《一种基于多主机日志关联的入侵检测方法.pdf》由会员分享,可在线阅读,更多相关《一种基于多主机日志关联的入侵检测方法.pdf(11页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103824069 A (43)申请公布日 2014.05.28 CN 103824069 A (21)申请号 201410101730.0 (22)申请日 2014.03.19 G06K 9/00(2006.01) G06K 9/54(2006.01) (71)申请人 北京邮电大学 地址 100876 北京市海淀区西土城路 10 号 (72)发明人 闫丹凤 冯瑞 周广 (54) 发明名称 一种基于多主机日志关联的入侵检测方法 (57) 摘要 本发明涉及一种基于多主机日志关联的入侵 检测系统及其方法, 其中一种基于多主机日志关 联的入侵检测系统, 包括异构操作系统日志。
2、采集 模块、 日志过滤模块, 以及一种日志匹配算法。所 述异构操作系统日志采集模块用来采集虚拟机操 作系统日志, 并实时传输到日志服务器 ; 所述日 志过滤模块用于接收被检测日志, 并按规则转换 后, 生成 XML 或者 Excel 格式的日志 ; 所述日志匹 配算法用于分析入侵行为特征, 提取特征数据, 形 成匹配规则。本发明可以采集虚拟机集群中不同 操作系统日志, 进行归纳抽象为统一的格式, 并集 中存储, 保证日志数据的完整性和真实性 ; 另外, 对集中存储的日志数据采用基于模型检测的思路 进行关联性分析, 从而对入侵路径进行有效的追 踪与识别。 (51)Int.Cl. 权利要求书 2 。
3、页 说明书 6 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书6页 附图2页 (10)申请公布号 CN 103824069 A CN 103824069 A 1/2 页 2 1. 一种基于多主机日志关联的入侵检测系统, 其特征在于, 包括异构操作系统日志采 集模块、 日志过滤模块、 以及一种日志匹配算法 ; 所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志, 并将日志实时的 传输到远端的日志服务器中 ; 所述日志过滤模块用于提高日志的有效性, 减轻日志的存储负担, 为后续的日志分析 工作提供内容支持, 包括日志选择子模块、 日志解。
4、析存储子模块、 日志过滤子模块以及日志 输出子模块, 接收异构操作系统日志采集模块传递的日志文件, 并且根据需求, 按一定规则 转换, 传递给后续模块 ; 所述日志匹配算法使用来自日志过滤模块输出的数据, 对日志数据进行关联性分析, 采用基于模型检测的分析思路, 将采集到的日志序列与知识库中模型进行匹配, 从而对入 侵路径进行有效的追踪与识别, 并且将识别出的入侵和威胁信息传递给安全事件相应模 块。 2. 根据权利要求 1 所述的基于多主机日志关联的入侵检测系统, 其特征在于, 所述异 构操作系统日志采集模块能针对不同操作系统, 采用不同采集方式, 将日志信息传递到服 务器, 在服务器端, 对。
5、日志进行分析处理。使用 syslog 作为统一日志格式, 在采集阶段对其 他格式的日志统一进行日志转换, 得到 syslog 格式的日志, 以便于后续处理。 3. 根据权利要求 1 所述的基于多主机日志关联的入侵检测系统, 其特征在于, 所述日 志匹配算法, 主要通过建立起一套匹配法则来进行日志分析, 追踪入侵行为。 日志匹配算法 主要是参考了时间序列分析和因果关联分析思想, 识别不同时间段里各种不同攻击的先决 条件和结果, 然后, 通过匹配一些前期的日志文件和一些后续的日志文件来关联本系统所 检测到的攻击。 4. 根据权利要求 2 所述的基于多主机日志关联的入侵检测系统, 其特征在于, 所述。
