作者:雷成健 孟嗣儀 溫曉軍
論文關鍵詞:安全審計 日誌 數據挖掘
論文摘要:該文提出了無線網關安全審計系統的系統模型,詳細介紹了該系統的設計思想和流程。在系統中通過改進syslog機制,引入有學習能力的數據挖掘技術,實現對無線網關的安全審計。
無線網關作爲無線網絡與佈線網絡之間的橋樑,所有的通信都必須經過無線網關的審計與控制。在無線網絡中,無線網關放置在無線網絡的邊緣,相當於無線網絡的大門,當無線網關遭到攻擊和入侵時,災難會殃及整個無線網絡,使無線網絡不能工作或異常工作,由此可見,對無線網關進行安全審計是十分有意義的。
一、系統概述
本文研究的安全審計系統是北京市重點實驗室科研項目智能化無線安全網關的一部分。智能化無線安全網關在無線網關上集成具有IDS和防火牆功能的模塊,以及控制和阻斷模塊,這些功能模塊在統一操作系統的基礎上,既各司其職,又密切合作,共同完成防範、預警、響應和自學習的功能,構成一個有機的安全體系。
無線網關的安全審計系統,其主要功能就是在事後通過審計分析無線安全網關的日誌信息,識別系統中的異常活動,特別是那些被其他安全防範措施所遺漏的非法操作或入侵活動,並採取相應的報告,以有利於網絡管理員及時有效地對入侵活動進行防範,確保網絡的安全。無線網關安全審計系統是針對無線網絡的安全運作而提出的,主要包括數據控制、數據採集、日誌歸類、日誌的審計與報警等幾大基本功能。
首先,審計系統的數據控制模塊對進出的數據信息進行嚴格的控制,根據預定義的規則進行必要的限制,適當地降低風險。其次,安全審計系統的數據採集模塊收集無線安全網關的網絡日誌、系統日誌、及用戶和應用日誌。隨後,採集部件收集到的日誌記錄被送到日誌歸類模塊,根據日誌記錄行爲的不同層次來進行分類。最後,使用審計與報警模塊對日誌記錄進行審計分析。這時可以根據預先定義好的安全策略對海量的日誌數據進行對比分析,以檢測出無線網關中是否存在入侵行爲、異常行爲或非法操作。管理員可以初始化或變更系統的配置和運行參數,使得安全審計系統具有良好的適應性和可操作性。
二、系統設計
1、系統結構組成
2、設計思想
系統從數據採集點採集數據,將數據進行處理後放入審計數據庫,採用有學習能力的數據挖掘方法,從“正常”的日誌數據中發掘“正常”的網絡通信模式,並和常規的一些攻擊規則庫進行關聯分析,達到檢測網絡入侵行爲和非法操作的目的。
3、系統的詳細設計
(1)數據的控制
數據控制模塊使用基於Netfilter架構的防火牆軟件iptables對進出的數據信息進行嚴格的控制,適當地降低風險。
(2)數據的採集
數據採集模塊,即日誌的採集部件,爲了實現日誌記錄的多層次化,即需記錄網絡、系統、應用和用戶等各種行爲來全面反映黑客的攻擊行爲,所以在無線安全網關中設置了多個數據捕獲點,其主要有系統審計日誌、安全網關日誌、防火牆日誌和入侵檢測日誌4種。
(3)日誌的歸類
日誌歸類模塊主要是爲了簡化審計時的工作量而設計的,它的主要功能是根據日誌記錄行爲的不同層次來進行分類,將其歸爲網絡行爲、系統行爲,應用行爲、用戶行爲中的一種,同時進行時間歸一化。進行日誌分類目的是對海量信息進行區分,以提高日誌審計時的分析效率。
(4)日誌審計與報警
日誌審計與報警模塊側重對日誌信息的事後分析,該模塊的主要功能是對網關日誌信息進行審計分析,即將收到的日誌信息通過特定的策略進行對比,以檢測出不合規則的異常事件。隨着審計過程的進行,若該異常事件的可疑度不斷增加以致超過某一閾值時,系統產生報警信息。該模塊包括日誌信息的接收、規則庫的生成、日誌數據的預處理、日誌審計等幾個功能。
三、系統的實現
1、系統的開發環境
智能無線安全網關安全審計系統是基於linux操作系統開發的B/S模式的日誌審計系統。開發工具爲前臺:Windows XPprofessional+html+php後臺:Linux+Apache+Mysql+C++。
2、系統的處理流程
前面已經詳細介紹了該系統的設計思想,系統的處理流程如圖2所示:
3、日誌歸類模塊的實現
無線網關的日誌採用linux的syslog機制進行記錄,syslog記錄的日誌中日期只包含月和日,沒有年份。在本模塊中,對日誌記錄的syslog機制進行一些改進,克服其在日誌中不能記錄年的問題。
轉貼 下面以無線網關的日誌爲例,說明其實現過程。網關日誌的保存文件爲gw.log,用一個shell腳本,在每月的第一天零點,停止syslogd進程,在原來的文件名後面加上上一個月的年和月,如gw.log200603,再新建一個gw.log用於記錄當月的日誌,再重啓syslogd記錄日誌。這樣就把每月的日誌存放在有標誌年月的文件中,再利用C++處理一下,在記錄中加入文件名中的年份。4、日誌審計與報警模塊的實現
