智能化无线网关安全审计系统网络毕业论(2)

　　4、日志与报警模块的实现

　　(1)日志审计模块的处理流程

　　(2)规则库生成的实现

　　安全审计系统所采用的审计方法主要是基于对日志信息的异常检测，即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在。该方法的优点是无需了解系统的缺陷，有较强的适应性。

　　这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络及操作规则的数据库。规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成。首先系统从数据采集点采集数据，将数据进行处理后放入审计数据库，通过执行安全审计读入规则库来发现入侵事件，将入侵时间记录到入侵时间数据库，而将正常日志数据的访问放入安全的日志库，并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库。可以不停地重复上述过程，不断地进行自我学习的过程，同时不断更新规则库，直到规则库达到稳定。

　　(3)日志信息审计的实现

　　日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分。在对日志进行审计之前，我们首先要对其进行处理，按不同的类别分别接收到日志信息数据库的不同数据表中。此外，由于我们所捕获的日志信息非常庞大，而系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上。而这些记录中存在的大量冗余信息，在对它们进行的操作处理时必将造成巨大的资源浪费，降低了审计的效率。因此有必要在进行审计分析之前尽可能减少这些冗余信息。所以，我们在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录，从而大大减少日志记录的数目，同时大大提高日志信息的含金量，以提高系统的效率。采用的方式就是将收集到的日志分为不同类别的事件，各个事件以不同的标识符区分，在存放日志的数据库中将事件标识设为主键，如有同一事件到来则计数加一，这样就可以大大降低日志信息的冗余度。

　　在日志信息经过预处理之后，我们就可以对日志信息进行审计了。审计的方法主要是将日志信息与规则库中的规则进行对比，如图3所示，对于检测出的不合规则的记录，即违反规则的小概率事件，我们记录下其有效信息，如源，目的地址等作为一个标识，并对其设置一怀疑度。随着日志审计的进行，如果属于该标识的异常记录数目不断增加而达到一定程度，即怀疑度超过一定阈值，我们则对其产生报警信息。

　　四、数据挖掘相关技术

　　数据挖掘是一个比较完整地分析大量数据的过程，它一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等，它是一个迭代的过程，通过不断调整方法和参数以求得到较好的模型。

　　本系统中的有学习能力的数据挖掘方法，主要采用了三个算法：

　　（1）分类算法　该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”。本系统中先收集足够多的正常审计数据，产生一个“判别器”来对将来的数据进行判别，决定哪些是正常行为，哪些是入侵或非法操作。

　　（2）相关性分析　主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联，为决定安全审计系统的特征提供很重要的依据。

　　（3）时间序列分析　该算法用来建立本系统的时间顺序模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的，这些所获取的常用时间标准模型可以用来定义网络事件是否正常。

　　本系统通过改进syslog机制，使无线网关的日志记录更加完善，采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习，获得正常访问模式的规则库，检测网络入侵行为和非法操作，减少人为的知觉和经验的参与，减少了误报出现的可能性。该系统结构灵活，易于扩展，具有一定的先进性和创新性。此外，使用规则合并可以不断更新规则库，对新出现的攻击方式也可以在最快的时间内做出反应。下一步的工作是进一步完善规则库的生成以及审计的算法，增强系统对攻击的自适应性，提高系统的执行效率。

参考文献

[1]Branch,JW,Petroni,NL,VanDoorn,L.,Safford,D.,Auto-nomic802.11WirelessLANSecurityAuditing,IEEESecurity&Privacy,May/June 2004,pp.56-65.

[2]李承，王伟钊.　基于防火墙日志的网络安全审计系统研究与实现.工程　2002.6.

[3]刘.无线网络安全防护.出版社　2003.1.

[4]毛国君.数据挖掘原理与算法.清华大学出版社　2005.6.