论文部分内容阅读
计算机网络系统中的各个设备都会产生日志来记录自身行为或相关的网络事件,加强对这些日志记录的管理和审计,可有效地防范和发现违规行为,还可以为取证、追查、建立制度提供依据。“基于日志的网络安全审计系统”正是基于上述需求背景下提出的,目标是构建一个分布式的日志监控与安全审计平台,该平台通过收集、汇聚、分析、存储日志,从而保证网络内部的安全性和稳定性,预警黑客攻击、病毒感染以及网络中操作系统、网络设备的异常状态,满足用户对网络服务的应用需求。“审计与管理中心”作为上述平台的重要组成部分,主要负责日志数据的分析、统计、检索,并以GUI的形式与用户交互。论文在分析现有日志管理与安全审计技术的基础上,实现了一个基于J2EE架构的“审计与管理中心”,并针对实现中的三个关键技术给出相应的优化解决方案:1、现有的HTTP流是一种单向的传输模式,实时性不高,无法及时获取实时审计的告警信息,针对此问题论文提出了HTTP结合TCP套接字作为系统中客户端和服务器端之间的传输机制,实现表明该方案虽然在一定程度上增大了实施难度,但是能够充分满足系统传输速率和实时性传输的需求。2、在日志查询、检索方面,目前绝大部分的日志审计管理系统采用关系型数据库实现,但是这种方式面对海量的日志数据时显得力不从心,论文在分析比较数据库和Lucene检索技术之后,通过对用户的业务分流,提出了Lucene+SQL的模式来解决海量日志数据的存储与检索问题,这种“以空间换时间”的方式综合了数据库和Lencene的优点,为海量数据的存储与检索问题的研究提供了一种积极可行的解决方案,具有一定的借鉴意义。3、在日志审计方面,利用数据挖掘来审计和分析日志。针对关联规则Apriori算法的性能瓶颈,论文提出了一种改进的Index_Apriori算法,在效率上比原有的Apriori算法有了较大的提高,使其更适合海量日志数据的审计。