基于日志分析的校园网监测预警平台设计与实现

陈荣征

(广东职业技术学院信息工程系，广东 佛山 528041)

基于日志分析的校园网监测预警平台设计与实现

陈荣征

(广东职业技术学院信息工程系，广东 佛山 528041)

设计并实现了一种基于日志分析的校园网监测预警平台。利用开源软件rsyslog，收集校园网络设备或★nix系统的日志信息，并实时存储到Mysql数据库，基于Apriori算法对日志信息进行分析处理，以动态监测潜在的攻击行为，一旦监测到危险行为，平台能够自动部署访问控制列表(ACL)，并及时向管理员发出预警通知，以便提前处理。平台为校园网络安全管理提供了一种有价值的参考。

日志分析；rsyslog；校园网；监测预警；LAMP

1 引言

目前，国内高校对校园网的安全管理还主要依靠人工[1]，缺乏有效的安全监测预警平台支持。通常情况下，都是网络安全事件发生后，由网络管理员去检查、分析和处理。处理问题时，往往需要登录大量来自不同厂家的网络设备和网管软件，除工作量大、操作复杂外，还存在误判率高、实时性差等问题。因此，设计并开发出一套具有较高实时性、良好主动性的校园网监测预警平台就显得尤为重要了。

2 平台的总体设计

2.1 开发技术的选择

平台采用目前国际流行的三大Web软件开发框架之一的LaMP[2]。LaMP（Linux-apache-Mysql-PHP）技术框架中的Linux操作系统、apache网络服务器、Mysql数据库和PHP开发语言，均是开源软件产品。LaMP技术框架作为目前国际上非常成熟的Web软件开发框架，同Java/J2EE框架与微软的.NET框架相比，LaMP在性能、质量和开发成本方面都占有绝对优势。

2.2 平台的总体目标

(1)具有较好的兼容性

目前，各高校中应用的网络安全设备或管理软件虽能处理网络安全管理中存在的诸多问题，但由于这些系统或方案普遍存在开放性不够、用户无法进行二次开发等问题。因此，平台开发基于syslog标准协议，有针对性地解决设备兼容性问题。

(2)具有较高的智能性

syslog开源软件基于syslog标准协议，负责从校园网中的各个网络节点进行信息的收集、分析与处理，平台能够从大量的日志信息中识别出可能的攻击行为，并通过反馈aCL进行及时处理，从而实现从网络安全预警到处理的智能化，降低管理员的工作负担，提高工作效率。

(3)具有简洁易用性

本着简洁易用的原则，力求界面设计简洁明了，整体风格协调一致，导航清晰明确。同时，平台尽可能地提供准确、详尽的攻击查询、设备管理等主要功能，用户进入该平台后，可以轻松查询到所需要的信息。

2.3 平台开发采取的方法、技术路线

图1 平台三层架构

平台设计拟采用Web应用软件典型的三层架构模式[3]（如图1所示）。

①用户层，即客户端层。用来与用户交互，并把来自系统的信息显示给用户，在该层用户可以输入和更新数据。

②业务逻辑层。该层主要用来处理客户请求，调用相应的核心业务逻辑模块，并把结果以动态网页的形式返回到客户端。

③数据库层。负责数据管理，完成数据存储，平台采用Mysql数据库，数据库中的数据主要包括日志信息、预处理信息、风险信息、日志时间信息和用户权限信息等。

3 平台的总体功能模块设计

①日志信息收集与存储。利用开源软件rsyslog在Linux下搭建日志收集的服务器，并将日志发送到远程的Mysql数据库服务器。

②日志分析的算法设计。模拟攻击行为收集各类日志数据，对日志进行预处理，找出攻击行为日志。根据分析到的结果，基于apriori算法对数据实时分析，生成日志事件报告。

③aCL部署与系统管理。编写PHP脚本程序针对Mysql的报告动态生成aCL部署到相应的设备，实现主动智能aCL部署，并及时通知用户和管理员。

平台的总体功能，如图2所示。

图2 平台功能模块图

4 平台主要功能的实现

4.1 日志收集模块

对不同的校园网络设备或*nix系统的日志信息，采用syslog协议进行收集，并保留一段时间的日志数据供回溯查看。syslog是一个很著名的网络协议[4]，是一种在Unix和类Unix的计算机系统上使用的协议，它用于转发以太网络中的日志消息。具体步骤如下：

①配置rsyslog客户端发送本地日志到服务端：

#vi/etc/rsyslog.conf

*.*@192.168.1.107

②行尾新增上面这行内容，即客户端将本地日志发送到服务器。

③重启rsyslog服务：

#/etc/init.d/rsyslog restart

④编辑/etc/bashrc，将客户端执行的所有命令写入系统日志/var/log/messages中。

#vi/etc/bashrc

⑤在文件尾部增加一行：

export PROMPT_COMMaND='{msg=$(history 1|{ read x y;echo$y;});logger"[euid=$(whoami)]":$(who am i): [`pwd`]"$msg";}'

