基于日志挖掘的網(wǎng)絡(luò)安全審計系統(tǒng)研究與實現(xiàn).pdf

1、隨著計算機應(yīng)用的普及和計算機技術(shù)的飛速發(fā)展，計算機犯罪日益增多。面對這種新興的犯罪行為，如何審計出問題并有力地打擊計算機犯罪成為了一個新的課題。網(wǎng)絡(luò)安全審計系統(tǒng)能有效防止敏感信息等技術(shù)資料的流失；能夠有效監(jiān)督工作人員在網(wǎng)上瀏覽情況，從而抵制有害信息的入侵；能夠有效地對違法犯罪活動進行日志挖掘和留存整理，打擊網(wǎng)上和內(nèi)部人員犯罪活動。
　　網(wǎng)絡(luò)安全審計的效果好壞將直接影響到我們能否及時和準(zhǔn)確地發(fā)現(xiàn)入侵或異常。本文首先研究并分析比較了目

2、前傳統(tǒng)的安全審計技術(shù)。目前應(yīng)用于安全審計領(lǐng)域的技術(shù)較多，其核心普遍采用的是先驗庫方式。這種方式的缺點在于無法發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)聯(lián)規(guī)則，缺乏挖掘數(shù)據(jù)背后隱藏知識的手段，存在著準(zhǔn)確率低、檢測速度慢、自適應(yīng)差等問題。本文針對上述問題，所做的主要工作包括：
　　1.設(shè)計實現(xiàn)了多源日志的實時采集
　　針對單一的數(shù)據(jù)源容易造成審計分析的不準(zhǔn)確，采用代理來實現(xiàn)多點分布式采集，將主機數(shù)據(jù)源和網(wǎng)絡(luò)數(shù)據(jù)源有機地結(jié)合起來，并設(shè)計了MyOnEntr

3、yWritten函數(shù)和provider模式，將其應(yīng)用在審計日志采集中，提高了審計數(shù)據(jù)的全面性和實時性。
　　2.給出了一種較為全面的審計方式
　　設(shè)計了以基于日志庫中挖掘關(guān)聯(lián)規(guī)則方法為主，并結(jié)合傳統(tǒng)的先驗庫知識和數(shù)理統(tǒng)計方法的一種較為全面的審計方式，通過審計分析主機操作和網(wǎng)絡(luò)通信行為是否出現(xiàn)異常，做出相應(yīng)的響應(yīng)方式。其中應(yīng)用了三種規(guī)則庫模式匹配方式:序列模式、時間合理性和數(shù)理統(tǒng)計方式，提高了審計的準(zhǔn)確率。
　　3.改進

4、了傳統(tǒng)的關(guān)聯(lián)規(guī)則挖掘算法
　　通過采用新的基于樹的孩子兄弟表示法的數(shù)據(jù)結(jié)構(gòu)，改進了傳統(tǒng)的關(guān)聯(lián)規(guī)則挖掘算法中頻繁掃描數(shù)據(jù)庫的不足，提高了算法效率；在支持度和置信度的框架下，系統(tǒng)中引入了另一個評價閾值——興趣度，用來修剪無用的規(guī)則，避免生成干擾性的關(guān)聯(lián)規(guī)則，優(yōu)化了關(guān)聯(lián)規(guī)則的評價標(biāo)準(zhǔn)；在原始數(shù)據(jù)集符號化轉(zhuǎn)換為事務(wù)數(shù)據(jù)庫時，通過結(jié)合實際情況，對事務(wù)數(shù)據(jù)庫進行了再優(yōu)化。從而較好的解決了審計規(guī)則的自動生成與更新，提高了審計效率。
　　4

5、.設(shè)計建立了層次化的安全防護體系
　　通過綜合應(yīng)用MD5散列函數(shù)、進程守護、SSL以及HOOK API等，設(shè)計了實現(xiàn)了一種從最外層的用戶名口令保護到最內(nèi)層的磁盤日志文件保護這樣一種層次化的安全防護體系，保證了審計結(jié)果的真實性和可靠性，實現(xiàn)了審計系統(tǒng)自身的安全性。同時通過實時監(jiān)測操作系統(tǒng)的進程、內(nèi)存等信息，并給予性能分析和預(yù)警報告，也在一定程度上保證了操作系統(tǒng)的安全性。
　　5.設(shè)計實現(xiàn)了基于日志挖掘的網(wǎng)絡(luò)安全審計系統(tǒng)