计算机操作系统安全事件关联分析研究

摘要

本课题的研究首先分析各种主流操作系统安全事件的产生,记录和存储方法以及数据格式.因为对一个系统而言,该系统是否感染病毒,是否被黑客非法入侵,是否本地用户产生错误操作造成系统的崩溃等等,所有系统曾经执行过的操作都记录在它的事件日志中.通过人为的分析系统日志就可以发现出错原因,才能对症下药.但是对于成百上千的操作系统,仅凭人为进行维护十分消耗资源,所以,可以利用SNMP协议将系统日志统一收集起来,由于日志格式相近或相同,可以在此基础上将其导出并进行综合分析,提炼出统一的具有技术属性的数据格式.这样就能够使用计算机进行处理,就大大的提高了工作效率以及合格率.然后研究事件技术属性间的关联分析方法,并进行初步的关联算法模型的设计.进而研究并开发可集中收集综合关联分析安全事件的产生,记录,存储的方法及数据格式.最后,建立系统日志收集软件的系统模型,对一台linux系统进行了测试,顺利获取了相关日志信息以及该系统的网络流量等相关信息,但没有对该linux系统进行模拟攻击,没有得到相关的攻击报告.本课题的主要内容是对当今社会较流行的主流操作系统(Linux,Sohris等)的系统以及其所安装的服务软件的日志进行提取,并配合一定的事件审计策略,对提取出来的这些具有统一格式的日志内容进行分析,独立出数以万记的事件日志中的敏感信息,确定系统的安全属性,并形成综合事件分析结果,及时的对系统入侵做出相应的反映.由于研究范围较大,本人只负责非法入侵产生的安全事件日志的分析工作.病毒日志,系统误报等事件日志的分析为其他人完成.

目录

文摘

英文文摘

1引言

2安全如何实现

2.1安全问题分类

2.2安全的重要性

2.3国内外研究现状

2.4安全实现流程

2.5日志的作用

2.5.1什么是日志

2.5.2日志的重要性

2.5.3日志的记录及查看

3需求分析

3.1目前的发展方向

3.1.1网络管理系统的要素

3.1.2现有安全产品

3.2 SNMP协议

3.2.1 SNMP协议概述

3.2.2 SNMP的命令和报文

3.2.3 MIB概述

3.2.4 MIB的访问方式

4概要设计

4.1设计思路

4.2模块设计

4.3模块描述

4.3.1 syslog简介

4.3.2 syslog的消息路径

4.3.3日志路径

4.3.4优化syslog-ng

4.3.5日志的收集与整理

5详细设计

5.1日志模块

5.2 SNMP模块

5.3数据库模块

5.4策略模块

6代码实现

6.1 SNMP实时监控代码

6.2图形接口

6.3数据库导入

7参考文献

声明

致谢