基于網(wǎng)絡(luò)設(shè)備日志分析的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)設(shè)計

卓 杰

(臨汾職業(yè)技術(shù)學(xué)院 山西 臨汾 041000)

0 引言

傳統(tǒng)系統(tǒng)日志分析技術(shù)相對比較落后,無法滿足系統(tǒng)網(wǎng)絡(luò)安全管控需求。同時,在網(wǎng)絡(luò)信息系統(tǒng)的不斷運行下,海量數(shù)據(jù)逐漸呈現(xiàn)出大數(shù)據(jù)特點,缺乏相關(guān)理論技術(shù)設(shè)計和開發(fā)系統(tǒng)日志數(shù)據(jù)中的分析功能和預(yù)警功能。在這樣的背景下,強(qiáng)化對網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)的設(shè)計和實現(xiàn)顯得尤為重要,該技術(shù)重點應(yīng)用網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù),不僅可以從多角度出發(fā),深入分析和挖掘系統(tǒng)日志信息[1],而且還能實現(xiàn)對系統(tǒng)安全風(fēng)險的實時化檢測,并預(yù)警可能存在的潛在性危險問題,避免出現(xiàn)嚴(yán)重的安全事件,為促使系統(tǒng)能夠正常、穩(wěn)定、安全地運行提供重要的平臺支持。所以,為保證網(wǎng)絡(luò)設(shè)備日志分析效果,如何科學(xué)地設(shè)計網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)是技術(shù)人員必須思考和解決的問題。

1 系統(tǒng)設(shè)計原則

結(jié)合系統(tǒng)需求分析情況,本文所設(shè)計的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)必須滿足以下設(shè)計原則:(1)穩(wěn)定性原則。穩(wěn)定性屬于系統(tǒng)重要性能指標(biāo),系統(tǒng)只有在穩(wěn)定運行的狀態(tài)下才能有序正常地工作,所以在進(jìn)行軟件設(shè)計、系統(tǒng)硬件選型方面,技術(shù)人員要重視對系統(tǒng)穩(wěn)定性的提升。(2)安全性原則。系統(tǒng)內(nèi)部數(shù)據(jù)作為用戶重要數(shù)據(jù),技術(shù)人員要重視對這些數(shù)據(jù)的保護(hù),提高其安全性,一旦系統(tǒng)在存儲數(shù)據(jù)期間,缺乏相關(guān)安全保障,那么系統(tǒng)將會喪失存在的價值。(3)前沿性原則。在科學(xué)技術(shù)不斷發(fā)展下,智能產(chǎn)品更新迭代速度不斷加快,為了確保網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)不被快速淘汰,本文所設(shè)計的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)必須運用先進(jìn)、新型的技術(shù),確保該系統(tǒng)能夠在長時間里更好地符合市場使用需求。(4)經(jīng)濟(jì)性原則。目前,市場上出現(xiàn)多種預(yù)警系統(tǒng),這些系統(tǒng)在功能設(shè)計上均有各自的優(yōu)勢,此時,選用性價比高的預(yù)警系統(tǒng)是用戶首要考慮的問題。所以,在設(shè)計網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)期間,技術(shù)人員要重視對網(wǎng)絡(luò)設(shè)備日志分析技術(shù)的運用,在保證系統(tǒng)功能實現(xiàn)效果的基礎(chǔ)上,最大化地降低系統(tǒng)設(shè)計成本,為保證系統(tǒng)的市場競爭力打下堅實的基礎(chǔ)。

2 系統(tǒng)總體設(shè)計

2.1 系統(tǒng)架構(gòu)設(shè)計

系統(tǒng)架構(gòu)設(shè)計示意圖如圖1所示,從圖1中可以看出,用戶依次訪問系統(tǒng)登錄界面、系統(tǒng)主界面,方可運用安全性驗證功能、數(shù)據(jù)預(yù)處理功能、日志分析功能等功能,對系統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行增刪改查,保證系統(tǒng)數(shù)據(jù)管理水平。

