分布式事件監(jiān)控系統(tǒng)-作品簡介

1、2013 年大學(xué)生作品簡介競賽系統(tǒng)作品名稱：分布式事件寒組長：組員：、 提交日期：2013/07/20填寫說明1. 所有參賽項目必須為一個基本完整的設(shè)計。參賽作品簡介旨在能夠清晰準(zhǔn)確地闡述（或圖示）該參賽隊的參賽項目（或方案）。2. 參賽作品簡介采用A4紙撰寫。除標(biāo)題外，所有內(nèi)容必需為宋體、小四號字、1.5倍行距。3. 參賽作品簡介不超過6頁A4紙。4. 參賽作品簡介模板里已經(jīng)列的內(nèi)容參考，作者也可以多加內(nèi)容。一. 摘要計算機問題是隨著網(wǎng)絡(luò)的發(fā)展而產(chǎn)生的，隨著網(wǎng)絡(luò)規(guī)模的飛速發(fā)展，結(jié)構(gòu)日趨復(fù)雜，應(yīng)用領(lǐng)域不斷擴大，出于各種目的，盜用資源、竊取、破壞網(wǎng)絡(luò)的肇事者也越來越多，事件呈現(xiàn)迅速增長的趨勢，造

2、成的損失也越來越大。安全問題已經(jīng)成為影響網(wǎng)絡(luò)發(fā)展、特別是商業(yè)應(yīng)用的主要問題，并直接著國家和社會的安全。近年來，盡管對計算機安全的研究取得了很大進(jìn)展，但安全計算機系統(tǒng)的實現(xiàn)和仍然非常，因為無法確保系統(tǒng)的安全性達(dá)到某一確定的安全級別。者可以通過利用系統(tǒng)中的安全侵入系統(tǒng)，即使能夠設(shè)計一種極其安全的系統(tǒng)，用新系統(tǒng)替代現(xiàn)有系統(tǒng)需付出極大的遷移代價，所以這種采用新的安全系統(tǒng)替代現(xiàn)有系統(tǒng)的方案事實上很難得到實施。另一方面，通過增加新功能模塊對現(xiàn)有系統(tǒng)進(jìn)行升級的方案卻又不斷地引入新的系統(tǒng)安全缺陷?；谏鲜鰡栴}，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。檢測就是這

3、樣一類系統(tǒng)。如果系統(tǒng)遭到，只要盡可能地檢測到，甚至是實時的檢測到，然后采取適當(dāng)?shù)奶幚泶胧?，便可以最大程度的保護(hù)系統(tǒng)和降低系統(tǒng)被時受到的損失。本次比賽小組設(shè)計與開發(fā)的分布式事件系統(tǒng)（以下簡稱本系統(tǒng)）就是根據(jù)上述理念實施的。它可以實時一個網(wǎng)絡(luò)內(nèi)發(fā)生的各類安全事件。采用分布式架構(gòu)，由若干個分析器（傳感器）和一個服務(wù)器組成，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的行為，并且以友好的界面向管理員展示，方便管理員對行為及時做出反應(yīng)，降低甚至避免行為造成的損失。本系統(tǒng)整體分為分析器和服務(wù)器兩大部分。分析器采用linux操作系統(tǒng)，發(fā)行版本為centos，使用開源snort作為檢測引擎，通過分析網(wǎng)絡(luò)內(nèi)的流量來檢測網(wǎng)絡(luò)內(nèi)發(fā)生的安全事件，

4、將檢測結(jié)果存至本系統(tǒng)的服務(wù)器中。服務(wù)器采用windows操作系統(tǒng)，使用作為數(shù)據(jù)庫，tomcat作為web服務(wù)器，其中部署一個小組自行設(shè)計和開發(fā)的java web程序?qū)?shù)據(jù)庫中的安全事件進(jìn)行分析并且以友好的界面向管理員展示，管理員可以在任何地點此web程序。二. 相關(guān)工作由于本系統(tǒng)規(guī)模比較大，為了更好的設(shè)計與實現(xiàn)本系統(tǒng)，小組做了大量的前期研究工作，在實際開發(fā)中也遇到了很多問題，不過在的努力下仍然按照預(yù)期目標(biāo)成功的完成了此次作品。首先，研究了一些網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和基于流量分析的網(wǎng)絡(luò)檢測的原理，嘗試自己開發(fā)流量檢測分析引擎，但是由于小組數(shù)量及時間有限，嘗試了很多方案之后，最終決定使用開源snort作為基

