無線網(wǎng)關(guān)安全審計系統(tǒng)的設(shè)計與實現(xiàn)樣本

年4月19日無線網(wǎng)關(guān)安全審計系統(tǒng)的設(shè)計與實現(xiàn)文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。無線網(wǎng)關(guān)安全審計系統(tǒng)的設(shè)計與實現(xiàn)論文摘要：提出了無線網(wǎng)關(guān)安全審計系統(tǒng)的系統(tǒng)模型,介紹了該系統(tǒng)的設(shè)計思想,從數(shù)據(jù)的控制、數(shù)據(jù)的采集、日志的歸類、日志的審計與報警4個方面描述了設(shè)計流程.在系統(tǒng)中經(jīng)過改進syslog機制,引入有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù),實現(xiàn)對無線網(wǎng)關(guān)的安全審計.0引言無線網(wǎng)關(guān)是無線網(wǎng)絡(luò)與布線網(wǎng)絡(luò)之間的橋梁,所有的通信都必須經(jīng)過無線網(wǎng)關(guān)的審計與控制.在無線網(wǎng)絡(luò)中,無線網(wǎng)關(guān)放置在無線網(wǎng)絡(luò)的邊緣,相當(dāng)于無線網(wǎng)絡(luò)的大門,當(dāng)無線網(wǎng)關(guān)遭到攻擊和入侵時,災(zāi)難會殃及整個無線網(wǎng)絡(luò),使無線網(wǎng)絡(luò)不能工作或異常工作,由此可見,對無線網(wǎng)關(guān)進行安全審計是十分有意義的.本文中研究的安全審計系統(tǒng)是北京市重點實驗室科、研項目“智能化無線安全網(wǎng)關(guān)”的一部分.智能化無線安全網(wǎng)關(guān)在無線網(wǎng)關(guān)上集成具有IDS和防火墻功能的模塊,以及控制和阻斷模塊,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎(chǔ)上,既各司其職,又密切合作,共同完成防范、預(yù)警、響應(yīng)和自學(xué)習(xí)的功能,構(gòu)成一個有機的安全體系.無線網(wǎng)關(guān)的安全審計系統(tǒng),其主要功能就是在事后經(jīng)過審計分析無線安全網(wǎng)關(guān)的日志信息,識別系統(tǒng)中的異常活動,特別是那些被其它安全防范措施所遺漏的非法操作或入侵活動,并采取相應(yīng)的報告,以有利于網(wǎng)絡(luò)管理員及時有效地對入侵活動進行防范,確保網(wǎng)絡(luò)的安全[1].1系統(tǒng)功能概述無線網(wǎng)關(guān)安全審計系統(tǒng)是針對無線網(wǎng)絡(luò)的安全運作而提出的,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集、日志歸類、日志的審計與報警等幾大基本功能.首先,審計系統(tǒng)的數(shù)據(jù)控制模塊對進出的數(shù)據(jù)信息進行嚴(yán)格的控制,根據(jù)預(yù)定義的規(guī)則進行必要的限制,適當(dāng)?shù)亟档惋L(fēng)險.其次,安全審計系統(tǒng)的數(shù)據(jù)采集模塊收集無線安全網(wǎng)關(guān)的網(wǎng)絡(luò)日志、系統(tǒng)日志及用戶和應(yīng)用日志.隨后,采集部件收集到的日志記錄被送到日志歸類模塊,根據(jù)日志記錄行為的不同層次來進行分類.最后,使用審計與報警模塊對日志記錄進行審計分析.這時能夠根據(jù)預(yù)先定義好的安全策略對海量的日志數(shù)據(jù)進行對比分析,以檢測出無線網(wǎng)關(guān)中是否存在入侵行為、異常行為或非法操作.管理員能夠初始化或變更系統(tǒng)的配置和運行參數(shù),使得安全審計系統(tǒng)具有良好的適應(yīng)性和可操作性.2系統(tǒng)設(shè)計2.1系統(tǒng)結(jié)構(gòu)組成(見圖1)2.2設(shè)計思想系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,從“正?！钡娜罩緮?shù)據(jù)中發(fā)掘“正常”的網(wǎng)絡(luò)通信模式,并和常規(guī)的一些攻擊規(guī)則庫進行關(guān)聯(lián)分析,達(dá)到檢測網(wǎng)絡(luò)入侵行為和非法操作的目的.2.3系統(tǒng)的詳細(xì)設(shè)計系統(tǒng)的處理流程如圖2所示:2.3.1數(shù)據(jù)的控制.數(shù)據(jù)控制模塊使用基于Netfilter架構(gòu)的防火墻軟件iptables對進出的數(shù)據(jù)信息進行嚴(yán)格的控制,適當(dāng)?shù)亟档惋L(fēng)險.2.3.2數(shù)據(jù)的采集.數(shù)據(jù)采集模塊,即日志的采集部件.