6、日 志采集模块, 分为 Windows 系统日志采集子模块和 Linux 日志采集子模块 ; 所述 Windows 日志采集包括日志文件获取子模块、 筛选日志事件子模块、 提取事件元 数据子模块、 日志重构子模块和日志发送子模块。日志文件获取子模块的输入为源主机系 统日志, 在获取日志信息的过程中加入文件筛选规则, 提取出符合规则的日志记录并进行 解析, 将解析后的事件信息元数据进行重构, 生成目标日志文件, 最后通过日志发生系统将 日志文件发送到目标日志服务器中 ; 所述 Linux 日志采集子模块通过系统自带的 syslog 或 rsyslog 服务进程将日志文件 导向远端的中央日志服务器。
7、。 5. 根据权利要求 1 所述的基于多主机日志关联的入侵检测系统, 其特征在于, 所述日 志过滤模块, 针对 Syslog 格式日志, 完成包括基于 Host 和时间在内的多种规则过滤, 以及 自定义的过滤, 以便于对日志进行聚类关联。 6. 一种基于多主机日志关联的入侵检测方法, 其特征在于, 具体包括以下两个步骤 : 步骤 1 : 异构操作系统日志采集模块在异构操作系统环境下收集日志信息, 并发送到 日志分析服务器 ; 步骤 2 : 在日志分析服务器端接受日志信息, 并对信息进行过滤、 分析和处理, 并进行 响应。 7. 根据权利要求 7 所述的入侵检测方法, 其特征在于, 所述步骤 1。
8、 进一步包括下列操 权 利 要 求 书 CN 103824069 A 2 2/2 页 3 作 : 步骤 1.1 : 获取日志文件 : Windows 操作系统下获取扩展名 evtx 的日志文件 ; Linux 操 作系统下获取 syslog 日志文件 ; 步骤 1.2 : 筛选日志事件 : 根据一定规则, 对获取到的日志文件进行初步筛选 ; 步骤 1.3 : 日志解析重构 : Windows 操作系统下日志需要进行解析, 生成 XML 格式的中 间文档, 并经过重构成为标准 Syslog 日志形式 ; Linux 操作系统则不需要该步骤 ; 步骤 1.4 : 日志发送 : 将日志文件以 UDP。
9、 封装包的形式发送到服务器端。 8. 根据权利要求 7 所述的入侵检测方法, 其特征在于, 所述步骤 2 进一步包括下列操 作 : 步骤 2.1 : 对接收到的日志进行过滤 ; 步骤 2.2 : 对过滤后的日志进行分析 ; 步骤 2.3 : 对本系统日志分析结果的输出, 以及根据响应规则库采取入侵响应活动, 确 保整个集群环境的正确运行。 9. 根据权利要求 9 所述入侵检测方法, 其特征在于, 所述步骤 2.1 进一步包括下列操 作 : 步骤 2.1.1 : 读取 Syslog 日志, 逐行对日志内容进行解析, 并保存 ; 步骤 2.1.2 : 根据指定规则, 过滤日志文件, 并根据设置, 。
10、输出 XML 或者 Excel 格式的过 滤结果。 10. 根据权利要求 9 所述入侵检测方法, 其特征在于, 所述步骤 2.2 进一步包括下列操 作 : 步骤 2.2.1 : 匹配规则库的建立与完善, 包括匹配日志特征数据的提取、 日志数据之间 的因果关联关系的确定等 ; 步骤 2.2.2 : 根据匹配规则库已有的匹配规则进行日志匹配, 识别与匹配规则对应的 入侵事件。 权 利 要 求 书 CN 103824069 A 3 1/6 页 4 一种基于多主机日志关联的入侵检测方法 技术领域 0001 本发明设计一种基于多主机日志关联的入侵检测方法, 用于复杂的虚拟机群环境 中, 对集群中不同操作。
11、系统的日志, 进行归纳、 分析、 检测, 从而对入侵路径进行有效的追踪 与识别, 属于电信服务安全技术领域。 背景技术 0002 Internet 应用的迅速增长及规模经济的需求催生了新的网络计算模式云计 算 (Cloud Computing) 。云计算是当前 IT 领域最受关注话题之一, 是各界关注的焦点。它 利用互联网将大量的软硬件资源整合在一起, 构成规模巨大的虚拟资源池, 通过互联网为 企业、 部门等用户提供各种各样的服务。 然而, 由于云计算自身关键技术而产生的安全问题 却一直制约着云计算进一步的普及和发展。 0003 在互联网时代, 随着科学技术的飞速发展和普及以及各种新型个人应用。
