- 相關推薦
企業集中日志采集服務器的構建及信息安全防御
通過基于集中日志分析的企業網智能網絡安全防御模型,就能夠很好地解決企業網面臨的內網攻擊行為的防范和處理問題,以下是小編搜集整理的一篇探究企業集中日志采集服務器信息安全的論文范文,歡迎閱讀參考。
一、引言
隨著互聯網應用的蓬勃發展,企業網信息服務快速增長,網絡環境日益復雜。為了保障企業網的高效安全運行,網絡安全問題也越來越重要。由于企業網服務對象的特殊性,對于企業網網絡攻擊經常來自網絡內部。
常規的防火墻、入侵監測等安全防護設備,很難針對來自內網的攻擊起到應有的保護效果。即使這些設備發現了某些入侵的跡象進行預警,還需要網絡管理人員根據相關信息手動地部署防御措施,工作量大,效率比較低,導致網絡防御的延遲,給入侵者實施入侵提供了足夠多的時間。
二、模型描述
針對上述問題,我們提出并實現了一種基于集中日志分析的企業網智能網絡安全防御模型,如圖1所示。該模型主要由日志集中采集、日志處理與分析、動態部署網絡安全策略組成。
對服務器、防火墻、交換機等關鍵設備日志進行集中管理,然后針對相關日志進行有效的分析,根據日志分析結果對入侵行為進行預警,并及時自動地部署相應的防御策略ACL(AccessControlList)。該模型能夠在網絡入侵者真正實現入侵之前,及時地、有針對性地實施網絡安全控制策略,從而提供有力的網絡的安全保證。【圖1】
三、集中日志采集服務器的構建
日志采集服務采用符合RFC3164規范的rsyslog,使用or-acle作為后臺數據庫。rsyslog兼容傳統的syslog程序,但是rsyslog支持多線程,支持數據庫存儲,支持定制化的模塊添加,這些特性使得rsyslog適合做集中的日志服務器,而且對非標準的日志格式具有良好的適應性和擴展性。
1.支持syslog格式設備的日志采集。支持syslog格式設備需要在該設備中配置集中日志采集服務器的IP地址和端口以及對應的傳輸協議,并根據關心的安全問題,在對應的策略上開啟日志服務即可。
2.Linux服務器的日志采集。Linux服務器日志系統默認采用的是syslog,根據安全策略的需求,可以精簡日志信息,發送相關的日志信息到集中日志采集服務器。需要配置/etc/sys-log.conf文件,例如:kern.warning@日志采集服務器IP地址在Linux環境上,一般是采用iptables作為服務器的防火墻來實施的。例如,如果關心ssh的遠程登錄情況,當非法IP嘗試SSH登錄將產生警告日志:
(1)配置產生log的鏈。
iptables-NLOG_DROP
iptables-ALOG_ACCEPT-jLOG--log-level4--log-
prefix"[IPTABLESACCEPT]:"#--log-prefix添加日志前
綴--log-level指定日志等級,4的含義為warning
iptables-ALOG_DROP-jRETURN
(2)配置iptables的22端口log。
iptables-AINPUT-sx.x.x.x-ptcp--dport22-jAC-
CEPT#允許訪問的ip
iptables-AINPUT-ptcp-mtcp--dport22-j
LOG_DROP#非法ip訪問22端口產生日志
iptables-AINPUT-jDROP
#拒絕其他ip訪問22端口
3.Windows服務器日志的收集。Windows的系統日志格式、日志記錄方式與RFC3164標準不同。所以,需要第三方軟件來將windows系統的日志轉換成syslog類型的日志類型,然后轉發給日志采集服務器。這里采用evtsys來實現。
4.交換機設備的日志的采集。交換機的日志格式與sys-log的日志格式相同,只需指定接收日志的服務器即可。具體的配置需要參考相關的交換機設備的配置文檔。例如,華為交換機的相關配置命令如下:info-centerlogbuffer//向內部緩沖區輸出信息info-centerlogbuffersize//定義輸出信息的內部緩沖區大小info-centerloghostIP地址//向日志服務器輸出信息四日志的預處理和存儲。。
日志數據來自不同類型的設備,并且每種類型的設備日志所包含的日志信息也不一樣,因此根據不同的日志來源和日志信息進行分類,然后分別進行存儲。為了提高效率,日志的預處理和分類存儲工作在oracle數據庫中進行。通過or-acle存儲過程實現對日志進行分類和存儲。通過任務隊列(DBMS_JOB)定期執行表數據清理、轉存等工作,減少運行數據庫的數據量,提供系統的數據處理響應速度。
例如Linux服務,iptables防火墻22端口產生的日志如下:
