网络环境下的日志监控与安全审计系统设计与实现

图 2 日志采集代理软件结构图 2. 中心控制台 中心控制台由网络系统中充当日 志汇总 角色的 服务器 ( 日 志服务器 ) 构成 , 中心 控制 台负 责接 收、 分析、 存 储和 管理 日志 采集代理收 集的日 志与 审核数 据。中 心控 制台 由审 计策 略管 理模块、 实时监控模块、 审计记录检 索模块、 安全 审计与 预警模 块、 通信控制模块和主控程序等组成。 1) 审计策略管理 : 中 心控 制台 提供 一个 的策 略管 理工 具 , 管理员可以为网络环 境中 各种 主机设 备定 制审 计策 略并 下发 至日志采集代理驻留的主机设备。 2) 实时 监控模块 : 中心控制台 的实时 监控模 块可以 实时显 示应该受到注意的安全事件 , 能够 对威胁 网络安 全的事 件向系 统管理员发出通知 , 使管理员可以尽快地做出 反应。 3) 审计 记录检索 : 可以使系统 管理员 根据他 们特殊 的需要 来组织和 查看 日 志审 计 记录。 可 以查 看、 过 滤 并打 印 日 志记 录 , 通过精确的过滤器使管理员对特定的日志 记录进行审计。 4) 安全 审计与预警 : 安全审计 与预警 模块负 责对日 志及审 核数据进行分析挖掘 , 从包含大量 冗余信 息的数 据中提 取出尽 可能多的隐藏的安全 信息 , 动 态的 评估 网络 系统 的安 全状 况 , 参考文献
44
福
建
电
脑
2004 年第 12 期
期产生相关的预警信息。 三、 系统体系结构 为了实 现上述功能 , 我们设计 的日志 监控与 安全审 计系统 模型由日志采集代 理、 日志服 务器 ( 中 心控 制台 ) 、 管 理控 制台 三部分组成 , 整个系统的体系结构如图 1 所示。
并对潜在的安全威胁进行预警 , 使针对 Fra Baidu bibliotek络系 统的潜在 破坏最 小化。 5) 通讯控制模块 : 负责处理 中心控 制台与 日志采集 代理端 和管理控制台的通讯。 中心控制台的软件结构如图 3 所示。
2004 年第 12 期
福
建
电
脑
43
网络环境下的日志监控与安全审计系统设计与实现
石 彪1 胡华平1 刘利枚2
2. 湖南商学院 , 湖南 长沙 410205) ( 1. 国防科技大学计算机学院 湖南长沙 410073
摘 要 在拥有大量节点的网络环境中 , 迫切需要一个能够 针对整个 网络系 统日志 , 进行 统一监 控与安全 审计 的平台 。 本文分析了日志监控与安全审计平台应当具备的功能 , 在此基础上提出了网络环境下 日志监控与 安全审 计系统的结构模型 , 并给出了一种基于 Web 管理的实现方案 。 关键词 日志监控 安全审计 数据挖掘 放它的日志文件 , 这种格式的文 件通常 只可以 通过事件 查看器 EV ENT V IEWER 读取。 b. Linux / U nix 系统日志 在 Linux / U nix 系统中 , 有 三个 主要 的日志 子系 统 : 连接时 间日志、 进 程统 计 日 志 和错 误 日 志。错 误 日 志 # # # 由 syslogd ( 8) 执行。各种系统守护进程、 用户程序和内核通过 syslog 向文 件 / var/ log/ messag es 报告值得注意的事件。 2) 安全设备日志 安全设备日志主要是指防火墙 , 入 侵检测 系统等网 络安全 设备产生的日志。这部分日志 格式没 有统一标 准。目前 , 国内 多数防火墙支 持 W EL F ( W eb T r ends Enhanced L og Format) 的 日志格式 , 而 多数入 侵检测系 统的日 志兼容 Snort 产生 日志格 式。 3) 网络设备日志网络设备日志 是指网 络中交 换机、 路由器 等网络设备产生的日志 , 这些 设备日志通常 遵循 RF C3164( T he BSD syslog Protoco l) 规定 的日 志格式 , 可 以通 过 syslogd 实现方 便的转发和处理。