12、的层出不 穷, 科技的进步必然带来的安全问题也越来越受关注, 特别是斯诺登事件的发生给全世界 的网络安全防护造成了前所未有的冲击和挑战。 近年计算机安全漏洞、 网络攻击的种类、 复 杂性以及遭受入侵的计算机数量逐年增加, 潜在的威胁和攻击继续增长。云计算系统中计 算和存储资源高度集中的特性会使其更容易成为攻击和利用的对象。 如何在如此严峻的网 络安全形势下保证云计算系统不被入侵和破坏是云计算研究中亟待解决的主要问题之一。 0004 虚拟化技术是云计算中关键的技术之一, 虚拟化技术的出现, 使传统主机被虚拟 机替代, 一方面有效的提高了资源的利用率, 降低了管理的成本, 但另一方面功能越强大背 。
13、后的安全隐患也越多, 虚拟机之间的不正当隔离、 虚拟机逃逸、 虚拟机劫持、 虚拟机网络拓 扑结构的动态变化等等, 这些安全因素使虚拟机的安全问题比传统主机更为复杂。 0005 日志对主机系统的安全有着重要作用, 通过系统日志可以查找出系统错误或者受 到的攻击来源, 传统的日志分析工具只能记录分析单一操作系统的日志, 当面对复杂网络 结构下一项应用或者一项服务需要多虚拟机共同参与的情况, 无法通过对整个虚拟机集群 原始数据背后逻辑关系的研究, 识别出攻击者的攻击企图或攻击路径。在传统的非虚拟化 环境中, 日志分析功能一般与主机入侵检测系统 HIDS 相结合, 将日志分析的部分功能集成 在 HID。
14、S 中。HIDS 可以很好的保障系统的安全, 检测来自于系统的日志文件, 与知识库中入 侵规则进行匹配, 检测系统中是否有安全事件发生。但是 HIDS 自身存在很多问题 : 为确保 检测结果的准确性, 必须先确保系统的安全性, 所有的检测活动都在在默认系统本身具有 合理的安全设置的前提下 ; 即使系统满足上面的条件, 攻击者在入侵行为完成后可以即时 将对应的系统日志删除, 从而不被检测到, 所以在保证所采集数据的实时性、 完整性、 真实 性方面有所欠缺。 0006 另外, 虚拟化环境中, 虚拟机系统的出现导致传统操作系统直接运行于硬件之上 的结构发生变化, 同一个虚拟平台可以部署多台虚拟机, 。
15、每台虚拟机的安全策略会有所区 别, 并且由于虚拟环境中网络配置的动态变化, 虚拟机所在的网络拓扑结构也会发生动态 变化, 这些特征都使得传统的 HIDS 不能完全适应结构体系上的变化。 说 明 书 CN 103824069 A 4 2/6 页 5 0007 最后, 分布式入侵系统是以后的主流。传统的 IDS 大多都局限于单一的主机或网 络架构, 对异构系统的检测明显不足, 不同的 IDS 系统之间不能很好的协同工作。 发明内容 0008 针对上述问题, 本发明的目的是, 提供一种基于多主机日志关联的入侵检测方法。 0009 本发明解决上述技术问题的技术方案如下 : 一个基于多主机日志关联的入侵。
16、检测 系统, 包括异构操作系统日志采集模块、 日志过滤模块, 以及一种日志匹配算法 ; 0010 所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志, 并将日志实 时的传输到远端的日志服务器中。按照操作系统不同分为 Windows 系统日志采集模块与 syslog 日志采集模块, 为不同操作系统的日志格式统一与采集归并提供强有力的技术支 持 ; 0011 所述日志过滤模块接受来自被检测虚拟机系统的日志, 并根据需求, 按一定规则 对其进行转换后, 生成XML或者Excel格式的日志信息, 传递给后续的模块, 以供分析使用。 用于提高日志的有效性, 减轻日志的存储负担, 为后续的日志分析。
17、工作提供内容支持 ; 0012 所述日志匹配过程算法使用来自日志过滤模块输出的数据, 用于在分析入侵行为 特征的基础上, 对测试环境进行多次模拟攻击, 采集分析与该入侵行为相关的日志数据, 提 取特征数据, 形成匹配规则。 0013 本发明的有益结果是 : 本发明可以采集整个虚拟机集群中不同操作系统的日志, 进行归纳抽象为统一的日志格式, 并进行集中存储, 保证了日志数据的完整性和真实性 ; 另 外, 对集中存储的日志数据进行关联性分析, 采用基于模型检测的分析思路, 将采集到的日 志序列与知识库中模型进行匹配, 从而对入侵路径进行有效的追踪与识别。 0014 在上述技术方案的基础上, 本发明。