2.2 系統(tǒng)數(shù)據(jù)庫設(shè)計

為充分發(fā)揮和利用系統(tǒng)數(shù)據(jù)庫在增刪改查數(shù)據(jù)、保證數(shù)據(jù)存儲的安全性方面的作用和優(yōu)勢[2],提高系統(tǒng)數(shù)據(jù)管理水平,在設(shè)計本文系統(tǒng)時,技術(shù)人員要以如表1、表2所示的“用戶信息表、日志數(shù)據(jù)分類信息表”為例,對數(shù)據(jù)庫具體設(shè)計進(jìn)行介紹。其中,用戶信息表主要包含用戶編號、用戶名、登錄賬號、密碼、郵箱、電話等屬性;日志數(shù)據(jù)分類信息表主要包含日志編號、管理配置類、流量異常類、攻擊時間類、備注等屬性。

表1 用戶信息表

表2 日志數(shù)據(jù)分類信息表

3 系統(tǒng)功能模塊設(shè)計

為了充分發(fā)揮和利用網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù)的應(yīng)用優(yōu)勢,保證網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)功能實現(xiàn)效果,保證系統(tǒng)網(wǎng)絡(luò)運行的安全性和可靠性[3],技術(shù)人員應(yīng)嚴(yán)格按照如圖2所示的系統(tǒng)功能模塊設(shè)計示意圖,選用B/S架構(gòu)設(shè)計模式,利用eclipse開發(fā)工具,選用C#編程語言,依次完成對以下功能模塊的設(shè)計和實現(xiàn)。

圖2 系統(tǒng)功能模塊設(shè)計示意圖

3.1 用戶登錄模塊設(shè)計

用戶登錄模塊在具體設(shè)計時,首先要應(yīng)用加密技術(shù),對用戶所提交的賬號、密碼登錄信息進(jìn)行加密,這些登錄信息經(jīng)過加密處理后,會形成一定的亂碼。然后將該亂碼安全、可靠地傳輸?shù)较到y(tǒng)服務(wù)器中,由系統(tǒng)服務(wù)器識別和認(rèn)證該登錄信息,再將該登錄信息與系統(tǒng)數(shù)據(jù)庫中的信息進(jìn)行對比和匹配,如果匹配成功,說明用戶所輸入的登錄賬號、密碼正確,系統(tǒng)自動將相關(guān)頁面呈現(xiàn)在用戶面前[4],供用戶瀏覽和訪問。反之,說明匹配失敗,用戶所輸入的登錄信息存在錯誤,需要對其重新校驗核實。

3.2 安全性驗證模塊設(shè)計

日志文件數(shù)據(jù)具有規(guī)模大、易篡改、易失性特點,一旦缺乏相關(guān)保證機(jī)制的制定和運用,會導(dǎo)致日志數(shù)據(jù)出現(xiàn)丟失問題。所以,為實現(xiàn)對日志數(shù)據(jù)的有效保護(hù),避免該數(shù)據(jù)出現(xiàn)丟失、泄露等問題,需要加密保護(hù)日志數(shù)據(jù)。另外,本系統(tǒng)應(yīng)用數(shù)字簽名技術(shù),簽名和認(rèn)證處理日志數(shù)據(jù)。

