防火墻日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

0 引言 一般而言，防火墻設(shè)備都有日志記錄的功能。這些數(shù)量龐大的日志既記錄沒備運(yùn)行的一般狀態(tài)，也記錄了違背安全規(guī)則等信息。很明顯，如果能及時(shí)準(zhǔn)確分析這些信息，可以對(duì)設(shè)備運(yùn)行狀態(tài)及網(wǎng)絡(luò)安全狀況有清晰的認(rèn)識(shí)，進(jìn)而實(shí)現(xiàn)安全審計(jì)及入侵檢測(cè)等應(yīng)用。要實(shí)現(xiàn)這個(gè)目標(biāo)需要解決幾個(gè)問題，第一個(gè)問題是把日志及時(shí)從防火墻設(shè)備中導(dǎo)出，因?yàn)樵O(shè)備里面的存儲(chǔ)空間有限，所存儲(chǔ)的日志如果不及時(shí)導(dǎo)出。就會(huì)被新日志覆蓋。第二個(gè)問題是自動(dòng)對(duì)日志進(jìn)行處理，例如預(yù)處理，統(tǒng)計(jì)，或者進(jìn)行挖掘。如果僅靠手工進(jìn)行日志分析，效率是非常低下的。最后還需要把處理結(jié)果進(jìn)行存儲(chǔ)，并提供一個(gè)良好的接口供用戶查詢。本文以思科防火墻設(shè)備ASA5505生成的日志為例，根據(jù)其日志的格式特點(diǎn)，給出了預(yù)處理，統(tǒng)計(jì)分析，處理結(jié)果存儲(chǔ)及用戶查詢界面設(shè)計(jì)等一系列流程。最后還給出了一個(gè)基于后臺(tái)程序進(jìn)行日志數(shù)據(jù)處理及以B／S模式提供數(shù)據(jù)查詢的日志分析系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)方法。