企業(yè)集中日志采集服務(wù)器的構建及信息安全防御

　　通過(guò)基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò )安全防御模型，就能夠很好地解決企業(yè)網(wǎng)面臨的內網(wǎng)攻擊行為的防范和處理問(wèn)題，以下是小編搜集整理的一篇探究企業(yè)集中日志采集服務(wù)器信息安全的論文范文，歡迎閱讀參考。

　　一、引言

　　隨著(zhù)互聯(lián)網(wǎng)應用的蓬勃發(fā)展，企業(yè)網(wǎng)信息服務(wù)快速增長(cháng)，網(wǎng)絡(luò )環(huán)境日益復雜。為了保障企業(yè)網(wǎng)的高效安全運行，網(wǎng)絡(luò )安全問(wèn)題也越來(lái)越重要。由于企業(yè)網(wǎng)服務(wù)對象的特殊性，對于企業(yè)網(wǎng)網(wǎng)絡(luò )攻擊經(jīng)常來(lái)自網(wǎng)絡(luò )內部。

　　常規的防火墻、入侵監測等安全防護設備，很難針對來(lái)自?xún)染W(wǎng)的攻擊起到應有的保護效果。即使這些設備發(fā)現了某些入侵的跡象進(jìn)行預警，還需要網(wǎng)絡(luò )管理人員根據相關(guān)信息手動(dòng)地部署防御措施，工作量大，效率比較低，導致網(wǎng)絡(luò )防御的延遲，給入侵者實(shí)施入侵提供了足夠多的時(shí)間。

　　二、模型描述

　　針對上述問(wèn)題，我們提出并實(shí)現了一種基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò )安全防御模型，如圖1所示。該模型主要由日志集中采集、日志處理與分析、動(dòng)態(tài)部署網(wǎng)絡(luò )安全策略組成。

　　對服務(wù)器、防火墻、交換機等關(guān)鍵設備日志進(jìn)行集中管理，然后針對相關(guān)日志進(jìn)行有效的分析，根據日志分析結果對入侵行為進(jìn)行預警，并及時(shí)自動(dòng)地部署相應的防御策略ACL(AccessControlList)。該模型能夠在網(wǎng)絡(luò )入侵者真正實(shí)現入侵之前，及時(shí)地、有針對性地實(shí)施網(wǎng)絡(luò )安全控制策略，從而提供有力的網(wǎng)絡(luò )的安全保證�！緢D1】

　　三、集中日志采集服務(wù)器的構建

　　日志采集服務(wù)采用符合RFC3164規范的rsyslog，使用or-acle作為后臺數據庫。rsyslog兼容傳統的syslog程序，但是rsyslog支持多線(xiàn)程，支持數據庫存儲，支持定制化的模塊添加，這些特性使得rsyslog適合做集中的日志服務(wù)器，而且對非標準的日志格式具有良好的適應性和擴展性。

　　1.支持syslog格式設備的日志采集。支持syslog格式設備需要在該設備中配置集中日志采集服務(wù)器的IP地址和端口以及對應的傳輸協(xié)議，并根據關(guān)心的安全問(wèn)題，在對應的策略上開(kāi)啟日志服務(wù)即可。

　　2.Linux服務(wù)器的日志采集。Linux服務(wù)器日志系統默認采用的是syslog，根據安全策略的需求，可以精簡(jiǎn)日志信息，發(fā)送相關(guān)的日志信息到集中日志采集服務(wù)器。需要配置/etc/sys-log.conf文件，例如：kern.warning@日志采集服務(wù)器IP地址在Linux環(huán)境上，一般是采用iptables作為服務(wù)器的防火墻來(lái)實(shí)施的。例如，如果關(guān)心ssh的遠程登錄情況，當非法IP嘗試SSH登錄將產(chǎn)生警告日志：

