基于日志分析的物联网平台异常检测方法及系统
发布时间:2021-12-24 01:48
物联网作为国家战略性新兴产业,广泛应用于工业控制、智慧城市、军事国防等领域。海量节点差异、异构网络互联、多源数据汇聚、跨域服务共享等特点,导致物联网更容易遭受DoS、SSH暴力破解、XSS/SQL注入、节点捕获伪造等攻击。系统异常检测研判与实时响应成为保护物联网系统安全的基础。海量日志分析是异常检测与研判的主要手段。因网络管理系统(NMS)需要特定领域知识并且不能识别出详细的网络事件,不能满足物联网安全的基本要求,本文研究基于关联关系的日志模板提取方法和基于自主学习的异常检测方法,提升物联网系统异常检测的准确性,具体研究内容如下:针对物联网海量多源异构日志结构的复杂性,设计一种有效信息的抽取模型,设计抽取规则机制,实现对海量日志的自动解析及清洗。针对模板词与参数次词在日志文本中的概率差异,设计一种基于DBSCAN的模板词提取方法,利用密度有效区分模板词。针对一个网络事件在多源异构日志中产生的多处痕迹,依据其中的关联关系,提出一种模板提取方法,形成攻击类型索引的日志模板集。针对攻击方式层出不穷、部分供应商不对外公布模板库的情况,提出一种基于相似度的在线模板集更新方法。实验表明,基于以上方...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:77 页
【学位级别】:硕士
【部分图文】:
三种模型对比图
第四章 基于 K-Means 的异常检测分析方法类s 算法是非监督学习中的聚类算法,是一种通过不断迭代选本点的算法[30],将相似的或者有相关性的数据元素分类机选取 k 个中心点,计算各个点距离中心点的距离,将数中心点所在的簇;调整新的聚类中心点,直到相邻两次的示聚类函数已经达到收敛。要求做到主动学习,当检测到一种新的攻击类型时会重新前指定 k 值,则重新聚类时 k 值加 1,满足增加事件种类CAN 相比,K-Means 受噪声点的影响会更小。本节利用 10量矩阵,聚类结果如下图 4.3 所示。
图 4.4 增加种类后的 K-Means 算法结果新聚类结果发现,K-Means 可以在保持原来簇的基础之上添加异常检测方法的思想,且所得结果的准确性高。-Means 算法应用ns 算法满足本章提出的自主学习的需求,但由于 K-Means 必值,因此在学习训练过程中需要对K-Means算法流程依据需要模板库。算法输入端需要对 K 值明确指明,在训练过程中,若发现输个新的攻击事件,则需要更新模板库。此时将再次进行迭代操s 算法,但此时的 K 值增加 1,将新出现的事件重新放回学习板库的生成过程,如下图 4.5 所示。
【参考文献】:
期刊论文
[1]基于大规模网络日志的模板提取研究[J]. 崔元,张琢. 计算机科学. 2017(S2)
[2]一种基于日志聚类的多类型故障预测方法[J]. 王卫华,应时,贾向阳,王冰明,程国力. 计算机工程. 2018(07)
[3]Web服务器攻击日志分析研究[J]. 邓诗琪,刘晓明,武旭东,雷敏. 信息网络安全. 2016(06)
[4]一种基于k-均值的DBSCAN算法参数动态选择方法[J]. 王兆丰,单甘霖. 计算机工程与应用. 2017(03)
[5]一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J]. 何鹏程,方勇. 信息网络安全. 2015(01)
[6]一种基于文法压缩的日志异常检测算法[J]. 高赟,周薇,韩冀中,孟丹. 计算机学报. 2014(01)
[7]贝叶斯推理在攻击图节点置信度计算中的应用[J]. 张少俊,李建华,宋珊珊,李斓,陈秀真. 软件学报. 2010(09)
[8]DBSCAN聚类算法在异常检测中的应用[J]. 吴贞珍,黄建华. 计算机安全. 2007(08)
本文编号:3549591
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:77 页
【学位级别】:硕士
【部分图文】:
三种模型对比图
第四章 基于 K-Means 的异常检测分析方法类s 算法是非监督学习中的聚类算法,是一种通过不断迭代选本点的算法[30],将相似的或者有相关性的数据元素分类机选取 k 个中心点,计算各个点距离中心点的距离,将数中心点所在的簇;调整新的聚类中心点,直到相邻两次的示聚类函数已经达到收敛。要求做到主动学习,当检测到一种新的攻击类型时会重新前指定 k 值,则重新聚类时 k 值加 1,满足增加事件种类CAN 相比,K-Means 受噪声点的影响会更小。本节利用 10量矩阵,聚类结果如下图 4.3 所示。
图 4.4 增加种类后的 K-Means 算法结果新聚类结果发现,K-Means 可以在保持原来簇的基础之上添加异常检测方法的思想,且所得结果的准确性高。-Means 算法应用ns 算法满足本章提出的自主学习的需求,但由于 K-Means 必值,因此在学习训练过程中需要对K-Means算法流程依据需要模板库。算法输入端需要对 K 值明确指明,在训练过程中,若发现输个新的攻击事件,则需要更新模板库。此时将再次进行迭代操s 算法,但此时的 K 值增加 1,将新出现的事件重新放回学习板库的生成过程,如下图 4.5 所示。
【参考文献】:
期刊论文
[1]基于大规模网络日志的模板提取研究[J]. 崔元,张琢. 计算机科学. 2017(S2)
[2]一种基于日志聚类的多类型故障预测方法[J]. 王卫华,应时,贾向阳,王冰明,程国力. 计算机工程. 2018(07)
[3]Web服务器攻击日志分析研究[J]. 邓诗琪,刘晓明,武旭东,雷敏. 信息网络安全. 2016(06)
[4]一种基于k-均值的DBSCAN算法参数动态选择方法[J]. 王兆丰,单甘霖. 计算机工程与应用. 2017(03)
[5]一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J]. 何鹏程,方勇. 信息网络安全. 2015(01)
[6]一种基于文法压缩的日志异常检测算法[J]. 高赟,周薇,韩冀中,孟丹. 计算机学报. 2014(01)
[7]贝叶斯推理在攻击图节点置信度计算中的应用[J]. 张少俊,李建华,宋珊珊,李斓,陈秀真. 软件学报. 2010(09)
[8]DBSCAN聚类算法在异常检测中的应用[J]. 吴贞珍,黄建华. 计算机安全. 2007(08)
本文编号:3549591
本文链接:https://www.wllwen.com/kejilunwen/xinxigongchenglunwen/3549591.html
