技術領域

本發明涉及屬于信息技術領域，尤其涉及一種針對防火墻日志的分析方法。

背景技術

目前，防火墻在計算機網絡安全上得到了廣泛應用。防火墻都具有日志記錄功能，能夠記錄下所有經過防火墻訪問內網和外網的情況。日志的內容主要包括時間、源IP地址、源端口、目的IP地址、目的端口，統稱為網絡訪問的五元組。對防火墻日志進行采集、管理和分析，從而發現異常網絡訪問行為，是網絡安全管理的普遍做法。盡管防火墻日志中包含了大量有用的信息，但是這些日志只有在經過深入分析后才能夠發揮作用。雖然防火墻廠家大多提供防火墻日志管理系統，但只側重于日志的統一采集、存儲、查詢和統計，日志的分析能力比較弱，很難發現日志中的異常情況。通常是在發生嚴重安全事件的情況下采取人工觀察的方式搜查日志記錄，從中獲取有用信息。由于防火墻每天產生大量的日志記錄，日志量非常龐大，管理員關注的信息往往淹沒在大量普通的信息中，采用人工方式對防火墻日志進行分析，工作量異常繁重，效率也很低。同時，防火墻日志都是記錄的對某些主機、某些應用服務的訪問，至于對這些主機、這些服務的訪問是否正常，防火墻日志本身無法體現。而網絡安全管理中需要經常針對網絡訪問的異常情況進行分析，需要從表面上看似正常的防火墻日志中分析挖掘出異常的行為。

現在已有一些對防火墻日志進行管理的工具，但這些工具通常只針對某種特定防火墻的日志進行管理，例如天融信日志管理系統，主要針對天融信防火墻日志進行管理，同時主要功能集中在日志采集、存儲、展示和查詢，而沒有對異常日志的分析功能，無法從大量日志中挖掘異常行為的信息。

方差（Variance）是各個數據與平均數之差的平方的平均數，在概率論和數理統計中，方差用來度量隨機變量和其數學期望（即均值）之間的偏離程度。在許多實際問題中，研究隨機變量和均值之間的偏離程度有著很重要的意義。

若為一組數據x₁，x₂，x₃…x_n的平均數，S²為這組數據的方差，則有：

S2=1n[(x1-x‾)2+(x2-x‾)2+···+(xn-x‾)2]=1n[x12+x22+···+xn2)-nx‾2]]]>