為了實現(xiàn)日志記錄的多層次化,需要記錄網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和用戶等各種行為來全面反映黑客的攻擊行為,因此在無線安全網(wǎng)關(guān)中設(shè)置了多個數(shù)據(jù)捕獲點,其中主要有系統(tǒng)審計日志、安全網(wǎng)關(guān)日志、防火墻日志和入侵檢測日志4種.2.3.3日志的歸類.日志歸類模塊主要是為了簡化審計時的工作量而設(shè)計的,它的主要功能是根據(jù)日志記錄行為的不同層次來進行分類,將其歸為網(wǎng)絡(luò)行為、系統(tǒng)行為、應(yīng)用行為、用戶行為中的一種,同時進行時間歸一化.進行日志分類目的是對海量信息進行區(qū)分,以提高日志審計時的分析效率.2.3.4日志審計與報警.日志審計與報警模塊側(cè)重對日志信息的事后分析.該模塊的主要功能是對網(wǎng)關(guān)日志信息進行審計分析,即將收到的日志信息經(jīng)過特定的策略進行對比,以檢測出不合規(guī)則的異常事件.隨著審計過程的進行,若該異常事件的可疑度不斷增加以致超過某一閾值時,系統(tǒng)產(chǎn)生報警信息.該模塊包括日志信息的接收、規(guī)則庫的生成、日志數(shù)據(jù)的預(yù)處理、日志審計等幾個功能.

3系統(tǒng)的實現(xiàn)3.1系統(tǒng)的開發(fā)環(huán)境智能無線安全網(wǎng)關(guān)安全審計系統(tǒng)是基于linux操作系統(tǒng)開發(fā)的B/S模式的日志審計系統(tǒng).開發(fā)工具為:前臺:WindowsXPprofessional+html+php,后臺:Linux+Apache+Mysql+C++.3.2日志歸類模塊的實現(xiàn)[2-3]無線網(wǎng)關(guān)的日志采用linux的syslog機制進行記錄,sys-log記錄的日志中日期只包含月和日,沒有年份.在該模塊中,對日志記錄的syslog機制進行一些改進,克服其在日志中不能記錄年的問題.下面以無線網(wǎng)關(guān)的日志為例,說明其實現(xiàn)過程.網(wǎng)關(guān)日志的保存文件為gw.log,用一個shell腳本,在每月的第一天零點,停止syslogd進程,在原來的文件名后面加上上一個月的年和月,如gw.log03,再新建一個gw.log用于記錄當(dāng)月的日志,再重啟syslogd記錄日志.這樣就把每月的日志存放在有標(biāo)志年月的文件中,再利用C++處理一下,在記錄中加入文件名中的年份.3.3日志審計與報警模塊的實現(xiàn)3.3.1日志審計模塊的處理流程(見圖3).3.3.2規(guī)則庫生成的實現(xiàn).安全審計系統(tǒng)所采用的審計方法主要是基于對日志信息的異常檢測,即經(jīng)過對當(dāng)前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權(quán)操作的存在.該方法的優(yōu)點是無需了解系統(tǒng)的缺陷,有較強的適應(yīng)性.這里所說的規(guī)則庫就是指存儲在檢測異常數(shù)據(jù)時所要用到的正常的網(wǎng)絡(luò)通信及操作規(guī)則的數(shù)據(jù)庫.規(guī)則庫的建立主要是對正常的日志信息經(jīng)過數(shù)據(jù)挖掘的相關(guān)算法進行挖掘來完成.首先系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,經(jīng)過執(zhí)行安全審計讀入規(guī)則庫來發(fā)現(xiàn)入侵事件,將入侵時間記錄到入侵時間數(shù)據(jù)庫,而將正常日志數(shù)據(jù)的訪問放入安全的歷史日志庫,并經(jīng)過數(shù)據(jù)挖掘來提取正常的訪問模式.最后經(jīng)過舊的規(guī)則庫、入侵事件以及正常訪問模式來獲得最新的規(guī)則庫.能夠不停地重復(fù)上述過程,不斷地進行自我學(xué)習(xí)的過程,同時不斷更新規(guī)則庫,直到規(guī)則庫達(dá)到穩(wěn)定.3.3.3日志信息審計的實現(xiàn).日志審計主要包括日志信息的預(yù)處理和日志信息的異常檢測兩個部分.在對日志進行審計之前,首先要對其進行處理,按不同的類別分別接收到日志信息數(shù)據(jù)庫的不同數(shù)據(jù)表中.另外,由于所捕獲的日志信息非常龐大,系統(tǒng)中幾乎所有的分析功能都必須建立在對這些數(shù)據(jù)記錄進行處理的基礎(chǔ)上,而這些記錄中存在的大量冗余信息,在對它們進行的操作處理時必將造成巨大的資源浪費,降低了審計的效率,因此有必要在進行審計分析之前盡可能減少這些冗余信息.因此,在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄,從而大大減少日志記錄的數(shù)目,同時大大提高日志信息的含金量,以提高系統(tǒng)的效率.采用的方式就是將收集到的日志分為不同類別的事件,各個事件以不同的標(biāo)識符區(qū)分,在存放日志的數(shù)據(jù)庫中將事件標(biāo)識設(shè)為主鍵,如有同一事件到來則計數(shù)加一,這樣就能夠大大降低日志信息的冗余度.

