基于日志挖掘的用户行为审计技术的研究与实现
发布时间:2021-02-10 19:33
信息安全领域通常将目光聚焦于预防和抵御外部攻击,而忽视内部威胁带来的困扰。近些年来,震惊世人的泄密事件、网络瘫痪事件皆源于内部威胁,尽管投入大量资源维护边界防御措施,但对具有潜在威胁的内部人员却毫不设防。随着越来越多的安全从业者意识到内部威胁的危害,针对内部威胁防护(Insider Threat Protection,ITP)的研究已然形成趋势。现有威胁检测技术各式各样,但仍没有统一标准,其中最为行之有效的ITP便是利用日志资源进行行为审计。基于这一背景,本次课题提出对基于日志挖掘的用户行为审计技术进行研究,主要研究工作包括以下几个方面:(1)行为采集。在开源的攻击检测数据集中,CERT-IT数据集模拟了典型威胁行为,但涉及的行为域较少,与企业环境中的真实行为存在偏差,因此设计基于Logstash的采集器,通过路径匹配、正则解析等策略,提取企业环境下的用户原始日志。再利用MD5压缩码和HashSet对多类日志过滤去重,并进行清洗、融合等预处理操作,形成审计日志集,与CERT-IT日志集综合使用。然后设计了对日志集中的用户行为元的提取和行为序列量化方案,为后续威胁检测提供数据支持。(2)...
【文章来源】:武汉理工大学湖北省 211工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
网络域30个特征间的皮尔逊相关系数比较图
16图2-4网络域30个特征间的皮尔逊相关系数比较图如图2-5所示为所有域属性的Pearson值统计图,其中pdf表示概率密度函数,cdf表示概率累积分布函数。对于皮尔逊系数分布在0.1-0.4之间的特征予以保留,对分布0.7-1之间的强相关性特征选择性剔除,例如与网络相关的日志都会含有source_ip和target_ip特征。需要关联分析的特征则分布在0.5左右。图2-5网络特征的皮尔逊相关系数统计图
17通过对原始日志的过滤、清洗后,将124个原始日志整理为96个有效日志,最后经过融合处理得到34个核心审计日志。部分核心日志的重要特征属性如表2-2所示。表2-2日志融合后部分日志重要属性表日志类型属性LoginUser,Group,Type,Time,OnLine,ComputerAlarmWarningLevel,PrimaryType,SecondaryType,TertiaryType,DetailedType,Client,Computer,Person,Time,Is-DisposedWEBClientID,Time,SourcePort,RemoteIP,RemotePort,Process,ServerReceivingTimeMailTime,From,To,Daemon,Priority,Protocol,Relay,DSN,SizeErrorTime,Severity,ClientIP,MsgSecurityTime,Daemon,PID,Operation,User,Source,Msg图2-6预处理后部分日志数据的压缩统计图通过预处理,将原始大小为40,290,268KB日志集整理为3GB左右,部分日志的量级比较如图2-6所示,可以看出数据量明显缩校为了后续行为关联性分析和聚类频率变化研究,还需对日志集进行用户行为数据的提龋2.3行为数据挖掘为了实现对用户行为的建模,需从CERT-IT标准数据集和企业日志集中挖
【参考文献】:
期刊论文
[1]基于粒子群优化的差分隐私拟合框架[J]. 高志强,崔翛龙,杨伟锋,周沙,王昭. 武汉大学学报(理学版). 2019(02)
[2]全特征信息均衡建模的内部威胁人物检测[J]. 刘宇,罗森林,曲乐炜,潘丽敏,张笈. 浙江大学学报(工学版). 2019(04)
[3]不平衡数据挖掘方法综述[J]. 向鸿鑫,杨云. 计算机工程与应用. 2019(04)
[4]具有自适应行为的粒子群算法研究[J]. 丁知平,刘超,牛培峰. 统计与决策. 2019(02)
[5]软件定义网络DDoS联合检测系统[J]. 宋宇波,杨慧文,武威,胡爱群,高尚. 清华大学学报(自然科学版). 2019(01)
[6]内部威胁检测中用户行为模式画像方法研究[J]. 郭渊博,刘春辉,孔菁,王一丰. 通信学报. 2018(12)
[7]采用自适应基因粒子群算法优化隐马尔科夫模型的方法及应用[J]. 张西宁,雷威,杨雨薇,张雯雯. 西安交通大学学报. 2018(08)
[8]手势识别身份认证的连续隐马尔可夫模型[J]. 李富,孙子文. 小型微型计算机系统. 2018(03)
[9]基于耦合多隐马尔可夫模型和深度图像数据的人体动作识别[J]. 张全贵,蔡丰,李志强. 计算机应用. 2018(02)
