基于日志分析的网络异常行为检测关键技术研究

发布时间：2017-04-08 07:15

  本文关键词：基于日志分析的网络异常行为检测关键技术研究，，由笔耕文化传播整理发布。

【摘要】：近年来网络攻击过程由大规模普遍性向有针对性的大目标攻击发展,因为这种针对性攻击目标往往是经过精心挑选的高价值目标,所以这类目标一般涉及更多用户信息、商业秘密甚至国家机密,而这类攻击一旦成功也会造成更加严重的社会影响。普通的入侵检测方法面对这类攻击过程检测能力非常有限,往往很难及时发现、甚至不能够发现此类攻击过程,所以需要针对这类攻击过程研究特定的检测方法。本文经过对各类入侵检测方法的对比分析,采用攻击图入侵检测方法进行攻击场景还原以达到入侵检测的目的。为了应对IDS警告漏报引起的场景还原率下降的问题,提出使用来源于网络中多种不同的设备共同发现攻击过程。首先对网络中不同设备进行分类,分析了网络中各种不同设备的日志存储位置、格式等差异,通过对各种不同设备日志进行预处理,将各类设备警告统一存储以便于对攻击过程的分析。针对经过预处理后的设备警告,本文采用两种方法来进行入侵检测。首先根据各设备警告直接建立多源攻击图,利用建立在各设备基础上的可疑攻击队列,分析发现新的攻击过程。实验证明,该方法在进行攻击场景还原,尤其是在IDS警告有大量误报、漏报的情况下,攻击场景的还原率要明显高于其他同类检测方法。然后,对多种设备的警告日志利用PrefixSpan算法进行频繁模式挖掘,将挖掘出的频繁模式定义为常见攻击模式,根据常见攻击模式以及各警告来源设备构建多源攻击模式图,通过常见攻击模式来发现新的可能的攻击过程。解决了第一种方法利用特定攻击过程构建攻击图时只能发现已知攻击过程的问题。
【关键词】：网络安全 入侵检测系统 异常行为 多源日志 攻击图
【学位授予单位】：中国民航大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要5-6
• Abstract6-9
• 第一章 绪论9-14
• 1.1 研究背景与意义9-10
• 1.2 国内外研究现状10-12
• 1.3 研究内容与方法12-13
• 1.4 论文组织结构13-14
• 第二章 相关理论研究14-23
• 2.1 入侵检测技术14-18
• 2.1.1 入侵检测概述14-16
• 2.1.2 异常检测技术16-17
• 2.1.3 关联分析技术17-18
• 2.2 基于攻击图的入侵检测18-19
• 2.3 多源日志分析19-22
• 2.4 本章小结22-23
• 第三章 多源攻击图入侵检测23-36
• 3.1 多源攻击图概念和术语23-26
• 3.1.1 攻击图节点23-24
• 3.1.2 多源攻击图24-26
• 3.2 多源攻击图构建26-28
• 3.2.1 多源日志预处理26-27
• 3.2.2 攻击图构建27-28
• 3.3 攻击识别28-32
• 3.3.1 可疑攻击队列28-29
• 3.3.2 算法描述29-30
• 3.3.3 算法执行过程30-31
• 3.3.4 算法示例31-32
• 3.4 实验结果及分析32-35
• 3.5 本章小结35-36
• 第四章 多源攻击模式图异常检测36-50
• 4.1 基本定义和概念36-39
• 4.1.1 攻击模式图节点36-37
• 4.1.2 多源攻击模式图37-38
• 4.1.3 PrefixSpan算法38-39
• 4.2 多源攻击模式图构建39-43
• 4.2.1 多源日志预处理39-41
• 4.2.2 PrefixSpan算法描述41-42
• 4.2.3 攻击模式图构建42-43
• 4.3 攻击模式识别43-47
• 4.3.1 可疑攻击模式图43
• 4.3.2 算法描述43-45
• 4.3.3 算法执行过程45-47
• 4.3.4 算法示例47
• 4.4 实验结果及分析47-49
• 4.5 本章小结49-50
• 第五章 总结与展望50-52
• 5.1 全文总结50
• 5.2 展望50-52
• 参考文献52-57
• 致谢57-58
• 附件58

  本文关键词：基于日志分析的网络异常行为检测关键技术研究，由笔耕文化传播整理发布。

本文编号：292354