【摘要】：在檢測網(wǎng)絡(luò)安全威脅事件時,各種安全設(shè)備會產(chǎn)生大量冗余告警信息,易導(dǎo)致誤報率高和日志聚合后聚合度低,給日志分析帶來很大困難。為解決這一問題,采用一種自適應(yīng)時間閾值間隔的聚類算法。通過定義聚合規(guī)則和中間日志,動態(tài)更新中間日志里的間隔閡值,實現(xiàn)對多源日志的聚合。實驗結(jié)果表明,該算法的聚合時間閾值間隔更加接近真實攻擊時間間隔,能準(zhǔn)確對多源日志進行聚合分析,有效減少告警日志信息的數(shù)量,提高了日志的聚合度和準(zhǔn)確率。
[Abstract]:When detecting network security threat events, a large number of redundant alarm information will be generated by various security devices, which can easily lead to high false alarm rate and low aggregation degree after log aggregation, which brings great difficulties to log analysis. To solve this problem, an adaptive time threshold interval clustering algorithm is adopted. By defining the aggregation rules and intermediate logs, the threshold values in the intermediate logs are dynamically updated, and the aggregation of multi-source logs is realized. The experimental results show that the aggregation time threshold interval of the algorithm is closer to the real attack time interval, which can accurately aggregate and analyze the multi-source logs, effectively reduce the amount of alarm log information, and improve the aggregation degree and accuracy of logs.
【作者單位】： 中國民航大學(xué)計算機科學(xué)與技術(shù)學(xué)院;中國民航大學(xué)信息安全測評中心;
【基金】：民航局科技基金項目(MHRD20140205;MHRD20150233) 中央高�；究蒲袠I(yè)務(wù)費中國民航大學(xué)專項基金項目(3122013Z008;3122013C004;3122015D025) 中國民航大學(xué)科研啟動基金項目(2013QD24X)
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前2條

1 高會生;李英敏;;一種基于分層屬性相似度聚類的ASON告警關(guān)聯(lián)分析方法[J];科學(xué)技術(shù)與工程;2015年06期

2 黃林;吳志杰;黃曉芳;韋勇;付智慧;;一種改進的多源異構(gòu)告警聚合方案[J];計算機應(yīng)用研究;2014年02期

相關(guān)碩士學(xué)位論文 前1條

1 毛治佳;基于屬性相似度的報警關(guān)聯(lián)系統(tǒng)的研究與實現(xiàn)[D];西安電子科技大學(xué);2011年

【共引文獻】

相關(guān)期刊論文 前5條

1 顧兆軍;王帥卿;張禮哲;;多源日志聚合分析方法[J];計算機工程與設(shè)計;2017年07期

2 張翠香;蔣宏宇;沈代瑤;吳亞東;王松;;基于網(wǎng)絡(luò)流量數(shù)據(jù)的多視圖協(xié)同交互可視分析系統(tǒng)[J];西南科技大學(xué)學(xué)報;2017年02期

3 熊杰;周純杰;楊軍;;電力信息物理融合系統(tǒng)入侵攻擊場景還原技術(shù)[J];中國儀器儀表;2017年04期

4 單蓉;;ASON的分布式保護與恢復(fù)研究[J];山東工業(yè)技術(shù);2015年13期

5 高會生;李英敏;;一種基于分層屬性相似度聚類的ASON告警關(guān)聯(lián)分析方法[J];科學(xué)技術(shù)與工程;2015年06期

相關(guān)碩士學(xué)位論文 前5條

1 王澤芳;基于入侵檢測的數(shù)據(jù)處理分析關(guān)鍵算法研究[D];西南科技大學(xué);2016年

2 曹利蒲;網(wǎng)絡(luò)安全設(shè)備聯(lián)動系統(tǒng)中事件關(guān)聯(lián)模型的研究與應(yīng)用[D];華北電力大學(xué);2014年

