隨著計(jì)算機(jī)軟硬件技術(shù)的高速發(fā)展,計(jì)算機(jī)信息技術(shù)已經(jīng)滲透到了人們工作生活的方方面面。計(jì)算機(jī)技術(shù)給人們帶來了高效和便捷,同時(shí)也給人類帶來了很多的風(fēng)險(xiǎn)。近年來,各種各樣的網(wǎng)絡(luò)安全事件層出不窮。研究如何從日志數(shù)據(jù)中,重現(xiàn)攻擊者的攻擊過程對(duì)于網(wǎng)絡(luò)安全事件分析有著重要的意義。當(dāng)前階段下的網(wǎng)絡(luò)安全設(shè)備基于特征碼匹配的形式來進(jìn)行攻擊檢測(cè)。這種方式的優(yōu)點(diǎn)是安全人員可以按照需求自行增加或者刪除檢測(cè)規(guī)則,使用起來較為靈活,但是也存在著誤報(bào)率高的問題。通過調(diào)研發(fā)現(xiàn),現(xiàn)有的入侵場(chǎng)景重構(gòu)技術(shù)和方法基本都是直接對(duì)安全設(shè)備的告警進(jìn)行處理。由于安全設(shè)備存在誤告警,直接對(duì)安全設(shè)備的告警進(jìn)行分析會(huì)需要處理更多的告警,并且誤報(bào)警的存在也會(huì)影響重構(gòu)出的攻擊場(chǎng)景的準(zhǔn)確性。針對(duì)上述問題,本文結(jié)合機(jī)器學(xué)習(xí)技術(shù),研究了一種基于告警置信度的入侵場(chǎng)景重構(gòu)技術(shù)。通過計(jì)算原始告警的置信度,來刪除誤告警,從而減少后續(xù)處理過程要處理的數(shù)據(jù)量。首先利用機(jī)器學(xué)習(xí)技術(shù)獲取到原始告警的告警置信度,然后利用機(jī)器學(xué)習(xí)模型的準(zhǔn)確度和獲取到的告警的置信度對(duì)原始告警進(jìn)行分級(jí)處理,將原始告警按照告警置信度分為確認(rèn)攻擊、高度疑似、可直接剔除三類。接下來利用告警相似度函... 

【文章來源】：電子科技大學(xué)四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：82 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

SVM示意圖

第四章系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)39Tomcat服務(wù)器和Nginx服務(wù)器都提供了HTTP日志的功能，只要開啟配置就能進(jìn)行記錄到用戶發(fā)送的請(qǐng)求。下面分別介紹兩種服務(wù)的日志格式和處理方法。安裝Nginx服務(wù)器后，會(huì)默認(rèn)開啟日志功能。Nginx的日志格式可以在Nginx的配置文件nginx.conf文件中進(jìn)行自定義的配置。默認(rèn)的Nginx日志配置如圖4-5的形式。圖4-5Nginx日志配置圖4-5中的日志配置被注釋了，要開啟日志，只需刪除句首的注釋符。配置文件中，日志配置部分具體的字段[43]解釋如表4-1所示。表4-1Nginx日志字段表字段名對(duì)應(yīng)內(nèi)容remote_addr遠(yuǎn)程請(qǐng)求IP地址remote_use客戶端用戶的名稱，沒有時(shí)用-符合代替time_local請(qǐng)求收到時(shí)的本地時(shí)間戳request請(qǐng)求具體的url和參數(shù)statushttp響應(yīng)狀態(tài)碼body_bytes_sent請(qǐng)求文件大小http_referurl跳轉(zhuǎn)來源地址http_user_agent用戶終端瀏覽器UserAgent的相關(guān)信息http_x_forwarded_for客戶端真實(shí)的IP，只有在通過了HTTP代理或者負(fù)載均衡服務(wù)器時(shí)才會(huì)添加該項(xiàng)圖4-6是一個(gè)Nignx日志示例。從圖中可以看到，日志中記錄了請(qǐng)求的原始IP、請(qǐng)求到達(dá)服務(wù)端的時(shí)間、HTTP請(qǐng)求方法、請(qǐng)求的路徑、HTTP協(xié)議版本、HTTP返回包狀態(tài)碼、返回包內(nèi)容長(zhǎng)度、User-Agent等信息。圖4-6Nginx日志示例

