基于特征融合的安全审计分析

分析了传统的安全审计分析方法，发现传统方法没有利用主机日志和网络数据特征之间的联系。通过分析主机日志得到可疑安全事件，再进一步融合主机日志和网络数据的有关特征作为一个整体进行分析。比较当前安全事件与正常历史事件、异常历史事件的相似度，审计出异常可疑事件。实验证明了该方法的可行性和有效性     

基于Windows日志的安全审计技术研究

事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。文章讨论了对Windows系统日志文件进行集中式统一管理,采用API钩子技术实现Windows下的审计数据的获取,并通过对Windows日志的分析给出了一种基于主机日志分析的安全审计通用模型。     

统一身份认证日志集中管理与账号风险检测

为提升统一身份体系的安全性,检测账号异常登录和盗用事件,以上海交通大学为例,梳理了接受统一身份账号登录的所有网络服务,对各入口认证日志做分布式采集和格式统一,实现了身份认证日志的集中审计管理.基于对用户校园网服务使用习惯的分析,设计了基于行为的账号风险评估算法,利用地址数据和威胁情报对日志进行扩充,根据用户使用模式分析标注正常登录和风险访问行为,对账户提取16种特征后使用机器学习方法进行异常检测.实验结果表明,使用随机森林算法分类可在0.1%的低误报率条件下取得89.5%的检出率,效果明显优于传统基于异地登录检测的方法.将检测模型应用于实际日志1个月,发现了375个存在风险的账号.     

基于TCM的可信事件日志生成方法

系统事件日志记录是系统安全审计最重要的数据源.现有的日志保护机制主要解决事件日志生成后的数据完整性保护方面的问题,但对于日志数据生成阶段的可信生成方面还没有解决.本文主要贡献是提出了一种基于TCM模块的可信事件日志生成方法,为事件日志提供了生成时的数据完整性、可认证性等安全特性,增强了事件日志数据的可信性,通过分析证明了本方法的有效性和可实施性.     

基于Flume的网络安全可视化系统

随着互联网使用者的快速增长,网络安全问题也不断增多.传统的基于日志的入侵检测系统在处理海量信息时存在着实时性不足,认知负担过重等缺点.本文提出了一种基于Flume的网络安全日志可视化方法,利用Flume处理日志信息的高效性,实时收集网络安全日志,结合数据可视化方法,挖掘隐藏的网络异常信息.与传统的基于数据库存储的安全分析相比,提高了数据处理的实时性,能够更直观的展现网络网络异常.     

面向不稳定日志的一致性异常检测方法

系统日志被用作系统异常检测的主要数据源.现有的日志异常检测方法主要利用从历史日志中提取的日志事件数据构建检测模型，即假设日志数据随时间的推移其分布规律具有稳定性.然而，在实践中，日志数据往往包含以前未出现过的事件或序列.这种不稳定性有两种来源：1）日志发生了概念漂移；2）日志处理过程中引入了噪声.为缓解日志中出现的不稳定问题，设计了基于置信度协同多种算法的异常检测模型EBCAD（Ensemble-Based Conformal Anomaly Detection）.首先，用统计量p值度量日志之间的不一致性，选择多个合适的集成算法作为不一致性度量函数计算不一致性得分进行协同检测；然后，设计了基于置信度的更新机制来缓解日志不稳定问题，将新日志的不一致性得分添加到已有得分集，更新日志异常检测的经验；最后，根据协同检测得到的置信度与预设置信水平大小来判断不稳定日志是否异常.实验结果表明，在HDFS日志数据集中，当不稳定数据注入率从5%增加到20%时，EBCAD模型的F1值仅从0.996降低到0.985；在BGL_100K日志数据集中，当不稳定数据注入率从5%增加到20%时，EBCAD的F1值仅从0.71降低到0.613.证明EBCAD在不稳定日志中可以有效检测到异常.     