　　(1)配置產(chǎn)生log的鏈。

　　iptables-NLOG_DROP

　　iptables-ALOG_ACCEPT-jLOG--log-level4--log-

　　prefix"[IPTABLESACCEPT]:"#--log-prefix添加日志前

　　綴--log-level指定日志等級，4的含義為warning

　　iptables-ALOG_DROP-jRETURN

　　(2)配置iptables的22端口log。

　　iptables-AINPUT-sx.x.x.x-ptcp--dport22-jAC-

　　CEPT#允許訪(fǎng)問(wèn)的ip

　　iptables-AINPUT-ptcp-mtcp--dport22-j

　　LOG_DROP#非法ip訪(fǎng)問(wèn)22端口產(chǎn)生日志

　　iptables-AINPUT-jDROP

　　#拒絕其他ip訪(fǎng)問(wèn)22端口

　　3.Windows服務(wù)器日志的收集。Windows的系統日志格式、日志記錄方式與RFC3164標準不同。所以，需要第三方軟件來(lái)將windows系統的日志轉換成syslog類(lèi)型的日志類(lèi)型，然后轉發(fā)給日志采集服務(wù)器。這里采用evtsys來(lái)實(shí)現。

　　4.交換機設備的日志的采集。交換機的日志格式與sys-log的日志格式相同，只需指定接收日志的服務(wù)器即可。具體的配置需要參考相關(guān)的交換機設備的配置文檔。例如，華為交換機的相關(guān)配置命令如下:info-centerlogbuffer//向內部緩沖區輸出信息info-centerlogbuffersize//定義輸出信息的內部緩沖區大小info-centerloghostIP地址//向日志服務(wù)器輸出信息四日志的預處理和存儲。。

　　日志數據來(lái)自不同類(lèi)型的設備，并且每種類(lèi)型的設備日志所包含的日志信息也不一樣，因此根據不同的日志來(lái)源和日志信息進(jìn)行分類(lèi)，然后分別進(jìn)行存儲。為了提高效率，日志的預處理和分類(lèi)存儲工作在oracle數據庫中進(jìn)行。通過(guò)or-acle存儲過(guò)程實(shí)現對日志進(jìn)行分類(lèi)和存儲。通過(guò)任務(wù)隊列(DBMS_JOB)定期執行表數據清理、轉存等工作，減少運行數據庫的數據量，提供系統的數據處理響應速度。

　　例如Linux服務(wù)，iptables防火墻22端口產(chǎn)生的日志如下：

　　2011-12-05T15:28:46.480798+08:00202.206.32.201

　　kernel:[IPTABLESDROP]:IN=eth0OUT=MAC=08:00:27:

　　ab:18:e8:78:1d:ba:89:a5:9d:08:00SRC=192.168.200.78DST=

　　202.206.32.201LEN=48TOS=0x00PREC=0x00TTL=126

　　ID=48406DFPROTO=TCPSPT=1886DPT=22WIN-

　　DOW=65535RES=0x00SYNURGP=0

　　如前所述，Linux服務(wù)器日志收集時(shí)，在其連接日志前端添加了日志前綴[IPTABLESDROP]，所以，存儲過(guò)程可以根據這個(gè)對這條日志的解析，選擇將此條日志記錄的信息保存到對應的存儲表中，提供給后面的日志分析程序使用。

　　四、攻擊行為的分析與記錄

　　根據網(wǎng)絡(luò )攻擊行為的特性，或者利用已有的網(wǎng)絡(luò )攻擊行為的特征，生成對應的攻擊行為識別規則庫。通過(guò)規則庫與集中日志服務(wù)采集到的信息進(jìn)行匹配，若某些日志信息符合規則庫中的某條規則，則判斷為網(wǎng)絡(luò )攻擊行為。這個(gè)匹配工作，由日志分析程序實(shí)時(shí)讀取日志信息來(lái)完成。一旦發(fā)現攻擊行為，將攻擊行為的來(lái)源、攻擊對象等信息記錄到網(wǎng)絡(luò )攻擊信息表中，并以短信、電子郵件方式通知系統管理員。

　　由于日志信息一般記錄了應用層網(wǎng)絡(luò )行為，所以，網(wǎng)絡(luò )攻擊行為識別規則庫主要是標記一些危險的網(wǎng)絡(luò )行為，例如，端口掃描、密碼探測等，而不會(huì )涉及數據包的分解和重組。例如，針對Linux系統SSH的22端口的攻擊的識別規則如下：

　　在一段時(shí)間T內同一IP地址通過(guò)ssh方式連接一臺服務(wù)器或者多臺服務(wù)器失敗次數超過(guò)N次，視該IP地址發(fā)起了網(wǎng)絡(luò )攻擊行為。

