張瑞益臺灣大學：工程科學及海洋工程學研究所張耕維Chang, Keng-WeiKeng-WeiChang2007-11-262018-06-282007-11-262018-06-282007http://ntur.lib.ntu.edu.tw//handle/246246/51067動機：對於企業組織而言，防火牆系統可說是目前最為普遍的資訊安全防禦機制。隨著系統以及網路環境的動態改變，防火牆政策規則表必須不斷更新調整，才能確實達到防護功效。運用日誌分析方式來輔助政策管理是可行的作法，然而傳統以人工方式分析，不但耗時且容易發生錯誤。因此，如何利用資料探勘技術分析網路日誌，輔助網路管理者進行防火牆政策管理，是非常值得去研究的課題。 作法：本論文採用關聯規則演算法來探勘防火牆日誌資料，從中萃取網路連線的異常行為，例如：出現頻繁的來源位址、短時間內最常被連線的Port等，以推導出適合且有效的防火牆規則。在實際系統環境中，日誌資料是屬於累加性質的動態資料，容易使得日誌分析工作成為系統的效能瓶頸。我們針對這些影響系統效能的因素進行探討，並提出對應的解決辦法。與現有的方法相比，本論文首先運用動態探勘技術來改進傳統靜態探勘方法，並提出改良的加速演算法，解決過去方法探勘效能不佳的問題。此外，還與資訊安全專家討論，歸納出重要的分析項目，例如：木馬程式之行為分析。論文中針對提出之方法效率皆加以優化，提升整體系統之執行效能，更符合實用上的需要。 結果：本研究實際開發一個防火牆日誌探勘分析與政策偵錯管理工具，並以實際防火牆日誌進行測試。實驗結果顯示，所提出的一系列防火牆日誌分析演算法，在處理速度上皆比過去的傳統方法要來更好。使得系統能更快速地分析防火牆日誌，進而適時推導出有效之政策規則，輔助防火牆進行政策最佳化管理。Motivation: Firewall system is the most popular network security mechanism for enterprises. Due to the dynamic feature of network environment, firewall policy rules must be constantly revised and adapted to assure the security of intranet. The problem we address is how to apply data mining technology for analyzing firewall logs and assisting network administrators to improve firewall efficiency and to safeguard the network. Method: We apply association rule mining to analyze network logs and detect anomalous behaviors, such as connections those shown frequently in short period with the same source IP and port. From these anomalous behaviors, we could inference useful, up-to-dated and efficient firewall policy rules. Comparing with the method proposed by K. Golnabi et al. in NOMS’ 2006, we utilize incremental mining to handle the increasingly changed traffic log data to enhance the efficiency in analyzing. Moreover, our approach has analyzed not only high-frequent network logs but also other significant security factors to make whole system more feasible and effective. Results: In this thesis, we have developed fast algorithm to optimize the execution performance. Experimental results show that the execution efficiency of our proposed method is significantly better than that of traditional method when dealing with the large-sized log file.口試委員審定書I 誌謝II 摘要III ABSTRACT IV 第一章 緒論 1 1.1 研究背景 1 1.2 研究動機與目的 2 1.3 論文架構 4 第二章 相關研究 5 2.1 防火牆系統 5 2.1.1 防火牆政策規則 5 2.1.2 防火牆日誌記錄 6 2.1.3 防火牆政策管理 8 2.2 資料探勘於防火牆政策管理上的應用 9 2.2.1 關聯規則演算法 11 2.2.2 現有方法存在的問題 14 第三章 提出之系統架構 17 3.1 防火牆政策管理系統 17 3.1.1 規則分析階段 19 3.1.2 規則編輯階段 20 第四章 日誌規則分析方法及加速演算法 23 4.1 防火牆日誌規則分析 23 4.2 漸進式關聯規則分析 24 4.2.1 SWF漸進式關聯規則演算法 25 4.2.2 日誌壓縮樹之C-SWF關聯規則分析 27 4.3 專家規則分析 32 4.3.1 高密度分析 32 4.3.2 木馬行為分析 33 第五章 方法實作與實驗結果 36 5.1 雛型系統之方法實作 36 5.1.1 漸進式關聯規則分析模組 37 5.1.2 專家規則分析模組 38 5.1.3 規則異常偵測模組 39 5.2 效能實驗結果 41 5.2.1 C-SWF漸進式關聯規則分析之效能測試 41 5.2.2 專家規則分析及其加速方法之效能測試 46 第六章 結論與未來研究 47 參考文獻 492168309 bytesapplication/pdfen-US資料探勘關聯規則防火牆政策管理快速演算法Data MiningAssociation RuleFirewallPolicy ManagementFast Algorithmthesishttp://ntur.lib.ntu.edu.tw/bitstream/246246/51067/1/ntu-96-R94525051-1.pdf