基于輕量化關(guān)聯(lián)規(guī)則挖掘的安全日志審計技術(shù)研究

郭濤敏

摘 ?要： 為了對云計算平臺中日志審計數(shù)據(jù)進行安全分析，提出一種采用改進的關(guān)聯(lián)規(guī)則的日志信息挖掘方法，以便有效識別事故類型或者預(yù)防可能出現(xiàn)的各種惡意入侵。該方法采用典型的關(guān)聯(lián)規(guī)則Apriori算法對比挖掘系統(tǒng)日志和用戶行為模式的異常信息，并通過刪除稀疏矩陣集合中的弱相關(guān)項目集和可調(diào)節(jié)最小置信度的策略，對Apriori算法進行輕量化改進。在多次迭代運算得到最大項目集后運用于日志審計。仿真實驗結(jié)果表明，改進的Apriori算法可以有效減少對數(shù)據(jù)庫的掃描次數(shù)，提高挖掘效率，具有一定的推廣價值。

關(guān)鍵詞： 關(guān)聯(lián)規(guī)則; Apriori算法; 日志審計; 最小置信度; 安全日志; 數(shù)據(jù)挖掘

中圖分類號： TN915.08?34; TP393 ? ? ? ? ? ? ? ? ? 文獻標識碼： A ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）15?0083?03

Research on security log audit technology based on lightweight association rules mining

GUO Taomin

（Rongzhi College of Chongqing Technology and Business University， Chongqing 401320， China）

Abstract： In order to carry out the security analysis on log audit data in cloud computing platform， a log information mining method based on improved association rules is proposed to effectively identify the type of accident or prevent the possible malicious intrusions. The typical association rule Apriori algorithm is used to compare the abnormal information of the system log and user behavior mode. The Apriori algorithm is lightly improved by deleting the weakly related item sets in the sparse matrix set and adjusting the minimum confidence. The maximum item set is obtained after multiple iterations， and applied to log audit. The simulation results show that the improved Apriori algorithm can effectively reduce the scan number of the database， and improve the efficiency of mining， and has a certain promotion value.

Keywords： association rule; Apriori algorithm; log audit; minimum confidence; security log; data mining

0 ?引 ?言

云計算作為當前網(wǎng)絡(luò)資源服務(wù)模式的一種類型，接入云計算服務(wù)器的終端用戶，借助服務(wù)器強大的數(shù)據(jù)處理能力和存儲能力，較好地解決了終端設(shè)備數(shù)據(jù)處理和存儲能力低下的問題。作為云計算服務(wù)器平臺，如何較好地管理接入該平臺的終端用戶是必須解決的關(guān)鍵問題[1]。為了檢測接入平臺的終端用戶的合法性和安全性，對終端用戶的審計工作就顯得尤為重要。安全審計作為計算機安全研究領(lǐng)域的一個方向，近年來引起研究者們的關(guān)注[2]，當前的安全審計主要結(jié)合日志完成審計工作，對接入平臺終端用戶的登錄情況、操作行為等情況進行記錄并檢測，根據(jù)檢測情況及時提出報警，為云計算服務(wù)器管理員提供審計輔助。

目前，基于關(guān)聯(lián)規(guī)則原理的數(shù)據(jù)庫日志安全問題逐漸得到越來越多的關(guān)注。文獻[3]提出一種基于模糊關(guān)聯(lián)規(guī)則的危險Web信息挖掘技術(shù)，通過引入Takens定理降低數(shù)據(jù)模型的復(fù)雜度，實現(xiàn)了危險Web信息的準確挖掘。文獻[4]采用基于相似性的關(guān)聯(lián)分析算法獲得用戶行為模式，以指導(dǎo)節(jié)點的分裂或合并，從而完成數(shù)據(jù)庫日志挖掘的業(yè)務(wù)流程優(yōu)化。

但是，隨著云計算平臺中用戶量的增加，審計日志記錄將逐漸增多，根據(jù)審計日志，較明顯的非法行為系統(tǒng)可以自動檢測并預(yù)警，但是大規(guī)模數(shù)據(jù)中深層次較隱蔽的非法登錄及訪問卻不容易察覺。因此，為了進一步提高Apriori算法在日志審計挖掘方面的適用性，提高審計精度和執(zhí)行效率，本文通過Apriori挖掘算法對審計日志進行數(shù)據(jù)挖掘，以檢測云計算平臺受到的各種攻擊，并對Apriori算法進行適當改進，以便更好地完成日志審計。

