欢迎来到天天文库
浏览记录
ID:35181259
大小:2.42 MB
页数:58页
时间:2019-03-21
《基于日志分析的网络异常行为检测关键技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、硕士学位论文基于日志分析的网络异常行为检测关键技术研究研究生姓名:何波导师姓名:顾兆军教授2016年5月3日分类号:TP309.09密级:公开UDC:004.9学号:1305022中国民航大学硕士学位论文基于日志分析的网络异常行为检测关键技术研究研究生姓名:何波导师姓名:顾兆军教授申请学位类别:工学硕士学科专业名称:计算机科学与技术所在院系:计算机科学与技术学院论文答辩日期:2016年5月3日2016年5月3日ResearchonthekeytechnologyofnetworkanomalydetectionbasedonloganalysisADissertati
2、onSubmittedtoCivilAviationUniversityofChinaFortheAcademicDegreeofMasterofScienceBYHeBoSupervisedbyProf.GUZhaojunCollegeofComputerScienceandTechnologyCivilAviationUniversityofChinaMay3,2016摘要近年来网络攻击过程由大规模普遍性向有针对性的大目标攻击发展,因为这种针对性攻击目标往往是经过精心挑选的高价值目标,所以这类目标一般涉及更多用户信息、商业秘密甚至国家机密,而这类攻击一旦成功也会造
3、成更加严重的社会影响。普通的入侵检测方法面对这类攻击过程检测能力非常有限,往往很难及时发现、甚至不能够发现此类攻击过程,所以需要针对这类攻击过程研究特定的检测方法。本文经过对各类入侵检测方法的对比分析,采用攻击图入侵检测方法进行攻击场景还原以达到入侵检测的目的。为了应对IDS警告漏报引起的场景还原率下降的问题,提出使用来源于网络中多种不同的设备共同发现攻击过程。首先对网络中不同设备进行分类,分析了网络中各种不同设备的日志存储位置、格式等差异,通过对各种不同设备日志进行预处理,将各类设备警告统一存储以便于对攻击过程的分析。针对经过预处理后的设备警告,本文采用两种方法来进
4、行入侵检测。首先根据各设备警告直接建立多源攻击图,利用建立在各设备基础上的可疑攻击队列,分析发现新的攻击过程。实验证明,该方法在进行攻击场景还原,尤其是在IDS警告有大量误报、漏报的情况下,攻击场景的还原率要明显高于其他同类检测方法。然后,对多种设备的警告日志利用PrefixSpan算法进行频繁模式挖掘,将挖掘出的频繁模式定义为常见攻击模式,根据常见攻击模式以及各警告来源设备构建多源攻击模式图,通过常见攻击模式来发现新的可能的攻击过程。解决了第一种方法利用特定攻击过程构建攻击图时只能发现已知攻击过程的问题。关键词:网络安全;入侵检测系统;异常行为;多源日志;攻击图IA
5、bstractNetworkattackprocessinrecentyearsbythelarge-scaleuniversaldeveloptothebigtargetofspecific,becausethesespecificattacktargetareoftencarefullyselectedhigh-valuetargets,sothetargetgenerallyinvolvemoreinformationaboutitsusers,commercialsecretsandevenstatesecrets,andthesekindsofattacks
6、oncesuccessedwouldcausemoreserioussocialimpact.Thecommonintrusiondetectionmethodscouldn’tfindtheattackprocesswellorevencan’tfindanyattackswhenfacethisattatk,soitisnecessarytoresearchspecificdetectionmethodforthesekindsofattackprocess.Throughcomparisoncomparisonandanalysisofallkindsofint
7、rusiondetectionmethods,choosetouseattackgraphtoreconstructtheattackscenariosforintrusiondetection.InordertodealwiththeratedeclineofscenereductioncausedbyIDSalertomission,raisetousedifferentkindsofdeviceslogintthenetworktodiscoveredtheattackprocess.Firstthedifferentnetworkdevice
此文档下载收益归作者所有