企业集中日志采集服务器的构建及信息安全防御
通过基于集中日志分析的企业网智能网络安全防御模型,就能够很好地解决企业网面临的内网攻击行为的防范和处理问题,以下是小编搜集整理的一篇探究企业集中日志采集服务器信息安全的论文范文,欢迎阅读参考。
一、引言
随着互联网应用的蓬勃发展,企业网信息服务快速增长,网络环境日益复杂。为了保障企业网的高效安全运行,网络安全问题也越来越重要。由于企业网服务对象的特殊性,对于企业网网络攻击经常来自网络内部。
常规的防火墙、入侵监测等安全防护设备,很难针对来自内网的攻击起到应有的保护效果。即使这些设备发现了某些入侵的迹象进行预警,还需要网络管理人员根据相关信息手动地部署防御措施,工作量大,效率比较低,导致网络防御的延迟,给入侵者实施入侵提供了足够多的时间。
二、模型描述
针对上述问题,我们提出并实现了一种基于集中日志分析的企业网智能网络安全防御模型,如图1所示。该模型主要由日志集中采集、日志处理与分析、动态部署网络安全策略组成。
对服务器、防火墙、交换机等关键设备日志进行集中管理,然后针对相关日志进行有效的分析,根据日志分析结果对入侵行为进行预警,并及时自动地部署相应的防御策略ACL(AccessControlList)。该模型能够在网络入侵者真正实现入侵之前,及时地、有针对性地实施网络安全控制策略,从而提供有力的网络的安全保证。【图1】
三、集中日志采集服务器的构建
日志采集服务采用符合RFC3164规范的rsyslog,使用or-acle作为后台数据库。rsyslog兼容传统的syslog程序,但是rsyslog支持多线程,支持数据库存储,支持定制化的模块添加,这些特性使得rsyslog适合做集中的日志服务器,而且对非标准的日志格式具有良好的适应性和扩展性。
1.支持syslog格式设备的日志采集。支持syslog格式设备需要在该设备中配置集中日志采集服务器的IP地址和端口以及对应的传输协议,并根据关心的安全问题,在对应的策略上开启日志服务即可。
2.Linux服务器的日志采集。Linux服务器日志系统默认采用的是syslog,根据安全策略的需求,可以精简日志信息,发送相关的日志信息到集中日志采集服务器。需要配置/etc/sys-log.conf文件,例如:kern.warning@日志采集服务器IP地址在Linux环境上,一般是采用iptables作为服务器的防火墙来实施的。例如,如果关心ssh的远程登录情况,当非法IP尝试SSH登录将产生警告日志:
(1)配置产生log的链。
iptables-NLOG_DROP
iptables-ALOG_ACCEPT-jLOG--log-level4--log-
prefix"[IPTABLESACCEPT]:"#--log-prefix添加日志前
缀--log-level指定日志等级,4的含义为warning
iptables-ALOG_DROP-jRETURN
(2)配置iptables的22端口log。
iptables-AINPUT-sx.x.x.x-ptcp--dport22-jAC-
CEPT#允许访问的ip
iptables-AINPUT-ptcp-mtcp--dport22-j
LOG_DROP#非法ip访问22端口产生日志
iptables-AINPUT-jDROP
#拒绝其他ip访问22端口
3.Windows服务器日志的收集。Windows的系统日志格式、日志记录方式与RFC3164标准不同。所以,需要第三方软件来将windows系统的日志转换成syslog类型的日志类型,然后转发给日志采集服务器。这里采用evtsys来实现。
4.交换机设备的日志的采集。交换机的日志格式与sys-log的日志格式相同,只需指定接收日志的服务器即可。具体的配置需要参考相关的交换机设备的配置文档。例如,华为交换机的相关配置命令如下:info-centerlogbuffer//向内部缓冲区输出信息info-centerlogbuffersize//定义输出信息的内部缓冲区大小info-centerloghostIP地址//向日志服务器输出信息四日志的预处理和存储。。
日志数据来自不同类型的设备,并且每种类型的设备日志所包含的日志信息也不一样,因此根据不同的日志来源和日志信息进行分类,然后分别进行存储。为了提高效率,日志的预处理和分类存储工作在oracle数据库中进行。通过or-acle存储过程实现对日志进行分类和存储。通过任务队列(DBMS_JOB)定期执行表数据清理、转存等工作,减少运行数据库的数据量,提供系统的数据处理响应速度。
