基于Web日志的入侵檢測系統(tǒng)實現(xiàn)

【摘要】隨著Internet不斷發(fā)展，網(wǎng)絡(luò)上的Web服務(wù)器安全狀況愈發(fā)嚴峻，而web日志文件對于及早發(fā)現(xiàn)入侵痕跡從而及時修復(fù)網(wǎng)站漏洞有重要意義。本文分析了國內(nèi)外一些流行的日志分析系統(tǒng)，分別介紹了IIS服務(wù)器與Apache服務(wù)器，并提出針對日志分析入侵檢測的關(guān)鍵技術(shù)及解決思路，以B/S為架構(gòu)搭建的Django框架，同時使用非關(guān)系數(shù)據(jù)庫MongoDB數(shù)據(jù)庫，大大提高了日志分析效率，最后分模塊對整個系統(tǒng)進行設(shè)計，達成預(yù)期要求。

【關(guān)鍵詞】Web安全；日志分析；入侵檢測；特征匹配

1.引言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，我國網(wǎng)站數(shù)量持續(xù)增長，網(wǎng)站所面臨的安全問題卻愈發(fā)嚴重。而網(wǎng)絡(luò)攻擊者針對網(wǎng)站的所有操作像其他正常用戶的操作一樣，均會被服務(wù)器日志詳細記錄。因此，日志文件對于及早發(fā)現(xiàn)入侵痕跡非常重要。但由于網(wǎng)站服務(wù)器產(chǎn)生的日志文件過于龐大，網(wǎng)站管理人員沒有精力對日志文件進行詳細分析。因此，網(wǎng)站管理者急需一款能夠進行日志分析的軟件，來幫助他們進行入侵檢測和網(wǎng)站優(yōu)化。

2.web服務(wù)器軟件簡介

2.1 IIS服務(wù)器軟件

Internet Information Services（IIS，互聯(lián)網(wǎng)信息服務(wù)），是由微軟公司提供的基于運行Microsoft Windows操作系統(tǒng)的互聯(lián)網(wǎng)基本服務(wù)。最初是Windows NT版本的可選包，隨后內(nèi)置在Windows 2000、Windows XP Professional和Windows Server 2003一起發(fā)行，但在Windows XP Home版本上并沒有IIS。Windows 2003內(nèi)置有IIS6.0。Windows Vista、win7、20008操作系統(tǒng)下可以使用IIS7和IIS 7.5，Windows8中默認為IIS8，其中，IIS8延續(xù)IIS7的界面風格。現(xiàn)在使用最廣泛的是IIS6.0。

2.2 Apache服務(wù)器軟件

Apache源自于NCSA所開發(fā)的httpd。自從1996年4月以后，Apache就成為了Web服務(wù)器領(lǐng)域應(yīng)用最為廣泛的軟件。

Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。Apache軟件被廣泛使用的原因是Apache軟件的跨平臺性和安全性，Apache軟件可以運行在幾乎所有廣泛使用的計算機平臺上。

3.關(guān)鍵技術(shù)及解決思路

3.1 系統(tǒng)架構(gòu)設(shè)計

系統(tǒng)架構(gòu)是一個系統(tǒng)是否能滿足用戶需求、是否方便部署與擴展功能的基礎(chǔ)。一個運行穩(wěn)定的系統(tǒng)需要一個好的架構(gòu)設(shè)計來保證。

3.1.1 B/S架構(gòu)

B/S架構(gòu)（Browser/Server，瀏覽器/服務(wù)器模式），是Web興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式，Web瀏覽器是一種客戶端的應(yīng)用軟件。這種方式最大的作用在于統(tǒng)一了客戶端，將系統(tǒng)主要的功能集中到服務(wù)器上，從而簡化了整套系統(tǒng)的研發(fā)和運行維護。

本系統(tǒng)擬采用B/S架構(gòu)，這樣一是滿足了大數(shù)據(jù)量處理的需求，而是方便了用戶的使用，可以跨平臺提供日志分析服務(wù)，只需要用戶裝有瀏覽器即可。而B/S架構(gòu)面臨的局限便是上傳日志文件的網(wǎng)速問題，但隨著互聯(lián)網(wǎng)的發(fā)展，這個問題將會得到好的解決。

3.1.2 Django框架

為了系統(tǒng)的穩(wěn)定與快速地開發(fā)，本系統(tǒng)采用Python腳本語言來編寫Django開源框架。

Django是一個Python定制的框架，它支持Apache運行，它也能夠運行在支持WSG、FastCGI的服務(wù)器上，并支持多種數(shù)據(jù)庫。Django同時重視代碼的重用，組件也可以比較容易的以“插件”形式應(yīng)用于整套系統(tǒng)，Django也包含了很多功能良好的第三方插件，有用非常好的可擴展性。

3.2 大數(shù)據(jù)量日志處理

3.2.1 數(shù)據(jù)預(yù)處理

面對大數(shù)據(jù)量的Web日志，如何有效地處理是一個關(guān)鍵性的問題。首先日志文件中99%的都是正常訪問信息，但是并不意味著我們可以把這些全部去掉。因為正常的訪問信息也是統(tǒng)計分析的關(guān)鍵文料。[3]但是我們可以盡量通過數(shù)據(jù)預(yù)處理減少日志文件中的冗余條目和字段。從而減少系統(tǒng)的分析負擔，加快分析速度。因此我們需要一套高效的數(shù)據(jù)預(yù)處理策略。

