發(fā)布時間：2021-02-10 19:33

　　信息安全領(lǐng)域通常將目光聚焦于預(yù)防和抵御外部攻擊,而忽視內(nèi)部威脅帶來的困擾。近些年來,震驚世人的泄密事件、網(wǎng)絡(luò)癱瘓事件皆源于內(nèi)部威脅,盡管投入大量資源維護邊界防御措施,但對具有潛在威脅的內(nèi)部人員卻毫不設(shè)防。隨著越來越多的安全從業(yè)者意識到內(nèi)部威脅的危害,針對內(nèi)部威脅防護（Insider Threat Protection,ITP）的研究已然形成趨勢�，F(xiàn)有威脅檢測技術(shù)各式各樣,但仍沒有統(tǒng)一標(biāo)準(zhǔn),其中最為行之有效的ITP便是利用日志資源進行行為審計�；谶@一背景,本次課題提出對基于日志挖掘的用戶行為審計技術(shù)進行研究,主要研究工作包括以下幾個方面:（1）行為采集。在開源的攻擊檢測數(shù)據(jù)集中,CERT-IT數(shù)據(jù)集模擬了典型威脅行為,但涉及的行為域較少,與企業(yè)環(huán)境中的真實行為存在偏差,因此設(shè)計基于Logstash的采集器,通過路徑匹配、正則解析等策略,提取企業(yè)環(huán)境下的用戶原始日志。再利用MD5壓縮碼和HashSet對多類日志過濾去重,并進行清洗、融合等預(yù)處理操作,形成審計日志集,與CERT-IT日志集綜合使用。然后設(shè)計了對日志集中的用戶行為元的提取和行為序列量化方案,為后續(xù)威脅檢測提供數(shù)據(jù)支持。（2）... 

【文章來源】：武漢理工大學(xué)湖北省 211工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級別】：碩士

【部分圖文】：

網(wǎng)絡(luò)域30個特征間的皮爾遜相關(guān)系數(shù)比較圖

16圖2-4網(wǎng)絡(luò)域30個特征間的皮爾遜相關(guān)系數(shù)比較圖如圖2-5所示為所有域?qū)傩缘腜earson值統(tǒng)計圖，其中pdf表示概率密度函數(shù)，cdf表示概率累積分布函數(shù)。對于皮爾遜系數(shù)分布在0.1-0.4之間的特征予以保留，對分布0.7-1之間的強相關(guān)性特征選擇性剔除，例如與網(wǎng)絡(luò)相關(guān)的日志都會含有source_ip和target_ip特征。需要關(guān)聯(lián)分析的特征則分布在0.5左右。圖2-5網(wǎng)絡(luò)特征的皮爾遜相關(guān)系數(shù)統(tǒng)計圖

17通過對原始日志的過濾、清洗后，將124個原始日志整理為96個有效日志，最后經(jīng)過融合處理得到34個核心審計日志。部分核心日志的重要特征屬性如表2-2所示。表2-2日志融合后部分日志重要屬性表日志類型屬性LoginUser,Group,Type,Time,OnLine,ComputerAlarmWarningLevel,PrimaryType,SecondaryType,TertiaryType,DetailedType,Client,Computer,Person,Time,Is-DisposedWEBClientID,Time,SourcePort,RemoteIP,RemotePort,Process,ServerReceivingTimeMailTime,From,To,Daemon,Priority,Protocol,Relay,DSN,SizeErrorTime,Severity,ClientIP,MsgSecurityTime,Daemon,PID,Operation,User,Source,Msg圖2-6預(yù)處理后部分日志數(shù)據(jù)的壓縮統(tǒng)計圖通過預(yù)處理，將原始大小為40,290,268KB日志集整理為3GB左右，部分日志的量級比較如圖2-6所示，可以看出數(shù)據(jù)量明顯縮校為了后續(xù)行為關(guān)聯(lián)性分析和聚類頻率變化研究，還需對日志集進行用戶行為數(shù)據(jù)的提齲2.3行為數(shù)據(jù)挖掘為了實現(xiàn)對用戶行為的建模，需從CERT-IT標(biāo)準(zhǔn)數(shù)據(jù)集和企業(yè)日志集中挖

【參考文獻】：
期刊論文
[1]基于粒子群優(yōu)化的差分隱私擬合框架[J]. 高志強,崔翛龍,楊偉鋒,周沙,王昭.  武漢大學(xué)學(xué)報(理學(xué)版). 2019(02)
[2]全特征信息均衡建模的內(nèi)部威脅人物檢測[J]. 劉宇,羅森林,曲樂煒,潘麗敏,張笈.  浙江大學(xué)學(xué)報(工學(xué)版). 2019(04)
[3]不平衡數(shù)據(jù)挖掘方法綜述[J]. 向鴻鑫,楊云.  計算機工程與應(yīng)用. 2019(04)
[4]具有自適應(yīng)行為的粒子群算法研究[J]. 丁知平,劉超,牛培峰.  統(tǒng)計與決策. 2019(02)
[5]軟件定義網(wǎng)絡(luò)DDoS聯(lián)合檢測系統(tǒng)[J]. 宋宇波,楊慧文,武威,胡愛群,高尚.  清華大學(xué)學(xué)報(自然科學(xué)版). 2019(01)
[6]內(nèi)部威脅檢測中用戶行為模式畫像方法研究[J]. 郭淵博,劉春輝,孔菁,王一豐.  通信學(xué)報. 2018(12)
[7]采用自適應(yīng)基因粒子群算法優(yōu)化隱馬爾科夫模型的方法及應(yīng)用[J]. 張西寧,雷威,楊雨薇,張雯雯.  西安交通大學(xué)學(xué)報. 2018(08)
[8]手勢識別身份認(rèn)證的連續(xù)隱馬爾可夫模型[J]. 李富,孫子文.  小型微型計算機系統(tǒng). 2018(03)
[9]基于耦合多隱馬爾可夫模型和深度圖像數(shù)據(jù)的人體動作識別[J]. 張全貴,蔡豐,李志強.  計算機應(yīng)用. 2018(02)
[10]基于相對編輯相似度的近似重復(fù)視頻檢索和定位[J]. 趙清杰,王浩,劉浩,張聰.  北京理工大學(xué)學(xué)報. 2018(01)

碩士論文
[1]時間序列異常檢測算法的研究與應(yīng)用[D]. 呂玉紅.電子科技大學(xué) 2018
[2]基于ELK Stack的實時日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D]. 王裕辰.北京郵電大學(xué) 2018
[3]基于安全日志的攻擊模式挖掘技術(shù)研究[D]. 李揚.北京郵電大學(xué) 2017
[4]基于Web應(yīng)用的日志采集與分析系統(tǒng)的設(shè)計與實現(xiàn)[D]. 于靜.北京交通大學(xué) 2016



本文編號：3027878