基于日志分析网络管理与安全审计系统.docVIP

基于日志分析网络管理与安全审计系统 　　[摘要]近几年来，随着因特网的飞速发展，网络安全问题日益突出，在这种情况下，网络管理与安全审计系统孕育而生，其审计重点主要在网络的访问行为和网络中的各种数据。对防火墙日志分析方面进行一系列研究，并利用SQL Server数据库设计基于日志分析的网络管理与安全审计系统，系统的实验结果说明日志分析技术的实用价值。目前，该系统已经应用于某广电网络。 　　[关键词]日志分析 网络管理 安全审计 syslog日志 防火墙日志 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720062－01 　　 　　近年来，信息技术迅猛发展，基于TCP/IP协议的互联网得到广泛应用。这种网络体系的成功来源于开放性以及简单性，但同时也带来了突出的网络信息安全问题。例如，某广电网络凭借其宽带入户和广播式传输的技术特点，赢得了市场，但随着业务的不断发展，网络运营和维护管理暴露出不少安全隐患。为此，网络管理者迫切希望构建网络监视系统，实现对网络流量、资源使用情况的监视，达到加强网络管理的目的。在这种情况下，基于日志分析的网络管理与安全审计系统越来越受到重视。 　　 　　一、相关研究与分析 　　 　　日志信息是指对计算机设备运行的一切活动的完全记录和描述。通常记录的信息有时间戳、基本的IP特征：如源和目标地址、源和目标端口和IP协议（TCP、UDP、ICMP）、匹配流量的规则号、执行的动作：如接受、丢弃或者拒绝连接，以及描述性文本解释。日志记录由于有各个不同的数据捕捉点获取，可以分为如系统日志、防火墙日志、入侵检测日志、击键纪录等[1]。本文主要研究防火墙日志。 　　日志文件对于网络的正常运营非常重要，维护人员可以通过它来检查错误发生的原因，快速定位故障，保障网络可靠运行；监控用户的使用行为，综合审计网络信息，保障网络安全可靠；发现异常情况或者受到攻击时攻击者留下的痕迹，加强网络安全等级，提高网络安全系数等。 　　 　　 　　二、系统的总体架构设计 　　 　　本系统的目标在于对防火墙设备的syslog日志信息实施监控、管理和分析，及时发现设备故障，深入挖掘和分析网络的流量流向、异常行为，分别从网络管理和安全审计两方面共同保障网络的稳定、可靠运行。考虑到系统的灵活性和可扩展性，系统总体采用分层架构，主要分为采集层面、存储层、业务逻辑层和表示层。 　　采集层面采用socket来监听特定端口，收集网络设备发送过来的日志，并采用日志对应的协议解析器生成syslog日志统一通用格式。存储层以数据库为中间媒介，隔离底层的日志采集和上层的数据表现，同时提供数据库入库功能。业务逻辑层面完成日志监测管理的具体功能，如实时告警、日志查询、日志浏览和删除等。表示层则负责将业务逻辑层面获取的信息呈现在web页面、告警终端等呈现媒介上。 　　 　　三、系统关键技术实现 　　 　　本系统依次主要通过日志采集、日志协议分析、日志预处理、日志数据库设计、日志挖掘五个关键环节对网络运行状况进行检测，准确定位网络质量劣化点，实现网络管理与安全审计功能。 　　 　　（一）日志采集 　　日志信息位于网络中不同的设备实体上，需要采用分布式高速数据采集技术。以防火墙日志采集为例，采用主动信息采集方式采集日志，由syslog服务器采集NS500系列防火墙记录的syslog格式的网络日志，保存在文件中。具体实现方法为：计算机安装免费的日志服务器程序（如在Linux下可用syslog，在Windows环境下可用KiwiSysLog），将防火墙传送过来的日志数据存放在本地硬盘，然后本地日志处理程序定期检查新文件进行处理[2]。 　　 　　（二）日志协议分析解析 　　日志标准格式采用syslog格式，由RFC3164定义的，并对消息头部进行扩展，是设备产生的基于事件的日志，没有相应的流量信息。具体字段的日志格式举例如下：Mon dd hr：mm：ss hostname src=srcIP：srePort dst=dstIP：dstPort msg=message note=note devID=mac addr devType=ZW70 cat=category[3]。分析网络设备发送过来的syslog日志数据格式，将各项信息提取出来。对于日志的处理采用了两层分析，先通过cat关键字段将日志分类，然后根据msg和note两个字段进行详细的分析。cat字段反映了日志信息的类别，msg和note两个字段包含了日志的详细信息。安全级别共有8个，见下表1所示。 　　 　　（三）日志预处理 　　防火墙设备产生的原始日志记录中除了包含系统中需要的关键数据信息以外，还含有大量对审计意义不大及相似