智能化无线网关安全审计系统的设计与实现 免费.docVIP

智能化无线网关安全审计系统的设计与实现 　1　系统功能概述 　　无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性. 　　2　系统设计 　　2.1　系统结构组成(见图1) 　　　　 　　2.2　设计思想 　　系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的. 　　2.3　系统的详细设计 　　系统的处理流程如图2所示: 　　 　　2.3.1　数据的控制.数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险. 　　2.3.2　数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3　日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率. 　　2.3.4　日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.　　3　系统的实现 　　3.1　系统的开发环境 　　智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统.开发工具为:前台:Windows XP professional+html+php,后台:Linux+Apache+Mysql + C++. 　　3.2　日志归类模块的实现[2-3] 　　无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题. 下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份.　　3.3　日志审计与报警模块的实现 　　3.3.1　日志审计模块的处理流程(见图3). 　　 　　3.3.2　规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成. 　　首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定. 　　3.3.3　日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异