今天上午,我把程序改成根据日志的来源的程序名字进行分类,这样发现messages的日志类型减少了很多。感觉
下面分析是否直接可以根据程序名进行异常检测?因为根据程序名分类后的messsages类型明显减少。这是一个可以
考虑的方向,等有时间可以试试,晚上继续看了会日志的那本书,感觉王老师的那本书《日志管理与分析权威指南》
真的是本好书,周末争取多看看!
今天周五,总结一下这周的进度:
3月5号,周一:
今天的工作总结:
1、根据分位点的不同来得到异常类型 2、关联分析整体方法的带入,将python程序根据实现功能分开
3月6号,周二:
完成时间片内类型之间的关联关系分析,其中规则生成时为了减少规则数量,我定义生成的规则: 1、LHS不包含异常类 2、RHS包含异常类 这样异常就减少到可分析的数量(100条左右)
方向错误:
挑出类型无意义,应该找到该类型对应时间片出现次数才有意义,因为该类型出现不一定是错误,而是出现的次数达到 一定数量才定义为错误。
结论: 关联分析要分析正异常向量直接的关系。
3月7号,周三
1、增加类型解释模块:bing/iciba 翻译
2、阅读《日志管理与分析权威指南》书籍中的专有名词:
| 英文 | 中文 |
|---|---|
| NIDS | 网络入侵检测系统 |
| ICMP | Internet控制报文协议 |
| PCI DSS | 支付卡行业数据安全标准 |
| SIEM | 安全信息和事件管理 |
| Backdoor | 后门:允许用户在不为人知的情况下获得计算机系统访问权的软件或引用程序 |
3月8号,周四
找到网上开源的IDS系统
研究是否能够根据程序名进行日志分类
3月9号,周五
下午继续编程,然后进行一周总结。