18、还可以做如下改进。 0015 进一步, 所述异构操作系统日志采集模块包括 Windows 系统日志采集子模块和 Linux 日志采集子模块 ; 0016 所述 Windows 系统日志采集子模块包括日志文件获取子模块、 筛选日志事件子模 块、 提取事件元数据子模块、 日志重构子模块和日志发送子模块 ; 0017 进一步, 所述异构操作系统日志采集模块设置本地计算机合理的审核策略并且在 日志传输前对日志进行有效的过滤, 最大限度的减少冗余数据 ; 0018 所述日志过滤模块包括日志选择子模块、 日志解析存储子模块、 日志过滤子模块 以及日志输出子模块 ; 0019 为达到上述目的, 本发明还提供。
19、了一种基于多主机日志关联的入侵检测的方法, 具体包括以下步骤 : 0020 步骤 1 : 异构操作系统日志采集模块在异构操作系统环境下收集日志信息, 并发 送到日志分析服务器 ; 0021 步骤 2 : 在日志分析服务器端接受日志信息, 并对信息进行分析和处理, 并进行响 应 ; 0022 进一步, 所述步骤 1 进一步包括下列操作 : 0023 步骤 1.1 : 获取日志文件 : Windows 操作系统下获取扩展名 evtx 的日志文件 ; Linux 操作系统下获取 Syslog 日志文件 ; 说 明 书 CN 103824069 A 5 3/6 页 6 0024 步骤 1.2 : 筛选。
20、日志事件 : 根据一定规则, 对获取到的日志文件进行初步筛选 ; 0025 步骤 1.3 : 日志解析重构 : Windows 操作系统下日志需要进行解析, 生成 XML 格式 的中间文档, 并经过重构成为标准 Syslog 日志形式 ; Linux 操作系统则不需要该步骤 ; 0026 步骤 1.4 : 日志发送 : 将日志文件以 UDP 封装包的形式发送到服务器端。 0027 进一步, 所述步骤 2 进一步包括下列操作 : 0028 步骤 2.1 : 对接受到的日志进行过滤 ; 0029 步骤 2.2 : 对过滤后的日志进行分析 ; 0030 步骤 2.3 : 对本系统日志分析结果的输出,。
21、 以及根据响应规则库采取入侵响应活 动, 确保整个集群环境的正确运行。 0031 进一步, 步骤 2.1 进一步包括下列操作 : 0032 步骤 2.1.1 : 读取 Syslog 日志, 逐行对日志内容进行解析, 并保存 ; 0033 步骤 2.1.2 : 根据指定规则, 过滤日志文件, 并根据设置, 输出 XML 或者 Excel 格式 的过滤结果。 0034 进一步, 步骤 2.2 进一步包括下列操作 : 0035 步骤 2.2.1 : 匹配规则库的建立与完善, 包括匹配日志特征数据的提取、 日志数据 之间的因果关联关系的确定等 ; 0036 步骤 2.2.2 : 根据匹配规则库已有的匹。
22、配规则进行日志匹配, 识别与匹配规则对 应的入侵事件。 0037 所述基于多主机日志关联的入侵检测方法是采用联合主机日志分析, 能够通过分 析各个单一系统主机日志之间的时间序列关系和因果关联关系, 识别出处于路径中间或者 结尾的可疑节点 (虽然它自身的日志记录并没有反映出该节点遭受过入侵) , 从而较准确的 追踪出整个入侵的完整路径。 0038 图 3 为日志匹配模型的生成图, 从已知的入侵行为入手来分析日志, 得到匹配模 型, 而在实际日志分析时要从日志的匹配入手来分析出入侵路径, 包括入侵者的而主机名 (或 IP) 和在目标主机上的所有操作以及最终给目标主机带来的风险 ; 模型图的入侵行为。
23、一 列对应 Attack 数据, 入侵者指入侵主机的 IP 地址, 入侵行为 A、 B、 C表示入侵者入侵目标 主机的操作, 对应 Sub_Attack 数据, 入侵行为 A 到入侵行为 B 的箭头表示 A prepare for B, 入侵行为 A 的成功发生有导致入侵行为 B 发生的可能性。 0039 中间日志生成对应数据 Attack_Log, 日志 A、 B、 C对应 Sub_Attack_Log 数据, 表 示入侵者每一次的操作行为对应生成的日志文件, 生成日志 A 与生成日志 B 之间的箭头表 示 Sub_Attack_LogA prepare for Sub_Attack_Log。