3.3 數(shù)據(jù)預(yù)處理模塊設(shè)計

系統(tǒng)內(nèi)日志數(shù)據(jù)具有來源廣、數(shù)量龐大、存儲分布范圍廣等特點,此外,日志分析的方式運用,可以快速查找和定位系統(tǒng)可能存在的網(wǎng)絡(luò)安全問題。因此,為保證日志數(shù)據(jù)分析效果,技術(shù)人員要做好對日志數(shù)據(jù)預(yù)處理工作,分析出網(wǎng)絡(luò)中存在的無關(guān)日志屬性,并對其進(jìn)行過濾刪除,從而降低系統(tǒng)存儲數(shù)據(jù)的壓力。日志數(shù)據(jù)預(yù)處理主要包含以下3個環(huán)節(jié):(1)數(shù)據(jù)轉(zhuǎn)換。數(shù)據(jù)轉(zhuǎn)換主要是指將日常數(shù)據(jù)劃分為以下3種類型,分別是配置管理類、攻擊事件類和流量控制類,然后,結(jié)合日志數(shù)據(jù)類型,確定出相應(yīng)的分析屬性。配置管理類主要是指管理員管理相關(guān)工作所產(chǎn)生的各種記錄信息;攻擊事件類主要是指分析和處理網(wǎng)絡(luò)攻擊后所產(chǎn)生的痕跡;流量控制類主要是指統(tǒng)計網(wǎng)絡(luò)流量數(shù)量。(2)數(shù)據(jù)清理。數(shù)據(jù)清理主要是指在完成數(shù)據(jù)轉(zhuǎn)換操作的前提下,篩選和刪除多余屬性值、異常日志數(shù)據(jù)等[5],然后采用預(yù)測法,補(bǔ)齊日志空缺數(shù)據(jù),避免系統(tǒng)對垃圾日志信息的存儲,從而降低系統(tǒng)存儲壓力。(3)數(shù)據(jù)歸并。數(shù)據(jù)歸并屬于日志數(shù)據(jù)預(yù)處理核心環(huán)節(jié),通過進(jìn)行數(shù)據(jù)歸并處理,可以將相同或者相似的日志進(jìn)行合并,使其合并為一條日志數(shù)據(jù)。在進(jìn)行日志數(shù)據(jù)合并時,主要用到動態(tài)時間閾值歸并法和屬性相似度歸并法。其中,動態(tài)時間閾值歸并法運用原理如下:通過科學(xué)化設(shè)置時間閾值初始值,并將不超過此閾值的日志合并為同一條日志。時間閾值選擇具有一定的重要性,一旦時間閾值取值過大,需要將多條日志統(tǒng)一歸并為同一條日志,此時會導(dǎo)致大量的信息出現(xiàn)丟失問題。但是,一旦時間閾值取值過小,會降低歸并效果,無法解決重復(fù)率高問題。所以,當(dāng)日志出現(xiàn)變化后,時間閾值會發(fā)生動態(tài)性變化。屬性相似度歸并法運用原理為:通過精確化計算出不同日志所對應(yīng)的相異度,并篩選出低于相異度閾值的記錄。統(tǒng)一處理后的日志仍然保留大量的屬性,如果結(jié)合多個屬性,對日志相異度進(jìn)行計算,會增加計算量,嚴(yán)重影響后期分析效率和效果。此外,屬性不同,與安全事件之間的關(guān)聯(lián)度也存在一定的差異。本文運用主成分分析法,選取需要處理的屬性,并獲得相應(yīng)的權(quán)值。為保證日志歸并處理效率和效果,可以將以上兩種歸并方法進(jìn)行有效地結(jié)合。基于時間閾值的歸并法在具體運用中存在簡單明了的特點,但是僅僅結(jié)合時間這一屬性,所歸并出的日志會存在較大的誤差。基于屬性相異度歸并法在具體應(yīng)用時,可以最終計算結(jié)果的正確率,但是需要對各個屬性的相異度進(jìn)行針對性的計算。

3.4 日志分析模塊設(shè)計

在預(yù)處理日志信息時,需要針對性地分析正常模式和攻擊模式下的日志信息,并確定出用戶合法行為模式,然后結(jié)合安全事件檢測規(guī)則,獲得相應(yīng)的規(guī)則庫,如果用戶出現(xiàn)違背規(guī)則庫的情況,系統(tǒng)會自動發(fā)出相應(yīng)的預(yù)警提醒[6]。在設(shè)計日志分析模塊時,要從以下2個方面入手,深入分析經(jīng)過預(yù)處理后的日志數(shù)據(jù)。(1)關(guān)聯(lián)分析處于正常狀態(tài)下的日志數(shù)據(jù),并尋找和確定出用戶正常行為軌跡,如果日志數(shù)據(jù)反映出用戶行為出現(xiàn)異常,系統(tǒng)會自動彈出警告提醒框。(2)通過對攻擊狀態(tài)下的日志數(shù)據(jù)進(jìn)行深入分析[7],并挖掘事件之間存在的關(guān)聯(lián)度,然后運用“攻擊場景”這一概念,對相關(guān)攻擊事件進(jìn)行實時關(guān)聯(lián),從而達(dá)到預(yù)警攻擊場景的作用。

