基于校园网多源日志的安全事件分析

摘要

网络攻击工具专业化和网络攻击行为复杂化，使得网络安全问题成为一个无法回避的问题。计算机网络系统中各种安全设备的应用，虽然从一定程度上解决了网络安全问题，但无法满足人们对网络访问高可用性和高可靠性的同时，保障计算机系统的安全。日志分析作为一个新的解决办法被提出来，但随着日志数据量的爆发式增长和日志格式的层出不穷，从海量日志中挖掘有价值的信息，发现潜在问题变得越来越困难。
　　针对校园网络中多源异构日志，设计并实现了基于校园网多源日志的安全事件分析方法。以HDFS分布式文件系统存储平日志，以Spark大数据处理框架为日志分析平台，通过实验得到网络中攻击行为的关联关系。对来源不同、格式各异的日志数据，通过数据清洗去除日志数据中大量有空缺值的、错误的日志记录，针对具体日志，制定正则表达式，运用正则表达式的正则捕获组从文本日志中提取出日志信息字段，运用特征选择算法减少数据属性之间的冗余性、降低数据维度、提高数据质量，结合统计学和机器学习等数据挖掘方法从大量校园网络日志数据中找到隐含的、未知的、异常的及可能潜在的规律或模式，通过对多种设备产生的警报日志进行关联分析，发现用户在网络中的行为轨迹，进而判断出用户网络访问行为的性质。
　　实验结果表明，通过对多源日志分析，构建出异常行为规则库，能够有效发现攻击者的行为轨迹。

目录

声明

1 绪论

1.1研究目的及意义

1.2国内外研究现状

1.3研究目标和所做的工作

1.4论文的组织结构

2 基于多源日志的安全事件分析流程

2.1日志特点

2.2多源日志安全事件分析与处理流程

2.3 系统组成

2.4本章小结

3 多源日志预处理

3.1数据预处理流程

3.2数据清洗及日志信息字段的提取

3.3日志特征的选择

3.4本章小结

4 基于多源日志的安全事件分析

4.1多源日志的分析处理

4.2关联分析及其改进算法

4.3基于多源日志的安全事件分析

4.4 实验结果及分析

4.5本章小节

5 总结与展望

5.1全文总结

5.2存在的问题

5.3研究展望

致谢

参考文献