3 陳秋絢;基于支持向量機的混合入侵報警分析研究[D];北京郵電大學(xué);2013年

4 趙茜;基于場景重構(gòu)與報警聚合的網(wǎng)絡(luò)取證技術(shù)研究[D];東北大學(xué);2012年

5 李樣兵;關(guān)聯(lián)分析在統(tǒng)一安全平臺中的應(yīng)用研究[D];南華大學(xué);2012年

【二級參考文獻】

相關(guān)期刊論文 前7條

1 黃林;吳志杰;黃曉芳;韋勇;付智慧;;一種改進的多源異構(gòu)告警聚合方案[J];計算機應(yīng)用研究;2014年02期

2 胥小波;蔣琴琴;鄭康鋒;武斌;楊義先;;基于混沌粒子群的IDS告警聚類算法[J];通信學(xué)報;2013年03期

3 徐前方;肖波;郭軍;;挖掘電信告警關(guān)聯(lián)模式方法[J];北京郵電大學(xué)學(xué)報;2011年02期

4 李疆生;張強強;徐彬;;ASON技術(shù)在SDH網(wǎng)絡(luò)中的引入[J];電力系統(tǒng)通信;2010年08期

5 郭帆;余敏;葉繼華;;一種基于分類和相似度的報警聚合方法[J];計算機應(yīng)用;2007年10期

6 馬琳茹;楊林;王建新;唐鑫;;利用模糊聚類實現(xiàn)入侵檢測告警關(guān)聯(lián)圖的重構(gòu)[J];通信學(xué)報;2006年09期

7 龔儉 ,梅海彬 ,丁勇 ,魏德昊;多特征關(guān)聯(lián)的入侵事件冗余消除[J];東南大學(xué)學(xué)報(自然科學(xué)版);2005年03期

相關(guān)碩士學(xué)位論文 前2條

1 宋菲;入侵報警關(guān)聯(lián)模型及其關(guān)鍵技術(shù)的研究與實現(xiàn)[D];南京航空航天大學(xué);2008年

2 李冬芳;基于序列模式的入侵檢測研究[D];鄭州大學(xué);2006年

【相似文獻】

相關(guān)期刊論文 前10條

1 張曉剛;潘久輝;;MS SQL Server 2000日志分析方法的研究與實現(xiàn)[J];計算機工程與設(shè)計;2006年19期

2 李春林;周根鴻;張文體;;重視日志審計確保數(shù)據(jù)安全[J];醫(yī)學(xué)信息;2007年10期

3 梁曉雪;王鋒;;基于聚類的日志分析技術(shù)綜述與展望[J];云南大學(xué)學(xué)報(自然科學(xué)版);2009年S1期

4 黃海隆;陳賽娉;;計算機日志分析與管理方法的研究[J];大眾科技;2006年07期

5 鄭毅;;基于日志分析的網(wǎng)絡(luò)IDS研究[J];襄樊學(xué)院學(xué)報;2008年11期

6 陳庭平;沈麗娟;曾鵬;;日志服務(wù)器建設(shè)和應(yīng)用[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2010年09期

7 鄒先霞;賈維嘉;潘久輝;;基于數(shù)據(jù)庫日志的變化數(shù)據(jù)捕獲研究[J];小型微型計算機系統(tǒng);2012年03期

8 羅新;;防火墻日志分析系統(tǒng)的設(shè)計與實現(xiàn)[J];計算機時代;2012年02期

9 姜良華;崔建明;;Serv-U FTP服務(wù)器日志分析系統(tǒng)設(shè)計與實現(xiàn)[J];電腦知識與技術(shù);2010年28期

10 李玉榮;楊樹強;賈焰;周斌;樊宇;;分布式日志服務(wù)關(guān)鍵技術(shù)研究[J];計算機工程與應(yīng)用;2006年07期

相關(guān)會議論文 前10條

1 馬辰;武斌;;一種基于攻擊事件圖的蜜網(wǎng)日志分析方法[A];虛擬運營與云計算——第十八屆全國青年通信學(xué)術(shù)年會論文集（下冊）[C];2013年

2 周濤;;基于數(shù)據(jù)挖掘的入侵檢測日志分析技術(shù)研究[A];第二屆中國科學(xué)院博士后學(xué)術(shù)年會暨高新技術(shù)前沿與發(fā)展學(xué)術(shù)會議程序冊[C];2010年

3 陳晨;鄭康鋒;;一種基于支持向量機的蜜網(wǎng)系統(tǒng)日志分析方法[A];2011年通信與信息技術(shù)新進展——第八屆中國通信學(xué)會學(xué)術(shù)年會論文集[C];2011年

