基于日志聚合系统的网络攻防异常行为关联识别技术

任敏

doi:10.16009/j.issn.1009-5624.2026.10.025

信息记录材料 ›› 2026, Vol. 27 ›› Issue (10) : 74 -77. DOI: 10.16009/j.issn.1009-5624.2026.10.025

基于日志聚合系统的网络攻防异常行为关联识别技术

任敏

作者信息 +

Author information +

文章历史 +

PDF

摘要

针对网络攻击呈现多态化、链式化特征而引发的多源日志语义异构及攻击行为难以关联的问题，本文设计了一种基于日志聚合系统的三层架构异常行为关联识别系统。该系统首先依托ELK技术栈，实现多源日志的标准化采集与预处理；其次，构建融合统计、时序及语义信息的多维度特征空间，采用孤立森林与长短期记忆（LSTM）网络-自编码器（Autoencoder）混合算法进行高效异常检测；最后，基于对抗性战术、技术和常识框架构建关联图谱，还原攻击链。实验结果表明：该系统在双数据集上的F₁值分别达95.2%和94.7%,误报率低至3.2%,能够满足大规模网络实时防御需求，有效提升攻击链还原的准确性与完整性。