- 相關(guān)推薦
企業(yè)集中日志采集服務(wù)器的構(gòu)建及信息安全防御
通過(guò)基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò)安全防御模型,就能夠很好地解決企業(yè)網(wǎng)面臨的內(nèi)網(wǎng)攻擊行為的防范和處理問(wèn)題,以下是小編搜集整理的一篇探究企業(yè)集中日志采集服務(wù)器信息安全的論文范文,歡迎閱讀參考。
一、引言
隨著互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展,企業(yè)網(wǎng)信息服務(wù)快速增長(zhǎng),網(wǎng)絡(luò)環(huán)境日益復(fù)雜。為了保障企業(yè)網(wǎng)的高效安全運(yùn)行,網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越重要。由于企業(yè)網(wǎng)服務(wù)對(duì)象的特殊性,對(duì)于企業(yè)網(wǎng)網(wǎng)絡(luò)攻擊經(jīng)常來(lái)自網(wǎng)絡(luò)內(nèi)部。
常規(guī)的防火墻、入侵監(jiān)測(cè)等安全防護(hù)設(shè)備,很難針對(duì)來(lái)自內(nèi)網(wǎng)的攻擊起到應(yīng)有的保護(hù)效果。即使這些設(shè)備發(fā)現(xiàn)了某些入侵的跡象進(jìn)行預(yù)警,還需要網(wǎng)絡(luò)管理人員根據(jù)相關(guān)信息手動(dòng)地部署防御措施,工作量大,效率比較低,導(dǎo)致網(wǎng)絡(luò)防御的延遲,給入侵者實(shí)施入侵提供了足夠多的時(shí)間。
二、模型描述
針對(duì)上述問(wèn)題,我們提出并實(shí)現(xiàn)了一種基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò)安全防御模型,如圖1所示。該模型主要由日志集中采集、日志處理與分析、動(dòng)態(tài)部署網(wǎng)絡(luò)安全策略組成。
對(duì)服務(wù)器、防火墻、交換機(jī)等關(guān)鍵設(shè)備日志進(jìn)行集中管理,然后針對(duì)相關(guān)日志進(jìn)行有效的分析,根據(jù)日志分析結(jié)果對(duì)入侵行為進(jìn)行預(yù)警,并及時(shí)自動(dòng)地部署相應(yīng)的防御策略ACL(AccessControlList)。該模型能夠在網(wǎng)絡(luò)入侵者真正實(shí)現(xiàn)入侵之前,及時(shí)地、有針對(duì)性地實(shí)施網(wǎng)絡(luò)安全控制策略,從而提供有力的網(wǎng)絡(luò)的安全保證!緢D1】
三、集中日志采集服務(wù)器的構(gòu)建
日志采集服務(wù)采用符合RFC3164規(guī)范的rsyslog,使用or-acle作為后臺(tái)數(shù)據(jù)庫(kù)。rsyslog兼容傳統(tǒng)的syslog程序,但是rsyslog支持多線程,支持?jǐn)?shù)據(jù)庫(kù)存儲(chǔ),支持定制化的模塊添加,這些特性使得rsyslog適合做集中的日志服務(wù)器,而且對(duì)非標(biāo)準(zhǔn)的日志格式具有良好的適應(yīng)性和擴(kuò)展性。
1.支持syslog格式設(shè)備的日志采集。支持syslog格式設(shè)備需要在該設(shè)備中配置集中日志采集服務(wù)器的IP地址和端口以及對(duì)應(yīng)的傳輸協(xié)議,并根據(jù)關(guān)心的安全問(wèn)題,在對(duì)應(yīng)的策略上開(kāi)啟日志服務(wù)即可。
2.Linux服務(wù)器的日志采集。Linux服務(wù)器日志系統(tǒng)默認(rèn)采用的是syslog,根據(jù)安全策略的需求,可以精簡(jiǎn)日志信息,發(fā)送相關(guān)的日志信息到集中日志采集服務(wù)器。需要配置/etc/sys-log.conf文件,例如:kern.warning@日志采集服務(wù)器IP地址在Linux環(huán)境上,一般是采用iptables作為服務(wù)器的防火墻來(lái)實(shí)施的。例如,如果關(guān)心ssh的遠(yuǎn)程登錄情況,當(dāng)非法IP嘗試SSH登錄將產(chǎn)生警告日志:
(1)配置產(chǎn)生log的鏈。
iptables-NLOG_DROP
iptables-ALOG_ACCEPT-jLOG--log-level4--log-
prefix"[IPTABLESACCEPT]:"#--log-prefix添加日志前
綴--log-level指定日志等級(jí),4的含義為warning
iptables-ALOG_DROP-jRETURN
