智能化無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)_第1頁(yè)
智能化無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)_第2頁(yè)
智能化無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)_第3頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

智能化無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)

作者:雷成健孟嗣儀溫曉軍論文關(guān)鍵詞:安全審計(jì)日志數(shù)據(jù)挖掘論文摘要:該文提出了無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)的系統(tǒng)模型,詳細(xì)介紹了該系統(tǒng)的設(shè)計(jì)思想和流程。在系統(tǒng)中通過改進(jìn)syslog機(jī)制,引入有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù),實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)關(guān)的安全審計(jì)。無(wú)線網(wǎng)關(guān)作為無(wú)線網(wǎng)絡(luò)與布線網(wǎng)絡(luò)之間的橋梁,所有的通信都必須經(jīng)過無(wú)線網(wǎng)關(guān)的審計(jì)與控制。在無(wú)線網(wǎng)絡(luò)中,無(wú)線網(wǎng)關(guān)放置在無(wú)線網(wǎng)絡(luò)的邊緣,相當(dāng)于無(wú)線網(wǎng)絡(luò)的大門,當(dāng)無(wú)線網(wǎng)關(guān)遭到攻擊和入侵時(shí),災(zāi)難會(huì)殃及整個(gè)無(wú)線網(wǎng)絡(luò),使無(wú)線網(wǎng)絡(luò)不能工作或異常工作,由此可見,對(duì)無(wú)線網(wǎng)關(guān)進(jìn)行安全審計(jì)是十分有意義的。一、系統(tǒng)概述本文研究的安全審計(jì)系統(tǒng)是北京市重點(diǎn)實(shí)驗(yàn)室科研項(xiàng)目智能化無(wú)線安全網(wǎng)關(guān)的一部分。智能化無(wú)線安全網(wǎng)關(guān)在無(wú)線網(wǎng)關(guān)上集成具有IDS和防火墻功能的模塊,以及控制和阻斷模塊,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎(chǔ)上,既各司其職,又密切合作,共同完成防范、預(yù)警、響應(yīng)和自學(xué)習(xí)的功能,構(gòu)成一個(gè)有機(jī)的安全體系。無(wú)線網(wǎng)關(guān)的安全審計(jì)系統(tǒng),其主要功能就是在事后通過審計(jì)分析無(wú)線安全網(wǎng)關(guān)的日志信息,識(shí)別系統(tǒng)中的異?;顒?dòng),特別是那些被其他安全防范措施所遺漏的非法操作或入侵活動(dòng),并采取相應(yīng)的報(bào)告,以有利于網(wǎng)絡(luò)管理員及時(shí)有效地對(duì)入侵活動(dòng)進(jìn)行防范,確保網(wǎng)絡(luò)的安全。無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)是針對(duì)無(wú)線網(wǎng)絡(luò)的安全運(yùn)作而提出的,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集、日志歸類、日志的審計(jì)與報(bào)警等幾大基本功能。首先,審計(jì)系統(tǒng)的數(shù)據(jù)控制模塊對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制,根據(jù)預(yù)定義的規(guī)則進(jìn)行必要的限制,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn)。其次,安全審計(jì)系統(tǒng)的數(shù)據(jù)采集模塊收集無(wú)線安全網(wǎng)關(guān)的網(wǎng)絡(luò)日志、系統(tǒng)日志、及用戶和應(yīng)用日志。隨后,采集部件收集到的日志記錄被送到日志歸類模塊,根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類。最后,使用審計(jì)與報(bào)警模塊對(duì)日志記錄進(jìn)行審計(jì)分析。這時(shí)可以根據(jù)預(yù)先定義好的安全策略對(duì)海量的日志數(shù)據(jù)進(jìn)行對(duì)比分析,以檢測(cè)出無(wú)線網(wǎng)關(guān)中是否存在入侵行為、異常行為或非法操作。管理員可以初始化或變更系統(tǒng)的配置和運(yùn)行參數(shù),使得安全審計(jì)系統(tǒng)具有良好的適應(yīng)性和可操作性。