网络攻击行为分析平台中的日志分析技术.pdf

学术研究

能够实际运行的行为分析平 �工具 代码� 也就是通常所说的日 意义
台应该包括网络系统及服务运行 数 志记录 日志记录将可能有多种形式 寻找未知的黑客攻击方法和
据控制 数据捕获以及数据采集和分 �由各个不同的数据捕获点获取� 如 样本 并在此基础上分析和提炼出相
析等四大模块 如图 � 所示 系统日志 防火墙日志 入侵检测日 应的攻击状态特征
其中 网络系统及服务运行模块 志 击键记录等 而如何将这些不同 对各种系统和应用服务所遭
是等待被攻击者实施攻击行为的对 格式的日志统一归档和分析 从中提 受的攻击方式和强度进行分析和统
象 是真正运行在网络上的主机 数 取出有价值的黑客行为信息 则将由 计
据库和网络设备等 而且对外提供真 数据采集和分析模块完成 此外 数 日志分析技术也是攻击取证
实的服务 只是平时在上 技术中的关键部分
面没有正常的系统或人为
行为 我们统称为 日志记录的种类
����� 蜜罐主机� 日志记录是进行日志
数据控制模块在此平