基于Chameleon聚类的Linux日志取证算法研究.pdfVIP

第20卷第 4期 河 南 城 建 学 院 学 报 Vo1．20No．4 2011年 7月 JournalofHenanUniversityofUrbanConstruction Ju1．201l 文章编号 ：1674—7046(2011)04—0051—03 基于 Chameleon聚类的 Linux日志取证算法研究 魏 新 红 (河南城建学院计算机科学与工程 系，河南 平顶山467036) 摘 要： 为提取计算机非法入侵的证据 ，选取 了日志作为证据来源。由于日志记录的容 量通常都较大，所 以结合 了数据挖掘和模糊数学的相关知识 ，对基于 Chame． 1eon聚类的 日志分析算法进行 了探讨和研究。然后根据 Linux系统 日志文件 的特性 ，提 出了具体的 日志特征提取算法，并从 日志采集性能上进行 了模拟入 侵测试和分析 。 关键词 ： 计算机取证 ；系统 日志；Chameleon 中图分类号 ： TP301．6 文献标识码 ：A 计算机与网络的普及给社会带来 了革命性 的改变 ，计算机犯罪也应运而生。因此 ，对计算机非法入 侵的行为进行取证调查成为科学界和法律界关注的一个焦点。计算机取证包括计算机证据的获取、保 存 、分析和归档的全过程。证据的来源多种多样 ，通常选取 日志作为证据来源 ，对其进行分析，以提取出 潜在的犯罪证据。由于 日志记录的容量通常都相当大 ，所 以一般采取数据挖掘来对其进行分析。 当前在 日志挖掘中使用的数据挖掘算法多为关联规则挖掘算法。对于给定的数据项集和数据记录 集，根据用户指定的置信度和支持度推断数据项之间的相关性。使用关联规则挖掘进行 日志分析的主 要缺点在于，在分析的时候 ，需首先获取所有的 日志数据 ，即静态的事后分析。算法是本文的核心部分 ， 能否有效的发现入侵 的痕迹 ，就取决于算法设计。考虑到某些取证过程需要实时动态取证 ，在进行入侵 取证算法研究时，采用 了基于聚类分析的Chameleon算法对 日志进行分析。 1 基于Chameleon聚类的入侵取证算法 本文 中，仅仅沿用 Chameleon算法的聚类过程与思想。此算法在聚类关系的计算上 ，放弃 了原有的 相对接近度与相对连接度 ，使用一个统一的距离代表两个聚类 间的相似关系 ，同时使用一个 阈值对相似 关系进行约束 。 1．1 算法原理 (1)在初始状态时，将每条单独 的日志记录视为一个单独的聚类 ，逐渐聚合成几个大的聚类。 (2)延续原算法中接近度的概念。当一条新 的 日志记录进入数据库时，数据库中原有 的 日志记录 己经划分为多个大的聚类。此时，将新进 日志记录视为一个新的聚类 ，根据给出的距离计算公式，分别 计算出该新聚类与各 已有聚类之间的接近度。 (3)加入一个阈值的概念。使用计算得到的接近度与定义的阈值共同判定该记录是应该归人某一 个已有聚类 ，还是应该作为异常数据处理。 收稿 日期 ：2011—05—23 作者简介 ：魏新红(1980一)，女，河南平顶山人，硕士，河南城建学院计算机科学与工程系讲师。 52 河南城建学 院学报 2011年 7月 1．2 权 重 的 确 定 在距离计算公式 中，权重是至关重要的，它反映了各个参数在综合决策过程中所 占的地位或者所起 的作用 ，直接影响到聚类的结果 。对于权重 W的选择 ，考虑采用专家评分法 (亦称 Delphi评分法)对权 重做 出综合评断。 设参数集P={P。，P，P 一，P}，现有 k个专家各 自独立地给出各参数 P(i=1，2，3，…，17,)，取各参 数权重的平均值作为其权重，即权重计算公式为： 1 k ． f=÷∑ (i=1，2，…，n) J 1 在对参数 的权重进行评分时，设 ，为针对特征参数P所给出的权重值 ，Ⅳ 表