针对信号安全数据网主机指令日志新的安全审计算法

通过对多家信号安全数据网核心设备厂商进行的调研,发现列控中心、联锁系统、临时限速服务器和无线闭塞中心都没有对其主机指令日志进行审计.主要原因是现有的模式匹配算法并不适合信号安全数据网的主机日志.为此提出了一种针对信号安全数据网主机指令日志的改进审计算法,该算法结合两种改进的模式匹配算法.描述了该算法的匹配原理,结合现有的无线闭塞中心日志数据进行了实验测试.实验结果表明该审计算法效率较高,可以满足功能需求.     

UNIX的审计跟踪与入侵活动分析

入侵检测是保护信息系统安全的重要途径之一，它通过分析审计事件来发展系统中的异常活动。本文对UNIX的审计日志进行了讨论，并对常见的入侵模式进行了分析，最后讨论了该领域当前存在的问题及今后的研究方向。     

面向电力大数据日志分析平台的异常监测集成预测算法

随着电力企业网络技术的发展,传统和新生的日志处理系统已不能满足大数据状态下的日志分析要求,为了实现系统日志异常分析的目标,该文提出一种基于时间序列的系统异常数量集成预测算法和面向该算法的评价体系。该算法对多种分类预测算法进行集成,对收集到的日志数据进行分类预测,进而实现了以综合最优的准确度预测系统的异常数量,评价体系很好地支持了该算法的工作,算法增强了日志分析平台的安全性。     

基于注意力机制多特征融合与文本情感分析的日志异常检测方法

现有的基于深度学习和神经网络的日志异常检测方法通常存在语义信息提取不完整、依赖日志序列构建和依赖日志解析器等问题.基于注意力机制多特征融合和文本情感分析技术,提出了一种日志异常检测方法 .该方法首先采用词嵌入方法将日志文本向量化以获取日志消息的词向量表示,接着将词向量输入到由双向门控循环单元网络和卷积神经网络组成的特征提取层中分别提取日志消息的上下文依赖特征和局部依赖特征,使用注意力机制分别加强两种特征中的关键信息,增强模型识别关键信息的能力.使用基于注意力机制的特征融合层为两种特征赋予不同权重并加权求和后输入由全连接层构成的输出层中,实现日志消息的情感极性分类,达到日志异常检测的目的 .在BGL公开数据集上的实验结果表明,该模型的分类准确率和F1值分别达到了96.36%和98.06%,与同类日志异常检测模型相比有不同程度的提升,从而证明了日志中的语义情感信息有助于异常检测效果的提升,并且经过实验证明了使用注意力机制的模型可以进一步提高文本情感分类效果,进而提升日志异常检测的准确率.     

面向域名解析系统的知识图谱构建与应用方法

为提高网络域名系统(domain name system, DNS)服务器日志分析能力,综合多种技术提出了构建面向域名解析系统的知识图谱。首先,应用域名解析、权威域名服务器、别名解析、自治系统等基本原理设计了基于aiohttp和dig技术相结合的数据采集方案,构建了相应的领域知识库;其次基于该知识库设计和构建了面向域名解析系统的知识图谱,其节点规模达近500万;然后应用该知识图谱解决web日志中异常访问行为识别效果差的实际问题。以某国家网络信息安全科研机构的网络服务器日志为研究对象,对比是否采用知识图谱进行实验：在爬虫行为、域名暴力解析行为、DNS重复解析行为的识别实验中,F₁值分别提高了14.88%、47.23%和91.63%。结果表明,该知识图谱能够有效提高web日志中异常行为识别率。     

SVM算法在Web服务蜜罐日志分析中的应用

为了发现和预防Web服务带来的漏洞,部署一个Web服务蜜罐作为Web服务的应用程序,该蜜罐捕获和处理所有请求消息并且将结果记录在日志文件中.在处理这些日志文件的时候,采用基于SVM算法的机器学习技术对其进行分析和分类,并将异常活动提交给人类专家进行审核和处理.这样大大减少了人类专家的工作量,同时有很高的准确率,更有利于部署更有针对性的网络安全策略.     