1 ?日志審計系統(tǒng)中的數(shù)據(jù)挖掘技術(shù)分析

當前，云計算平臺常見的攻擊類型有4種：分布式拒絕訪問攻擊（DDoS）、未授權(quán)訪問攻擊（R2L）、獲取權(quán)限攻擊（U2R）及收集信息攻擊（Probe）[5]。根據(jù)終端用戶在云計算平臺的登錄、訪問及操作情況，系統(tǒng)生成審計日志。以上4種入侵均可能影響日志審計。

日志審計系統(tǒng)中的數(shù)據(jù)挖掘任務(wù)，就是利用關(guān)聯(lián)規(guī)則方法發(fā)現(xiàn)隱藏在日志記錄之間的相互聯(lián)系，例如，挖掘數(shù)據(jù)中的異常孤立記錄，從而發(fā)現(xiàn)入侵攻擊現(xiàn)象。本文采用Apriori關(guān)聯(lián)規(guī)則算法對系統(tǒng)日志數(shù)據(jù)進行挖掘處理，得出關(guān)聯(lián)頻繁項集模式集合。安全日志記錄示例如表1所示，描述所需屬性模式的規(guī)則就是所需審計關(guān)聯(lián)規(guī)則。

表1 ?安全日志記錄

2 ?輕量化改進Apriori算法

云計算平臺的日志記錄了所有用戶在云平臺停留的重要痕跡，將訪問云平臺用戶的所有關(guān)鍵操作一一記錄，并根據(jù)用戶的操作情況采用Apriori算法進行數(shù)據(jù)挖掘，判斷該用戶是否屬于正常訪問，若不屬于，根據(jù)用戶的實際操作情況進行分類，分別歸于不同的攻擊類型。本文通過Apriori挖掘算法對安全審計日志進行數(shù)據(jù)挖掘，以檢測云計算平臺受到的各種攻擊，并對Apriori算法進行輕量化改進，以便解決審計日志數(shù)據(jù)處理中的增量更新問題。

2.1 ?刪除稀疏矩陣集合中的弱相關(guān)項目集

Apriori算法的遍歷過程，實際就是一個尋找最大項目集的過程。通過不斷遍歷，將項目集與最小支持度比較，得到[K]維最大項目集[3?4]。設(shè)集合[D]為所有待挖掘數(shù)據(jù)集合，與目標集相關(guān)的最小支持數(shù)目為[minCount]，最小支持度[minSupCount]的計算方法分別為[6]：

2.2 ?可調(diào)節(jié)最小置信度

在日志審計的過程中，Apriori算法需要對日志中所有用戶的關(guān)鍵操作做迭代計算，這將大大降低算法的執(zhí)行效率，算法適用性降低，而且在計算過程中，為了充分展現(xiàn)算法的柔性及可操作性，需要對最小置信度[minConf]進行動態(tài)調(diào)整，否則會導(dǎo)致算法的遷移性差，對不同規(guī)模的云平臺適用性差，降低了算法的通用性。

3 ?實例仿真

為了驗證本文算法在日志審計方面的性能，采用Snort進行實例仿真[11]，對60份審計日志進行實例仿真，在200 h周期內(nèi)4種不同類型攻擊的情況如圖1所示。

首先檢測算法對4種不同類型攻擊的識別能力，分別采用Apriori算法及改進的輕量化Apriori算法對審計日志進行數(shù)據(jù)挖掘，通過算法檢測的攻擊數(shù)與實際攻擊數(shù)的誤差對比，檢驗算法能力。其中，DDos仿真結(jié)果如圖2所示。

圖1 ?200 h周期內(nèi)4種不同類型攻擊的情況

圖2 ?DDos安全檢測算法的誤差對比

其他3種類型的結(jié)果與圖2一致，可以看出，采用Apriori算法和輕量化的Apriori算法均能通過審計日志檢測出接入云計算平臺的攻擊，相比于Apriori算法，本文算法的檢測優(yōu)勢明顯，更接近于實際攻擊數(shù)目。特別是DDos和Probe類型的攻擊，本文算法檢測結(jié)果更接近于實際攻擊數(shù)目。

從圖2也可以看出，兩種算法均不能全部檢測出訪問云計算平臺的攻擊數(shù)，這個與迭代次數(shù)、最小置信度的設(shè)置、算法時間等均有關(guān)系，為了達到平衡，暫時不能保證100%檢測出攻擊記錄。