一个典型的 syslog 记录包括生成该记录的进 程名字、 文本信息、 设备和优先级范围等。 4) 应用系统日志 应用系统日志包 含由 各种 应用 程 序记 录的 事件。应 用系 统的程序开发员 决定记 录哪 一个事 件。 Web 应 用程 序日 志往 往是系统管理员最关心的应用系统日志之一。 a) . A pache 日志 Apache 日志记录 Apache 服务器处 理的所 有请求和 出错信 息 , 它支持两种格式 的日志 : 普 通记 录格式 ( Common Log Fo r mat) , 组合记录格式 ( Combined L og For mat) . b) . I IS 日志 II S 日志文件记 录了所有访问 I IS 服务 程序的信 息 , IIS 日 志文 件一 般 位 于 如 下 路 径 : % systemroot% \ system32 \ Log F iles。 II S 支持! W3C 扩充日 志文件 格式∀ 、 ! N CSA 通用 日志格 式∀ 和! ODBC 数据库日志格式∀ 。 2. 集中的日志管理 实现集中的日志管理就是要把 网络系 统中位 置各异 , 格式 不一的日志和审核 数据集 中起 来进 行统 一存 储、 归档 和备 份 ; 在统一的数据平台上 , 实现对 各种日 志和审 核数据 分析、 统计、 提炼与综合。 3. 智能的安全审计 传统上 , 基于日 志的 安全 审计 的数 据来 源单 一 , 且仅 停留 在安全审计数据的输入、 查询、 统计 等功能 上 , 无法发现 数据中 存在的关联、 关系 和规 则 , 无 法根 据现 有的 数据 预测 未来 的发 展趋势 , 缺乏挖掘数据背后隐 藏的知识 的手段 , 导致 了! 数据爆 炸但知识贫乏∀ 的现象。 智能的安全审计就 是要 能够 对日 志及 审核 数据 进行 分析 挖掘 , 从包含大量冗余信息的数 据中提 取出尽 可能多的 隐藏的 安全信息 , 将其中 的规 律转化 为系 统或 用户 行为 的特 征 , 通过 对数据的统计、 浓 缩、 总 结、 关联、 分 类、 聚类 等 , 抽象 出利 于进 行判断和比较的特 征模型 , 动 态的 评估 系统 安全 状况 , 并 不定
一、 前言 计算机 日志记录了计算机系统 发生的 各种重 要事件 , 通过 它可以了解系 统运 行 状 况 , 审核 安 全 事件 , 诊断 差 错异 常 等。 对日志的监控、 审 核 与分 析是 系 统管 理 员一 项 非常 重 要 的工 作 ; 加强日志管理与审计对日常系 统维护 和安全 保障都 具有非 常重要的意义。 随着网络规模 的扩 大 , 网 络设 备数 量的 增多 , 日 志的 监控 和审计的范围也由原来单一的主机 系统扩 大到由 各种服务 器、 路由交换设 备和安 全设 备等组 成的 整个 网络 系统 。网络 系统 中日志种类繁多、 格式差别巨 大 , 彼 此之间 缺少关 联性 , 大小呈 级数增长。海量日志数 据 的转 存、 归档、 备 份和 分析 将给 系统 管理员带来前所未有的工作压力 。同时 , 激增的 日志数 据背后 隐藏着许多重要的信息 , 往往需要 对其进 行更高 抽象层 次的分 析 , 以便更好地利用这些数据。 可见 , 在一个拥 有多 节点 的网 络系 统中 , 迫 切需 要一 个能 够针对整个网 络 系统 日志 进 行统 一监 控 与 安全 审 计的 平 台。 ! 网络环境下的日 志监 控与 安全审 计系 统∀ 就是 在这 样的 需求 背景下提出的。目标是 建立 一套 分布 式的 网络 系统 日志 监控 与安全审计平台 , 通过它 对网 络系 统中 各种 网络 设备 的日 志、 资源和运行 状况进行 实时 监控、 集 中审 核与 汇总 分析 , 帮 助系 统管理员及时掌握整 个网 络系 统的 运行 状况 , 审 核安 全事 件 , 诊断差错异常等。 基于单机或单 个应 用的 日志 监控 和安 全审 计技 术国 内外 研究较深 入 , 成 熟 的 产 品 也 不 少 , 比 如 U N IX 系 统 下 的 L og check 、 Swatch 及专门针对 web 日志的 Webalizer 等。