如今计算机和互联网技术正在飞速发展,人民在享受着技术进步所带来的各种便利的同时,又不得不面对着越来越严峻的信息安全问题。各种网络安全设备的应用在一定程度上缓解了信息安全问题的威胁。然而,由于攻击事件日渐增多、攻击手段日趋复杂,导致各个设备所产生的安全日志越来越复杂,数量越来越庞大,可读性越来越差。大量的构成威胁的安全口志告警被隐藏在这些海量、零散的安全日志告警之中。通过对安全日志数据进行数据挖掘,挖掘出隐藏其中的攻击模式,还原攻击场景,从而发现攻击的真实意图,能够更加有效的防范攻击行为。目前安全日志的分析处理面临着许多问题,一方面,算法对专家先验知识有很大的依赖,很难分析出新的攻击行为模式;许多算法只能挖掘出攻击模式的一些片断,在准确率和模式完整性方面有很大的缺陷。另一方面,安全日志数据的数据源逐渐分散,这使得收集原始日志数据变得越发困难。随着网络速度传输加快,网络的流量也越来越大,对安全日志数据的存储查询处理方式却存在瓶颈,导致系统整体性能下降。针对这些问题,本文进行了深入研究,主要工作如下:(1)研究了相关的日志收集存储技术和数据挖掘相关理论与算法,为安全日志挖掘积累了理论基础。(2)提出一种基于改进模糊聚类分析和序列模式的攻击模式挖掘算法。该算法结合了模糊聚类能够描述安全日志间相似性和序列模式挖掘算法能够较好的描述攻击步骤间前后间逻辑关系的优势,可以更加准确的挖掘日志中的隐藏的攻击模式知识。方法首先将安全日志数据根据时间戳转化为全局攻击序列;然后利用改进的模糊聚类分析算法根据安全日志属性之间的相似度,将可能处在同一场景下的序列聚集在一起转化为攻击序列集;最后通过序列模式挖掘算法从攻击序列集中挖掘出攻击者的攻击模式。(3)设计并搭建了基于ELK的攻击模式挖掘系统。该系统基于ELK技术可以完成从安全日志收集到攻击模式挖掘整个流程。(4)搭建实验环境对算法进行分析评估,实验结果表明该算法不仅可以有效的挖掘出隐藏在安全日志中的攻击模式,还能在结果中减少无效的攻击模式,生成更有价值的攻击模式知识。