本文探讨了基于Linux环境的主机日志审计技术,重点介绍了关联分析,特别是Apriori算法在日志审计中的应用。通过预处理和关联分析,可以提取日志的频繁模式、相关性和因果关系,用于用户行为分析、异常检测和安全评估。现有的日志审计方法,如筛选法、特征匹配法和事件解释法各有优缺点,而改进的审计方法引入关联算法,提高了审计的准确性和全面性。
#当前主机日志分析现状
一般主机系统有三种日志:系统日志、安全日志和应用程序日志。系统日志记录了操作系统组件产生的事件,包括系统组件操作、应用程序崩溃及数据丢失、驱动程序等;安全日志记录了各种类型的账户登录信息、服务信息、访问信息、策略变更信息、特权使用信息及进程追踪信息等;应用程序日志则记录了与应用程序运行相关的事件。
#关联分析技术
数据挖掘能够在海量数据中发现有价值的信息,从而为分析、判断、决策提供支持。关联分析是众多数据挖掘技术的
其中一种,运用该技术能够找到一些对主机行为性质进行正确判断的规则或模型。
常 用 的 关 联 分 析 算 法 有 Apriori、FP-Tree、Eclat、灰度关联法等。
##Apriori算法详解与实现
https://blog.csdn.net/qq_44753451/article/details/117814258
代码实现
import java.io.File;
import java.io.FileNotFoundException;
import java.util.*;
public class Apriori {
// 数据集
private static ArrayList<ArrayList> DATASET = new ArrayList<>();
// 待选集区域
private static HashMap<ArrayList, Double> PRE = new HashMap<>();
// 频繁集区域
private static HashMap<ArrayList, Double> LATER = new HashMap<>();
// 缓存项集支持度
private static HashMap<ArrayList, Double> CACHE = new HashMap<>();
// 提前算好加数单元
private static double ADD_UNIT;
// 最小支持度
private static double MIN_SUPPORT = 0.5;
// 最小置信度
private static double MIN_CONFIDENT = 0.8;
/**
* 加载数据
*
* @param filePath 文件路径
*/
private static void loadData(String filePath) {
Scanner scanner;
try {
scanner = new Scanner(new File(filePath));
while (scanner.hasNext()) {
DATASET.add(new ArrayList<>(Arrays.asList(scanner.nextLine().split(" "))));
}
scanner.close();
} catch (FileNotFoundException e) {
e.printStackTrace();
}
// 单元加数
ADD_UNIT = 1.0 / DATASET.size();
}
/**
* 枝剪,过滤掉小于最小支持度的项集
*/
private static void pruning() {
LATER.clear();
// 先全加过来等待删除不满足最小支持度的项集
LATER.putAll(PRE);
// 删除少于最小支持度的元素
ArrayList<ArrayList<String>> deletedKeys = new ArrayList<>();
for (ArrayList<String> key : LATER.keySet()) {
if (LATER.get(key) < MIN_SUPPORT) {
deletedKeys.add(key);
}
}
for (ArrayList<String> key : deletedKeys) {
LATER.remove(key);
}
}
/**
* 加载数据并求得一项集
*/
private static void init() {
loadData("E:\\data_mining_lab\\src\\data\\test.txt
最低0.47元/天 解锁文章
扫一扫
1852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
