智能化无线网关安全审计系统的设计与实现(3)

　　在日志信息经过预处理之后,就可以对日志信息进行.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.

　　4　数据挖掘相关技术

　　数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].

　　本系统中的有学习能力的数据挖掘方法主要采用了3种算法:

　　1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.

　　2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.

　　3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.

　　5　结束语

　　该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.

参考文献:

[1]　Branch J W, Petroni N L, Doorn Van L, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.

[2]　李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[J].工程,2002,28(6):17-19.

[3]　刘.无线网络安全防护[M].北京:出版社,2003.

[4]　毛国君.数据挖掘原理与算法[M].北京:清华大学出版社,2005.