[发明专利]基于Apriori算法的安全日志分析方法

说明书

本发明属于计算机信息技术领域，涉及一种基于Apriori算法的安全日志分析方法,包括，针对需要防护的服务器，提取其安全日志发生的时间、协议类型、攻击类型、端口信息作为输入的项，根据制定的策略和工作经验，设置合适的最小支持度和最小信任度值，并通过行Apriori算法分析，并根据支持度和信任度满足设定目标的情况判断安全日志中各项的关联性，这样可以自动发现大量日志中的关联性较强的项，组成强关联规则，将该强关联规则加入的专家预警信息库中，实现对服务器的防护。

技术领域

本发明属于计算机信息技术领域，具体涉及一种基于Apriori算法的安全日志分析方法。

背景技术

目前，计算机网络往往部署了多种网络安全产品，如防火墙、入侵检测设备、防病毒产品、安全审计产品等，来保障网络系统的安全。这些安全产品会产生大量安全日志，日志服务器虽然能够通过采用日志文件、主动轮询、远程探测、被动接收、嵌入式Agent等多种方式对安全设备产生的日志进行收集和统一管理，但不同安全产品产生的日志各不相同，即使是同一个安全事件引发各安全产品产生各不相同的日志，包括日志格式不同、事件级别和类型不同、事件信息内容不同，因此每个安全产品都会产生大量的安全日志，这为安全管理员的安全分析代理很多的工作量。其中很多安全事件或日志都是由相同的安全攻击行为产生的，它们之间存在内在的关联性，如果能对各安全产品产生的安全事件进行关联分析，将具有关联性的安全日志归并到一起，就能大大减轻安全事件分析的工作量，提高安全事件处置和响应的效率。尽管目前日志服务器能够实现各种安全日志的管理，但主要侧重于日志的统一采集、存储、查询和统计，日志的分析能力比较弱，尤其缺乏各安全日志之间的关联分析，无法将同一安全事件引发的多条日志进行有效关联分析。由于各安全产每天产生大量的日志记录，日志量非常庞大，管理员关注的信息往往淹没在大量普通的信息中。

发明内容

本发明的目的在于克服日志服务器中安全日志关联分析技术中的不足，提出一种基于Apriori算法的安全日志分析方法，从大量的安全日志信息中，找出具有关联性的日志记录，从而分析出异常的网络访问行为，有效提高对安全日志信息的挖掘和利用能力，为了实现上述的目的，本发明采用了以下的技术方案：

一种基于Apriori算法的安全日志分析方法,包括以下步骤:

步骤1:获取安全日志,从日志中提取关键字作为算法的输入的项；

步骤2:根据事务类型对项进行分类统计,得到事务数据库T＝{T₁，T₂…,T_n}；

步骤3:定义Apriori算法的最小支持度min_sup和最小置信度min_conf；

步骤4:扫描事务数据库T，计算T中所包含的每个项出现的次数，生成候选项目集C₁；

步骤5:计算候选项目集C₁中每个项的支持度，若大于等于最小支持度min_sup，则从C₁中确定频繁项L₁；否则跳转至步骤10；

步骤6：由频繁项集L₁产生候选项目集C₂，扫描事务数据库T，对候选项目集C₂中的项进行统计，若大于等于最小支持度min_sup，从C₂中重新确定频繁项集L₂，否则，转至步骤10；

步骤7：由频繁项集L₂产生候选项目集C₃，扫描事务数据库T，对候选项目集C₃中的项进行统计，若大于等于最小支持度min_sup，从C₃中重新确定频繁项集L₃，否则，转至步骤10；