基于ELK的主机异常检测系统设计与实现

来源 :西安电子科技大学 | 被引量 : 0次 | 上传用户:guxleo3322
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着计算机技术的迅速发展,企业与政府的网络安全与主机安全正在面临日新月异的挑战,而单纯的提升边界防护技术已经无法应对目前严峻的安全形势,因此内网的纵深防御技术也正在被人们所重视。传统的异常检测方法主要依靠特征码识别与正则匹配,随着近几年机器学习的相关研究再次火热,将机器学习算法用于当前大数据环境下的异常检测的方法也越加被人们所重视。但是现有的检测方法依旧存在检测时间长、检测准确率低、分类效果差等缺点。主机日志记录着大量用户对系统的访问与操作信息。对每台主机产生的日志信息加以利用,那么就可以清晰的掌握当前每台主机的安全状态。本文提出了基于ELK的主机异常检测方法,通过ELK实现对主机日志与流量信息的收集管理,系统的主要结构分为数据集采集,数据预处理,可视化分析,异常检测与通知告警。全文的主要工作与创新点如下:1.基于Libpcap使用C++程序获取网络流量产生的适用于异常检测的安全数据集,通过对比通用安全数据集,从主机中提取出类似的、可供检测的安全数据集,并且对安全数据集与系统日志在采集时实现简单的规则过滤。2.通过安装在主机上的Filebeat对不同的数据来源进行标记后,传输到装有Logstash的服务器进行正则匹配,并且对安全数据集协议进行字段替换、归一化等预处理方法。通过Elasticsearch索引数据文档并且根据索引结果使用Kibana建立图表。同时在Logstash节点外挂异常检测机制,通过改进后的自收敛PCA与OCSVM算法建立分层异常检测模型,当检测出异常时能够将检测结果发送到管理人员内部邮箱。3.异常检测模块的实现主要基于自收敛PCA与OCSVM算法组合构建出的多层次的异常检测模型,通过使用攻击特征分析法对采集得到的数据集进行预处理,同时对训练集进行数据清洗与特征选择,使用改进后的自收敛PCA算法能够显著降低数据中包含的噪声,突出异常数据与正常数据的差异性,弱化无关特征对于训练模型的影响。对PCA的改进目标是能够定量的降低数据集中的噪声,通过计算最低特征贡献率m的方法自动获取PCA降维的最佳维度,不仅改进了需要频繁输入k值的传统方法,而且对噪声过滤的针对性更强。4.通过不同的数据特征训练不同模型分别对应DOS、R2L、U2R、Probe四种攻击类型。使用基于RBF核的OCSVM算法进行模型训练,通过改进的分层检测的框架避免了OCSVM算法分类效果差的缺陷。文章最后对KDDCUP99数据集进行了提取处理,并且更具攻击特征进行了特征筛选后进行实验测试,并与之前同样使用KDDCUP99数据集的检测研究进行对比,结果表明本文提出的方法更具优越性。本文的主要工作分布在数据集采集、数据预处理优化、针对安全特性需求对传统算法改进、异常检测系统结构设计优化等方面。基于开源的ELK分布式日志管理方案的基础上,增加实现了以分层自收敛PCA-OCSVM为核心的异常检测方案。
其他文献
目的研究缺血/再灌注模拟环境下大鼠H9c2心肌细胞中miR-15a的表达情况及调控miR-15a的表达对细胞损伤和细胞凋亡的影响,并进一步研究miR-15a调控心肌细胞缺血再灌注损伤发生
第一部分:延胡索酸类似物对心肌细胞缺氧复氧损伤的保护作用目的研究延胡索酸类似物预处理心肌细胞后,对心肌细胞缺氧复氧损伤的保护作用方法乳鼠心肌细胞原代培养,以不同的
组合梁负弯矩区上混凝土板开裂后,裂缝截面的混凝土对承载力已经不起作用,但由于钢筋与混凝土之间的粘结效应,使得裂缝间的混凝土仍能承受拉力,产生了受拉刚化效应。当前规范在计算连续组合梁负弯矩区刚度时未考虑受拉刚化效应的影响,在计算时直接忽略负弯矩区的受拉混凝土,按钢梁与钢筋组成的换算截面计算其刚度,使得按其方法计算的挠度并不准确。本文以钢-混双面组合梁静力试验为研究背景,基于集中柔度模型研究了混凝土损
面孔身份信息和面部表情是个体社交和情绪交换的重要媒介。在日常生活中,面孔的识别往往要比非面孔更容易,研究一致认为这是由于面孔基于构形进行加工。通过将面孔倒置,可以
在社会经济快速发展的背景下,社会各行各业越来越重视档案的管理,所以各个领域也对档案管理有了更高的要求和规范,特别是建筑工程行业,在建筑工程项目建设的过程中,建筑工程档案的形成过程是相对静态的,而实际的档案管理过程是一个相对动态的,对建筑工程档案进行管理主要是为了系统地建立建筑工程档案,这样可以使实际的档案管理过程更具有科学性。随着建筑行业的蓬勃发展,数据信息突飞猛进式增长,把所有数据信息资料完整归
目的:目前认为单个核细胞移植是一种较为理想的治疗心肌梗死的方法,但单个核细胞包括多种细胞成分,实际起作用的细胞亚群至今仍不知晓。因此,找出关键亚群对于临床治疗心肌梗
随着高铁建设的大力推进,许多高速铁路桥梁需要修建在云南、贵州、四川、西藏等高烈度地震区。高强度钢筋的使用不仅可以减少钢筋用量,节约成本和保护环境,而且可以解决混凝土施工中钢筋布置过密引起的混凝土浇筑振捣问题,所以高强度钢筋在高烈度区高速铁路桥梁中有较好的应用前景。但是按照一般规律纵筋的强度提高,会导致构件的延性和变形能力降低。通过调研既有拟静力试验结果发现,绝大部分配置HRB500高强钢筋铁路RC
目前,无人机和无人车被广泛地投入到实际的应用中,发挥着越来越重要的作用。然而,面对复杂的三维环境,无人机与无人车单独执行任务的成功率较低。无人系统的协同作战是解决上述问题的有效手段。针对当前的多数研究是关于单个无人机或无人车的操作,其生存能力以及适应环境能力不能满足在复杂环境执行任务的需求,本论文利用增强合成视景技术以及陆空协同操作系统来提高无人系统的生存能力。论文首先探讨了各类传感器对于在退化视
随着我国生态文明建设国家战略的大力推进,一种具备生态综合功效的城市空间模式——绿网城市理论也由此诞生。本文即为对其用地功能的探讨。对理想城市理论、绿网城市理论、城市用地功能及相关理论进行梳理,总结了绿网城市理想单元的条件设定和功能定位;并依据国际建筑师协会对城市用地功能的相关界定,列举了我国以及英国、德国、日本4个国家对城市用地功能的体系划分,分析比较了各国用地功能体系的差异,总结了我国部委整合条
随着分布式电源(DG)的大量接入,微电网成为电网发展的必然趋势。微电网具有拓扑结构易变,多端电源供电等特点,因此导致微电网的故障诊断面临诸多问题:如传统的故障定位判据不