信息安全領(lǐng)域通常將目光聚焦于預(yù)防和抵御外部攻擊,而忽視內(nèi)部威脅帶來(lái)的困擾。近些年來(lái),震驚世人的泄密事件、網(wǎng)絡(luò)癱瘓事件皆源于內(nèi)部威脅,盡管投入大量資源維護(hù)邊界防御措施,但對(duì)具有潛在威脅的內(nèi)部人員卻毫不設(shè)防。隨著越來(lái)越多的安全從業(yè)者意識(shí)到內(nèi)部威脅的危害,針對(duì)內(nèi)部威脅防護(hù)（Insider Threat Protection,ITP）的研究已然形成趨勢(shì)�，F(xiàn)有威脅檢測(cè)技術(shù)各式各樣,但仍沒(méi)有統(tǒng)一標(biāo)準(zhǔn),其中最為行之有效的ITP便是利用日志資源進(jìn)行行為審計(jì)�；谶@一背景,本次課題提出對(duì)基于日志挖掘的用戶(hù)行為審計(jì)技術(shù)進(jìn)行研究,主要研究工作包括以下幾個(gè)方面:（1）行為采集。在開(kāi)源的攻擊檢測(cè)數(shù)據(jù)集中,CERT-IT數(shù)據(jù)集模擬了典型威脅行為,但涉及的行為域較少,與企業(yè)環(huán)境中的真實(shí)行為存在偏差,因此設(shè)計(jì)基于Logstash的采集器,通過(guò)路徑匹配、正則解析等策略,提取企業(yè)環(huán)境下的用戶(hù)原始日志。再利用MD5壓縮碼和HashSet對(duì)多類(lèi)日志過(guò)濾去重,并進(jìn)行清洗、融合等預(yù)處理操作,形成審計(jì)日志集,與CERT-IT日志集綜合使用。然后設(shè)計(jì)了對(duì)日志集中的用戶(hù)行為元的提取和行為序列量化方案,為后續(xù)威脅檢測(cè)提供數(shù)據(jù)支持。（2）... 

【文章來(lái)源】：武漢理工大學(xué)湖北省 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：76 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

網(wǎng)絡(luò)域30個(gè)特征間的皮爾遜相關(guān)系數(shù)比較圖

16圖2-4網(wǎng)絡(luò)域30個(gè)特征間的皮爾遜相關(guān)系數(shù)比較圖如圖2-5所示為所有域?qū)傩缘腜earson值統(tǒng)計(jì)圖，其中pdf表示概率密度函數(shù)，cdf表示概率累積分布函數(shù)。對(duì)于皮爾遜系數(shù)分布在0.1-0.4之間的特征予以保留，對(duì)分布0.7-1之間的強(qiáng)相關(guān)性特征選擇性剔除，例如與網(wǎng)絡(luò)相關(guān)的日志都會(huì)含有source_ip和target_ip特征。需要關(guān)聯(lián)分析的特征則分布在0.5左右。圖2-5網(wǎng)絡(luò)特征的皮爾遜相關(guān)系數(shù)統(tǒng)計(jì)圖

17通過(guò)對(duì)原始日志的過(guò)濾、清洗后，將124個(gè)原始日志整理為96個(gè)有效日志，最后經(jīng)過(guò)融合處理得到34個(gè)核心審計(jì)日志。部分核心日志的重要特征屬性如表2-2所示。表2-2日志融合后部分日志重要屬性表日志類(lèi)型屬性LoginUser,Group,Type,Time,OnLine,ComputerAlarmWarningLevel,PrimaryType,SecondaryType,TertiaryType,DetailedType,Client,Computer,Person,Time,Is-DisposedWEBClientID,Time,SourcePort,RemoteIP,RemotePort,Process,ServerReceivingTimeMailTime,From,To,Daemon,Priority,Protocol,Relay,DSN,SizeErrorTime,Severity,ClientIP,MsgSecurityTime,Daemon,PID,Operation,User,Source,Msg圖2-6預(yù)處理后部分日志數(shù)據(jù)的壓縮統(tǒng)計(jì)圖通過(guò)預(yù)處理，將原始大小為40,290,268KB日志集整理為3GB左右，部分日志的量級(jí)比較如圖2-6所示，可以看出數(shù)據(jù)量明顯縮校為了后續(xù)行為關(guān)聯(lián)性分析和聚類(lèi)頻率變化研究，還需對(duì)日志集進(jìn)行用戶(hù)行為數(shù)據(jù)的提齲2.3行為數(shù)據(jù)挖掘?yàn)榱藢?shí)現(xiàn)對(duì)用戶(hù)行為的建模，需從CERT-IT標(biāo)準(zhǔn)數(shù)據(jù)集和企業(yè)日志集中挖

【參考文獻(xiàn)】：
期刊論文
[1]基于粒子群優(yōu)化的差分隱私擬合框架[J]. 高志強(qiáng),崔翛龍,楊偉鋒,周沙,王昭.  武漢大學(xué)學(xué)報(bào)(理學(xué)版). 2019(02)
[2]全特征信息均衡建模的內(nèi)部威脅人物檢測(cè)[J]. 劉宇,羅森林,曲樂(lè)煒,潘麗敏,張?bào)?  浙江大學(xué)學(xué)報(bào)(工學(xué)版). 2019(04)
[3]不平衡數(shù)據(jù)挖掘方法綜述[J]. 向鴻鑫,楊云.  計(jì)算機(jī)工程與應(yīng)用. 2019(04)
[4]具有自適應(yīng)行為的粒子群算法研究[J]. 丁知平,劉超,牛培峰.  統(tǒng)計(jì)與決策. 2019(02)
[5]軟件定義網(wǎng)絡(luò)DDoS聯(lián)合檢測(cè)系統(tǒng)[J]. 宋宇波,楊慧文,武威,胡愛(ài)群,高尚.  清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2019(01)
[6]內(nèi)部威脅檢測(cè)中用戶(hù)行為模式畫(huà)像方法研究[J]. 郭淵博,劉春輝,孔菁,王一豐.  通信學(xué)報(bào). 2018(12)
[7]采用自適應(yīng)基因粒子群算法優(yōu)化隱馬爾科夫模型的方法及應(yīng)用[J]. 張西寧,雷威,楊雨薇,張?chǎng)?  西安交通大學(xué)學(xué)報(bào). 2018(08)
[8]手勢(shì)識(shí)別身份認(rèn)證的連續(xù)隱馬爾可夫模型[J]. 李富,孫子文.  小型微型計(jì)算機(jī)系統(tǒng). 2018(03)
[9]基于耦合多隱馬爾可夫模型和深度圖像數(shù)據(jù)的人體動(dòng)作識(shí)別[J]. 張全貴,蔡豐,李志強(qiáng).  計(jì)算機(jī)應(yīng)用. 2018(02)
[10]基于相對(duì)編輯相似度的近似重復(fù)視頻檢索和定位[J]. 趙清杰,王浩,劉浩,張聰.  北京理工大學(xué)學(xué)報(bào). 2018(01)

碩士論文
[1]時(shí)間序列異常檢測(cè)算法的研究與應(yīng)用[D]. 呂玉紅.電子科技大學(xué) 2018
[2]基于ELK Stack的實(shí)時(shí)日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 王裕辰.北京郵電大學(xué) 2018
[3]基于安全日志的攻擊模式挖掘技術(shù)研究[D]. 李揚(yáng).北京郵電大學(xué) 2017
[4]基于Web應(yīng)用的日志采集與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 于靜.北京交通大學(xué) 2016



本文編號(hào)：3027878