了该科研项目中,获得了丰硕的成果:
1980年,Anderson首次提出了基于日志信息进行安全审计的思想[4];Wenkelee教授提出了基于数据挖掘技术来构建一个入侵检测框架,并对相关审计日志进行特征模式提取,从而发现用户的一场活动[5]。Prewett提出了一种基于规则的方法用于处理控制台的日志[6];Nagappan等提出了具有先行运行时间与空间的离线日志解析分析方法[7];Denning提出了基于系统行为检测的入侵检测系统模型:这种思想的原理是首先分析系统的日志记录,然后根据日志升级记录的分析结果来判断系统中是否出现了异常。通过对主机日志数据的分析,利用统计理论提取用户或系统正常行为的活动配置文件,建立起系统主题的正常行为模式,利检测时,如果系统中的日志数据与以建立的主体正常行为特征有较大出入,就认为系统遭到了入侵[8]。Naukudkmar等人则从安全事件预测分析系统的性能出发,提出使用基于规则的实时事件关联技术来替代离线的日志数据处理阶段,以此来提高系统对于未来网络攻击的预测性能[9]。
国内对于日志的分析起步较晚,所以对这方面的研究远不如国际上那么深刻和广泛,总体上处于初级阶段。1993年,我国自然科学基金会首次支持日志安全审计的研究[10];2008年,刘比雄等人提出了一个基于Agent技术的多源日志采集系统,用来实现采集各种类型的系统日志[9];薛文娟提出了一种基于层次聚类的日志分析方法[11];2012年,杨楠提出了基于关联规则Aprior算法对Web日志进行挖掘,构建关联项模型,针对挖掘出的模型进行模型分析与模型评价[21]。2016年,陈飞等人提出了一种基于Flume的分布式日志采集分析系统[17],同年马文等学者提出了基于FP-Growth算法的安全日志分析系统,基于FP-Growth算法对同一Web站点的不同日志事件进行联动挖掘分析,发现传统安全设备漏报合作和无法检测出的新型攻击事件,得出平台整体的安全态势[14];任凯等人提出了基于大数据技术的网络日志分析系统,因为Apache Hadoop集成了数据存储,数据处理,系统管理等功能,所以其特别适合用于大数据的搜索、挖掘、分析和机器学习[15]。张建东提出了应用大数据处理模型来处理网络日志,构建日志分析的大数据处理模型的思路[12]。杨连群等人提出了将网络日志和流量关联分析的方法,将两者之间进行关联分析,可以将上述两种方法的优势合并。
(二)研究主要成果
大量人力,财力的投入,加快了该领域的发展速度,专家学者们在研究过程当中也提出了大量的可行有效的方法,主要的成果有:
(1).利用关联分析(Apriori,FP-Growth)方法来进行日志间的关联度,可以在日志间产生联系,分析得出更为准确的攻击场景,同时也可以进一步的进行日志的数据挖掘,发现以前没有覆盖的新的攻击类型;提出了采用分布式的方法来进行日志采集和分析,可以提高资源的利用率,将负载由单个节点转移到多个,体高了整个系统采集日志和分析日志的效率。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
