基于网络设备日志分析的网络安全预警技术系统设计

卓 杰

(临汾职业技术学院 山西 临汾 041000)

0 引言

传统系统日志分析技术相对比较落后,无法满足系统网络安全管控需求。同时,在网络信息系统的不断运行下,海量数据逐渐呈现出大数据特点,缺乏相关理论技术设计和开发系统日志数据中的分析功能和预警功能。在这样的背景下,强化对网络安全预警技术系统的设计和实现显得尤为重要,该技术重点应用网络设备日志分析相关技术,不仅可以从多角度出发,深入分析和挖掘系统日志信息[1],而且还能实现对系统安全风险的实时化检测,并预警可能存在的潜在性危险问题,避免出现严重的安全事件,为促使系统能够正常、稳定、安全地运行提供重要的平台支持。所以,为保证网络设备日志分析效果,如何科学地设计网络安全预警技术系统是技术人员必须思考和解决的问题。

1 系统设计原则

结合系统需求分析情况,本文所设计的网络安全预警技术系统必须满足以下设计原则:(1)稳定性原则。稳定性属于系统重要性能指标,系统只有在稳定运行的状态下才能有序正常地工作,所以在进行软件设计、系统硬件选型方面,技术人员要重视对系统稳定性的提升。(2)安全性原则。系统内部数据作为用户重要数据,技术人员要重视对这些数据的保护,提高其安全性,一旦系统在存储数据期间,缺乏相关安全保障,那么系统将会丧失存在的价值。(3)前沿性原则。在科学技术不断发展下,智能产品更新迭代速度不断加快,为了确保网络安全预警技术系统不被快速淘汰,本文所设计的网络安全预警技术系统必须运用先进、新型的技术,确保该系统能够在长时间里更好地符合市场使用需求。(4)经济性原则。目前,市场上出现多种预警系统,这些系统在功能设计上均有各自的优势,此时,选用性价比高的预警系统是用户首要考虑的问题。所以,在设计网络安全预警技术系统期间,技术人员要重视对网络设备日志分析技术的运用,在保证系统功能实现效果的基础上,最大化地降低系统设计成本,为保证系统的市场竞争力打下坚实的基础。

2 系统总体设计

2.1 系统架构设计

系统架构设计示意图如图1所示,从图1中可以看出,用户依次访问系统登录界面、系统主界面,方可运用安全性验证功能、数据预处理功能、日志分析功能等功能,对系统数据库中的数据进行增删改查,保证系统数据管理水平。

2.2 系统数据库设计

为充分发挥和利用系统数据库在增删改查数据、保证数据存储的安全性方面的作用和优势[2],提高系统数据管理水平,在设计本文系统时,技术人员要以如表1、表2所示的“用户信息表、日志数据分类信息表”为例,对数据库具体设计进行介绍。其中,用户信息表主要包含用户编号、用户名、登录账号、密码、邮箱、电话等属性;日志数据分类信息表主要包含日志编号、管理配置类、流量异常类、攻击时间类、备注等属性。

表1 用户信息表

表2 日志数据分类信息表

3 系统功能模块设计

为了充分发挥和利用网络设备日志分析相关技术的应用优势,保证网络安全预警技术系统功能实现效果,保证系统网络运行的安全性和可靠性[3],技术人员应严格按照如图2所示的系统功能模块设计示意图,选用B/S架构设计模式,利用eclipse开发工具,选用C#编程语言,依次完成对以下功能模块的设计和实现。

图2 系统功能模块设计示意图

3.1 用户登录模块设计

用户登录模块在具体设计时,首先要应用加密技术,对用户所提交的账号、密码登录信息进行加密,这些登录信息经过加密处理后,会形成一定的乱码。然后将该乱码安全、可靠地传输到系统服务器中,由系统服务器识别和认证该登录信息,再将该登录信息与系统数据库中的信息进行对比和匹配,如果匹配成功,说明用户所输入的登录账号、密码正确,系统自动将相关页面呈现在用户面前[4],供用户浏览和访问。反之,说明匹配失败,用户所输入的登录信息存在错误,需要对其重新校验核实。

3.2 安全性验证模块设计

日志文件数据具有规模大、易篡改、易失性特点,一旦缺乏相关保证机制的制定和运用,会导致日志数据出现丢失问题。所以,为实现对日志数据的有效保护,避免该数据出现丢失、泄露等问题,需要加密保护日志数据。另外,本系统应用数字签名技术,签名和认证处理日志数据。

