0 引言

隨著高校信息化的發展，高校應用系統中積累了大量的師生、教學、科研、管理方面的業務數據。而隨著各業務系統的對外訪問，網絡安全問題日趨嚴重。目前，校園網安全運維主要是通過網絡安全產品如防火墻、IDS、IPS等設備來實現，總體效果不佳，一個重要的原因是忽視了日志在校園網管理中的作用。校園網中的網絡產品、服務器、應用系統等軟硬件運行過程中產生大量的日志，記錄了系統運行，使用者、攻擊者的訪問行為，可以通過對這些日志的綜合分析和處理，有效解決校園網運行中遇到的安全問題。

Web入侵檢測是針對Web應用的一種入侵檢測技術，通過對Web應用的請求分析，檢測和識別Web攻擊行為。在已有研究中，周勇祿[1]使用Web日志中動態頁面的參數值長度、字符分布等數據，建立了基于統一異常的檢測模型。Estevez-Tapiador等[2]對日志URL進行了劃分，對應到馬爾科夫模型的不同狀態，使用狀態轉移矩陣，根據模型達到終態的概率判斷日志的合法性。Le[3]將Web入侵的URL根據不同部分進行切割，包括域名、路徑、參數等，并對每個部分進行選定特征的提取。Ma[4]等人提取入侵URL中的host等特征，以此進行Web應用入侵威脅檢測。Kolar[5]等人則采用詞袋模型解決Web威脅入侵的檢測問題。

高校信息系統一般分散部署在各個服務器中，導致所產生的日志也比較分散。高凱[6]研究了大數據環境下，采用分布式數據流的四個子系統：數據采集子系統、消息處理子系統、流式計算子系統和數據存儲子系統，進行用戶大規模日志安全分析。陳付梅等[7-9]介紹了大規模系統的日志模式提煉算法的優化方法。上述研究從不同角度構建了針對Web應用的入侵檢測模型或系統，但主要是通過對URL的分析，提取基于文本的統計特征，從而構建分析模型，而沒有考慮到POST請求體的數據，且在對文本數據的特征向量構建上，主要以統計特征為主，較少考慮到文本本身的詞匯特性。本文主要針對數據中心產生的Web日志進行研究，采用Word2Vec構造特征向量，利用支持向量機進行模型訓練，并基于MapReduce并行計算模型，給出了一種海量數據異常入侵檢測算法。通過此系統對日志事件進行并行挖掘分析，可以很好地發現安全攻擊事件，得出平臺整體的安全態勢，為數據中心正常運轉提供安全保障。

本文詳細內容請下載：http://www.rjjo.cn/resource/share/2000004853

作者信息：

凌仕勇1，龔錦紅2

(1.華東交通大學 網絡信息中心，江西 南昌330013；

2.華東交通大學 電氣與自動化工程學院，江西 南昌330013)