基于網絡設備日志分析的網絡安全預警技術系統設計

卓 杰

(臨汾職業技術學院 山西 臨汾 041000)

0 引言

傳統系統日志分析技術相對比較落后,無法滿足系統網絡安全管控需求。同時,在網絡信息系統的不斷運行下,海量數據逐漸呈現出大數據特點,缺乏相關理論技術設計和開發系統日志數據中的分析功能和預警功能。在這樣的背景下,強化對網絡安全預警技術系統的設計和實現顯得尤為重要,該技術重點應用網絡設備日志分析相關技術,不僅可以從多角度出發,深入分析和挖掘系統日志信息[1],而且還能實現對系統安全風險的實時化檢測,并預警可能存在的潛在性危險問題,避免出現嚴重的安全事件,為促使系統能夠正常、穩定、安全地運行提供重要的平臺支持。所以,為保證網絡設備日志分析效果,如何科學地設計網絡安全預警技術系統是技術人員必須思考和解決的問題。

1 系統設計原則

結合系統需求分析情況,本文所設計的網絡安全預警技術系統必須滿足以下設計原則:(1)穩定性原則。穩定性屬于系統重要性能指標,系統只有在穩定運行的狀態下才能有序正常地工作,所以在進行軟件設計、系統硬件選型方面,技術人員要重視對系統穩定性的提升。(2)安全性原則。系統內部數據作為用戶重要數據,技術人員要重視對這些數據的保護,提高其安全性,一旦系統在存儲數據期間,缺乏相關安全保障,那么系統將會喪失存在的價值。(3)前沿性原則。在科學技術不斷發展下,智能產品更新迭代速度不斷加快,為了確保網絡安全預警技術系統不被快速淘汰,本文所設計的網絡安全預警技術系統必須運用先進、新型的技術,確保該系統能夠在長時間里更好地符合市場使用需求。(4)經濟性原則。目前,市場上出現多種預警系統,這些系統在功能設計上均有各自的優勢,此時,選用性價比高的預警系統是用戶首要考慮的問題。所以,在設計網絡安全預警技術系統期間,技術人員要重視對網絡設備日志分析技術的運用,在保證系統功能實現效果的基礎上,最大化地降低系統設計成本,為保證系統的市場競爭力打下堅實的基礎。

2 系統總體設計

2.1 系統架構設計

系統架構設計示意圖如圖1所示,從圖1中可以看出,用戶依次訪問系統登錄界面、系統主界面,方可運用安全性驗證功能、數據預處理功能、日志分析功能等功能,對系統數據庫中的數據進行增刪改查,保證系統數據管理水平。

2.2 系統數據庫設計

為充分發揮和利用系統數據庫在增刪改查數據、保證數據存儲的安全性方面的作用和優勢[2],提高系統數據管理水平,在設計本文系統時,技術人員要以如表1、表2所示的“用戶信息表、日志數據分類信息表”為例,對數據庫具體設計進行介紹。其中,用戶信息表主要包含用戶編號、用戶名、登錄賬號、密碼、郵箱、電話等屬性;日志數據分類信息表主要包含日志編號、管理配置類、流量異常類、攻擊時間類、備注等屬性。

表1 用戶信息表

表2 日志數據分類信息表

3 系統功能模塊設計

為了充分發揮和利用網絡設備日志分析相關技術的應用優勢,保證網絡安全預警技術系統功能實現效果,保證系統網絡運行的安全性和可靠性[3],技術人員應嚴格按照如圖2所示的系統功能模塊設計示意圖,選用B/S架構設計模式,利用eclipse開發工具,選用C#編程語言,依次完成對以下功能模塊的設計和實現。

圖2 系統功能模塊設計示意圖

3.1 用戶登錄模塊設計

用戶登錄模塊在具體設計時,首先要應用加密技術,對用戶所提交的賬號、密碼登錄信息進行加密,這些登錄信息經過加密處理后,會形成一定的亂碼。然后將該亂碼安全、可靠地傳輸到系統服務器中,由系統服務器識別和認證該登錄信息,再將該登錄信息與系統數據庫中的信息進行對比和匹配,如果匹配成功,說明用戶所輸入的登錄賬號、密碼正確,系統自動將相關頁面呈現在用戶面前[4],供用戶瀏覽和訪問。反之,說明匹配失敗,用戶所輸入的登錄信息存在錯誤,需要對其重新校驗核實。

3.2 安全性驗證模塊設計

日志文件數據具有規模大、易篡改、易失性特點,一旦缺乏相關保證機制的制定和運用,會導致日志數據出現丟失問題。所以,為實現對日志數據的有效保護,避免該數據出現丟失、泄露等問題,需要加密保護日志數據。另外,本系統應用數字簽名技術,簽名和認證處理日志數據。