3.3 数据预处理模块设计

系统内日志数据具有来源广、数量庞大、存储分布范围广等特点,此外,日志分析的方式运用,可以快速查找和定位系统可能存在的网络安全问题。因此,为保证日志数据分析效果,技术人员要做好对日志数据预处理工作,分析出网络中存在的无关日志属性,并对其进行过滤删除,从而降低系统存储数据的压力。日志数据预处理主要包含以下3个环节:(1)数据转换。数据转换主要是指将日常数据划分为以下3种类型,分别是配置管理类、攻击事件类和流量控制类,然后,结合日志数据类型,确定出相应的分析属性。配置管理类主要是指管理员管理相关工作所产生的各种记录信息;攻击事件类主要是指分析和处理网络攻击后所产生的痕迹;流量控制类主要是指统计网络流量数量。(2)数据清理。数据清理主要是指在完成数据转换操作的前提下,筛选和删除多余属性值、异常日志数据等[5],然后采用预测法,补齐日志空缺数据,避免系统对垃圾日志信息的存储,从而降低系统存储压力。(3)数据归并。数据归并属于日志数据预处理核心环节,通过进行数据归并处理,可以将相同或者相似的日志进行合并,使其合并为一条日志数据。在进行日志数据合并时,主要用到动态时间阈值归并法和属性相似度归并法。其中,动态时间阈值归并法运用原理如下:通过科学化设置时间阈值初始值,并将不超过此阈值的日志合并为同一条日志。时间阈值选择具有一定的重要性,一旦时间阈值取值过大,需要将多条日志统一归并为同一条日志,此时会导致大量的信息出现丢失问题。但是,一旦时间阈值取值过小,会降低归并效果,无法解决重复率高问题。所以,当日志出现变化后,时间阈值会发生动态性变化。属性相似度归并法运用原理为:通过精确化计算出不同日志所对应的相异度,并筛选出低于相异度阈值的记录。统一处理后的日志仍然保留大量的属性,如果结合多个属性,对日志相异度进行计算,会增加计算量,严重影响后期分析效率和效果。此外,属性不同,与安全事件之间的关联度也存在一定的差异。本文运用主成分分析法,选取需要处理的属性,并获得相应的权值。为保证日志归并处理效率和效果,可以将以上两种归并方法进行有效地结合。基于时间阈值的归并法在具体运用中存在简单明了的特点,但是仅仅结合时间这一属性,所归并出的日志会存在较大的误差。基于属性相异度归并法在具体应用时,可以最终计算结果的正确率,但是需要对各个属性的相异度进行针对性的计算。

3.4 日志分析模块设计

在预处理日志信息时,需要针对性地分析正常模式和攻击模式下的日志信息,并确定出用户合法行为模式,然后结合安全事件检测规则,获得相应的规则库,如果用户出现违背规则库的情况,系统会自动发出相应的预警提醒[6]。在设计日志分析模块时,要从以下2个方面入手,深入分析经过预处理后的日志数据。(1)关联分析处于正常状态下的日志数据,并寻找和确定出用户正常行为轨迹,如果日志数据反映出用户行为出现异常,系统会自动弹出警告提醒框。(2)通过对攻击状态下的日志数据进行深入分析[7],并挖掘事件之间存在的关联度,然后运用“攻击场景”这一概念,对相关攻击事件进行实时关联,从而达到预警攻击场景的作用。

3.4.1 正常状态日志分析

在分析正常状态日志数据时,要利用FP-Growth算法,确定用户行为特征,并形成相应的规则库。当出现新日志数据时,可以参照规则库,并分析和检测用户行为是否出现异常。

3.4.2 攻击场景下的日志分析

通过构建攻击场景关系库,可以实时提取规则。在这个过程中,首先结合专家相关经验,确定出场景与事件之间的关系,其次利用FP-Growth算法,关联分析已出现的攻击场景日志数据,从而获得各个攻击事件所对应的支持度[8]。再次,在构建这些攻击事件的基础上,借助单向图完成对规则库的构建。当日志消息与攻击事件相对应,系统会自动记录攻击方、攻击目标等信息。最后还要对各个攻击事件进行匹配,并形成攻击事件集合,如果攻击场景出现概率超过阈值时,系统会自动发出预警声,以引起相关人员的注意。

3.5 用户可视化模块设计

用户可视化模块设计,不仅可以为用户提供相应的人机交互接口,还能实时输出和形象化显示最终统计数据,确保用户与系统之间形成良好的交互关系。当日志数据采集工作结束后,要深入地分析和挖掘日志数据。统计数据主要包含以下几种信息,分别是用户行为模式信息、用户异常行为信息、系统资源使用情况信息、网络服务使用情况信息、网络流量信息、网络安全报警信息、网络入侵检测信息等。

4 系统测试

为验证系统功能能否正常、稳定运行,测试人员运用黑盒测试法,以“系统登录功能、系统提交功能”为例,设计相应的模块测试用例,并分析最终测试结果。系统登录功能测试用例和系统提交功能测试用例分别如表3、表4所示。

表3 系统登录功能测试用例

表4 系统提交功能测试用例

测试结果表明:该系统各个模块功能均能够正常运行,功能操作数据输入和输出结果均正确,完全符合预期。

5 结语

综上所述,在网络设备日志分析相关技术的应用背景下,本文所设计的网络安全预警技术系统主要运用属性相异度归并法,预处理海量日志数据,同时运用改进FP-Growth算法,实现对系统网络安全隐患问题的智能化分析和预警,有效地保证了系统网络的安全性和可靠性,完全符合用户使用需求。但是,该系统还存在以下几点需要完善的地方,如缺乏对信息系统漏洞修复方案的制定、缺乏对系统安全攻击行为的检测等,技术人员要重视对这些问题的优化和完善,促使本文系统变得更加智能化、先进化,从而实现对网络设备日志数据的有效保护。