论文研究-Attacker's Cluster in Web Log Mining.pdf

Web日志挖掘是指利用数据挖掘技术，对存储在Web服务器上的日志文件进行分析，以发现用户访问模式、兴趣偏好和潜在的攻击行为等信息的过程。Web日志安全事件分析是Web日志挖掘中的一个重要应用，它关注于从日志中识别出可能的安全威胁，例如黑客攻击、网络扫描等行为。本文所介绍的攻击者聚类算法，就是一种将具有相似行为特征的攻击源IP地址进行归类的算法。 Web日志通常包含用户访问网站时的详细信息，如用户的IP地址、访问时间、请求的URL、使用的浏览器类型、所引用的网页以及用户操作系统等。通过分析这些日志信息，不仅可以了解网站的访问情况，还可以发现潜在的安全问题。在安全事件分析中，管理员能够根据日志中的攻击特征，采取补救措施，如修补漏洞，增强网站的安全性，保障网站的正常运行。 在当前的网络环境中，传统的C/S（客户端/服务器）结构服务正在逐步被B/S（浏览器/服务器）结构服务所替代。基于Web的服务成为了主流，而大规模的日志信息成为了分析攻击行为的重要数据源。通过对Web日志的深入分析，可以发现攻击事件并确定攻击的来源，从而使得管理员能够对网站结构进行改进和对漏洞进行修补。 本文提出的攻击者聚类算法，包括攻击者相似度计算方法和聚类算法。该算法首先定义了一个特征矩阵和特征向量的概念，然后利用余弦定理来计算不同攻击者之间的相似度。通过计算相似度，将攻击者根据相似度进行聚类。这种基于相似度的攻击者聚类方法，不仅能够有效地压缩攻击事件，还可以迅速地定位到特定的攻击行为，对于提高网络安全分析的效率具有重要的意义。 当前国内外对于Web日志分析及压缩攻击事件的研究还不够充分，本文提出的压缩算法在实验中证明是有效的。通过定义特征矩阵和特征向量，算法能够计算出两个攻击者之间的相似度和距离，进而实现基于相似度的攻击者聚类。攻击者的特征向量是聚类分析的基础，因为每一个攻击者都有自己的特征向量，这使得比较不同攻击者之间的相似度成为可能。 数据处理部分是Web日志挖掘的基础，它涉及如何从服务器的标准日志中提取有用信息，并将其转化为可以用于挖掘的数据结构。在Web日志挖掘的过程中，数据处理是至关重要的一步，它直接决定了后续分析的质量和准确性。例如，在数据清洗阶段，需要去除日志中无关的信息，比如来自蜘蛛程序的访问日志，以保证分析结果的纯净性。此外，还需要对日志中的数据进行归一化处理，便于后续的模式识别和分析。 Web日志挖掘与安全事件分析结合，可以有效地发现网站的安全漏洞，并对攻击行为进行有效追踪和分析。吕景山和温巧燕提出的攻击者聚类算法，提供了一种新的攻击事件压缩和快速定位的方法，对于网络安全领域的研究人员和网站管理员而言，是一个重要的研究进展和实践工具。