⑥设置其生效：

#source/etc/bashrc

客户端配置完毕。在服务端的日志信息里可以看到客户端的所有操作。

4.2 日志信息存储功能

能够将校园网络设备或*nix系统的syslog日志信息进行预处理，并以统一格式存储到日志数据库，清除部分冗余无用日志。由于每条日志信息的存储类型为字符串格式，为了便于查询和分析，需要将日志信息按字段值拆分后再存储。同时将来自不同类别设备的日志信息，分类后存入不同的分区数据表中。

4.3 日志信息分析功能

基于apriori算法进行日志信息分析，从杂乱的日志信息中分析出可能的攻击行为，根据设定好的危险行为数据库辨识危险行为。具体实现步骤如下：

步骤S1:定义分析参数，从日志服务器中取出日志信息；

步骤S2:对日志信息进行分类，形成日志类型集合D= {D1，D2，…，Dn}；

步骤S3:对集合D进行apriori计算，获得能够调节分析的灵敏度(在时间T内出现不正常行为的次数N)，即调整T和N；

步骤S4:针对服务器的日志分析,每存入一条日志信息时读取N和T，接着统计从存入信息开始往前T时间内出现次数n；

步骤S5:当n=N时视为攻击行为，存入攻击行为表；当n〉N时，修改攻击行为表中统计次数；

步骤S6:每次存入一条日志信息时都将进行分析,转步骤S4。

4.4 aCL部署功能

对攻击行为能够自动或者手动部署和撤销aCL，并通知用户和管理员。关键代码如下：

〈?php

public function api(){

if($_SESSION['flagid']!=1){

$this-〉success('无权限','index.php?c=index&a=bj&uid='. $_POST['uid'],2);

return;

}

$cont="用户：".$_SESSION['account']."通知您请尽快解决编号为".$_POST['uid']."的日志错误信息！！！";

$statusStr=array(

"0"=〉"短信发送成功",

"-1"=〉"参数不全",

"-2"=〉"服务器空间不支持,请确认支持curl或者fsocket，联系您的空间商解决或者更换空间！",

);

$smsapi="http://api.smsbao.com/";//短信网关

$user="account";//短信平台帐号

$pass=md5("password");//短信平台密码

$content=$cont;//要发送的短信内容

//$phone=$_POST["phone"];//要发送短信的手机号码

$sendurl=$smsapi."sms?u=".$user."&p=".$pass."&m=". $phone."&c=".urlencode($content);

$result=file_get_contents($sendurl);

$this-〉success($statusStr[$result],'index.php?c=index&a= bj&uid='.$_POST['uid'],2);

}

?〉

5 结束语

本文设计开发的校园网监测预警平台，可以实现从日志收集、日志分析再到aCL自动部署，并能够及时向管理员及时发出预警信息。平台可以减轻校园网络管理的工作量,并可以从源头有效预防攻击行为的发生,增强了网络的安全性能；同时也减少了大量安全设备的投入，降低了校园网络运维的成本。

[1]王碰，赵刚，姚兴仁．基于Apache日志挖掘的威胁感知系统[J]．信息安全与技术，2015，12：45-49．

[2]袁媛．基于日志的计算机的网络安全控制探讨[J]．信息化建设，2015，11：110．

[3]段娟，辛阳，马宇威．基于Web应用的安全日志审计系统研究与设计[J]．信息网络安全，2014，10：70-76．

[4]朱晓亮，陈云芳，陆有为．基于rsyslog系统日志的收集与分析[J]．网络安全技术与应用，2012，12：5-7+21．

Design and Implementation of Monitoring and Early Warning Platform for Campus Network Based on Loganalysis

Chen Rongzheng
(Information Engineering Department of Guangdong Polytechnic,Foshan 528041,Guangdong)

a monitoring and early warning platform for campus network based on log analysis is designed and implemented. The open source software of rsyslog is used to collect log information of campus network device or*nix system,and store in mysql database in real time.Log information is analyzed and processed based on apriori algorithm to monitor potential attacks dynamically.Once dangerous behavior is found,the platform can automatically deploy access control list(aCL),and promptly issue a warning notice to administrators to deal with in advance.Platform provides a valuable reference for security management of the campus network.

log analysis；rsyslog；monitoring and early warning；LaMP

TP393.08

a

1008-6609(2016)03-0049-03

陈荣征，男，山东临沂人，硕士，讲师，研究方向：软件技术与高职教育研究。

2015年广东职业技术学院科研项目，项目编号：K2015108。