【摘要】：在檢測(cè)網(wǎng)絡(luò)安全威脅事件時(shí),各種安全設(shè)備會(huì)產(chǎn)生大量冗余告警信息,易導(dǎo)致誤報(bào)率高和日志聚合后聚合度低,給日志分析帶來很大困難。為解決這一問題,采用一種自適應(yīng)時(shí)間閾值間隔的聚類算法。通過定義聚合規(guī)則和中間日志,動(dòng)態(tài)更新中間日志里的間隔閡值,實(shí)現(xiàn)對(duì)多源日志的聚合。實(shí)驗(yàn)結(jié)果表明,該算法的聚合時(shí)間閾值間隔更加接近真實(shí)攻擊時(shí)間間隔,能準(zhǔn)確對(duì)多源日志進(jìn)行聚合分析,有效減少告警日志信息的數(shù)量,提高了日志的聚合度和準(zhǔn)確率。
[Abstract]:When detecting network security threat events, a large number of redundant alarm information will be generated by various security devices, which can easily lead to high false alarm rate and low aggregation degree after log aggregation, which brings great difficulties to log analysis. To solve this problem, an adaptive time threshold interval clustering algorithm is adopted. By defining the aggregation rules and intermediate logs, the threshold values in the intermediate logs are dynamically updated, and the aggregation of multi-source logs is realized. The experimental results show that the aggregation time threshold interval of the algorithm is closer to the real attack time interval, which can accurately aggregate and analyze the multi-source logs, effectively reduce the amount of alarm log information, and improve the aggregation degree and accuracy of logs.
【作者單位】： 中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院;中國(guó)民航大學(xué)信息安全測(cè)評(píng)中心;
【基金】：民航局科技基金項(xiàng)目(MHRD20140205;MHRD20150233) 中央高�；究蒲袠I(yè)務(wù)費(fèi)中國(guó)民航大學(xué)專項(xiàng)基金項(xiàng)目(3122013Z008;3122013C004;3122015D025) 中國(guó)民航大學(xué)科研啟動(dòng)基金項(xiàng)目(2013QD24X)
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前2條

1 高會(huì)生;李英敏;;一種基于分層屬性相似度聚類的ASON告警關(guān)聯(lián)分析方法[J];科學(xué)技術(shù)與工程;2015年06期

2 黃林;吳志杰;黃曉芳;韋勇;付智慧;;一種改進(jìn)的多源異構(gòu)告警聚合方案[J];計(jì)算機(jī)應(yīng)用研究;2014年02期

相關(guān)碩士學(xué)位論文 前1條

1 毛治佳;基于屬性相似度的報(bào)警關(guān)聯(lián)系統(tǒng)的研究與實(shí)現(xiàn)[D];西安電子科技大學(xué);2011年

【共引文獻(xiàn)】

相關(guān)期刊論文 前5條

1 顧兆軍;王帥卿;張禮哲;;多源日志聚合分析方法[J];計(jì)算機(jī)工程與設(shè)計(jì);2017年07期

2 張翠香;蔣宏宇;沈代瑤;吳亞東;王松;;基于網(wǎng)絡(luò)流量數(shù)據(jù)的多視圖協(xié)同交互可視分析系統(tǒng)[J];西南科技大學(xué)學(xué)報(bào);2017年02期

3 熊杰;周純杰;楊軍;;電力信息物理融合系統(tǒng)入侵攻擊場(chǎng)景還原技術(shù)[J];中國(guó)儀器儀表;2017年04期

4 單蓉;;ASON的分布式保護(hù)與恢復(fù)研究[J];山東工業(yè)技術(shù);2015年13期

5 高會(huì)生;李英敏;;一種基于分層屬性相似度聚類的ASON告警關(guān)聯(lián)分析方法[J];科學(xué)技術(shù)與工程;2015年06期

相關(guān)碩士學(xué)位論文 前5條

1 王澤芳;基于入侵檢測(cè)的數(shù)據(jù)處理分析關(guān)鍵算法研究[D];西南科技大學(xué);2016年

2 曹利蒲;網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)系統(tǒng)中事件關(guān)聯(lián)模型的研究與應(yīng)用[D];華北電力大學(xué);2014年