二、系統(tǒng)設(shè)計(jì)1、系統(tǒng)結(jié)構(gòu)組成2、設(shè)計(jì)思想系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù),將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù),采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,從“正?!钡娜罩緮?shù)據(jù)中發(fā)掘“正?!钡木W(wǎng)絡(luò)通信模式,并和常規(guī)的一些攻擊規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析,達(dá)到檢測(cè)網(wǎng)絡(luò)入侵行為和非法操作的目的。3、系統(tǒng)的詳細(xì)設(shè)計(jì)(1)數(shù)據(jù)的控制數(shù)據(jù)控制模塊使用基于Netfilter架構(gòu)的防火墻軟件iptables對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn)。(2)數(shù)據(jù)的采集數(shù)據(jù)采集模塊,即日志的采集部件,為了實(shí)現(xiàn)日志記錄的多層次化,即需記錄網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和用戶等各種行為來(lái)全面反映黑客的攻擊行為,所以在無(wú)線安全網(wǎng)關(guān)中設(shè)置了多個(gè)數(shù)據(jù)捕獲點(diǎn),其主要有系統(tǒng)審計(jì)日志、安全網(wǎng)關(guān)日志、防火墻日志和入侵檢測(cè)日志4種。(3)日志的歸類日志歸類模塊主要是為了簡(jiǎn)化審計(jì)時(shí)的工作量而設(shè)計(jì)的,它的主要功能是根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類,將其歸為網(wǎng)絡(luò)行為、系統(tǒng)行為,應(yīng)用行為、用戶行為中的一種,同時(shí)進(jìn)行時(shí)間歸一化。進(jìn)行日志分類目的是對(duì)海量信息進(jìn)行區(qū)分,以提高日志審計(jì)時(shí)的分析效率。(4)日志審計(jì)與報(bào)警日志審計(jì)與報(bào)警模塊側(cè)重對(duì)日志信息的事后分析,該模塊的主要功能是對(duì)網(wǎng)關(guān)日志信息進(jìn)行審計(jì)分析,即將收到的日志信息通過特定的策略進(jìn)行對(duì)比,以檢測(cè)出不合規(guī)則的異常事件。隨著審計(jì)過程的進(jìn)行,若該異常事件的可疑度不斷增加以致超過某一閾值時(shí),系統(tǒng)產(chǎn)生報(bào)警信息。該模塊包括日志信息的接收、規(guī)則庫(kù)的生成、日志數(shù)據(jù)的預(yù)處理、日志審計(jì)等幾個(gè)功能。三、系統(tǒng)的實(shí)現(xiàn)1、系統(tǒng)的開發(fā)環(huán)境智能無(wú)線安全網(wǎng)關(guān)安全審計(jì)系統(tǒng)是基于linux操作系統(tǒng)開發(fā)的B/S模式的日志審計(jì)系統(tǒng)。開發(fā)工具為前臺(tái):WindowsXPprofessional+html+php后臺(tái):Linux+Apache+Mysql+C++。2、系統(tǒng)的處理流程前面已經(jīng)詳細(xì)介紹了該系統(tǒng)的設(shè)計(jì)思想,系統(tǒng)的處理流程如圖2所示:3、日志歸類模塊的實(shí)現(xiàn)無(wú)線網(wǎng)關(guān)的日志采用linux的syslog機(jī)制進(jìn)行記錄,syslog記錄的日志中日期只包含月和日,沒有年份。在本模塊中,對(duì)日志記錄的syslog機(jī)制進(jìn)行一些改進(jìn),克服其在日志中不能記錄年的問題。(1)日志審計(jì)模塊的處理流程(2)規(guī)則庫(kù)生成的實(shí)現(xiàn)安全審計(jì)系統(tǒng)所采用的審計(jì)方法主要是基于對(duì)日志信息的異常檢測(cè),即通過對(duì)當(dāng)前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來(lái)鑒別是否有非法入侵或者越權(quán)操作的存在。該方法的優(yōu)點(diǎn)是無(wú)需了解系統(tǒng)的缺陷,有較強(qiáng)的適應(yīng)性。這里所說的規(guī)則庫(kù)就是指存儲(chǔ)在檢測(cè)異常數(shù)據(jù)時(shí)所要用到的正常的網(wǎng)絡(luò)通信及操作規(guī)則的數(shù)據(jù)庫(kù)。規(guī)則庫(kù)的建立主要是對(duì)正常的日志信息通過數(shù)據(jù)挖掘的相關(guān)算法進(jìn)行挖掘來(lái)完成。