但 是网络 环境下 , 支持各种网络设备 ( 跨操作系 统平台 ) 的 日志监 控与安 全审计还大多数停留在探索之中 。国内南 开大学 网络中心 , 曾 做过这方面的尝试 , 初步实现 U nix / L inux 及网络设备 ( 路 由器、 交换机 ) 日志的集中备份和简单分析 , 但不支持 windows 平台及 安全设备。 本文分 析日志监控与安全审计 平台应 当具备 的功能 , 在此 基础上提出了一种网 络环 境下 日志监 控与 安全 审计 的结 构模 型 , 并给出了一种基于 Web 管理的实现方案。 二、 功能需求 一个满足网络 环境 下系 统维 护与 安全 管理 需求 的日 志监 控与安全审计系统 , 应当具备 三个基本 功能 : 实时 的日志监 控、 集中的日志管理、 智能的安全审计。 1. 实时的日志监控 对网络 环境下的各种日志进行 实时的 监视 , 当系统 日志记 录到出现严重错误或 管理 员设 定预 警条 件时 , 可 以通 过铃 声、 邮件或短消息等方式通知管理员 , 并 采取相 应的缓解 措施。网 络环境下的日志大致可以分为以下四类 : 1) 操作系统日志 a. Windows 系统日志 Windows NT / 2K / XP 的系统日志文件 有应用 程序日志、 安 全日志 和 系 统 日志 等 , 日志 默 认 位 置在 % systemroot% \ sys tem32 \ config 目录下。 W INDO WS 是 使用 一种 特殊 的格 式存
图 1 日志监控与安全设计系统体系结构图 1. 日志采集代理 日志采 集代理驻留在网络中需 要监控 的各种 设备上 , 负责 日志采集和转发。网络环境的每一 类设备 , 都有 相应的 实时日 志采集分析 模块。日志 采集 分析 模块 通过 定时 读取 原始 日志 文件等方法 , 收集源设备的日 志记录。运 行采集 代理的 主机设 备可以保存一份由中心控制台下发 到本地 的审计 策略文件 , 这 个审计策略文件中定义了一系列过 滤规则 , 采集 代理通 过读取 这些规则 , 将收集到的日志与审计 策略文 件中的 审计规 则进行 匹配过滤 , 丢弃不 符合规 则的 日志 , 以 节省 存储 空间 和网 络带 宽资源 , 符合规则的日志记录根据 规则的 定义生 成相应 的审计 记录后 , 通过日志 转发模 块即 时发 送到中 心控 制台 ( 日志 服务 器 ) 上。 日志采集代理软件结构如图 2 所示。
[ 1] [ 2] [ 3] [ 4]
图 3 审计控制中心软件结构示意图 3. 管理控制台 管理员可以在安装有管理客户 端软件 的主机 上 , 实 现日志 监控与安全审计系统的各种操作和管理。 四、 系统实现 系统实现上 , 我们采用 C/ S 与 B/ S 混合的结 构模式。日志 采集代理和中心控制台采用传统的 C/ S 架构 , 而系统 管理上则 采用 Web Browser/ Serv er 模式。日志采集代理软件作为中心控 制台的客户端 ( Client) 驻留在需要监控的网络设备上 , 中心控制 台软件运行在内部网的专用日 志服务 器上 ( Ser ver ) 。系 统管理 采用 B/ S 模式后 , 安装有 Web 浏览器并与日志服务器相连接 的 任何一台主机都可以充当管理控制台。 实际的系统实现中 , 中心 控制 台我们 采用 . N ET 平 台开发 的。在以往的信息系统开发过程中 , 如果采 用的是 C/ S 结构就 需要有适合 C/ S 结构的一整套开发工具以及运行环境 ; 而如果 采用 B/ S 结构也需要有相应的一套工 具及环境 , 这两种 方式往 往互不相容。而在 . NET 架 构中 , Windows 应 用程序 与 W eb 应 用程序完全统一为一个完整的开发 运行环 境 , 可以在统 一的环 境下开发 C/ S 和 B/ S 混 合结 构的信 息系 统。后台 数据 库选用 M S SQ L Ser ver 2000 。实际系统实现与部署如图 4 所示。