(2)配置iptables的22端口log。
iptables-AINPUT-sx.x.x.x-ptcp--dport22-jAC-
CEPT#允許訪問(wèn)的ip
iptables-AINPUT-ptcp-mtcp--dport22-j
LOG_DROP#非法ip訪問(wèn)22端口產(chǎn)生日志
iptables-AINPUT-jDROP
#拒絕其他ip訪問(wèn)22端口
3.Windows服務(wù)器日志的收集。Windows的系統(tǒng)日志格式、日志記錄方式與RFC3164標(biāo)準(zhǔn)不同。所以,需要第三方軟件來(lái)將windows系統(tǒng)的日志轉(zhuǎn)換成syslog類型的日志類型,然后轉(zhuǎn)發(fā)給日志采集服務(wù)器。這里采用evtsys來(lái)實(shí)現(xiàn)。
4.交換機(jī)設(shè)備的日志的采集。交換機(jī)的日志格式與sys-log的日志格式相同,只需指定接收日志的服務(wù)器即可。具體的配置需要參考相關(guān)的交換機(jī)設(shè)備的配置文檔。例如,華為交換機(jī)的相關(guān)配置命令如下:info-centerlogbuffer//向內(nèi)部緩沖區(qū)輸出信息info-centerlogbuffersize//定義輸出信息的內(nèi)部緩沖區(qū)大小info-centerloghostIP地址//向日志服務(wù)器輸出信息四日志的預(yù)處理和存儲(chǔ)。。
日志數(shù)據(jù)來(lái)自不同類型的設(shè)備,并且每種類型的設(shè)備日志所包含的日志信息也不一樣,因此根據(jù)不同的日志來(lái)源和日志信息進(jìn)行分類,然后分別進(jìn)行存儲(chǔ)。為了提高效率,日志的預(yù)處理和分類存儲(chǔ)工作在oracle數(shù)據(jù)庫(kù)中進(jìn)行。通過(guò)or-acle存儲(chǔ)過(guò)程實(shí)現(xiàn)對(duì)日志進(jìn)行分類和存儲(chǔ)。通過(guò)任務(wù)隊(duì)列(DBMS_JOB)定期執(zhí)行表數(shù)據(jù)清理、轉(zhuǎn)存等工作,減少運(yùn)行數(shù)據(jù)庫(kù)的數(shù)據(jù)量,提供系統(tǒng)的數(shù)據(jù)處理響應(yīng)速度。
例如Linux服務(wù),iptables防火墻22端口產(chǎn)生的日志如下:
2011-12-05T15:28:46.480798+08:00202.206.32.201
kernel:[IPTABLESDROP]:IN=eth0OUT=MAC=08:00:27:
ab:18:e8:78:1d:ba:89:a5:9d:08:00SRC=192.168.200.78DST=
202.206.32.201LEN=48TOS=0x00PREC=0x00TTL=126
ID=48406DFPROTO=TCPSPT=1886DPT=22WIN-
DOW=65535RES=0x00SYNURGP=0
如前所述,Linux服務(wù)器日志收集時(shí),在其連接日志前端添加了日志前綴[IPTABLESDROP],所以,存儲(chǔ)過(guò)程可以根據(jù)這個(gè)對(duì)這條日志的解析,選擇將此條日志記錄的信息保存到對(duì)應(yīng)的存儲(chǔ)表中,提供給后面的日志分析程序使用。
四、攻擊行為的分析與記錄
根據(jù)網(wǎng)絡(luò)攻擊行為的特性,或者利用已有的網(wǎng)絡(luò)攻擊行為的特征,生成對(duì)應(yīng)的攻擊行為識(shí)別規(guī)則庫(kù)。通過(guò)規(guī)則庫(kù)與集中日志服務(wù)采集到的信息進(jìn)行匹配,若某些日志信息符合規(guī)則庫(kù)中的某條規(guī)則,則判斷為網(wǎng)絡(luò)攻擊行為。這個(gè)匹配工作,由日志分析程序?qū)崟r(shí)讀取日志信息來(lái)完成。一旦發(fā)現(xiàn)攻擊行為,將攻擊行為的來(lái)源、攻擊對(duì)象等信息記錄到網(wǎng)絡(luò)攻擊信息表中,并以短信、電子郵件方式通知系統(tǒng)管理員。
由于日志信息一般記錄了應(yīng)用層網(wǎng)絡(luò)行為,所以,網(wǎng)絡(luò)攻擊行為識(shí)別規(guī)則庫(kù)主要是標(biāo)記一些危險(xiǎn)的網(wǎng)絡(luò)行為,例如,端口掃描、密碼探測(cè)等,而不會(huì)涉及數(shù)據(jù)包的分解和重組。例如,針對(duì)Linux系統(tǒng)SSH的22端口的攻擊的識(shí)別規(guī)則如下:
在一段時(shí)間T內(nèi)同一IP地址通過(guò)ssh方式連接一臺(tái)服務(wù)器或者多臺(tái)服務(wù)器失敗次數(shù)超過(guò)N次,視該IP地址發(fā)起了網(wǎng)絡(luò)攻擊行為。
