[摘要]近几年来,随着因特网的飞速发展,网络安全问题日益突出,在这种情况下,网络管理与安全审计系统孕育而生,其审计重点主要在网络的访问行为和网络中的各种数据。对防火墙日志分析方面进行一系列研究,并利用SQL Server数据库设计基于日志分析的网络管理与安全审计系统,系统的实验结果说明日志分析技术的实用价值。目前,该系统已经应用于某广电网络。
[关键词]日志分析 网络管理 安全审计 syslog日志 防火墙日志
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0720062-01
近年来,信息技术迅猛发展,基于TCP/IP协议的互联网得到广泛应用。这种网络体系的成功来源于开放性以及简单性,但同时也带来了突出的网络信息安全问题。例如,某广电网络凭借其宽带入户和广播式传输的技术特点,赢得了市场,但随着业务的不断发展,网络运营和维护管理暴露出不少安全隐患。为此,网络管理者迫切希望构建网络监视系统,实现对网络流量、资源使用情况的监视,达到加强网络管理的目的。在这种情况下,基于日志分析的网络管理与安全审计系统越来越受到重视。
一、相关研究与分析
日志信息是指对计算机设备运行的一切活动的完全记录和描述。通常记录的信息有时间戳、基本的IP特征:如源和目标地址、源和目标端口和IP协议(TCP、UDP、ICMP)、匹配流量的规则号、执行的动作:如接受、丢弃或者拒绝连接,以及描述性文本解释。日志记录由于有各个不同的数据捕捉点获取,可以分为如系统日志、防火墙日志、入侵检测日志、击键纪录等[1]。本文主要研究防火墙日志。
日志文件对于网络的正常运营非常重要,维护人员可以通过它来检查错误发生的原因,快速定位故障,保障网络可靠运行;监控用户的使用行为,综合审计网络信息,保障网络安全可靠;发现异常情况或者受到攻击时攻击者留下的痕迹,加强网络安全等级,提高网络安全系数等。
二、系统的总体架构设计
本系统的目标在于对防火墙设备的syslog日志信息实施监控、管理和分析,及时发现设备故障,深入挖掘和分析网络的流量流向、异常行为,分别从网络管理和安全审计两方面共同保障网络的稳定、可靠运行。考虑到系统的灵活性和可扩展性,系统总体采用分层架构,主要分为采集层面、存储层、业务逻辑层和表示层。
采集层面采用socket来监听特定端口,收集网络设备发送过来的日志,并采用日志对应的协议解析器生成syslog日志统一通用格式。存储层以数据库为中间媒介,隔离底层的日志采集和上层的数据表现,同时提供数据库入库功能。业务逻辑层面完成日志监测管理的具体功能,如实时告警、日志查询、日志浏览和删除等。表示层则负责将业务逻辑层面获取的信息呈现在web页面、告警终端等呈现媒介上。
三、系统关键技术实现
本系统依次主要通过日志采集、日志协议分析、日志预处理、日志数据库设计、日志挖掘五个关键环节对网络运行状况进行检测,准确定位网络质量劣化点,实现网络管理与安全审计功能。
(一)日志采集
日志信息位于网络中不同的设备实体上,需要采用分布式高速数据采集技术。以防火墙日志采集为例,采用主动信息采集方式采集日志,由syslog服务器采集NS500系列防火墙记录的syslog格式的网络日志,保存在文件中。具体实现方法为:计算机安装免费的日志服务器程序(如在Linux下可用syslog,在Windows环境下可用KiwiSysLog),将防火墙传送过来的日志数据存放在本地硬盘,然后本地日志处理程序定期检查新文件进行处理[2]。
(二)日志协议分析解析
日志标准格式采用syslog格式,由RFC3164定义的,并对消息头部进行扩展,是设备产生的基于事件的日志,没有相应的流量信息。具体字段的日志格式举例如下:
(三)日志预处理