首先系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù),將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù),通過執(zhí)行安全審計(jì)讀入規(guī)則庫(kù)來(lái)發(fā)現(xiàn)入侵事件,將入侵時(shí)間記錄到入侵時(shí)間數(shù)據(jù)庫(kù),而將正常日志數(shù)據(jù)的訪問放入安全的歷史日志庫(kù),并通過數(shù)據(jù)挖掘來(lái)提取正常的訪問模式。最后通過舊的規(guī)則庫(kù)、入侵事件以及正常訪問模式來(lái)獲得最新的規(guī)則庫(kù)??梢圆煌5刂貜?fù)上述過程,不斷地進(jìn)行自我學(xué)習(xí)的過程,同時(shí)不斷更新規(guī)則庫(kù),直到規(guī)則庫(kù)達(dá)到穩(wěn)定。(3)日志信息審計(jì)的實(shí)現(xiàn)日志審計(jì)主要包括日志信息的預(yù)處理和日志信息的異常檢測(cè)兩個(gè)部分。在對(duì)日志進(jìn)行審計(jì)之前,我們首先要對(duì)其進(jìn)行處理,按不同的類別分別接收到日志信息數(shù)據(jù)庫(kù)的不同數(shù)據(jù)表中。此外,由于我們所捕獲的日志信息非常龐大,而系統(tǒng)中幾乎所有的分析功能都必須建立在對(duì)這些數(shù)據(jù)記錄進(jìn)行處理的基礎(chǔ)上。而這些記錄中存在的大量冗余信息,在對(duì)它們進(jìn)行的操作處理時(shí)必將造成巨大的資源浪費(fèi),降低了審計(jì)的效率。因此有必要在進(jìn)行審計(jì)分析之前盡可能減少這些冗余信息。所以,我們?cè)诋惓z測(cè)之前首先要剔除海量日志中對(duì)審計(jì)意義不大及相似度很大的冗余記錄,從而大大減少日志記錄的數(shù)目,同時(shí)大大提高日志信息的含金量,以提高系統(tǒng)的效率。采用的方式就是將收集到的日志分為不同類別的事件,各個(gè)事件以不同的標(biāo)識(shí)符區(qū)分,在存放日志的數(shù)據(jù)庫(kù)中將事件標(biāo)識(shí)設(shè)為主鍵,如有同一事件到來(lái)則計(jì)數(shù)加一,這樣就可以大大降低日志信息的冗余度。在日志信息經(jīng)過預(yù)處理之后,我們就可以對(duì)日志信息進(jìn)行審計(jì)了。審計(jì)的方法主要是將日志信息與規(guī)則庫(kù)中的規(guī)則進(jìn)行對(duì)比,如圖3所示,對(duì)于檢測(cè)出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件,我們記錄下其有效信息,如源,目的地址等作為一個(gè)標(biāo)識(shí),并對(duì)其設(shè)置一懷疑度。隨著日志審計(jì)的進(jìn)行,如果屬于該標(biāo)識(shí)的異常記錄數(shù)目不斷增加而達(dá)到一定程度,即懷疑度超過一定閾值,我們則對(duì)其產(chǎn)生報(bào)警信息。四、數(shù)據(jù)挖掘相關(guān)技術(shù)數(shù)據(jù)挖掘是一個(gè)比較完整地分析大量數(shù)據(jù)的過程,它一般包括數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)預(yù)處理、建立數(shù)據(jù)挖掘模型、模型評(píng)估和解釋等,它是一個(gè)迭代的過程,通過不斷調(diào)整方法和參數(shù)以求得到較好的模型。本系統(tǒng)中的有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,主要采用了三個(gè)算法:(1)分類算法該算法主要將數(shù)據(jù)影射到事先定義的一個(gè)分類之中。這個(gè)算法的結(jié)果是產(chǎn)生一個(gè)以決策樹或者規(guī)則形式存在的“判別器”。本系統(tǒng)中先收集足夠多的正常審計(jì)數(shù)據(jù),產(chǎn)生一個(gè)“判別器”來(lái)對(duì)將來(lái)的數(shù)據(jù)進(jìn)行判別,決定哪些是正常行為,哪些是入侵或非法操作。(2)相關(guān)性分析主要用來(lái)決定數(shù)據(jù)庫(kù)里的各個(gè)域之間的相互關(guān)系。找出被審計(jì)數(shù)據(jù)間的相互關(guān)聯(lián),為決定安全審計(jì)系統(tǒng)的特征提供很重要的依據(jù)。(3)時(shí)間序列分析該算法用來(lái)建立本系統(tǒng)的時(shí)間順序模型。這個(gè)算法幫助我們理解審計(jì)事件的時(shí)間序列一般是如何產(chǎn)生的,這些所獲取的常用時(shí)間標(biāo)準(zhǔn)模型可以用來(lái)定義網(wǎng)絡(luò)事件是否正常。本系統(tǒng)通過改進(jìn)syslog機(jī)制,使無(wú)線網(wǎng)關(guān)的日志記錄更加完善,采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)對(duì)無(wú)線網(wǎng)關(guān)正常日志數(shù)據(jù)進(jìn)行學(xué)習(xí)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論