4 劉莉;;基于多協(xié)議技術(shù)的日志集中管理安全方案[A];2008年中國通信學(xué)會無線及移動通信委員會學(xué)術(shù)年會論文集[C];2008年

5 耿濤;;Web日志分析在電子數(shù)據(jù)取證中的應(yīng)用[A];第二十一次全國計算機安全學(xué)術(shù)交流會論文集[C];2006年

6 閆龍川;王懷宇;李楓;毛一凡;;基于Hadoop的郵件日志分析與研究[A];2012電力行業(yè)信息化年會論文集[C];2012年

7 陳慶章;王磊;毛科技;戴國勇;;基于防火墻日志的在線攻擊偵查系統(tǒng)的設(shè)計與實現(xiàn)(英文)[A];全國第19屆計算機技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集（下冊）[C];2008年

8 王振亞;武斌;;基于MFI-WT算法的蜜網(wǎng)日志分析方法[A];第十七屆全國青年通信學(xué)術(shù)年會論文集[C];2012年

9 金松昌;方濱興;楊樹強;賈焰;;基于Hadoop的網(wǎng)絡(luò)安全日志分析系統(tǒng)的設(shè)計與實現(xiàn)[A];全國計算機安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

10 朱金清;王建新;陳志泊;;基于APRIORI的層次化聚類算法及其在IDS日志分析中的應(yīng)用[A];第二十四屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（研究報告篇）[C];2007年

相關(guān)重要報紙文章 前10條

1 中航工業(yè)南方航空工業(yè)集團(有限)公司科技與信息部 鄒滬湘;分析日志識別暴力破解[N];計算機世界;2013年

2 ;日志分析中的五個誤區(qū)[N];網(wǎng)絡(luò)世界;2004年

3 陳代壽;網(wǎng)管的四兩撥千斤[N];中國計算機報;2004年

4 IBM大數(shù)據(jù)專家 James Kobielus　范范 編譯;大數(shù)據(jù)日志分析借機器學(xué)習(xí)騰飛[N];網(wǎng)絡(luò)世界;2014年

5 《網(wǎng)絡(luò)世界》評測實驗室 于洋;用好Web日志[N];網(wǎng)絡(luò)世界;2004年

6 重慶 航行者;IIS的安全[N];電腦報;2002年

7 河南工業(yè)職業(yè)技術(shù)學(xué)院 邱建新;監(jiān)測Squid日志的五種方法[N];計算機世界;2005年

8 shotgun;入侵檢測初步（上）[N];電腦報;2001年

9 朱閔;淺談企業(yè)核心應(yīng)用的安全審計(下)[N];網(wǎng)絡(luò)世界;2008年

10 覃進文;在Windows 2000&&2003下快速安裝Webalizer[N];中國電腦教育報;2003年

相關(guān)博士學(xué)位論文 前3條

1 饒翔;基于日志的大規(guī)模分布式軟件系統(tǒng)可信保障技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

2 曹志波;基于日志的任務(wù)建模及調(diào)度優(yōu)化的研究[D];華南理工大學(xué);2014年

3 胡蓉;WEB日志和子空間聚類挖掘算法研究[D];華中科技大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 張?zhí)焐?日志采集與分析在Web網(wǎng)站中的設(shè)計與實現(xiàn)[D];上海交通大學(xué);2015年

2 周海靖;日志大數(shù)據(jù)分析平臺技術(shù)研究[D];山東大學(xué);2015年

3 賴特;網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究[D];電子科技大學(xué);2015年

4 董妍妍;基于Hadoop的Teradata數(shù)據(jù)倉庫日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D];南京大學(xué);2014年

5 李名弈;IPTVQOS日志分析方法研究[D];復(fù)旦大學(xué);2013年

6 劉季函(Liu,Chi Han);基于Spark的網(wǎng)絡(luò)日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D];南京大學(xué);2014年

7 李榮榮;基于Hadoop平臺的日志分析系統(tǒng)[D];復(fù)旦大學(xué);2013年

8 周云斌;基于主機的日志大數(shù)椐分析及安全性檢查[D];大連理工大學(xué);2015年

9 張迪;基于NoSQL的大規(guī)模Web日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D];復(fù)旦大學(xué);2013年

10 潘宇軒;基于Django的日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D];南京大學(xué);2014年

，

本文編號：2344194