結合模糊推理的多源安全日志事件關聯(lián)融合技術研究.pdf

1、計算機技術的發(fā)展和網(wǎng)絡環(huán)境的不斷擴大使得龐大網(wǎng)絡中大量的主機、傳輸設備等處于越來越大的風險中。不同設備的日志信息能夠很好的幫助我們檢測入侵和攻擊，但是單一數(shù)據(jù)源中的日志信息有局限性。如果只針對單一數(shù)據(jù)源中的日志信息進行分析而不關聯(lián)不同數(shù)據(jù)源的日志信息分析，得到的結果將不能準確的反映出當前網(wǎng)絡的狀態(tài)。為了更好的展現(xiàn)網(wǎng)絡態(tài)勢并且降低誤報警率和漏報警率，本文研究分析了不同數(shù)據(jù)源中的數(shù)據(jù)特點，提出了結合模糊推理的報警關聯(lián)多源日志融合模型，打破了

2、單一數(shù)據(jù)源特征不足的局限。
　　本文首先分析了當前國際上的網(wǎng)絡狀態(tài)，闡述了選題的目的和意義，并針對日志分析進行了國內(nèi)外研究情況的分析，總結了目前研究的結果和不足，并概括了本文主要的研究內(nèi)容和工作。
　　其次，對多源安全日志融合的技術進行了介紹和綜合分類。對不同數(shù)據(jù)源的日志數(shù)據(jù)特征進行分析并列出了現(xiàn)有的不同融合模型。概括了現(xiàn)有的數(shù)據(jù)融合的方法，并對不同數(shù)據(jù)源中的日志數(shù)據(jù)相互之間的關聯(lián)性進行了分析和研究。
　　接下來，提出

3、了針對日志的事件關聯(lián)融合方法，詳細介紹了事件報警關聯(lián)的算法。同時提出了在多源日志分析中加入模糊推理聚類的方法，對方法進行了理論研究和分析。針對日志事件的關聯(lián)融合，進行了事件關聯(lián)度計算、對報警關聯(lián)方法的定義和提出了加入模糊聚類后的事件報警關聯(lián)方法。并針對系統(tǒng)的融合決策處理進行了結構分析。
　　然后，結合前文提出的結合模糊推理聚類的報警關聯(lián)融合方法進行融合系統(tǒng)的設計與實現(xiàn)，進行需求分析后對以下4個功能進行了模塊的設計與實現(xiàn)：日志信息采