2011-12-05T15:28:46.480798+08:00202.206.32.201
kernel:[IPTABLESDROP]:IN=eth0OUT=MAC=08:00:27:
ab:18:e8:78:1d:ba:89:a5:9d:08:00SRC=192.168.200.78DST=
202.206.32.201LEN=48TOS=0x00PREC=0x00TTL=126
ID=48406DFPROTO=TCPSPT=1886DPT=22WIN-
DOW=65535RES=0x00SYNURGP=0
如前所述,Linux服務器日志收集時,在其連接日志前端添加了日志前綴[IPTABLESDROP],所以,存儲過程可以根據這個對這條日志的解析,選擇將此條日志記錄的信息保存到對應的存儲表中,提供給后面的日志分析程序使用。
四、攻擊行為的分析與記錄
根據網絡攻擊行為的特性,或者利用已有的網絡攻擊行為的特征,生成對應的攻擊行為識別規則庫。通過規則庫與集中日志服務采集到的信息進行匹配,若某些日志信息符合規則庫中的某條規則,則判斷為網絡攻擊行為。這個匹配工作,由日志分析程序實時讀取日志信息來完成。一旦發現攻擊行為,將攻擊行為的來源、攻擊對象等信息記錄到網絡攻擊信息表中,并以短信、電子郵件方式通知系統管理員。
由于日志信息一般記錄了應用層網絡行為,所以,網絡攻擊行為識別規則庫主要是標記一些危險的網絡行為,例如,端口掃描、密碼探測等,而不會涉及數據包的分解和重組。例如,針對Linux系統SSH的22端口的攻擊的識別規則如下:
在一段時間T內同一IP地址通過ssh方式連接一臺服務器或者多臺服務器失敗次數超過N次,視該IP地址發起了網絡攻擊行為。
更全面、更細致地確定網絡攻擊行為,就需要解析一些危險數據報文的信息。為此,可以在被保護的設備前部署類似snort的入侵檢測系統,而入侵檢測系統的日志信息也要發送給集中日志服務器,統一管理這些攻擊行為信息。日志分析程序可以直接依據入侵檢測系統的日志信息,進行網絡攻擊行為判定,并做出相應的動作。
五、動態生成和部署ACL(AccessControlList)
一旦發現攻擊行為將對攻擊源實行全面的封鎖,不允許其任何數據流出靠近其的支持ACL網絡設備。當日志分析程序確定網絡攻擊行為后,調用網絡攻擊處理程序進行處理。該程序根據攻擊源的IP地址信息,通過事先定制的ACL模板,生成對應的ACL規則,并通過telnet或者ssh方式自動登錄后,將這些規則應用到離攻擊源最近的支持ACL的網絡設備上,阻止該網絡攻擊行為進一步發生。對于Linux服務器而言,可以動態地生成iptables規則,阻止攻擊源IP訪問該服務器。
系統管理員通過告警顯示界面,對網絡攻擊行為及ACL執行的情況進行查詢。一旦網絡攻擊行為被處理和解決,再通過網絡攻擊處理程序撤銷原先在網絡設備上部署的ACL策略。
ACL模板依據不同設備的不同ACL語法定制,每個設備的ACL模板包含應用ACL和撤銷ACL兩種模板。網絡攻擊處理程序根據日志分析程序產生的攻擊源的IP地址信息,模板中的攻擊源IP進行替換,生成對應的ACL語句。例如,華為交換機的ACL模板如下:
system-view//進入系統模式
acl3000//進入ACL列表
ruledenyipsourceATTACKIP0//添加ACL規則
quit//退出ACL列表
//重新部署ACL
traffic-filtervlan1inboundacl3000
六、結語
通過基于集中日志分析的企業網智能網絡安全防御模型,就能夠很好地解決企業網面臨的內網攻擊行為的防范和處理問題。該模型能夠通過采集各個系統及設備的日志信息和分析處理,幫助系統管理人員及時發現安全隱患,并對網絡攻擊行為自動地做出相關防御措施的響應。這樣,提高了網絡的安全防護強度,降低維護網絡安全的工作強度。該模型不僅限于企業網的實施,也可以應用于其他網絡環境比較復雜的園區網中。在日志分析過程中,如果應用數據挖掘及行為模式識別技術,就可以實現對網絡攻擊行為的感知和預警,從而進一步提高該模型的智能化水平。
【企業集中日志采集服務器的構建及信息安全防御】相關文章:
信息構建與知識構建06-03
企業信息安全管理體系構建的要點與策略論文06-29
數據挖掘理論在數據采集中的運用07-11
新時期信息安全主動防御系統研究論文08-30
構建企業項目管理支持信息系統初探08-06
構建現代企業物流戰略構建現代企業10-22
探討企業的信息安全09-30
交通量數據采集中藍牙通信的實現09-18
交通信息采集技術論文09-20
如何培育和構建企業安全文化07-12