3.4.1 正常狀態(tài)日志分析

在分析正常狀態(tài)日志數(shù)據(jù)時,要利用FP-Growth算法,確定用戶行為特征,并形成相應(yīng)的規(guī)則庫。當(dāng)出現(xiàn)新日志數(shù)據(jù)時,可以參照規(guī)則庫,并分析和檢測用戶行為是否出現(xiàn)異常。

3.4.2 攻擊場景下的日志分析

通過構(gòu)建攻擊場景關(guān)系庫,可以實時提取規(guī)則。在這個過程中,首先結(jié)合專家相關(guān)經(jīng)驗,確定出場景與事件之間的關(guān)系,其次利用FP-Growth算法,關(guān)聯(lián)分析已出現(xiàn)的攻擊場景日志數(shù)據(jù),從而獲得各個攻擊事件所對應(yīng)的支持度[8]。再次,在構(gòu)建這些攻擊事件的基礎(chǔ)上,借助單向圖完成對規(guī)則庫的構(gòu)建。當(dāng)日志消息與攻擊事件相對應(yīng),系統(tǒng)會自動記錄攻擊方、攻擊目標(biāo)等信息。最后還要對各個攻擊事件進(jìn)行匹配,并形成攻擊事件集合,如果攻擊場景出現(xiàn)概率超過閾值時,系統(tǒng)會自動發(fā)出預(yù)警聲,以引起相關(guān)人員的注意。

3.5 用戶可視化模塊設(shè)計

用戶可視化模塊設(shè)計,不僅可以為用戶提供相應(yīng)的人機(jī)交互接口,還能實時輸出和形象化顯示最終統(tǒng)計數(shù)據(jù),確保用戶與系統(tǒng)之間形成良好的交互關(guān)系。當(dāng)日志數(shù)據(jù)采集工作結(jié)束后,要深入地分析和挖掘日志數(shù)據(jù)。統(tǒng)計數(shù)據(jù)主要包含以下幾種信息,分別是用戶行為模式信息、用戶異常行為信息、系統(tǒng)資源使用情況信息、網(wǎng)絡(luò)服務(wù)使用情況信息、網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)安全報警信息、網(wǎng)絡(luò)入侵檢測信息等。

4 系統(tǒng)測試

為驗證系統(tǒng)功能能否正常、穩(wěn)定運行,測試人員運用黑盒測試法,以“系統(tǒng)登錄功能、系統(tǒng)提交功能”為例,設(shè)計相應(yīng)的模塊測試用例,并分析最終測試結(jié)果。系統(tǒng)登錄功能測試用例和系統(tǒng)提交功能測試用例分別如表3、表4所示。

表3 系統(tǒng)登錄功能測試用例

表4 系統(tǒng)提交功能測試用例

測試結(jié)果表明:該系統(tǒng)各個模塊功能均能夠正常運行,功能操作數(shù)據(jù)輸入和輸出結(jié)果均正確,完全符合預(yù)期。

5 結(jié)語

綜上所述,在網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù)的應(yīng)用背景下,本文所設(shè)計的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)主要運用屬性相異度歸并法,預(yù)處理海量日志數(shù)據(jù),同時運用改進(jìn)FP-Growth算法,實現(xiàn)對系統(tǒng)網(wǎng)絡(luò)安全隱患問題的智能化分析和預(yù)警,有效地保證了系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性,完全符合用戶使用需求。但是,該系統(tǒng)還存在以下幾點需要完善的地方,如缺乏對信息系統(tǒng)漏洞修復(fù)方案的制定、缺乏對系統(tǒng)安全攻擊行為的檢測等,技術(shù)人員要重視對這些問題的優(yōu)化和完善,促使本文系統(tǒng)變得更加智能化、先進(jìn)化,從而實現(xiàn)對網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)的有效保護(hù)。