防火墙设备产生的原始日志记录中除了包含系统中需要的关键数据信息以外,还含有大量对审计意义不大及相似度很大的冗余记录冗余信息,所以有必要剔除从而节约存储空间,以提高系统的效率。
其具体流程是:应用程序定时查询日志文件保存目录,当发现有新的日志文件产生时,应用程序打开日志文件逐行读入记录,经数据清理、基本分类和预统计后,将分析的结果保存到临时数据库中,分析结束后,将临时表经综合以后并入正式数据库中,并将分析后的日志文件转移到后备文件目录中[4]。
(四)日志数据库设计
考虑到日志数据库应数据处理量大,结构相对简单、更新快、操作相对固定的特点,以及系统与应用程序运行环境的适配性,选择SQL Server 2000/2005作为日志的数据库。SQL Server提供了用于建立用户连接、提供数据安全性和查询请求服务的全部功能,且在Microsoft Studio.NET下开发,提供了数据库连接工具ADO.NET[5]。
数据库的设计应当能提高查询速度与处理效率。表结构设计方面:设计八张表分别存储八种安全级别的日志数据,直接定位到相关表,同时尽量缩短数据表记录长度。表操作设计方面:避免整表操作,设立多个辅助统计表,由存储过程定时将统计结果写入统计表,查询时只需对辅助统计表操作且指定查询条件;在重要的字段上建立必要索引。数据组织设计方面:存储表以天为单位进行组织,建立预处理临时表,及时压缩库日志文件,及时清除过时的数据。
(五)日志挖掘
本系统的防火墙日志挖掘功能具体可实现:1. 网络信息安全的统计功能:统计各个日志优先级的发生比例、日志优先级在各个设备上的分布,以及分析需重点防范的防火墙设备。2. 业务统计分析的统计功能:分析主要访问目的地址和主要应用的协议类型。3. 用户行为分析的统计功能:重点分析大用户访问的目的地址,解析出其网站信息,从而分析出其主要应用的业务类型。
系统采用的实现方法有:采用SQL的查询语言进行模式查询;将统计结果导入数据库后进行分析;采用可视化技术将模式直观地显示出来,提供与分析人员交互的友好界面。
四、系统实验结果
通过分析日志文件,本系统主要应用于以下几个方面:(1)网络信息安全分析:通过分析异常的网络日志,找到安全漏洞,及时制定出安全防范措施。(2)业务统计分析:通过分析网络流量模式,能够找到网络结构中最重要的部分,发现网络系统性能瓶颈。(3)用户行为分析:发现用户的需要和兴趣,使得对网络的管理更加有目的、有依据,从而稳步提高网络用户满意度。
实验结果说明了日志挖掘技术在网络管理与安全审计系统中的实用价值,所有的实验结果在局域网真实环境下通过了测试,所开发的系统实现了相应的功能要求,达到了预期的效果。
五、结束语
本文重点研究了防火墙日志文件的网络管理与安全审计系统,该系统可以发现用户访问互联网的模式,准确地统计网络主要的使用者、相关协议类型的使用情况,也能找到部分对网络存在危害的计算机,从而提取对网络管理和安全监控有用的信息,为网络管理员提供各种利于网络使用效率改进的信息。在今后的学习和研究的过程中,本系统还需逐步的完善,以使其真正成为适应于市场的实用性系统软件。
参考文献:
[1]姜传菊,网络日志分析在网络安全中的作用,网络资源与建设,2004,18(12):58-60.
[2]熊艳,基于网络日志的安全审计系统的研究与实现,上海:上海交通大学,2002.
[3]IETF RFC3164,The BSD Syslog Protocol.
[4]李承、王伟钊、程立、汪为农、李家滨,基于防火墙日志的网络安全审计系统研究与实现,计算机工程,2002,28(6):17-19.
[5]李循律,基于Firewall日志的数据挖掘系统,杭州:浙江大学,2005.
作者简介:
张俊林(1978-),男,汉族,安徽涡阳人,硕士学位,肇庆科技职业技术学院信息系,专任教师,研究方向:网络管理与安全、嵌入式系统。