例如Linux服务,iptables防火墙22端口产生的日志如下:
2011-12-05T15:28:46.480798+08:00202.206.32.201
kernel:[IPTABLESDROP]:IN=eth0OUT=MAC=08:00:27:
ab:18:e8:78:1d:ba:89:a5:9d:08:00SRC=192.168.200.78DST=
202.206.32.201LEN=48TOS=0x00PREC=0x00TTL=126
ID=48406DFPROTO=TCPSPT=1886DPT=22WIN-
DOW=65535RES=0x00SYNURGP=0
如前所述,Linux服务器日志收集时,在其连接日志前端添加了日志前缀[IPTABLESDROP],所以,存储过程可以根据这个对这条日志的`解析,选择将此条日志记录的信息保存到对应的存储表中,提供给后面的日志分析程序使用。
四、攻击行为的分析与记录
根据网络攻击行为的特性,或者利用已有的网络攻击行为的特征,生成对应的攻击行为识别规则库。通过规则库与集中日志服务采集到的信息进行匹配,若某些日志信息符合规则库中的某条规则,则判断为网络攻击行为。这个匹配工作,由日志分析程序实时读取日志信息来完成。一旦发现攻击行为,将攻击行为的来源、攻击对象等信息记录到网络攻击信息表中,并以短信、电子邮件方式通知系统管理员。
由于日志信息一般记录了应用层网络行为,所以,网络攻击行为识别规则库主要是标记一些危险的网络行为,例如,端口扫描、密码探测等,而不会涉及数据包的分解和重组。例如,针对Linux系统SSH的22端口的攻击的识别规则如下:
在一段时间T内同一IP地址通过ssh方式连接一台服务器或者多台服务器失败次数超过N次,视该IP地址发起了网络攻击行为。
更全面、更细致地确定网络攻击行为,就需要解析一些危险数据报文的信息。为此,可以在被保护的设备前部署类似snort的入侵检测系统,而入侵检测系统的日志信息也要发送给集中日志服务器,统一管理这些攻击行为信息。日志分析程序可以直接依据入侵检测系统的日志信息,进行网络攻击行为判定,并做出相应的动作。
五、动态生成和部署ACL(AccessControlList)
一旦发现攻击行为将对攻击源实行全面的封锁,不允许其任何数据流出靠近其的支持ACL网络设备。当日志分析程序确定网络攻击行为后,调用网络攻击处理程序进行处理。该程序根据攻击源的IP地址信息,通过事先定制的ACL模板,生成对应的ACL规则,并通过telnet或者ssh方式自动登录后,将这些规则应用到离攻击源最近的支持ACL的网络设备上,阻止该网络攻击行为进一步发生。对于Linux服务器而言,可以动态地生成iptables规则,阻止攻击源IP访问该服务器。
系统管理员通过告警显示界面,对网络攻击行为及ACL执行的情况进行查询。一旦网络攻击行为被处理和解决,再通过网络攻击处理程序撤销原先在网络设备上部署的ACL策略。
ACL模板依据不同设备的不同ACL语法定制,每个设备的ACL模板包含应用ACL和撤销ACL两种模板。网络攻击处理程序根据日志分析程序产生的攻击源的IP地址信息,模板中的攻击源IP进行替换,生成对应的ACL语句。例如,华为交换机的ACL模板如下:
system-view//进入系统模式
acl3000//进入ACL列表
ruledenyipsourceATTACKIP0//添加ACL规则
quit//退出ACL列表
//重新部署ACL
traffic-filtervlan1inboundacl3000
六、结语
通过基于集中日志分析的企业网智能网络安全防御模型,就能够很好地解决企业网面临的内网攻击行为的防范和处理问题。该模型能够通过采集各个系统及设备的日志信息和分析处理,帮助系统管理人员及时发现安全隐患,并对网络攻击行为自动地做出相关防御措施的响应。这样,提高了网络的安全防护强度,降低维护网络安全的工作强度。该模型不仅限于企业网的实施,也可以应用于其他网络环境比较复杂的园区网中。在日志分析过程中,如果应用数据挖掘及行为模式识别技术,就可以实现对网络攻击行为的感知和预警,从而进一步提高该模型的智能化水平。
【企业集中日志采集服务器的构建及信息安全防御】相关文章:
4.旅游信息采集简历