基于云平台日志分析的追责方法研究与设计

作     者：鲍有 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：辛阳

授予年度：2019年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：云平台 实体 日志过滤 日志分析 追责 

摘      要：网络服务访问量的激增使得服务提供商不得不扩大服务部署规模,传统的服务方式已经不能满足需求,云平台因此而诞生。云平台具有规模庞大、易获得、可用性高、廉价的特点,这使得云平台在诞生之后便迅猛发展,但同时也带来了巨大的挑战,越来越多的重要服务和数据被发布到云平台上,这就使得云平台的安全问题越来越重要,逐渐成为人们关注的一个焦点。现有的研究大多聚焦于预防云平台安全事件的发生,但随着互联网技术的发展网络结构的复杂多样化,恶意人员有了更多的选择可以接近目标并进行攻击,这使得许多安防措施形同虚设。日志是反映访问行为的天然数据,本文将日志作为云平台追责的信息源。云平台庞大的规模和复杂的结构,使得其日志量异常庞大,相关日志分布分散且日志之间关系复杂,不易分析和提取异常信息。本文首先针对云平台日志特性对日志过滤方法进行了优化设计和实验验证,然后将事件分类并进行特征研究,最后结合日志特征和事件特征设计了一套完整的追责方法并进行了仿真实验。本文主要工作内容如下:1、通过对云平台服务部署方式的研究,总结出云平台可能会遭受的攻击方式,基于攻击方式归纳出云平台中的几种实体关系。为了对云平台实体间关系进行测量,本文基于上述几种实体关系和访问关联性,对实体间相关性量化方法进行了阐述并提出了相关量化公式。2、通过对云平台特征的研究和本文研究内容的探讨,提出了一套基于追责场景下云平台日志的高效过滤方法。主要包含了基于实体间相关性的日志过滤、基于日志相似性的递归过滤和基于拓扑排序的日志过滤。实验结果表明本文提出的日志过滤方法具有良好的实用效果。3、通过对安全事件的分类和特征研究,将追责过程分为用户异常行为追责和异常事件分析,最终目的是找到嫌疑用户或异常事件日志。为了达到上述目的,本文设计了基于离群点挖掘的异常行为分析方法和基于用户行为统计模型的异常行为分析方法。4、对本文提出的基于云平台日志分析的追责方法进行了仿真实验。首先对实验架构进行了设计并搭建了基于Hadoop和Spark的实验处理环境,然后对相关处理逻辑进行了开发,最后进行了多次实验。实验表明,本文提出的方法具有良好的追责效果,但单独用户异常行为分析的效果还略差于异常事件分析,异常事件分析方法还需要进一步完善,同时还有一些细节之处需要优化。