下面對算法的執(zhí)行效率進行Matlab仿真，檢驗算法的計算時間是否能夠滿足云計算平臺攻擊檢測的需求。分別選取包含記錄條數(shù)為5 000，10 000，15 000，20 000的日志作為仿真對象，檢測算法的執(zhí)行時間，仿真結(jié)果如表2所示。

從表2可以看出，隨著日志中記錄條數(shù)的增加，執(zhí)行時間也隨之增加，當日志記錄小于10 000條時， Apriori算法和改進的Apriori算法的日志挖掘執(zhí)行時間相差不大，但隨著記錄條數(shù)的增加，兩者之間的差距逐漸變大，本文算法優(yōu)勢明顯。

表2 ?執(zhí)行時間對比

在實際運用過程中，為了提高算法對云計算平臺日志審計的效率，以便及時根據(jù)日志審計結(jié)果做出相應(yīng)的決策，可以考慮將日志文件進行有效分割，保證每個日志文件所包含的記錄條數(shù)設(shè)置合理，防止出現(xiàn)算法執(zhí)行時間長，審計效率降低，攻擊決策不及時的問題。

4 ?結(jié) ?語

本文采用輕量化改進的Apriori算法完成云計算平臺的安全日志審計，用來挖掘接入云計算平臺的各種不同類型的攻擊，根據(jù)攻擊情況從而采取相應(yīng)的決策來保證云計算平臺的安全，提高云計算平臺的穩(wěn)定性。仿真結(jié)果驗證了提出算法的可行性和先進性。但是，數(shù)據(jù)挖掘的精確度和適用性仍不能滿足需求，后續(xù)將對更多類型入侵的適用性開展進一步研究。

參考文獻

[1] ABBAS H， MAENNEL O， ASSAR S. Security and privacy issues in cloud computing [J]. Annals of telecommunications， 2017， 72（5/6）： 233?235.

[2] AMINSOOFI A， IRFAN KHAN M， FAZALEAMIN F A. A review on data security in cloud computing [J]. International journal of computer applications， 2017， 96（2）： 95?96.

[3] 黃宏本.基于改進關(guān)聯(lián)規(guī)則的危險Web信息挖掘技術(shù)研究[J].現(xiàn)代電子技術(shù)，2016，39（6）：14?17.

HUANG Hongben. Research on hazardous Web information mining technology based on improved association rules [J]. Modern electronics technique， 2016， 39（6）： 14?17.

[4] 肖宗水，孟令童，孔蘭菊，等.基于數(shù)據(jù)庫日志關(guān)聯(lián)規(guī)則挖掘的業(yè)務(wù)流程優(yōu)化[J].計算機集成制造系統(tǒng)，2017（5）：993?999.

XIAO Zongshui， MENG Lingtong， KONG Lanju， et al. Business process optimization based on database log association rule mining [J]. Computer integrated manufacturing system， 2017（5）： 993?999.

[5] GAI K， QIU L， CHEN M， et al. SA?EAST： security?aware efficient data transmission for ITS in mobile heterogeneous cloud computing [J]. ACM transactions on embedded computing systems， 2017， 16（2）： 1?22.

[6] LIU A X， ZHAO Y， SUNB M. An improved Apriori algorithm based on an evolution?communication tissue?like P system with promoters and inhibitors [J]. Discrete dynamics in nature and society， 2017（1）： 1?11.

[7] PARK S H， SYNN J， KWON O H， et al. Apriori?based text mining method for the advancement of the transportation ma?nagement plan in expressway work zones [J]. Journal of supercomputing， 2017， 74（3）： 1?16.

[8] 陸江東，鄭奮，戴卓臣.基于改進Apriori的網(wǎng)絡(luò)安全感知方法[J].計算機測量與控制，2017，25（10）：244?246.

LU Jiangdong， ZHENG Fen， DAI Zhuochen. Network security perception method based on improved Apriori [J]. Computer measurement and control， 2017， 25（10）： 244?246.

[9] DANGELO G， RAMPONE S， PALMIERI F. Developing a trust model for pervasive computing based on Apriori association rules learning and Bayesian classification [J]. Soft computing， 2017， 21（21）： 6297?6315.

[10] YIN Y. A study on the behavior description of learners under berlitz pedagogy based on the Apriori all algorithm [J]. Wireless personal communications， 2018（3）： 1?10.

[11] ZHU S. Research on data mining of education technical ability training for physical education students based on Apriori algorithm [J]. Cluster computing， 2018（4）： 1?8.