智能化無線網(wǎng)關安全審計系統(tǒng)_第1頁
智能化無線網(wǎng)關安全審計系統(tǒng)_第2頁
智能化無線網(wǎng)關安全審計系統(tǒng)_第3頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

智能化無線網(wǎng)關安全審計系統(tǒng)

作者:雷成健孟嗣儀溫曉軍論文關鍵詞:安全審計日志數(shù)據(jù)挖掘論文摘要:該文提出了無線網(wǎng)關安全審計系統(tǒng)的系統(tǒng)模型,詳細介紹了該系統(tǒng)的設計思想和流程。在系統(tǒng)中通過改進syslog機制,引入有學習能力的數(shù)據(jù)挖掘技術,實現(xiàn)對無線網(wǎng)關的安全審計。無線網(wǎng)關作為無線網(wǎng)絡與布線網(wǎng)絡之間的橋梁,所有的通信都必須經(jīng)過無線網(wǎng)關的審計與控制。在無線網(wǎng)絡中,無線網(wǎng)關放置在無線網(wǎng)絡的邊緣,相當于無線網(wǎng)絡的大門,當無線網(wǎng)關遭到攻擊和入侵時,災難會殃及整個無線網(wǎng)絡,使無線網(wǎng)絡不能工作或異常工作,由此可見,對無線網(wǎng)關進行安全審計是十分有意義的。一、系統(tǒng)概述本文研究的安全審計系統(tǒng)是北京市重點實驗室科研項目智能化無線安全網(wǎng)關的一部分。智能化無線安全網(wǎng)關在無線網(wǎng)關上集成具有IDS和防火墻功能的模塊,以及控制和阻斷模塊,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎上,既各司其職,又密切合作,共同完成防范、預警、響應和自學習的功能,構成一個有機的安全體系。無線網(wǎng)關的安全審計系統(tǒng),其主要功能就是在事后通過審計分析無線安全網(wǎng)關的日志信息,識別系統(tǒng)中的異?;顒?,特別是那些被其他安全防范措施所遺漏的非法操作或入侵活動,并采取相應的報告,以有利于網(wǎng)絡管理員及時有效地對入侵活動進行防范,確保網(wǎng)絡的安全。無線網(wǎng)關安全審計系統(tǒng)是針對無線網(wǎng)絡的安全運作而提出的,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集、日志歸類、日志的審計與報警等幾大基本功能。首先,審計系統(tǒng)的數(shù)據(jù)控制模塊對進出的數(shù)據(jù)信息進行嚴格的控制,根據(jù)預定義的規(guī)則進行必要的限制,適當?shù)亟档惋L險。其次,安全審計系統(tǒng)的數(shù)據(jù)采集模塊收集無線安全網(wǎng)關的網(wǎng)絡日志、系統(tǒng)日志、及用戶和應用日志。隨后,采集部件收集到的日志記錄被送到日志歸類模塊,根據(jù)日志記錄行為的不同層次來進行分類。最后,使用審計與報警模塊對日志記錄進行審計分析。這時可以根據(jù)預先定義好的安全策略對海量的日志數(shù)據(jù)進行對比分析,以檢測出無線網(wǎng)關中是否存在入侵行為、異常行為或非法操作。管理員可以初始化或變更系統(tǒng)的配置和運行參數(shù),使得安全審計系統(tǒng)具有良好的適應性和可操作性。二、系統(tǒng)設計1、系統(tǒng)結構組成2、設計思想系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,采用有學習能力的數(shù)據(jù)挖掘方法,從“正?!钡娜罩緮?shù)據(jù)中發(fā)掘“正?!钡木W(wǎng)絡通信模式,并和常規(guī)的一些攻擊規(guī)則庫進行關聯(lián)分析,達到檢測網(wǎng)絡入侵行為和非法操作的目的。3、系統(tǒng)的詳細設計(1)數(shù)據(jù)的控制數(shù)據(jù)控制模塊使用基于Netfilter架構的防火墻軟件iptables對進出的數(shù)據(jù)信息進行嚴格的控制,適當?shù)亟档惋L險。(2)數(shù)據(jù)的采集數(shù)據(jù)采集模塊,即日志的采集部件,為了實現(xiàn)日志記錄的多層次化,即需記錄網(wǎng)絡、系統(tǒng)、應用和用戶等各種行為來全面反映黑客的攻擊行為,所以在無線安全網(wǎng)關中設置了多個數(shù)據(jù)捕獲點,其主要有系統(tǒng)審計日志、安全網(wǎng)關日志、防火墻日志和入侵檢測日志4種。(3)日志的歸類日志歸類模塊主要是為了簡化審計時的工作量而設計的,它的主要功能是根據(jù)日志記錄行為的不同層次來進行分類,將其歸為網(wǎng)絡行為、系統(tǒng)行為,應用行為、用戶行為中的一種,同時進行時間歸一化。進行日志分類目的是對海量信息進行區(qū)分,以提高日志審計時的分析效率。(4)日志審計與報警日志審計與報警模塊側重對日志信息的事后分析,該模塊的主要功能是對網(wǎng)關日志信息進行審計分析,即將收到的日志信息通過特定的策略進行對比,以檢測出不合規(guī)則的異常事件。隨著審計過程的進行,若該異常事件的可疑度不斷增加以致超過某一閾值時,系統(tǒng)產生報警信息。該模塊包括日志信息的接收、規(guī)則庫的生成、日志數(shù)據(jù)的預處理、日志審計等幾個功能。