网络安全审计系统之信息检索及报表生成的设计与实现

摘要

随着计算机网络技术的日益普及和广泛应用，计算机网络安全问题逐渐成为人们关注的焦点。根据相关统计机构提供的数据，目前有65％以上的网络入侵和破坏是来自网络内部的，因为网络内部人员对于自己的网络更加熟悉，而已有一定的操作权限，又位于防火墙的后端，进行入侵或破坏更加得心应手。一个内部人员不需要掌握很多的黑客技术就能够对系统造成重大的损失。因此网络安全审计系统开始受到广泛的重视。 参照美国国家标准《可信计算机系统评估标准》[4](TrustedComputerSystemEvaluationCriteria)，记录与再现是安全审计系统的必要内容之一，要求审计系统能够记录系统中所有的安全相关事件，同时，如果有必要，应该能够再现产生某一系统状态的主要行为。正因为如此，信息检索和报表生成模块的性能的高低和功能的完毕与否是评价一个网络安全审计系统的主要方面。 信息检索和报表生成模块的主要功能是对一定时期内的系统所记录的审计和网络会话记录进行条件检索和信息筛选并生成统计报表，报表可以以常见的文档格式导出并打印，可以对可疑的网络行为进行事后取证。同时，会话重组作为本模块的功能之一，可以对符合条件的会话进行重组，从而给用户重现一个完整的会话过程。 在常见的报表系统中，报表模板的数目和样式是固定的。在查询操作开始之前，系统中已经存在了许多空白的模板，系统根据用户选择的检索项的不同调用模板库中的空白模板将检索结果填写到模板当中。这种形式报表系统的实现虽然需要编写代码量比较少，但是灵活性比较差，并且在系统中存在着大量的空白模板文件，不利于系统的整体稳定性。所谓动态报表是指在系统启动之前并不存在的报表模板文件(根据报表软件的差别，在有的系统中可能存在一个空白的报表文件)，在程序运行过程中根据用户的选择动态产生报表模板和报表中的各个元素，然后将相应的数据填充到报表模板当中供用户浏览。在报表程序结束之后释放相应的资源，不用占用内存和硬盘的空间。 会话重组是指将保存在数据库当中的单个的会话数据包内容根据会话的编号重组成一个完整的用户可以理解的会话。鉴于Email文件的重要性和特殊性，本模块将Email会话中包含的邮件的内容保存为相应格式的文件，并调用windows的outlookexpress进行查看。 动态链接库(DLL)文件是windows中常见的一种文件，它的编写和调用也是现代软件开发中常见问题。 本文结合北京海信数码科技有限公司网络安全审计系统的开发实际，具体介绍了以上的开发技术以及整个模块的设计思路、整体框架和实现方法。

目录

原创性声明及关于学位论文使用授权的声明

摘要

第一章绪论

第二章系统结构框架

第三章信息检索及日志报表模块的设计思想

第四章信息检索及日志报表模块的设计与实现

第五章数据源的获取

第六章结束语

附录

参考文献

致谢