[10]基于相对编辑相似度的近似重复视频检索和定位[J]. 赵清杰,王浩,刘浩,张聪. 北京理工大学学报. 2018(01)
硕士论文
[1]时间序列异常检测算法的研究与应用[D]. 吕玉红.电子科技大学 2018
[2]基于ELK Stack的实时日志分析系统的设计与实现[D]. 王裕辰.北京邮电大学 2018
[3]基于安全日志的攻击模式挖掘技术研究[D]. 李扬.北京邮电大学 2017
[4]基于Web应用的日志采集与分析系统的设计与实现[D]. 于静.北京交通大学 2016
本文编号:3027878
【文章来源】:武汉理工大学湖北省 211工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
网络域30个特征间的皮尔逊相关系数比较图
16图2-4网络域30个特征间的皮尔逊相关系数比较图如图2-5所示为所有域属性的Pearson值统计图,其中pdf表示概率密度函数,cdf表示概率累积分布函数。对于皮尔逊系数分布在0.1-0.4之间的特征予以保留,对分布0.7-1之间的强相关性特征选择性剔除,例如与网络相关的日志都会含有source_ip和target_ip特征。需要关联分析的特征则分布在0.5左右。图2-5网络特征的皮尔逊相关系数统计图
17通过对原始日志的过滤、清洗后,将124个原始日志整理为96个有效日志,最后经过融合处理得到34个核心审计日志。部分核心日志的重要特征属性如表2-2所示。表2-2日志融合后部分日志重要属性表日志类型属性LoginUser,Group,Type,Time,OnLine,ComputerAlarmWarningLevel,PrimaryType,SecondaryType,TertiaryType,DetailedType,Client,Computer,Person,Time,Is-DisposedWEBClientID,Time,SourcePort,RemoteIP,RemotePort,Process,ServerReceivingTimeMailTime,From,To,Daemon,Priority,Protocol,Relay,DSN,SizeErrorTime,Severity,ClientIP,MsgSecurityTime,Daemon,PID,Operation,User,Source,Msg图2-6预处理后部分日志数据的压缩统计图通过预处理,将原始大小为40,290,268KB日志集整理为3GB左右,部分日志的量级比较如图2-6所示,可以看出数据量明显缩校为了后续行为关联性分析和聚类频率变化研究,还需对日志集进行用户行为数据的提龋2.3行为数据挖掘为了实现对用户行为的建模,需从CERT-IT标准数据集和企业日志集中挖
【参考文献】:
期刊论文
[1]基于粒子群优化的差分隐私拟合框架[J]. 高志强,崔翛龙,杨伟锋,周沙,王昭. 武汉大学学报(理学版). 2019(02)
[2]全特征信息均衡建模的内部威胁人物检测[J]. 刘宇,罗森林,曲乐炜,潘丽敏,张笈. 浙江大学学报(工学版). 2019(04)
[3]不平衡数据挖掘方法综述[J]. 向鸿鑫,杨云. 计算机工程与应用. 2019(04)
[4]具有自适应行为的粒子群算法研究[J]. 丁知平,刘超,牛培峰. 统计与决策. 2019(02)
[5]软件定义网络DDoS联合检测系统[J]. 宋宇波,杨慧文,武威,胡爱群,高尚. 清华大学学报(自然科学版). 2019(01)
[6]内部威胁检测中用户行为模式画像方法研究[J]. 郭渊博,刘春辉,孔菁,王一丰. 通信学报. 2018(12)
[7]采用自适应基因粒子群算法优化隐马尔科夫模型的方法及应用[J]. 张西宁,雷威,杨雨薇,张雯雯. 西安交通大学学报. 2018(08)
[8]手势识别身份认证的连续隐马尔可夫模型[J]. 李富,孙子文. 小型微型计算机系统. 2018(03)
[9]基于耦合多隐马尔可夫模型和深度图像数据的人体动作识别[J]. 张全贵,蔡丰,李志强. 计算机应用. 2018(02)
[10]基于相对编辑相似度的近似重复视频检索和定位[J]. 赵清杰,王浩,刘浩,张聪. 北京理工大学学报. 2018(01)
硕士论文
[1]时间序列异常检测算法的研究与应用[D]. 吕玉红.电子科技大学 2018
[2]基于ELK Stack的实时日志分析系统的设计与实现[D]. 王裕辰.北京邮电大学 2018
[3]基于安全日志的攻击模式挖掘技术研究[D]. 李扬.北京邮电大学 2017
[4]基于Web应用的日志采集与分析系统的设计与实现[D]. 于静.北京交通大学 2016
本文编号:3027878
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3027878.html