三、系統(tǒng)的實現(xiàn)1、系統(tǒng)的開發(fā)環(huán)境智能無線安全網(wǎng)關安全審計系統(tǒng)是基于linux操作系統(tǒng)開發(fā)的B/S模式的日志審計系統(tǒng)。開發(fā)工具為前臺:WindowsXPprofessional+html+php后臺:Linux+Apache+Mysql+C++。2、系統(tǒng)的處理流程前面已經(jīng)詳細介紹了該系統(tǒng)的設計思想,系統(tǒng)的處理流程如圖2所示:3、日志歸類模塊的實現(xiàn)無線網(wǎng)關的日志采用linux的syslog機制進行記錄,syslog記錄的日志中日期只包含月和日,沒有年份。在本模塊中,對日志記錄的syslog機制進行一些改進,克服其在日志中不能記錄年的問題。(1)日志審計模塊的處理流程(2)規(guī)則庫生成的實現(xiàn)安全審計系統(tǒng)所采用的審計方法主要是基于對日志信息的異常檢測,即通過對當前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權操作的存在。該方法的優(yōu)點是無需了解系統(tǒng)的缺陷,有較強的適應性。這里所說的規(guī)則庫就是指存儲在檢測異常數(shù)據(jù)時所要用到的正常的網(wǎng)絡通信及操作規(guī)則的數(shù)據(jù)庫。規(guī)則庫的建立主要是對正常的日志信息通過數(shù)據(jù)挖掘的相關算法進行挖掘來完成。首先系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,通過執(zhí)行安全審計讀入規(guī)則庫來發(fā)現(xiàn)入侵事件,將入侵時間記錄到入侵時間數(shù)據(jù)庫,而將正常日志數(shù)據(jù)的訪問放入安全的歷史日志庫,并通過數(shù)據(jù)挖掘來提取正常的訪問模式。最后通過舊的規(guī)則庫、入侵事件以及正常訪問模式來獲得最新的規(guī)則庫??梢圆煌5刂貜蜕鲜鲞^程,不斷地進行自我學習的過程,同時不斷更新規(guī)則庫,直到規(guī)則庫達到穩(wěn)定。(3)日志信息審計的實現(xiàn)日志審計主要包括日志信息的預處理和日志信息的異常檢測兩個部分。在對日志進行審計之前,我們首先要對其進行處理,按不同的類別分別接收到日志信息數(shù)據(jù)庫的不同數(shù)據(jù)表中。此外,由于我們所捕獲的日志信息非常龐大,而系統(tǒng)中幾乎所有的分析功能都必須建立在對這些數(shù)據(jù)記錄進行處理的基礎上。而這些記錄中存在的大量冗余信息,在對它們進行的操作處理時必將造成巨大的資源浪費,降低了審計的效率。因此有必要在進行審計分析之前盡可能減少這些冗余信息。所以,我們在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄,從而大大減少日志記錄的數(shù)目,同時大大提高日志信息的含金量,以提高系統(tǒng)的效率。采用的方式就是將收集到的日志分為不同類別的事件,各個事件以不同的標識符區(qū)分,在存放日志的數(shù)據(jù)庫中將事件標識設為主鍵,如有同一事件到來則計數(shù)加一,這樣就可以大大降低日志信息的冗余度。在日志信息經(jīng)過預處理之后,我們就可以對日志信息進行審計了。審計的方法主要是將日志信息與規(guī)則庫中的規(guī)則進行對比,如圖3所示,對于檢測出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件,我們記錄下其有效信息,如源,目的地址等作為一個標識,并對其設置一懷疑度。隨著日志審計的進行,如果屬于該標識的異常記錄數(shù)目不斷增加而達到一定程度,即懷疑度超過一定閾值,我們則對其產生報警信息。四、數(shù)據(jù)挖掘相關技術數(shù)據(jù)挖掘是一個比較完整地分析大量數(shù)據(jù)的過程,它一般包括數(shù)據(jù)準備、數(shù)據(jù)預處理、建立數(shù)據(jù)挖掘模型、模型評估和解釋等,它是一個迭代的過程,通過不斷調整方法和參數(shù)以求得到較好的模型。本系統(tǒng)中的有學習能力的數(shù)據(jù)挖掘方法,主要采用了三個算法:(1)分類算法該算法主要將數(shù)據(jù)影射到事先定義的一個分類之中。這個算法的結果是產生一個以決策樹或者規(guī)則形式存在的“判別器”。本系統(tǒng)中先收集足夠多的正常審計數(shù)據(jù),產生一個“判別器”來對將來的數(shù)據(jù)進行判別,決定哪些是正常行為,哪些是入侵或非法操作。(2)相關性分析主要用來決定數(shù)據(jù)庫里的各個域之間的相互關系。找出被審計數(shù)據(jù)間的相互關聯(lián),為決定安全審計系統(tǒng)的特征提供很重要的依據(jù)。(3)時間序列分析該算法用來建立本系統(tǒng)的時間順序模型。這個算法幫助我們理解審計事件的時間序列一般是如何產生的,這些所獲取的常用時間標準模型可以用來定義網(wǎng)絡事件是否正常。本系統(tǒng)通過改進syslog機制,使無線網(wǎng)關的日志記錄更加完善,采用有學習能力的數(shù)據(jù)挖掘技術對無線網(wǎng)關正常日志數(shù)據(jù)進行學習

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論