本文關(guān)鍵詞：網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：企事業(yè)單位通常在網(wǎng)絡(luò)的出入口處安裝多種網(wǎng)絡(luò)安全設(shè)備以保障內(nèi)部網(wǎng)絡(luò)的安全,防火墻和IDS等設(shè)備在運(yùn)行過程中會(huì)產(chǎn)生大量的日志來記錄網(wǎng)絡(luò)事件。通過研究這些多源異構(gòu)的日志數(shù)據(jù)并從中提取網(wǎng)絡(luò)安全事件可以呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì),這樣能夠讓管理人員準(zhǔn)確地掌握網(wǎng)絡(luò)運(yùn)行狀況同時(shí)做出正確的網(wǎng)絡(luò)決策。網(wǎng)絡(luò)安全設(shè)備日志具有海量性、多源異構(gòu)性和時(shí)空關(guān)聯(lián)等特性。本文主要對(duì)安全設(shè)備日志融合算法進(jìn)行研究,通過分析并改進(jìn)現(xiàn)有的數(shù)據(jù)融合算法和日志融合模型,以Hadoop大數(shù)據(jù)處理平臺(tái)為基礎(chǔ),從日志預(yù)處理、日志聚類和日志融合等方面構(gòu)建高效的日志處理算法。首先,本文分析了網(wǎng)絡(luò)安全設(shè)備日志的相關(guān)概念并對(duì)已有的日志分析工具進(jìn)行簡單介紹。分析日志是為了挖掘出日志中隱藏的網(wǎng)絡(luò)態(tài)勢(shì)信息,因此,本文從態(tài)勢(shì)信息獲取、態(tài)勢(shì)要素提取和態(tài)勢(shì)評(píng)估三個(gè)方面解析態(tài)勢(shì)感知模型。為了高效地處理海量多源日志數(shù)據(jù),本文將網(wǎng)絡(luò)安全設(shè)備日志規(guī)范表示為管理配置類日志、流量異常類日志和攻擊類類日志。其次,本文提出了基于網(wǎng)絡(luò)安全設(shè)備日志屬性相異度的聚類算法。該算法以網(wǎng)絡(luò)攻擊模型對(duì)應(yīng)的日志屬性特征為基礎(chǔ),以動(dòng)態(tài)時(shí)間閥值為日志聚合條件,該算法根據(jù)IP地址和端口等屬性對(duì)不同網(wǎng)絡(luò)攻擊具有相異的重要性而設(shè)置不同的貢獻(xiàn)權(quán)值。實(shí)驗(yàn)數(shù)據(jù)表明,該聚類算法對(duì)已知的網(wǎng)絡(luò)攻擊具有很高的檢測(cè)率。日志聚類形成超警日志(Hyper_logs),本文提出了基于規(guī)則的融合算法和加權(quán)的DS證據(jù)理論對(duì)超警日志進(jìn)行融合。對(duì)于攻擊類超警日志,本文針對(duì)安全設(shè)備對(duì)不同網(wǎng)絡(luò)攻擊檢測(cè)準(zhǔn)確率差異對(duì)其設(shè)置相異的權(quán)值,這樣使得日志融合的結(jié)果能夠更準(zhǔn)確地反應(yīng)真實(shí)的網(wǎng)絡(luò)攻擊場(chǎng)景。最后,在日志融合基礎(chǔ)上,本文以Tim Bass模型為基礎(chǔ)設(shè)計(jì)并實(shí)現(xiàn)了網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)。該系統(tǒng)實(shí)現(xiàn)了日志采集、數(shù)據(jù)處理和態(tài)勢(shì)評(píng)估三個(gè)模塊,為網(wǎng)絡(luò)安全管理人員提供了選擇和查詢等人機(jī)交互的接口,方便管理員掌握網(wǎng)絡(luò)態(tài)勢(shì)信息,以便于為進(jìn)一步做出網(wǎng)絡(luò)決策提供參考。
【關(guān)鍵詞】：網(wǎng)絡(luò)設(shè)備日志 安全態(tài)勢(shì) 日志聚類 融合
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 緒論10-16
• 1.1 研究背景10-11
• 1.2 研究目的和意義11-12
• 1.3 國內(nèi)外研究現(xiàn)狀12-14
• 1.4 論文研究工作14
• 1.5 論文組織結(jié)構(gòu)14-16
