基于日志分析的網(wǎng)絡入侵檢測系統(tǒng)研究.pdf

1、互聯(lián)網(wǎng)的迅速發(fā)展使得分布式計算成為應用的主流。由于互聯(lián)網(wǎng)具有開放性、互連性、共享性的特點，使其遭受網(wǎng)絡入侵的風險日益嚴重。在過去的幾年中，針對關鍵信息資源的威脅數(shù)量和類型都在急劇上升。如何應對這種形勢，及時對網(wǎng)絡攻擊行為做出主動反應，成為網(wǎng)絡安全領域近年來的研究熱點。最近出現(xiàn)了一些新的入侵檢測系統(tǒng)(如思科公司的Mars系統(tǒng)，eSecurity公司的SEM系統(tǒng)等)，它們的特點是具有某些異常模式判斷的能力，且對識別出來的威脅事件可以實現(xiàn)一定

2、的主動響應，但是其缺點是系統(tǒng)封閉，價格昂貴，對第3方廠商的設備支持不足，尤其對國產(chǎn)網(wǎng)絡設備的支持不夠，應此在國內沒有得到廣泛應用。 本文基于以上現(xiàn)狀，設計并實現(xiàn)了一個基于日志分析的網(wǎng)絡入侵檢測系統(tǒng)，這個系統(tǒng)根據(jù)國際標準協(xié)議，建立了一個多種網(wǎng)絡設備日志的收集系統(tǒng)，搜集網(wǎng)絡中的關鍵網(wǎng)絡設備的日志信息，充分利用這些日志信息所反映的網(wǎng)絡行為特征，進行關聯(lián)分析，從而定位網(wǎng)絡攻擊源，通過數(shù)據(jù)交換接口與防御系統(tǒng)中的主動響應模塊實現(xiàn)數(shù)據(jù)共享。

3、 由于系統(tǒng)所搜集的海量日志數(shù)據(jù)中有大量的無效或冗余信息，如果不對它們進行預處理，將會淹沒含有網(wǎng)絡攻擊行為特征的信息。我們利用數(shù)據(jù)挖掘里分類的方法去除大量的無效數(shù)據(jù)，然后運用數(shù)理統(tǒng)計的算法對這些信息進行挖掘，將不同網(wǎng)絡設備產(chǎn)生的日志信息進行關聯(lián)分析，利用聚類的方法來發(fā)現(xiàn)網(wǎng)絡中常見的DoS攻擊、計算機蠕蟲病毒等威脅事件，同時利用模式匹配的方法來發(fā)現(xiàn)一些高危險性的黑客入侵事件；從而識別出在網(wǎng)絡中對安全影響較大的網(wǎng)絡攻擊行為。對于不同網(wǎng)絡