3 陳秋絢;基于支持向量機(jī)的混合入侵報(bào)警分析研究[D];北京郵電大學(xué);2013年

4 趙茜;基于場(chǎng)景重構(gòu)與報(bào)警聚合的網(wǎng)絡(luò)取證技術(shù)研究[D];東北大學(xué);2012年

5 李樣兵;關(guān)聯(lián)分析在統(tǒng)一安全平臺(tái)中的應(yīng)用研究[D];南華大學(xué);2012年

【二級(jí)參考文獻(xiàn)】

相關(guān)期刊論文 前7條

1 黃林;吳志杰;黃曉芳;韋勇;付智慧;;一種改進(jìn)的多源異構(gòu)告警聚合方案[J];計(jì)算機(jī)應(yīng)用研究;2014年02期

2 胥小波;蔣琴琴;鄭康鋒;武斌;楊義先;;基于混沌粒子群的IDS告警聚類算法[J];通信學(xué)報(bào);2013年03期

3 徐前方;肖波;郭軍;;挖掘電信告警關(guān)聯(lián)模式方法[J];北京郵電大學(xué)學(xué)報(bào);2011年02期

4 李疆生;張強(qiáng)強(qiáng);徐彬;;ASON技術(shù)在SDH網(wǎng)絡(luò)中的引入[J];電力系統(tǒng)通信;2010年08期

5 郭帆;余敏;葉繼華;;一種基于分類和相似度的報(bào)警聚合方法[J];計(jì)算機(jī)應(yīng)用;2007年10期

6 馬琳茹;楊林;王建新;唐鑫;;利用模糊聚類實(shí)現(xiàn)入侵檢測(cè)告警關(guān)聯(lián)圖的重構(gòu)[J];通信學(xué)報(bào);2006年09期

7 龔儉 ,梅海彬 ,丁勇 ,魏德昊;多特征關(guān)聯(lián)的入侵事件冗余消除[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年03期

相關(guān)碩士學(xué)位論文 前2條

1 宋菲;入侵報(bào)警關(guān)聯(lián)模型及其關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D];南京航空航天大學(xué);2008年

2 李冬芳;基于序列模式的入侵檢測(cè)研究[D];鄭州大學(xué);2006年

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張曉剛;潘久輝;;MS SQL Server 2000日志分析方法的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)工程與設(shè)計(jì);2006年19期

2 李春林;周根鴻;張文體;;重視日志審計(jì)確保數(shù)據(jù)安全[J];醫(yī)學(xué)信息;2007年10期

3 梁曉雪;王鋒;;基于聚類的日志分析技術(shù)綜述與展望[J];云南大學(xué)學(xué)報(bào)(自然科學(xué)版);2009年S1期

4 黃海隆;陳賽娉;;計(jì)算機(jī)日志分析與管理方法的研究[J];大眾科技;2006年07期

5 鄭毅;;基于日志分析的網(wǎng)絡(luò)IDS研究[J];襄樊學(xué)院學(xué)報(bào);2008年11期

6 陳庭平;沈麗娟;曾鵬;;日志服務(wù)器建設(shè)和應(yīng)用[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2010年09期

7 鄒先霞;賈維嘉;潘久輝;;基于數(shù)據(jù)庫(kù)日志的變化數(shù)據(jù)捕獲研究[J];小型微型計(jì)算機(jī)系統(tǒng);2012年03期

8 羅新;;防火墻日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)時(shí)代;2012年02期

9 姜良華;崔建明;;Serv-U FTP服務(wù)器日志分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];電腦知識(shí)與技術(shù);2010年28期

10 李玉榮;楊樹強(qiáng);賈焰;周斌;樊宇;;分布式日志服務(wù)關(guān)鍵技術(shù)研究[J];計(jì)算機(jī)工程與應(yīng)用;2006年07期

相關(guān)會(huì)議論文 前10條

1 馬辰;武斌;;一種基于攻擊事件圖的蜜網(wǎng)日志分析方法[A];虛擬運(yùn)營(yíng)與云計(jì)算——第十八屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集（下冊(cè)）[C];2013年

2 周濤;;基于數(shù)據(jù)挖掘的入侵檢測(cè)日志分析技術(shù)研究[A];第二屆中國(guó)科學(xué)院博士后學(xué)術(shù)年會(huì)暨高新技術(shù)前沿與發(fā)展學(xué)術(shù)會(huì)議程序冊(cè)[C];2010年

3 陳晨;鄭康鋒;;一種基于支持向量機(jī)的蜜網(wǎng)系統(tǒng)日志分析方法[A];2011年通信與信息技術(shù)新進(jìn)展——第八屆中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2011年