• 第二章 多源日志融合技術(shù)分析16-23
• 2.1 日志相關(guān)概念16-20
• 2.1.1 日志分類17-18
• 2.1.2 常見的日志分析工具18-20
• 2.2 多源日志融合方法20-21
• 2.2.1 網(wǎng)絡(luò)安全設(shè)備日志融合概念20
• 2.2.2 網(wǎng)絡(luò)安全設(shè)備日志融合方法20-21
• 2.3 本章小結(jié)21-23
• 第三章 網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究23-31
• 3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架23-25
• 3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)25-29
• 3.2.1 信息獲取25-26
• 3.2.2 要素提取26-28
• 3.2.3 態(tài)勢(shì)決策28-29
• 3.3 Tim Bass態(tài)勢(shì)評(píng)估經(jīng)典模型29-30
• 3.4 本章小結(jié)30-31
• 第四章 多源異構(gòu)日志融合算法研究與實(shí)現(xiàn)31-55
• 4.1 海量日志預(yù)處理31-34
• 4.1.1 日志過濾31-32
• 4.1.2 日志規(guī)范化32-34
• 4.2 網(wǎng)絡(luò)安全設(shè)備日志聚合算法34-46
• 4.2.1 常見網(wǎng)絡(luò)攻擊模式與聚合規(guī)則34-37
• 4.2.2 動(dòng)態(tài)時(shí)間閥值的確定37-40
• 4.2.3 基于屬性相異度的日志聚類算法40-42
• 4.2.4 日志聚類算法的實(shí)現(xiàn)42-46
• 4.3 管理配置類和流量異常類日志融合46-49
• 4.3.1 融合規(guī)則制定方法47
• 4.3.2 融合流程設(shè)計(jì)47-49
• 4.4 攻擊類事件日志融合49-54
• 4.4.1 DS證據(jù)理論49-50
• 4.4.2 基于改進(jìn)DS理論的日志融合50-54
• 4.5 本章小結(jié)54-55
• 第五章 基于日志融合的網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)55-72
• 5.1 系統(tǒng)總體架構(gòu)55-56
• 5.2 系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn)56-61
• 5.2.1 日志采集模塊56-57
• 5.2.2 日志分析模塊57-59
• 5.2.3 網(wǎng)絡(luò)安全事件呈現(xiàn)模塊59-61
• 5.3 日志融合算法有效性測(cè)試61-70
• 5.3.1 日志屬性相異度聚類算法有效性測(cè)試62-65
• 5.3.2 加權(quán)的DS理論日志融合算法有效性測(cè)試65-69
• 5.3.3 系統(tǒng)時(shí)間性能分析69-70
• 5.4 本章小結(jié)70-72
• 第六章 論文總結(jié)72-74
• 6.1 論文工作總結(jié)72
• 6.2 后續(xù)研究工作72-74
• 致謝74-75
• 參考文獻(xiàn)75-79

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前2條

1 高崇南;余宏亮;鄭緯民;;基于日志的系統(tǒng)任務(wù)模型推理工具及其應(yīng)用[J];計(jì)算機(jī)研究與發(fā)展;2010年08期

2 馬琳茹;楊林;王建新;;多源異構(gòu)安全信息融合關(guān)聯(lián)技術(shù)研究[J];系統(tǒng)仿真學(xué)報(bào);2008年04期

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 楊華;可視化日志分析系統(tǒng)的研究與實(shí)現(xiàn)[D];西安電子科技大學(xué);2010年

  本文關(guān)鍵詞：網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究，由筆耕文化傳播整理發(fā)布。

，

本文編號(hào)：287697