Linux主机安全审计日志获取系统

摘要

本论文是基于Linux的主机安全审计日志获取系统的研发，主要研究从Linux主机上获取相关的系统内核操作的日志信息的设计实现。本文结合虚拟设备驱动程序技术、系统调用截获技术、可装载内核模块以及日志审计等技术，提出了在Linux主机上的日志获取驱动程序的概念。日志获取驱动层可以从内核得到用户、外部网络对主机的相关操作信息，从而获取可靠、完整、不可抵赖的内核级主机安全审计日志，并发送给安全日志服务器，以方便事后审计的展开。　　本论文在分析了现有Linux日志及其安全性的基础上，从设计和实现这个系统所需的基本原理入手，然后讲述这个系统的设计和实现，最后又讨论了一些设计和实现时的重要问题。

目录

文摘

英文文摘

1综述

1.1信息安全现状

1.1.1信息安全的涵义及发展现状

1.1.2信息安全面临的问题

1.1.3信息安全的关注点

1.2安全审计日志的重要性及其用途

1.2.1安全审计日志的重要性

1.2.2安全审计日志用于集中安全风险管理

1.2.3安全审计日志用于计算机取证

1.3安全日志服务器

1.3.1安全日志服务器描述

1.3.2 Linux主机安全审计日志获取系统

1.4本文工作及论文组织

1.4.1本文工作

1.4.2论文组织

1.5本章小结

2系统设计原则

2.1 Linux日志系统

2.1.1日志的定义和作用

2.1.2 Linux日志系统结构

2.1.3 Linux日志系统的工作原理

2.2 Linux日志系统的安全性研究

2.2.1日志文件的安全性探讨

2.2.2 syslog机制的安全性探讨

2.2.3海量日志信息可用性的探讨

2.2.4日志信息规范化的探讨

2.3主机安全审计日志获取系统设计原则

2.3.1系统设计原则

2.3.2系统对现有日志安全问题的解决方案

2.4本章小结

3系统总体设计思路

3.1 Linux内核工作原理

3.1.1操作系统的几个基本概念

3.1.2 Linux操作系统体系结构

3.1.3 Linux操作系统的重要特点

3.2 Linux设备驱动程序

3.2.1设备驱动程序概念

3.2.2设备驱动程序的作用

3.3日志获取虚拟驱动程序的概念

3.3.1虚拟设备驱动程序

3.3.2日志获取虚拟驱动层设计模型

3.3.3审计日志获取虚拟驱动层的设计优势

3.4本章小结

4系统设计方案和使用技术

4.1系统功能分析

4.2系统的结构设计

4.2.1系统逻辑结构图

4.2.2系统实现数据流图

4.3系统各模块功能说明

4.3.1模块的划分

4.3.2资源分类模块

4.3.2安全事件定义模块

4.3.3安全审计日志采集模块

4.3.4安全审计日志传输模块

4.4系统各模块设计及使用技术

4.4.1资源分类

4.4.2安全事件定义

4.4.3安全审计日志采集

4.4.4安全审计日志传输

4.5设计优势及后续工作

4.5.1设计优势

4.5.2进一步可研究的工作

4.6本章小结

5系统实现

5.1 Linux下的C编程环境

5.1.1安全审计日志获取系统的运行环境

5.1.2 Linux下的C编程

5.2系统各模块详细设计及实现

5.2.1安全审计日志规则库

5.2.2规则库语义解析

5.2.3记录引擎

5.2.4输出设备驱动

5.2.4安全审计日志传输

5.3本章小结

6系统测试

6.1测试环境

6.1.2系统硬件配置

6.1.3系统软件环境

6.2安全审计日志获取系统测试

6.3安全日志服务器系统测试

6.3.1模拟入侵过程描述

6.3.2可以发现痕迹的日志信息

6.4测试结论

6.5本章小结

结束语

致谢

参考文献