4 劉莉;;基于多協(xié)議技術(shù)的日志集中管理安全方案[A];2008年中國(guó)通信學(xué)會(huì)無線及移動(dòng)通信委員會(huì)學(xué)術(shù)年會(huì)論文集[C];2008年

5 耿濤;;Web日志分析在電子數(shù)據(jù)取證中的應(yīng)用[A];第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2006年

6 閆龍川;王懷宇;李楓;毛一凡;;基于Hadoop的郵件日志分析與研究[A];2012電力行業(yè)信息化年會(huì)論文集[C];2012年

7 陳慶章;王磊;毛科技;戴國(guó)勇;;基于防火墻日志的在線攻擊偵查系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(英文)[A];全國(guó)第19屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];2008年

8 王振亞;武斌;;基于MFI-WT算法的蜜網(wǎng)日志分析方法[A];第十七屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集[C];2012年

9 金松昌;方濱興;楊樹強(qiáng);賈焰;;基于Hadoop的網(wǎng)絡(luò)安全日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

10 朱金清;王建新;陳志泊;;基于APRIORI的層次化聚類算法及其在IDS日志分析中的應(yīng)用[A];第二十四屆中國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集（研究報(bào)告篇）[C];2007年

相關(guān)重要報(bào)紙文章 前10條

1 中航工業(yè)南方航空工業(yè)集團(tuán)(有限)公司科技與信息部 鄒滬湘;分析日志識(shí)別暴力破解[N];計(jì)算機(jī)世界;2013年

2 ;日志分析中的五個(gè)誤區(qū)[N];網(wǎng)絡(luò)世界;2004年

3 陳代壽;網(wǎng)管的四兩撥千斤[N];中國(guó)計(jì)算機(jī)報(bào);2004年

4 IBM大數(shù)據(jù)專家 James Kobielus　范范 編譯;大數(shù)據(jù)日志分析借機(jī)器學(xué)習(xí)騰飛[N];網(wǎng)絡(luò)世界;2014年

5 《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室 于洋;用好Web日志[N];網(wǎng)絡(luò)世界;2004年

6 重慶 航行者;IIS的安全[N];電腦報(bào);2002年

7 河南工業(yè)職業(yè)技術(shù)學(xué)院 邱建新;監(jiān)測(cè)Squid日志的五種方法[N];計(jì)算機(jī)世界;2005年

8 shotgun;入侵檢測(cè)初步（上）[N];電腦報(bào);2001年

9 朱閔;淺談企業(yè)核心應(yīng)用的安全審計(jì)(下)[N];網(wǎng)絡(luò)世界;2008年

10 覃進(jìn)文;在Windows 2000&&2003下快速安裝Webalizer[N];中國(guó)電腦教育報(bào);2003年

相關(guān)博士學(xué)位論文 前3條

1 饒翔;基于日志的大規(guī)模分布式軟件系統(tǒng)可信保障技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

2 曹志波;基于日志的任務(wù)建模及調(diào)度優(yōu)化的研究[D];華南理工大學(xué);2014年

3 胡蓉;WEB日志和子空間聚類挖掘算法研究[D];華中科技大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 張?zhí)焐?日志采集與分析在Web網(wǎng)站中的設(shè)計(jì)與實(shí)現(xiàn)[D];上海交通大學(xué);2015年

2 周海靖;日志大數(shù)據(jù)分析平臺(tái)技術(shù)研究[D];山東大學(xué);2015年

3 賴特;網(wǎng)絡(luò)安全設(shè)備日志融合技術(shù)研究[D];電子科技大學(xué);2015年

4 董妍妍;基于Hadoop的Teradata數(shù)據(jù)倉(cāng)庫(kù)日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京大學(xué);2014年

5 李名弈;IPTVQOS日志分析方法研究[D];復(fù)旦大學(xué);2013年

6 劉季函(Liu,Chi Han);基于Spark的網(wǎng)絡(luò)日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京大學(xué);2014年

7 李榮榮;基于Hadoop平臺(tái)的日志分析系統(tǒng)[D];復(fù)旦大學(xué);2013年

8 周云斌;基于主機(jī)的日志大數(shù)椐分析及安全性檢查[D];大連理工大學(xué);2015年

9 張迪;基于NoSQL的大規(guī)模Web日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];復(fù)旦大學(xué);2013年

10 潘宇軒;基于Django的日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京大學(xué);2014年

，

本文編號(hào)：2344194