(1)日誌審計模塊的處理流程
(2)規則庫生成的實現
安全審計系統所採用的審計方法主要是基於對日誌信息的異常檢測,即通過對當前日誌描述的用戶行爲是否與已建立的正常行爲輪廓相背離來鑑別是否有非法入侵或者越權操作的存在。該方法的優點是無需瞭解系統的缺陷,有較強的適應性。
這裏所說的規則庫就是指存儲在檢測異常數據時所要用到的正常的網絡通信及操作規則的數據庫。規則庫的建立主要是對正常的日誌信息通過數據挖掘的相關算法進行挖掘來完成。首先系統從數據採集點採集數據,將數據進行處理後放入審計數據庫,通過執行安全審計讀入規則庫來發現入侵事件,將入侵時間記錄到入侵時間數據庫,而將正常日誌數據的訪問放入安全的歷史日誌庫,並通過數據挖掘來提取正常的訪問模式。最後通過舊的規則庫、入侵事件以及正常訪問模式來獲得最新的規則庫。可以不停地重複上述過程,不斷地進行自我學習的過程,同時不斷更新規則庫,直到規則庫達到穩定。
(3)日誌信息審計的實現
日誌審計主要包括日誌信息的預處理和日誌信息的異常檢測兩個部分。在對日誌進行審計之前,我們首先要對其進行處理,按不同的類別分別接收到日誌信息數據庫的不同數據表中。此外,由於我們所捕獲的日誌信息非常龐大,而系統中幾乎所有的分析功能都必須建立在對這些數據記錄進行處理的基礎上。而這些記錄中存在的大量冗餘信息,在對它們進行的操作處理時必將造成巨大的資源浪費,降低了審計的效率。因此有必要在進行審計分析之前儘可能減少這些冗餘信息。所以,我們在異常檢測之前首先要剔除海量日誌中對審計意義不大及相似度很大的冗餘記錄,從而大大減少日誌記錄的數目,同時大大提高日誌信息的含金量,以提高系統的效率。採用的方式就是將收集到的日誌分爲不同類別的事件,各個事件以不同的標識符區分,在存放日誌的數據庫中將事件標識設爲主鍵,如有同一事件到來則計數加一,這樣就可以大大降低日誌信息的冗餘度。
在日誌信息經過預處理之後,我們就可以對日誌信息進行審計了。審計的方法主要是將日誌信息與規則庫中的規則進行對比,如圖3所示,對於檢測出的不合規則的記錄,即違反規則的小概率事件,我們記錄下其有效信息,如源,目的地址等作爲一個標識,並對其設置一懷疑度。隨着日誌審計的進行,如果屬於該標識的異常記錄數目不斷增加而達到一定程度,即懷疑度超過一定閾值,我們則對其產生報警信息。
四、數據挖掘相關技術
數據挖掘是一個比較完整地分析大量數據的過程,它一般包括數據準備、數據預處理、建立數據挖掘模型、模型評估和解釋等,它是一個迭代的過程,通過不斷調整方法和參數以求得到較好的模型。
本系統中的有學習能力的數據挖掘方法,主要採用了三個算法:
(1)分類算法 該算法主要將數據影射到事先定義的一個分類之中。這個算法的結果是產生一個以決策樹或者規則形式存在的“判別器”。本系統中先收集足夠多的正常審計數據,產生一個“判別器”來對將來的數據進行判別,決定哪些是正常行爲,哪些是入侵或非法操作。
(2)相關性分析 主要用來決定數據庫裏的各個域之間的相互關係。找出被審計數據間的相互關聯,爲決定安全審計系統的特徵提供很重要的依據。
(3)時間序列分析 該算法用來建立本系統的時間順序模型。這個算法幫助我們理解審計事件的時間序列一般是如何產生的,這些所獲取的常用時間標準模型可以用來定義網絡事件是否正常。
本系統通過改進syslog機制,使無線網關的日誌記錄更加完善,採用有學習能力的數據挖掘技術對無線網關正常日誌數據進行學習,獲得正常訪問模式的規則庫,檢測網絡入侵行爲和非法操作,減少人爲的知覺和經驗的參與,減少了誤報出現的可能性。該系統結構靈活,易於擴展,具有一定的先進性和創新性。此外,使用規則合並可以不斷更新規則庫,對新出現的攻擊方式也可以在最快的時間內做出反應。下一步的工作是進一步完善規則庫的生成以及審計的算法,增強系統對攻擊的自適應性,提高系統的執行效率。
[1]Branch,JW,Petroni,NL,VanDoorn,L.,Safford,D.,Auto-nomic802.11WirelessLANSecurityAuditing,IEEESecurity&Privacy,May/June 2004,pp.56-65.
[2]李承,王偉釗. 基於防火牆日誌的網絡安全審計系統研究與實現.計算機工程 2002.6.
[3]劉.無線網絡安全防護.機械工業出版社 2003.1.
[4]毛國君.數據挖掘原理與算法.清華大學出版社 2005.6.
轉貼於 中國論文下載中心 http://www.studa.net於 中國論文下載中心 http://www.studa.net