王晓东  等:多节点系统异常日志流量模式检测方法                                                         3305


         包含了大部分夜晚和半夜的模式代表,在满足将所有原本模式代表都分开的前提下,一共可分为 7 种异常日志
         流量模式,见表 8.

















                   Fig.5    Hierarchical clustering of type sequences of secure log in day, night, and midnight
                        图 5   Secure 类型日志的白天、晚上和半夜代表类型序列的层次聚类图

                                   Table 8    Table of sequence type of secure logs
                                         表 8   Secure 日志序列类型表
                                      异常流量类型序列             日志序列代表
                                          NM 0               D 0,M 0,N 1
                                          NM 1                 D 1
                                          NM 2               D 2,M 1,N 2
                                          NM 3                D 3,M 2
                                          NM 4                 D 4
                                          NM 5                 N 0
             我们将找出的 6 大类异常日志流量模式 NM 0 、NM 1 、NM 2 、NM 3 、NM 4 、NM 5 序列对应的日志类型代表
         D 0 、D 1 、D 2 、D 3 、D 4 、N 0 的各个类型数量绘制的梯形图绘制出来,结果如图 6 所示.
                        D 0                            D 1                      D 2






                        D 3                         D 4                         N 0






                                 Fig.6    Type number trapezoid diagram of secure logs
                                     图 6   Secure 型日志的类型数量梯形图

             根据图示,我们可以分析以下异常流量情景.
             •   情景 0:流量序列中占据异常最重要比重的日志类型是 T 11 (failed  password for invalid user 0000 from
                〈IP〉 port 〈PORT〉 ssh2)和 T 7 (pam_unix(sshd:auth): authentication failure).该种异常日志流量模式表明,此