5、礎(chǔ)，在snort之上對它進(jìn)行二次開發(fā)，這樣便可以提高檢測效率以及投入資源在安全事件分析和展示方面。其次，作為本系統(tǒng)最重要的部分，如何設(shè)計安全事件展示成果，使管理員更方便的了解網(wǎng)絡(luò)內(nèi)安全事件成為的研究重點研究了此類系統(tǒng)中廣泛使用的BASE(Basicysis and Security Engine)后，發(fā)現(xiàn)該雖然可以良好的統(tǒng)計和顯示各類安全事件發(fā)生的詳細(xì)情況，但缺少一種更為直觀的顯示方式，所以本系統(tǒng)以此作為重點，采用了JFreeChart圖形報表引擎和Map API等技術(shù)，以更加直觀的方式，將檢測結(jié)果顯示給管理員，使管理員更方便的查看網(wǎng)絡(luò)內(nèi)各種安全事件的統(tǒng)計信息和詳細(xì)情況。最后，小組對本系統(tǒng)進(jìn)行

6、了綜合測試，較為理想，實現(xiàn)了預(yù)期目標(biāo)。三. 本作品的研究內(nèi)容本次比賽小組設(shè)計與開發(fā)的分布式事件系統(tǒng)（以下簡稱本系統(tǒng)）?？梢詫崟r一個網(wǎng)絡(luò)內(nèi)發(fā)生的各類安全事件。采用分布式架構(gòu)，由若干個分析器（傳感器）和一個服務(wù)器組成，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的行為，并且以友好的界面向管理員展示，方便管理員對行為及時做出反應(yīng)，降低甚至避免行為造成的損失。一、基于流量分析的檢測本系統(tǒng)使用基于開源snort 進(jìn)行二次開發(fā)的程序作為流量分析以及安全事件檢測引擎，具有較高的檢測效率以及可以獲取 snort規(guī)則的支持。通過輸出日志文件以及程序自動將日志文件中的信息自行設(shè)計的數(shù)據(jù)庫中，以便以 Web 方式向管理員展示檢測結(jié)果。二、檢測結(jié)

7、果的可視化本系統(tǒng)采用 WEB 應(yīng)用的方式來處理和呈現(xiàn)數(shù)據(jù)。這樣管理員只需在任意一臺設(shè)備問該 WEB 服務(wù)器，即可查看本系統(tǒng)檢測出的結(jié)果，非常方便。為了使管理員更直觀的查看檢測結(jié)果，本系統(tǒng)通過以下幾種方式呈現(xiàn)：1、統(tǒng)計圖查看本系統(tǒng)將檢測出的安全事件進(jìn)行分類統(tǒng)計，以柱狀統(tǒng)計圖的方式向管理員呈現(xiàn)一天內(nèi)，一周內(nèi)，各種安全事件發(fā)生的頻率，以便管理員及時了解網(wǎng)絡(luò)內(nèi)的安全動態(tài)。2、列表查看統(tǒng)計圖查看只能查看某個時間段內(nèi)某種安全事件發(fā)生的次數(shù)，而列表查看可以方便的查看具體的某次安全事件的詳情。3、地圖查看地圖查看可以方便的定位安全事件發(fā)生的地點，使管理員可以方便的對者進(jìn)行定位。三、檢測結(jié)果的統(tǒng)計與分析本系統(tǒng)除

