基于日志挖掘的网络安全审计系统研究与实现

摘要

随着计算机应用的普及和计算机技术的飞速发展，计算机犯罪日益增多。面对这种新兴的犯罪行为，如何审计出问题并有力地打击计算机犯罪成为了一个新的课题。网络安全审计系统能有效防止敏感信息等技术资料的流失；能够有效监督工作人员在网上浏览情况，从而抵制有害信息的入侵；能够有效地对违法犯罪活动进行日志挖掘和留存整理，打击网上和内部人员犯罪活动。
　　网络安全审计的效果好坏将直接影响到我们能否及时和准确地发现入侵或异常。本文首先研究并分析比较了目前传统的安全审计技术。目前应用于安全审计领域的技术较多，其核心普遍采用的是先验库方式。这种方式的缺点在于无法发现数据中存在的关联规则，缺乏挖掘数据背后隐藏知识的手段，存在着准确率低、检测速度慢、自适应差等问题。本文针对上述问题，所做的主要工作包括：
　　1.设计实现了多源日志的实时采集
　　针对单一的数据源容易造成审计分析的不准确，采用代理来实现多点分布式采集，将主机数据源和网络数据源有机地结合起来，并设计了MyOnEntryWritten函数和provider模式，将其应用在审计日志采集中，提高了审计数据的全面性和实时性。
　　2.给出了一种较为全面的审计方式
　　设计了以基于日志库中挖掘关联规则方法为主，并结合传统的先验库知识和数理统计方法的一种较为全面的审计方式，通过审计分析主机操作和网络通信行为是否出现异常，做出相应的响应方式。其中应用了三种规则库模式匹配方式:序列模式、时间合理性和数理统计方式，提高了审计的准确率。
　　3.改进了传统的关联规则挖掘算法
　　通过采用新的基于树的孩子兄弟表示法的数据结构，改进了传统的关联规则挖掘算法中频繁扫描数据库的不足，提高了算法效率；在支持度和置信度的框架下，系统中引入了另一个评价阈值——兴趣度，用来修剪无用的规则，避免生成干扰性的关联规则，优化了关联规则的评价标准；在原始数据集符号化转换为事务数据库时，通过结合实际情况，对事务数据库进行了再优化。从而较好的解决了审计规则的自动生成与更新，提高了审计效率。
　　4.设计建立了层次化的安全防护体系
　　通过综合应用MD5散列函数、进程守护、SSL以及HOOK API等，设计了实现了一种从最外层的用户名口令保护到最内层的磁盘日志文件保护这样一种层次化的安全防护体系，保证了审计结果的真实性和可靠性，实现了审计系统自身的安全性。同时通过实时监测操作系统的进程、内存等信息，并给予性能分析和预警报告，也在一定程度上保证了操作系统的安全性。
　　5.设计实现了基于日志挖掘的网络安全审计系统
　　通过系统详细设计和实现，并予以实验分析，可以发现日志挖掘技术对局域网服务器进行审计具有比较明显的优势和较强的自适应能力，同时误报率也能够达到预期效果，说明基于改进的日志挖掘技术的网络安全审计系统具有可行性，能够提高审计的效率和准确率。

目录

封面

声明

目录

中文摘要

英文摘要

第一章 研究概述

1.1 研究背景和意义

1.2 研究现状及趋势

1.3 本文的主要工作及创新点

1.4 本文的组织结构

第二章 关键技术

2.1 日志数据采集

2.2 关联规则挖掘

2.3 安全审计方法

2.4 系统安全保护

2.5 本章小结

第三章 关联规则经典算法的改进及应用

3.1 审计规则的制定与生成

3.2 关联规则挖掘算法的优化

3.3 体系评价标准的优化

3.4 关联规则应用分析

3.5 本章小结

第四章 系统设计与实现

4.1 系统总体设计

4.2 日志数据采集与日志挖掘

4.3 安全审计

4.4 本章小结

第五章 系统测试与性能分析

5.1 实验环境

5.2 实验内容

5.3 实验分析

5.4 本章小结

第六章 总结与展望

6.1 所做的主要工作

6.2 研究展望

参考文献

发表的学术论文及科研成果

致谢