3.2.2 非關(guān)系型數(shù)據(jù)庫MongoDB

針對Web日志文件數(shù)據(jù)量大，但是是純文本的特點，并且對一些主流數(shù)據(jù)庫進行研究與分析，本系統(tǒng)最終選擇了非關(guān)系型數(shù)據(jù)庫MongoDB。

MongoDB是一款優(yōu)秀的針對文檔存儲的數(shù)據(jù)庫，它提供了高效分布式的存儲方案。它同時具備關(guān)系數(shù)據(jù)庫和非關(guān)系數(shù)據(jù)庫的一些特點。MongoDB能夠比較好得支持不緊密的結(jié)構(gòu)類型，也可以處理結(jié)構(gòu)多樣的數(shù)據(jù)，它是一種面向?qū)ο蟮恼Z言，功能豐富而且能夠方便地建立索引。

3.3 高效的入侵特征值庫

基于日志分析的入侵檢測系統(tǒng)，有一個常規(guī)的分析方法就是特征值匹配。而決定特征值匹配性能的關(guān)鍵在于是否有一個高效全面的入侵特征值庫。

對于入侵特征值庫的建立，一是需要對入侵技術(shù)的經(jīng)驗積累，而是通過本地搭建測試環(huán)境，實地測試和記錄。這里可以通過本地搭建滲透測試演練系統(tǒng)，通過模擬相應(yīng)的入侵行為，研究相應(yīng)的服務(wù)器日志特征。

通過對本地滲透測試平臺的入侵測試，積累不同入侵手段的日志特征。結(jié)合個人安全防護的積累，通過不斷測試和試驗，逐步打造一個高效全面的入侵特征值庫。

4.系統(tǒng)總體設(shè)計

4.1 系統(tǒng)應(yīng)用環(huán)境

系統(tǒng)應(yīng)用環(huán)境如圖1所示。

說明：系統(tǒng)采用B/S架構(gòu)，部署在Internet環(huán)境下。系統(tǒng)由一臺用戶訪問服務(wù)器、一臺數(shù)據(jù)分析中心服務(wù)器和和若干臺數(shù)據(jù)存儲服務(wù)器組成。

服務(wù)器接受用戶訪問，為授權(quán)用戶提供日志分析服務(wù)，接受用戶上傳日志文件。并能夠?qū)⑷罩疚募A(yù)處理后插入數(shù)據(jù)庫中。

數(shù)據(jù)庫部署在若干臺數(shù)據(jù)存儲服務(wù)器上。

數(shù)據(jù)分析中心從數(shù)據(jù)庫中讀取日志信息，通過統(tǒng)計分析引擎和特征值匹配引擎對日志信息進行分析，并將處理結(jié)果存入數(shù)據(jù)庫。

4.2 系統(tǒng)功能組成

系統(tǒng)按功能劃分為5個部分：用戶管理子系統(tǒng)、運行控制子系統(tǒng)、數(shù)據(jù)處理子系統(tǒng)、日志分析子系統(tǒng)、結(jié)果展示子系統(tǒng)。

用戶管理子系統(tǒng)主要完成用戶的注冊和認證功能，運行控制子系統(tǒng)負責整個系統(tǒng)的邏輯調(diào)度，數(shù)據(jù)處理子系統(tǒng)負責接收和預(yù)處理日志文件，日志分析子系統(tǒng)負責對日志信息進行統(tǒng)計分析和特征匹配，結(jié)果展示子系統(tǒng)負責處理日志分析結(jié)果，生成圖表并將最終結(jié)果展示給用戶。

5.結(jié)語

隨著Web技術(shù)的快速發(fā)展和應(yīng)用，各種類型的網(wǎng)站如雨后春筍般出現(xiàn)在Internet上。由于網(wǎng)站管理人員安全意識不夠以及網(wǎng)站開發(fā)技術(shù)的局限性，使得Web服務(wù)器的安全狀況愈發(fā)嚴峻，網(wǎng)絡(luò)攻擊、泄密事件層出不窮。而針對Web服務(wù)器的攻擊行為，均會被服務(wù)器記入日志。因此，研發(fā)出一個能夠高效自動化分析Web日志，進而檢測入侵行為的系統(tǒng)將具有很強的現(xiàn)實意義與實用價值。又由于現(xiàn)階段網(wǎng)站服務(wù)器產(chǎn)生的日志文件越來越龐大，因此，將數(shù)據(jù)挖掘技術(shù)運用于日志分析并檢測入侵行為將是未來的主要研究方向。

參考文獻

[1]CNCERT.國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布“2012 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述”[J].國家互聯(lián)網(wǎng)應(yīng)急中心， 2013（3）：03-15.

[2]李甲林.Web日志挖掘技術(shù)研究[D].南京航空航天大學，2008.

[3]宋擒豹，沈鈞毅.Web日志的高效多能挖掘算法[J].計算機研究與發(fā)展，2001，38（3）：328-333.

[4]范春榮.基于Web日志的入侵檢測系統(tǒng)設(shè)計與實現(xiàn)[D].河北科技大學，2012.