随着高校信息化进程的不断推进,校园网安全问题也不断凸显,攻击事件时有发生,给学校的信息安全带来极大的威胁,因此提高校园网的入侵防护能力就显得至关重要。学校以安全防护、安全审计为主要手段,不断加强校园网安全监测、安全预警的能力,采用了防火墙、WAF、防病毒软件等安全防护机制,但是离国家信息安全等级保护要求还有一段距离。一方面,学校对日志采集和存储的能力不足,日志分布在各个服务器上,当日志数量过大时,日志需要及时清理,黑客在成功入侵服务器之后也会对日志进行删除,从而造成日志的缺失。同时,学校目前没有对日志信息进行分析和挖掘,庞大日志的安全价值没有办法得到体现。另一方面,校园网虽然使用了Web入侵检测系统(WAF),但是观察校园网各个网站的运营状况,攻击事件仍然时有发生。校园网Web日志正以惊人的速度生成,并分布在各个服务器上,庞大的日志记录了所有用户对校园网的访问请求,信息量非常丰富,既包含了正常用户的请求,也包含了黑客的恶意请求,对日志的彻底分析可以发现安全事件,从而发现校园网安全漏洞和遭受攻击的网站,同时,完整的Web访问日志对分析攻击者行为过程提供重要的线索。因此,搜集完整的Web日志并进行挖掘对于提升校园网安全防护具有重大的意义。本文首先对本校实际网络环境进行研究分析,针对校园网日志采集存储能力的不足,提出了一种新的流量采集方式,并搭建Hadoop集群对日志进行存储,解决了单台服务器存储能力不足的问题,同时避免了黑客对日志进行删除的风险,并为分析安全事件提供了基础;研究通过Hive技术对数据做映射,以便可以快速对庞大的日志进行定位查询;针对学校目前没有对日志信息进行分析和挖掘的情况,本文对攻击方式进行了深入研究,提出了三种安全事件挖掘方法。在前述研究基础上,提出了校园网Web日志安全事件挖掘系统设计方案,该方案的实施将充分发挥日志的安全价值,为提升校园网安全防护能力提供支撑。校园网目前使用的Web入侵检测系统(WAF)是基于规则的,规则库的一个严重的缺点是不能识别未知攻击,只能识别已知攻击,因此需要进一步提升安全防护能力。本文对统一资源定位符URL相关的攻击方式和机器学习算法进行了深入的研究,并结合校园网HTTP日志数据的特点,提出了基于One-Class SVM算法的URL请求资源的异常检测模型和基于聚类算法的URL请求参数值的异常检测模型,通过对合法的HTTP日志中的URL请求资源字段和URL请求参数值字段进行训练,得到正常用户行为轮廓,以此判断新的请求是否异常,因此具有了检测未知攻击的能力,弥补了规则库的不足,在此基础上,提出了校园网Web入侵检测的改进方案。最后,为验证校园网Web日志安全事件挖掘系统和基于机器学习的Web异常检测模型的有效性,提出了相关测试方案,并对测试结果进行了分析,验证了校园网Web日志安全事件挖掘系统能有效的对日志进行采集存储并能够挖掘出大量的安全事件,基于机器学习的Web异常检测模型具有良好的检测效果,在此基础上,提出了校园网安全防护改进方案。