更全面、更細(xì)致地確定網(wǎng)絡(luò)攻擊行為,就需要解析一些危險(xiǎn)數(shù)據(jù)報(bào)文的信息。為此,可以在被保護(hù)的設(shè)備前部署類似snort的入侵檢測(cè)系統(tǒng),而入侵檢測(cè)系統(tǒng)的日志信息也要發(fā)送給集中日志服務(wù)器,統(tǒng)一管理這些攻擊行為信息。日志分析程序可以直接依據(jù)入侵檢測(cè)系統(tǒng)的日志信息,進(jìn)行網(wǎng)絡(luò)攻擊行為判定,并做出相應(yīng)的動(dòng)作。
五、動(dòng)態(tài)生成和部署ACL(AccessControlList)
一旦發(fā)現(xiàn)攻擊行為將對(duì)攻擊源實(shí)行全面的封鎖,不允許其任何數(shù)據(jù)流出靠近其的支持ACL網(wǎng)絡(luò)設(shè)備。當(dāng)日志分析程序確定網(wǎng)絡(luò)攻擊行為后,調(diào)用網(wǎng)絡(luò)攻擊處理程序進(jìn)行處理。該程序根據(jù)攻擊源的IP地址信息,通過(guò)事先定制的ACL模板,生成對(duì)應(yīng)的ACL規(guī)則,并通過(guò)telnet或者ssh方式自動(dòng)登錄后,將這些規(guī)則應(yīng)用到離攻擊源最近的支持ACL的網(wǎng)絡(luò)設(shè)備上,阻止該網(wǎng)絡(luò)攻擊行為進(jìn)一步發(fā)生。對(duì)于Linux服務(wù)器而言,可以動(dòng)態(tài)地生成iptables規(guī)則,阻止攻擊源IP訪問(wèn)該服務(wù)器。
系統(tǒng)管理員通過(guò)告警顯示界面,對(duì)網(wǎng)絡(luò)攻擊行為及ACL執(zhí)行的情況進(jìn)行查詢。一旦網(wǎng)絡(luò)攻擊行為被處理和解決,再通過(guò)網(wǎng)絡(luò)攻擊處理程序撤銷原先在網(wǎng)絡(luò)設(shè)備上部署的ACL策略。
ACL模板依據(jù)不同設(shè)備的不同ACL語(yǔ)法定制,每個(gè)設(shè)備的ACL模板包含應(yīng)用ACL和撤銷ACL兩種模板。網(wǎng)絡(luò)攻擊處理程序根據(jù)日志分析程序產(chǎn)生的攻擊源的IP地址信息,模板中的攻擊源IP進(jìn)行替換,生成對(duì)應(yīng)的ACL語(yǔ)句。例如,華為交換機(jī)的ACL模板如下:
system-view//進(jìn)入系統(tǒng)模式
acl3000//進(jìn)入ACL列表
ruledenyipsourceATTACKIP0//添加ACL規(guī)則
quit//退出ACL列表
//重新部署ACL
traffic-filtervlan1inboundacl3000
六、結(jié)語(yǔ)
通過(guò)基于集中日志分析的企業(yè)網(wǎng)智能網(wǎng)絡(luò)安全防御模型,就能夠很好地解決企業(yè)網(wǎng)面臨的內(nèi)網(wǎng)攻擊行為的防范和處理問(wèn)題。該模型能夠通過(guò)采集各個(gè)系統(tǒng)及設(shè)備的日志信息和分析處理,幫助系統(tǒng)管理人員及時(shí)發(fā)現(xiàn)安全隱患,并對(duì)網(wǎng)絡(luò)攻擊行為自動(dòng)地做出相關(guān)防御措施的響應(yīng)。這樣,提高了網(wǎng)絡(luò)的安全防護(hù)強(qiáng)度,降低維護(hù)網(wǎng)絡(luò)安全的工作強(qiáng)度。該模型不僅限于企業(yè)網(wǎng)的實(shí)施,也可以應(yīng)用于其他網(wǎng)絡(luò)環(huán)境比較復(fù)雜的園區(qū)網(wǎng)中。在日志分析過(guò)程中,如果應(yīng)用數(shù)據(jù)挖掘及行為模式識(shí)別技術(shù),就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的感知和預(yù)警,從而進(jìn)一步提高該模型的智能化水平。
【企業(yè)集中日志采集服務(wù)器的構(gòu)建及信息安全防御】相關(guān)文章:
企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)與策略論文06-29
數(shù)據(jù)挖掘理論在數(shù)據(jù)采集中的運(yùn)用07-11
新時(shí)期信息安全主動(dòng)防御系統(tǒng)研究論文08-30
構(gòu)建企業(yè)項(xiàng)目管理支持信息系統(tǒng)初探08-06
構(gòu)建現(xiàn)代企業(yè)物流戰(zhàn)略構(gòu)建現(xiàn)代企業(yè)10-22
探討企業(yè)的信息安全09-30
交通量數(shù)據(jù)采集中藍(lán)牙通信的實(shí)現(xiàn)09-18
交通信息采集技術(shù)論文09-20