3.3 數據預處理模塊設計

系統內日志數據具有來源廣、數量龐大、存儲分布范圍廣等特點,此外,日志分析的方式運用,可以快速查找和定位系統可能存在的網絡安全問題。因此,為保證日志數據分析效果,技術人員要做好對日志數據預處理工作,分析出網絡中存在的無關日志屬性,并對其進行過濾刪除,從而降低系統存儲數據的壓力。日志數據預處理主要包含以下3個環節:(1)數據轉換。數據轉換主要是指將日常數據劃分為以下3種類型,分別是配置管理類、攻擊事件類和流量控制類,然后,結合日志數據類型,確定出相應的分析屬性。配置管理類主要是指管理員管理相關工作所產生的各種記錄信息;攻擊事件類主要是指分析和處理網絡攻擊后所產生的痕跡;流量控制類主要是指統計網絡流量數量。(2)數據清理。數據清理主要是指在完成數據轉換操作的前提下,篩選和刪除多余屬性值、異常日志數據等[5],然后采用預測法,補齊日志空缺數據,避免系統對垃圾日志信息的存儲,從而降低系統存儲壓力。(3)數據歸并。數據歸并屬于日志數據預處理核心環節,通過進行數據歸并處理,可以將相同或者相似的日志進行合并,使其合并為一條日志數據。在進行日志數據合并時,主要用到動態時間閾值歸并法和屬性相似度歸并法。其中,動態時間閾值歸并法運用原理如下:通過科學化設置時間閾值初始值,并將不超過此閾值的日志合并為同一條日志。時間閾值選擇具有一定的重要性,一旦時間閾值取值過大,需要將多條日志統一歸并為同一條日志,此時會導致大量的信息出現丟失問題。但是,一旦時間閾值取值過小,會降低歸并效果,無法解決重復率高問題。所以,當日志出現變化后,時間閾值會發生動態性變化。屬性相似度歸并法運用原理為:通過精確化計算出不同日志所對應的相異度,并篩選出低于相異度閾值的記錄。統一處理后的日志仍然保留大量的屬性,如果結合多個屬性,對日志相異度進行計算,會增加計算量,嚴重影響后期分析效率和效果。此外,屬性不同,與安全事件之間的關聯度也存在一定的差異。本文運用主成分分析法,選取需要處理的屬性,并獲得相應的權值。為保證日志歸并處理效率和效果,可以將以上兩種歸并方法進行有效地結合。基于時間閾值的歸并法在具體運用中存在簡單明了的特點,但是僅僅結合時間這一屬性,所歸并出的日志會存在較大的誤差。基于屬性相異度歸并法在具體應用時,可以最終計算結果的正確率,但是需要對各個屬性的相異度進行針對性的計算。

3.4 日志分析模塊設計

在預處理日志信息時,需要針對性地分析正常模式和攻擊模式下的日志信息,并確定出用戶合法行為模式,然后結合安全事件檢測規則,獲得相應的規則庫,如果用戶出現違背規則庫的情況,系統會自動發出相應的預警提醒[6]。在設計日志分析模塊時,要從以下2個方面入手,深入分析經過預處理后的日志數據。(1)關聯分析處于正常狀態下的日志數據,并尋找和確定出用戶正常行為軌跡,如果日志數據反映出用戶行為出現異常,系統會自動彈出警告提醒框。(2)通過對攻擊狀態下的日志數據進行深入分析[7],并挖掘事件之間存在的關聯度,然后運用“攻擊場景”這一概念,對相關攻擊事件進行實時關聯,從而達到預警攻擊場景的作用。

3.4.1 正常狀態日志分析

在分析正常狀態日志數據時,要利用FP-Growth算法,確定用戶行為特征,并形成相應的規則庫。當出現新日志數據時,可以參照規則庫,并分析和檢測用戶行為是否出現異常。

3.4.2 攻擊場景下的日志分析

通過構建攻擊場景關系庫,可以實時提取規則。在這個過程中,首先結合專家相關經驗,確定出場景與事件之間的關系,其次利用FP-Growth算法,關聯分析已出現的攻擊場景日志數據,從而獲得各個攻擊事件所對應的支持度[8]。再次,在構建這些攻擊事件的基礎上,借助單向圖完成對規則庫的構建。當日志消息與攻擊事件相對應,系統會自動記錄攻擊方、攻擊目標等信息。最后還要對各個攻擊事件進行匹配,并形成攻擊事件集合,如果攻擊場景出現概率超過閾值時,系統會自動發出預警聲,以引起相關人員的注意。

3.5 用戶可視化模塊設計

用戶可視化模塊設計,不僅可以為用戶提供相應的人機交互接口,還能實時輸出和形象化顯示最終統計數據,確保用戶與系統之間形成良好的交互關系。當日志數據采集工作結束后,要深入地分析和挖掘日志數據。統計數據主要包含以下幾種信息,分別是用戶行為模式信息、用戶異常行為信息、系統資源使用情況信息、網絡服務使用情況信息、網絡流量信息、網絡安全報警信息、網絡入侵檢測信息等。

4 系統測試

為驗證系統功能能否正常、穩定運行,測試人員運用黑盒測試法,以“系統登錄功能、系統提交功能”為例,設計相應的模塊測試用例,并分析最終測試結果。系統登錄功能測試用例和系統提交功能測試用例分別如表3、表4所示。

表3 系統登錄功能測試用例

表4 系統提交功能測試用例

測試結果表明:該系統各個模塊功能均能夠正常運行,功能操作數據輸入和輸出結果均正確,完全符合預期。

5 結語

綜上所述,在網絡設備日志分析相關技術的應用背景下,本文所設計的網絡安全預警技術系統主要運用屬性相異度歸并法,預處理海量日志數據,同時運用改進FP-Growth算法,實現對系統網絡安全隱患問題的智能化分析和預警,有效地保證了系統網絡的安全性和可靠性,完全符合用戶使用需求。但是,該系統還存在以下幾點需要完善的地方,如缺乏對信息系統漏洞修復方案的制定、缺乏對系統安全攻擊行為的檢測等,技術人員要重視對這些問題的優化和完善,促使本文系統變得更加智能化、先進化,從而實現對網絡設備日志數據的有效保護。