在日志信息經(jīng)過預(yù)處理之后,就能夠?qū)θ罩拘畔⑦M行審計.審計的方法主要是將日志信息與規(guī)則庫中的規(guī)則進行對比,如圖3所示.對于檢測出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件,記錄下其有效信息,如源、目的地址等作為一個標(biāo)識,并對其設(shè)置一懷疑度.隨著日志審計的進行,如果屬于該標(biāo)識的異常記錄數(shù)目不斷增加而達(dá)到一定程度,即懷疑度超過一定閾值,則對其產(chǎn)生報警信息.4數(shù)據(jù)挖掘相關(guān)技術(shù)數(shù)據(jù)挖掘是一個比較完整地分析大量數(shù)據(jù)的過程,一般包括數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)預(yù)處理、建立數(shù)據(jù)挖掘模型、模型評估和解釋等,是一個迭代的過程,經(jīng)過不斷調(diào)整方法和參數(shù)以求得到較好的模型[4].本系統(tǒng)中的有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法主要采用了3種算法:1)分類算法.該算法主要將數(shù)據(jù)影射到事先定義的一個分類之中.這個算法的結(jié)果是產(chǎn)生一個以決策樹或者規(guī)則形式存在的“判別器”.本系統(tǒng)中先收集足夠多的正常審計數(shù)據(jù),產(chǎn)生一個“判別器”來對將來的數(shù)據(jù)進行判別,決定哪些是正常行為,哪些是入侵或非法操作.2)相關(guān)性分析.主要用來決定數(shù)據(jù)庫里的各個域之間的相互關(guān)系.找出被審計數(shù)據(jù)間的相互關(guān)聯(lián),為決定安全審計系統(tǒng)的特征集提供很重要的依據(jù).3)時間序列分析.該算法用來建立本系統(tǒng)的時間順序模型.這個算法有利于理解審計事件的時間序列一般是如何產(chǎn)生的,這些所獲取的常見時間標(biāo)準(zhǔn)模型能夠用來定義網(wǎng)絡(luò)事件是否正常.5結(jié)束語該系統(tǒng)經(jīng)過改進syslog機制,使無線網(wǎng)關(guān)的日志記錄更加完善.采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)對無線網(wǎng)關(guān)正常日志數(shù)據(jù)進行學(xué)習(xí),獲得正常訪問模式的規(guī)則庫,檢測網(wǎng)絡(luò)入侵行為和非法操作,減少人為的知覺和經(jīng)驗的參與,減少了誤報出現(xiàn)的可能性.該系統(tǒng)結(jié)構(gòu)靈活,易于擴展,具有一定的先進性和創(chuàng)新性,另外,使用規(guī)則合并能夠不斷更新規(guī)則庫,對新出現(xiàn)的攻擊方式也能夠在最快的時間內(nèi)做出反應(yīng).下一步的工作是進一步完善規(guī)則庫的生成以及審計的算法,增強系統(tǒng)對攻擊的自適應(yīng)性,提高系統(tǒng)的執(zhí)行效率.參考文獻(xiàn):[1]BranchJW,PetroniNL,DoornVanL,etal.Autonomic802.11WirelessLANSecurityAuditing[J].IEEE