8、了對檢測結(jié)果進(jìn)行了可視化開發(fā)外，還可以用來對檢測結(jié)果進(jìn)行分析，如某一時間段內(nèi)某一網(wǎng)段大量，或者某一 ip 經(jīng)常發(fā)出。管理員可以通過這些分析結(jié)果發(fā)現(xiàn)一定的規(guī)律，從而更好的采取一些措施。四. 實驗及結(jié)果本系統(tǒng)經(jīng)過一系列綜合測試，較好的完成了預(yù)期目標(biāo)，可以有效檢測出各類安全事件并將結(jié)果友好的進(jìn)行顯示。由于篇幅有限，以下僅列出部分測試截圖。圖 4.1 檢測日志截圖圖 4.1 圖形頁面截圖圖 4.2 地圖頁面截圖五. 創(chuàng)新點總結(jié)一、一般用戶在部署 Snort 時都會搭配使用BASE(Basicysis andSecurity Engine,前身為 ACID)作為分析引擎。它是一個基于的數(shù)據(jù)庫分析控制臺，

9、可以搜索和處理不同 IDS，網(wǎng)絡(luò)監(jiān)視工具所生成的安全事件數(shù)據(jù)庫，并且通過 Web 方式向管理員展現(xiàn)檢測結(jié)果。在相當(dāng)長的一段時間內(nèi)，snort+BASE 成為用戶最喜愛一種搭配，部署在各個網(wǎng)絡(luò)內(nèi)。然而，隨著時間的推移，snort 現(xiàn)如今已經(jīng)更新到了 2.9.4 版本，而遺憾的是，snort 自從 2.9.3 版本開始，不再支持?jǐn)?shù)據(jù)庫輸出插件，這直接導(dǎo)致了 BASE系統(tǒng)無法繼續(xù)正常使用，所以，開發(fā)一套適應(yīng) snort特性的類似系統(tǒng)成為了當(dāng)務(wù)之急。本系統(tǒng)有效彌補了snort 自從2.9.3 以及之后的版本無法直接將檢測結(jié)果插入數(shù)據(jù)庫導(dǎo)致 BASE 系統(tǒng)無法使用的缺憾。二、在現(xiàn)有的各種檢測系統(tǒng)中，sn

10、ort 是最為廣泛使用的一種檢測系統(tǒng)，它具有源代碼開放，使用免費，適應(yīng)多種等優(yōu)點，深受眾多用戶喜愛。但是 snort 也有一些之處，它在工作時檢測到安全事件后通過屏幕打印，日志，數(shù)據(jù)庫等方式輸出結(jié)果，但是管理員在閱讀這些時非常不方便，缺少一種更為直觀，更為人性化的顯示方式。本系統(tǒng)在 snort 的基礎(chǔ)之上對它進(jìn)行二次開發(fā)，相比類似系統(tǒng)擁有更好的界面與操作性，對檢測結(jié)果的呈現(xiàn)更加直觀，使得管理員更加方便的網(wǎng)絡(luò)內(nèi)的安全事件。六. 未來工作一、對現(xiàn)有功能進(jìn)行優(yōu)化，使算法更快捷，顯示效果更美觀。二、對檢測結(jié)果進(jìn)行更深度的分析，根據(jù)檢測結(jié)果研究規(guī)律。參考文獻(xiàn)1.自動響應(yīng)技術(shù)研究.計算機工程.2005,3

11、1(18):143-1452.網(wǎng)絡(luò)檢測原理與技術(shù)（第 2 版）.理工大學(xué).2010-6-13瑄.分布式檢測技術(shù)的研究.郵電大學(xué)學(xué)報,2002,25(2):68-734（美）.Snort檢測實用解決方案.機械工業(yè).2005-1-15等.Snort 輕量級檢測系統(tǒng)全攻略.郵電大學(xué).2009-7-16（美）埃.Java 編程.機械工業(yè).2007-6-17劉京華 等.Java Web 整合開發(fā) 王者歸來.2010-1-18.數(shù)據(jù)庫系統(tǒng)概論.高等教育.2006-5-49WorldWide Web Consortium“ExtensibleMarkup Language (XML) 1.0”，W3C XML,February 1