基于日志分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究.pdf

1、互聯(lián)網(wǎng)的迅速發(fā)展使得分布式計(jì)算成為應(yīng)用的主流。由于互聯(lián)網(wǎng)具有開放性、互連性、共享性的特點(diǎn)，使其遭受網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)日益嚴(yán)重。在過去的幾年中，針對(duì)關(guān)鍵信息資源的威脅數(shù)量和類型都在急劇上升。如何應(yīng)對(duì)這種形勢(shì)，及時(shí)對(duì)網(wǎng)絡(luò)攻擊行為做出主動(dòng)反應(yīng)，成為網(wǎng)絡(luò)安全領(lǐng)域近年來的研究熱點(diǎn)。最近出現(xiàn)了一些新的入侵檢測(cè)系統(tǒng)(如思科公司的Mars系統(tǒng)，eSecurity公司的SEM系統(tǒng)等)，它們的特點(diǎn)是具有某些異常模式判斷的能力，且對(duì)識(shí)別出來的威脅事件可以實(shí)現(xiàn)一定

2、的主動(dòng)響應(yīng)，但是其缺點(diǎn)是系統(tǒng)封閉，價(jià)格昂貴，對(duì)第3方廠商的設(shè)備支持不足，尤其對(duì)國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備的支持不夠，應(yīng)此在國(guó)內(nèi)沒有得到廣泛應(yīng)用。 本文基于以上現(xiàn)狀，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于日志分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，這個(gè)系統(tǒng)根據(jù)國(guó)際標(biāo)準(zhǔn)協(xié)議，建立了一個(gè)多種網(wǎng)絡(luò)設(shè)備日志的收集系統(tǒng)，搜集網(wǎng)絡(luò)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備的日志信息，充分利用這些日志信息所反映的網(wǎng)絡(luò)行為特征，進(jìn)行關(guān)聯(lián)分析，從而定位網(wǎng)絡(luò)攻擊源，通過數(shù)據(jù)交換接口與防御系統(tǒng)中的主動(dòng)響應(yīng)模塊實(shí)現(xiàn)數(shù)據(jù)共享。

3、 由于系統(tǒng)所搜集的海量日志數(shù)據(jù)中有大量的無效或冗余信息，如果不對(duì)它們進(jìn)行預(yù)處理，將會(huì)淹沒含有網(wǎng)絡(luò)攻擊行為特征的信息。我們利用數(shù)據(jù)挖掘里分類的方法去除大量的無效數(shù)據(jù)，然后運(yùn)用數(shù)理統(tǒng)計(jì)的算法對(duì)這些信息進(jìn)行挖掘，將不同網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志信息進(jìn)行關(guān)聯(lián)分析，利用聚類的方法來發(fā)現(xiàn)網(wǎng)絡(luò)中常見的DoS攻擊、計(jì)算機(jī)蠕蟲病毒等威脅事件，同時(shí)利用模式匹配的方法來發(fā)現(xiàn)一些高危險(xiǎn)性的黑客入侵事件；從而識(shí)別出在網(wǎng)絡(luò)中對(duì)安全影響較大的網(wǎng)絡(luò)攻擊行為。對(duì)于不同網(wǎng)絡(luò)