　　更全面、更細致地確定網(wǎng)絡(luò )攻擊行為，就需要解析一些危險數據報文的信息。為此，可以在被保護的設備前部署類(lèi)似snort的入侵檢測系統，而入侵檢測系統的日志信息也要發(fā)送給集中日志服務(wù)器，統一管理這些攻擊行為信息。日志分析程序可以直接依據入侵檢測系統的日志信息，進(jìn)行網(wǎng)絡(luò )攻擊行為判定，并做出相應的動(dòng)作。

　　五、動(dòng)態(tài)生成和部署ACL(AccessControlList)

　　一旦發(fā)現攻擊行為將對攻擊源實(shí)行全面的封鎖，不允許其任何數據流出靠近其的支持ACL網(wǎng)絡(luò )設備。當日志分析程序確定網(wǎng)絡(luò )攻擊行為后，調用網(wǎng)絡(luò )攻擊處理程序進(jìn)行處理。該程序根據攻擊源的IP地址信息，通過(guò)事先定制的ACL模板，生成對應的ACL規則，并通過(guò)telnet或者ssh方式自動(dòng)登錄后，將這些規則應用到離攻擊源最近的支持ACL的網(wǎng)絡(luò )設備上，阻止該網(wǎng)絡(luò )攻擊行為進(jìn)一步發(fā)生。對于Linux服務(wù)器而言，可以動(dòng)態(tài)地生成iptables規則，阻止攻擊源IP訪(fǎng)問(wèn)該服務(wù)器。

　　系統管理員通過(guò)告警顯示界面，對網(wǎng)絡(luò )攻擊行為及ACL執行的情況進(jìn)行查詢(xún)。一旦網(wǎng)絡(luò )攻擊行為被處理和解決，再通過(guò)網(wǎng)絡(luò )攻擊處理程序撤銷(xiāo)原先在網(wǎng)絡(luò )設備上部署的ACL策略。

　　ACL模板依據不同設備的不同ACL語(yǔ)法定制，每個(gè)設備的ACL模板包含應用ACL和撤銷(xiāo)ACL兩種模板。網(wǎng)絡(luò )攻擊處理程序根據日志分析程序產(chǎn)生的攻擊源的IP地址信息，模板中的攻擊源IP進(jìn)行替換，生成對應的ACL語(yǔ)句。例如，華為交換機的ACL模板如下：

　　system-view//進(jìn)入系統模式

　　acl3000//進(jìn)入ACL列表

　　ruledenyipsourceATTACKIP0//添加ACL規則

　　quit//退出ACL列表

　　//重新部署ACL

　　traffic-filtervlan1inboundacl3000

　　六、結語(yǔ)

　　通過(guò)基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò )安全防御模型，就能夠很好地解決企業(yè)網(wǎng)面臨的內網(wǎng)攻擊行為的防范和處理問(wèn)題。該模型能夠通過(guò)采集各個(gè)系統及設備的日志信息和分析處理，幫助系統管理人員及時(shí)發(fā)現安全隱患，并對網(wǎng)絡(luò )攻擊行為自動(dòng)地做出相關(guān)防御措施的響應。這樣，提高了網(wǎng)絡(luò )的安全防護強度，降低維護網(wǎng)絡(luò )安全的工作強度。該模型不僅限于企業(yè)網(wǎng)的實(shí)施，也可以應用于其他網(wǎng)絡(luò )環(huán)境比較復雜的園區網(wǎng)中。在日志分析過(guò)程中，如果應用數據挖掘及行為模式識別技術(shù)，就可以實(shí)現對網(wǎng)絡(luò )攻擊行為的感知和預警，從而進(jìn)一步提高該模型的智能化水平。

【企業(yè)集中日志采集服務(wù)器的構建及信息安全防御】相關(guān)文章：

信息構建與知識構建06-03

企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文06-29

數據挖掘理論在數據采集中的運用07-11

新時(shí)期信息安全主動(dòng)防御系統研究論文08-30

構建企業(yè)項目管理支持信息系統初探08-06

構建現代企業(yè)物流戰略構建現代企業(yè)10-22

探討企業(yè)的信息安全09-30

交通量數據采集中藍牙通信的實(shí)現09-18

交通信息采集技術(shù)論文09-20

如何培育和構建企業(yè)安全文化07-12