安全日志审计系统及其快速匹配机制的研究与实现

摘要

本文围绕安全日志审计系统的设计和实现进行研究，并提出相应的快速匹配机制。在匹配规则库方面，本文首先分析现有各种系统匹配规则库的结构原理，总结其特点与不足，实现了一种以树结构组织各规则单元的新型规则库（即规则树），该规则树改变了传统逐条规则线性匹配的逻辑模式，减少了无效匹配次数，从宏观上提高匹配性能，同时使树中规则能更好地被扩展和组织管理；在匹配算法方面，根据规则树的内部特征，本文提出相应的改进匹配算法（基于AVL树的重构二层规则匹配方法和基于改进WM算法的三层规则匹配方法），以解决原基于规则树的简单匹配算法性能不佳的问题，从微观上改善匹配效率。
　　 根据上述快速匹配机制的要求，完成了整个审计系统和各功能模块的设计和实现，并通过测试证明本文所设计的审计系统及其快速匹配机制在较好地满足保护系统安全的功能要求的同时还具有良好的整体性能。

目录

文摘

英文文摘

1.绪论

1.1. 研究背景

1.1.1. 网络安全现状

1.1.2. 网络安全技术介绍

1.2. 安全审计技术概述

1.2.1. 安全审计技术概念

1.2.2. 安全审计系统国内外研究现状

1.3. 研究内容与意义

1.4. 论文的组织结构

2. 匹配规则树和基于其相关特征的匹配算法的设计

2.1. 现有规则匹配算法和匹配规则库介绍

2.1.1. 现有模式匹配算法研究现状

2.1.2. 现有匹配规则库研究现状

2.1.3. 现有匹配规则库不足

2.2. 匹配规则树的设计方法

2.2.1. 匹配规则树结构

2.2.2. 匹配规则树单元定义

2.2.3. 匹配规则树的构建

2.3. 基于匹配规则树的简单匹配算法

2.3.1. 基于匹配规则树的简单匹配算法的原理

2.3.2. 基于匹配规则树的简单匹配算法的缺陷分析

2.4. 基于匹配规则树相关特征的改进匹配算法

2.4.1. 基于AVL树的重构二层规则匹配方法

2.4.2．基于AVL树的重构二层规则匹配方法性能分析

2.4.3. 基于改进WM算法的三层规则匹配方法

2.4.4. 基于改进WM算法的三层规则匹配方法性能分析

2.4.5. 基于规则树特征的改进匹配算法的完整匹配过程

2.5. 本章小结

3. 系统设计与实现

3.1. 系统分析与整体方案设计

3.1.1. 系统需求分析

3.1.2. 系统整体方案设计

3.2. 日志采集集中模块设计与实现

3.2.1. 系统代理

3.2.2. syslog代理

3.2.3. 系统完整性主动校验

3.2.4. 日志集中

3.3. 日志归一化格式解码模块设计与实现

3.3.1. 日志的归一化格式

3.3.2. 日志的初步解码

3.3.3. 自定义二层解码器树

3.3.4. 日志完整解码

3.4. 日志规则匹配审计设计与实现

3.5. 系统告警与响应设计与实现

3.6. 系统数据库设计与实现

3.6.1. 系统数据库的设计

3.6.2. 系统数据库的实现

3.7. Web管理前台模块设计与实现

3.8. 本章小结

4.测试

4.1. 实验平台搭建

4.2. 功能测试

4.3. 性能测试

4.4. 本章小结

5. 总结与展望

5.1. 论文总结

5.2. 下一步工作

参考文献

本文作者硕士期间参加的科研项目及发表的学术论文

致谢