物聯(lián)網(wǎng)作為國家戰(zhàn)略性新興產(chǎn)業(yè),廣泛應用于工業(yè)控制、智慧城市、軍事國防等領域。海量節(jié)點差異、異構(gòu)網(wǎng)絡互聯(lián)、多源數(shù)據(jù)匯聚、跨域服務共享等特點,導致物聯(lián)網(wǎng)更容易遭受DoS、SSH暴力破解、XSS/SQL注入、節(jié)點捕獲偽造等攻擊。系統(tǒng)異常檢測研判與實時響應成為保護物聯(lián)網(wǎng)系統(tǒng)安全的基礎。海量日志分析是異常檢測與研判的主要手段。因網(wǎng)絡管理系統(tǒng)（NMS）需要特定領域知識并且不能識別出詳細的網(wǎng)絡事件,不能滿足物聯(lián)網(wǎng)安全的基本要求,本文研究基于關聯(lián)關系的日志模板提取方法和基于自主學習的異常檢測方法,提升物聯(lián)網(wǎng)系統(tǒng)異常檢測的準確性,具體研究內(nèi)容如下:針對物聯(lián)網(wǎng)海量多源異構(gòu)日志結(jié)構(gòu)的復雜性,設計一種有效信息的抽取模型,設計抽取規(guī)則機制,實現(xiàn)對海量日志的自動解析及清洗。針對模板詞與參數(shù)次詞在日志文本中的概率差異,設計一種基于DBSCAN的模板詞提取方法,利用密度有效區(qū)分模板詞。針對一個網(wǎng)絡事件在多源異構(gòu)日志中產(chǎn)生的多處痕跡,依據(jù)其中的關聯(lián)關系,提出一種模板提取方法,形成攻擊類型索引的日志模板集。針對攻擊方式層出不窮、部分供應商不對外公布模板庫的情況,提出一種基于相似度的在線模板集更新方法。實驗表明,基于以上方... 

【文章來源】：西安電子科技大學陜西省 211工程院校 教育部直屬院校

【文章頁數(shù)】：77 頁

【學位級別】：碩士

【部分圖文】：

三種模型對比圖

第四章 基于 K-Means 的異常檢測分析方法類s 算法是非監(jiān)督學習中的聚類算法，是一種通過不斷迭代選本點的算法[30]，將相似的或者有相關性的數(shù)據(jù)元素分類機選取 k 個中心點，計算各個點距離中心點的距離，將數(shù)中心點所在的簇；調(diào)整新的聚類中心點，直到相鄰兩次的示聚類函數(shù)已經(jīng)達到收斂。要求做到主動學習，當檢測到一種新的攻擊類型時會重新前指定 k 值，則重新聚類時 k 值加 1，滿足增加事件種類CAN 相比，K-Means 受噪聲點的影響會更小。本節(jié)利用 10量矩陣，聚類結(jié)果如下圖 4.3 所示。

圖 4.4 增加種類后的 K-Means 算法結(jié)果新聚類結(jié)果發(fā)現(xiàn)，K-Means 可以在保持原來簇的基礎之上添加異常檢測方法的思想，且所得結(jié)果的準確性高。-Means 算法應用ns 算法滿足本章提出的自主學習的需求，但由于 K-Means 必值，因此在學習訓練過程中需要對K-Means算法流程依據(jù)需要模板庫。算法輸入端需要對 K 值明確指明，在訓練過程中，若發(fā)現(xiàn)輸個新的攻擊事件，則需要更新模板庫。此時將再次進行迭代操s 算法，但此時的 K 值增加 1，將新出現(xiàn)的事件重新放回學習板庫的生成過程，如下圖 4.5 所示。

【參考文獻】：
期刊論文
[1]基于大規(guī)模網(wǎng)絡日志的模板提取研究[J]. 崔元,張琢.  計算機科學. 2017(S2)
[2]一種基于日志聚類的多類型故障預測方法[J]. 王衛(wèi)華,應時,賈向陽,王冰明,程國力.  計算機工程. 2018(07)
[3]Web服務器攻擊日志分析研究[J]. 鄧詩琪,劉曉明,武旭東,雷敏.  信息網(wǎng)絡安全. 2016(06)
[4]一種基于k-均值的DBSCAN算法參數(shù)動態(tài)選擇方法[J]. 王兆豐,單甘霖.  計算機工程與應用. 2017(03)
[5]一種基于Web日志和網(wǎng)站參數(shù)的入侵檢測和風險評估模型的研究[J]. 何鵬程,方勇.  信息網(wǎng)絡安全. 2015(01)
[6]一種基于文法壓縮的日志異常檢測算法[J]. 高赟,周薇,韓冀中,孟丹.  計算機學報. 2014(01)
[7]貝葉斯推理在攻擊圖節(jié)點置信度計算中的應用[J]. 張少俊,李建華,宋珊珊,李斕,陳秀真.  軟件學報. 2010(09)
[8]DBSCAN聚類算法在異常檢測中的應用[J]. 吳貞珍,黃建華.  計算機安全. 2007(08)



本文編號：3549591