论文部分内容阅读
随着信息化的不断发展,内网中部署的重要业务和应用系统越来越多,入侵、攻击、非法操作、文件泄露等非法事件的威胁也随之增长。虽然内网中部署的防火墙、防病毒和网络入侵检测等系统可以有效防范常规的外部攻击和破坏行为,但难以检测和防范内部的非法操作和特殊的攻击行为。通过审计日志可以较好地解决内网中非法操作和特殊的攻击行为难以检测的问题,并可为防范这些行为的管理和技术措施提供可靠的依据。合理利用日志进行安全审计是保障内网信息安全方面的一个研究热点,并且目前已经出现了一批针对日志的安全审计工具。但是这些审计工具存在一些缺点,比如,只能实现日志审计完整过程中的某些环节,人工分析依旧占据主要成分。更重要的是目前信息化的不断提升促使内网中部署了多种应用系统和服务器,它们产生的日志类型和格式各不相同,没有统一的形式。而已经出现的这些工具主要应用于web、ftp等通用系统的日志审计,且只能审计少数几种类型的日志,无法完成对内网中多种类型日志的审计。针对目前这些日志审计工具的不足,在充分总结日志分析的可行性、日志的类型及格式、日志综合分析的必要性等概念的基础上,本文设计了面向异构数据源的内网综合日志审计框架。该框架不仅能够实现对内网中绝大部分日志的审计,并且能够对不同类型的日志进行综合分析。依据日志审计的框架设计,结合日志审计的完整过程,包括日志的采集、加密、传送、分析、警报和管理等,实现了日志审计的原型系统。其中离线日志和日志的综合分析是研究和实现的重点。离线日志是指非实时的日志信息。通常情况下的日志采集代理只能采集实时的日志记录,因此对离线日志研究的目的是在应用系统或服务器上安装日志采集代理受限的情况下,通过离线日志完成日志记录的采集、发送和审计。在日志的综合分析中探索性的使用最长公共字串的方法。该方法能够在日志检索的基础上,合理利用不同类型日志之间的关联性,对日志进行综合分析。实验结果表明,日志综合分析技术能够从海量的日志中挑选出潜在的可能有问题的日志,并且一定程度上降低了人工分析的工作量、提高了查找问题、解决问题的效率。