面向IEC61850智能变电站的网络安全异常流量分析方法

为了保证智能变电站的网络通信安全和整个变电站的稳定运行,提出了一种基于机器学习k-means聚类算法的异常流量分析方法。根据智能变电站中过程层网络的特性,结合对IEC61850智能变电站专有GOOSE(generic object-oriented substation event)以及SV(sample value)协议的报文结构解析,使用了一种基于信息熵的特征选取方法对智能变电站正常工作时站内网络通信流量进行特征分析选择,利用k-means聚类算法完成了对异常流量的检测分析及其相关分析。相较于以往方法,文中方法对智能变电站的过程层网络流量信息的特征进行了选取,根据信息熵理论,完成了重要特征的选择和冗余特征的剔除,提高了聚类算法的效率,提高了对异常流量检测的准确性。     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

面向事件属性的扫描意图分析

网络扫描是互联网上普遍存在的现象,是由各种不同意图的扫描行为造成的,通过检测和分析互联网上的扫描行为,有助于观测网络安全态势。为了更加系统地描述扫描过程,本文定义了扫描事件的概念,并提出了6个扫描属性：扫描事件容量、全网扫描、扫描事件协议数、扫描事件端口数、扫描事件归属、扫描事件压缩比来刻画扫描事件。出于对扫描行为中扫描意图的进一步关注,本文提出了一种基于扫描属性过滤和聚类的异常扫描事件检测方法,该方法基于扫描事件归属属性过滤分离出正常机构扫描事件,对于剩余的扫描事件根据扫描属性特征设计聚类算法得到潜在的异常扫描事件。本文的实验以在 CERNET 南京主节点网络边界获取的 IBR 流量为数据源,运行算法识别扫描流量,并从扫描意图的角度对其展开分析。实验表明,超过95%的扫描流量可以被归纳为扫描事件流量,其中非恶意的机构扫描事件超过50%。在此基础上,每日可从非机构扫描事件中检测出约60条潜在异常扫描事件,经验证,异常扫描事件的检测准确率超过60%。     

网络入侵预警系统

随着计算机系统的互联,特别是通过Internet将各种计算机进行互联,大大拓展了信息资源共享空间和时间,并提高了其利用率,同时,也给计算机网络系统的安全性带来了前所未有的挑战 要实现系统的安全策略,一个有效的方法是用网络人侵预警系统来监视网络的安全 本文讨论了组成网络入侵预警系统的各个模块及实现它的技术细节,尤其是在分析数据包模块中如何匹配黑客攻击方法上,提供了详细的说明 这样,当新的黑客攻击方法出现时,整个系统只需将新的攻击方法添加到攻击规则数据库中去,而不需更改其他部分代码 .此系统能够提供关于网络数据流的详尽审计报告,并且它是被动的监听,不易被发觉.     

基于指纹识别技术的网络身份认证系统

在Internet/Intranet的应用中，其安全性面临着严重的挑战。用户在进入系统时，传统方法是通过口令验证其身份。这在某种程序上虽确保了计算机系统的安全，但同时存在着记忆烦琐、易丢失、易遗忘的弊端。针对这一问题，研究了以指纹代替传统的口令输入，设计了一套基于指纹识别技术的网络身份认证系统。     

An Improved String-Searching Algorithm and Its Application in Component Security Testing

Mass monitor logs are produced during the process of component security testing. In order to mine the explicit and implicit security exception information of the tested component, the log should be searched for keyword strings. However, existing string-searching algorithms are not very efficient or appropriate for the operation of searching monitor logs during component security testing. For mining abnormal information effectively in monitor logs, an improved string-searching algorithm is proposed. The main idea of this algorithm is to search for the first occurrence of a character in the main string. The character should be different and farther from the last character in the pattern string. With this algorithm, the backward moving distance of the pattern string will be increased and the matching time will be optimized. In the end, we conduct an experimental study based on our approach, the results of which show that the proposed algorithm finds strings in monitor logs 11.5% more efficiently than existing approaches.