電子科技大學(xué)碩士學(xué)位論文40tomcat的日志配置是在“/tomcat/conf/server.xml”文件中進(jìn)行配置的。如圖4-7所示。圖4-7tomcat日志配置開啟tomcat的日志記錄配置，將會(huì)在tomcat安裝目錄的logs文件夾下生成訪問的日志文件。生成的日志文件名將會(huì)是這樣的形式prefix+date+suffix。其中prefix和suffix都是從配置文件server.xml中獲取到，如上圖所示的配置，那么文件名就會(huì)是localhost_access_log.2019-02-04.txt。Tomcat默認(rèn)情況下是一天產(chǎn)生一個(gè)日志文件。圖4-8展示的是一個(gè)tomcat日志文件的內(nèi)容。圖4-8tomcat日志內(nèi)容Tomcat具體產(chǎn)生的日志格式說明如表4-2。表4-2tomcat日志格式說明字段名含義%a客戶端IP地址%A本地服務(wù)端IP地址%b發(fā)送的字節(jié)數(shù)，不包括HTTP頭，如果為0，使用“-”%B發(fā)送的字節(jié)數(shù)，不包括HTTP頭%h遠(yuǎn)端主機(jī)名(如果resolveHost=false，則為遠(yuǎn)端的IP地址）%HHTTP請(qǐng)求協(xié)議的版本號(hào)（1.1，1.0等）%l從identd返回的遠(yuǎn)端邏輯用戶名%mHTTP請(qǐng)求的方法（GET、POST、PUT等）%p收到請(qǐng)求的本地端口號(hào)%q請(qǐng)求中的查詢字符串(如果存在，以‘？’開始)%r請(qǐng)求的第一行，包含了請(qǐng)求的方法和URI%s服務(wù)端響應(yīng)的HTTP狀態(tài)碼

【參考文獻(xiàn)】：
期刊論文
[1]一種基于多因素的告警關(guān)聯(lián)方法[J]. 吳東,郭春,申國(guó)偉.  計(jì)算機(jī)與現(xiàn)代化. 2019(06)
[2]入侵告警信息聚合與關(guān)聯(lián)技術(shù)綜述[J]. 李祉岐,黃金壘,王義功,胡浩,劉玉嶺.  計(jì)算機(jī)應(yīng)用與軟件. 2019(04)
[3]基于梯度提升模型的行為式驗(yàn)證碼人機(jī)識(shí)別[J]. 歐陽志友,孫孝魁.  信息網(wǎng)絡(luò)安全. 2017(09)
[4]網(wǎng)絡(luò)威脅情報(bào)活動(dòng)模型建構(gòu)與解析[J]. 陶昱瑋.  保密科學(xué)技術(shù). 2017(08)
[5]Wannacry給網(wǎng)絡(luò)空間安全應(yīng)急處理體系帶來的啟示[J]. 譚曉生.  保密科學(xué)技術(shù). 2017(06)
[6]基于因果知識(shí)發(fā)現(xiàn)的攻擊場(chǎng)景重構(gòu)研究[J]. 樊迪,劉靜,莊俊璽,賴英旭.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2017(04)
[7]烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御[J]. 王勇,王鈺茗,張琳,張林鵬.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2017(01)
[8]DLP概念、技術(shù)與產(chǎn)品發(fā)展[J]. 陳靚,馮永勝.  中國(guó)信息安全. 2012(02)
[9]震網(wǎng)病毒分析與防范[J]. 蒲石,陳周國(guó),祝世雄.  信息網(wǎng)絡(luò)安全. 2012(02)
[10]用于自動(dòng)證據(jù)分析的層次化入侵場(chǎng)景重構(gòu)方法[J]. 伏曉,石進(jìn),謝立.  軟件學(xué)報(bào). 2011(05)

博士論文
[1]大規(guī)模網(wǎng)絡(luò)中誤告警去除和告警聚類方法研究[D]. 李冬.華中科技大學(xué) 2008
[2]網(wǎng)絡(luò)安全告警信息處理技術(shù)研究[D]. 馬琳茹.國(guó)防科學(xué)技術(shù)大學(xué) 2007

碩士論文
[1]基于用戶網(wǎng)絡(luò)數(shù)據(jù)指紋的異常行為檢測(cè)研究[D]. 吳楚婷.北京郵電大學(xué) 2019
[2]基于大數(shù)據(jù)分析的網(wǎng)絡(luò)攻擊場(chǎng)景重建系統(tǒng)[D]. 黃靜耘.天津理工大學(xué) 2017
[3]網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究[D]. 賴特.電子科技大學(xué) 2015



本文編號(hào)：2947173