基于日志的网络安全审计系统中审计与管理中心的设计及实现

摘要

计算机网络系统中的各个设备都会产生日志来记录自身行为或相关的网络事件，加强对这些日志记录的管理和审计，可有效地防范和发现违规行为，还可以为取证、追查、建立制度提供依据。“基于日志的网络安全审计系统”正是基于上述需求背景下提出的，目标是构建一个分布式的日志监控与安全审计平台，该平台通过收集、汇聚、分析、存储日志，从而保证网络内部的安全性和稳定性，预警黑客攻击、病毒感染以及网络中操作系统、网络设备的异常状态，满足用户对网络服务的应用需求。 “审计与管理中心”作为上述平台的重要组成部分，主要负责日志数据的分析、统计、检索，并以GUI的形式与用户交互。论文在分析现有日志管理与安全审计技术的基础上，实现了一个基于J2EE架构的“审计与管理中心”，并针对实现中的三个关键技术给出相应的优化解决方案：1、现有的HTTP流是一种单向的传输模式，实时性不高，无法及时获取实时审计的告警信息，针对此问题论文提出了HTTP结合TCP套接字作为系统中客户端和服务器端之间的传输机制，实现表明该方案虽然在一定程度上增大了实施难度，但是能够充分满足系统传输速率和实时性传输的需求。2、在日志查询、检索方面，目前绝大部分的日志审计管理系统采用关系型数据库实现，但是这种方式面对海量的日志数据时显得力不从心，论文在分析比较数据库和Lucene检索技术之后，通过对用户的业务分流，提出了Lucene+SQL的模式来解决海量日志数据的存储与检索问题，这种“以空间换时间”的方式综合了数据库和Lencene的优点，为海量数据的存储与检索问题的研究提供了一种积极可行的解决方案，具有一定的借鉴意义。3、在日志审计方面，利用数据挖掘来审计和分析日志。针对关联规则Apriori算法的性能瓶颈，论文提出了一种改进的Index_Apriori算法，在效率上比原有的Apriori算法有了较大的提高，使其更适合海量日志数据的审计。

目录

文摘

英文文摘

声明

1 引言

1.1 研究背景

1.1.1 安全审计概念及其作用

1.1.2 基于日志的安全审计

1.2 国内外基于日志的安全审计研究现状

1.3 本文的研究内容和主要贡献

1.4 本文的篇章结构

2 基于日志的安全审计系统分析与设计

2.1 系统概述

2.2 系统需求分析

2.3 系统架构设计

2.3.1 基于日志的网络安全审计系统总体结构图

2.3.2 系统部署

3 审计与管理中心关键技术的研究

3.1 审计与管理中心客户端与服务器端通信机制的研究

3.1.1 基于B/S模式的审计与管理中心的软件体系结构

3.1.2 审计与管理中心的客户端与服务器端各种通信机制的现状

3.1.3 HTTP和Socket通信方式的分析与比较

3.1.4 一种HTIP和Socket相结合的通信机制

3.2 高速检索机制的研究

3.2.1 基于数据库的检索

3.2.2 基于Lucene的检索

3.2.3 两种检索技术的分析与比较

3.2.4 一种Lucene和SQL相结合的检索技术——Lucene+SQL

3.3 关联规则算法在日志审计中的应用研究

3.3.1 关联规则的概述

3.3.2 Apriori算法

3.3.3 Apriori算法的分析及改进

3.3.4 改进算法的性能分析

4 审计与管理中心的研究与相关功能实现

4.1 审计与管理中心的功能及软件结构设计

4.2 GUI界面的设计与实现

4.3 访问数据库相关技术与实现

4.3.1 日志存储的字段格式设计

4.3.2 数据库的访问及数据持久化

4.3.3 分析与比较

4.4 基于Lucene+SQL技术的日志检索模块的实现

4.4.1 日志审计系统中检索业务的分类

4.4.2 索引文件的格式

4.4.3 索引的建立

4.4.4 搜索的过程

4.4.5 建立索引的优化

4.5 日志审计模块的实现

4.5.1 日志数据的预处理

4.5.2 日志审计分析

4.6 统计报表模块的设计与实现

4.6.1 Eclipse插件技术及BIRT

4.6.2 BIRT的组成和主要功能

4.6.3 日志统计报表的设计与实现

4.6.4 报表的展示

5 审计与管理中心的功能测试

5.1 监控总览

5.2 最新原始日志

5.3 日志查询

5.4日志审计

5.5 统计报表生成

6 总结与展望

6.1 工作及研究总结

6.2 工作展望

参考文献

本文作者硕士期间参加的科研项目及发表的学术论文

致 谢