24、B。 0040 匹配模型建立的两个难点分别是入侵行为对应的日志记录特征数据的提取以及 各个入侵子行为之间的因果关联关系到对应日志因果关联关系的横向过渡。 根据各个入侵 子事件之间的 prepare-for 关系可以确定各个子日志数据之间的 prepare-for 关系, 并将 这种关系记入匹配规则库, 各个子日志的顺序组合就是建立的匹配模型序列。 0041 入侵实例匹配过程是一个验证匹配库匹配规则的过程, 在日志分析之前的所有流 程操作包括日志的采集、 日志的存储、 日志的过滤等都类似于匹配实例建立过程中所采用 的方法, 在得到抽象之后的日志数据后, 对抽象所得的数据 (node,conseq。
25、uence_log) 进行 关键字匹配, 对于所得数据中的任意一条数据 : 说 明 书 CN 103824069 A 6 4/6 页 7 0042 (1) 根据 consequence_log 字段查询表 SALConseq, 获取该日志的 sub_attack_ log_id ; 0043 (2) 根据该 id 查询表 SALNode 确定 node 信息, 与源数据中的 node 信息及该 node 节点的 consequence_log 进行匹配验证, 如果匹配成功则转入下一步 ; 0044 (3) 查询表 SALPrereq 确定该条日志的先决日志特征 prerequisite_log。
26、 ; 0045 (4) 将 prerequisite_log 作为 consequence_log 查询表 SALConseq 获取该 id 的 先决 sub_attack_log_id ; 0046 (5) 重复 2-4 步骤, 直到 (3) 步骤中所得 prerequisite_log 为空。 0047 上述过程所得到的 sub_attack_log_id 都是所查询日志的先决日志编号, 既在时 间上发生在该条日志之前, 是产生该条日志的原因。 0048 下面步骤是找出该条日志的所有后续日志 : 0049 (1) 将 consequence_log 字 段 的 值 作 为 prerequi。
27、site_log 字 段 值 查 询 表 SALPrereq, 获取该日志的结果日志的 sub_attack_log_id ; 0050 (2) 根据该 id 查询表 SALNode 确定 node 信息, 与源数据中的 node 信息进行匹配 验证, 如果匹配成功则转入下一步 ; 0051 (3) 根据该 id 查询表 SALConseq 确定 consequence_log 信息, 与源数据中的相同 node 信息下的 consequence_log 进行匹配验证, 如果匹配成功则转入下一步 ; 0052 (4)将上述得到的consequence_log作为prerequisite_log。
28、查询表SALPrereq获 取该 id 的结果 sub_attack_log_id ; 0053 (5) 重复 1-4 步骤, 直到 (1) 步骤中所得 sub_attack_log_id 为空。 0054 上述过程所得到的 sub_attack_log_id 都是所查询日志的后续日志编号, 既在时 间上发生在该条日志之后, 是该条日志产生的后续结果。 0055 综合上述步骤即可得到整个事件对应的 sub_attack_log_id 序列, 然后通过查询 表 SASAL 确定整个事件的 sub_attack_id 序列, 最后通过查询辅助表 Sub_Attack 确定各个 入侵子事件, 将入侵。
29、子事件及所利用的脆弱性、 补救的措施都通过屏幕展示给用户。 附图说明 0056 图 1 是本发明一种基于多主机日志关联的入侵检测方法的架构组成示意图。 0057 图 2 是基于多主机日志关联的入侵检测方法的评估通用方法示意图。 0058 图 3 是日志匹配模型的生成图。 具体实施方式 0059 以下结合附图对本发明的原理和特征进行描述, 所举实例只用于解释本发明, 并 非限定本发明的范围。 0060 参见图 1, 介绍本发明基于多主机日志关联的入侵检测方法的组成架构, 该基于多 主机的日志关联入侵检测系统架构的核心功能是对虚拟机安全事件进行检测和追踪, 本发 明平台按照日志采集、 分析、 响应。
30、的流程由下到上分成如下部分 : 日志采集模块、 日志过滤 模块以及一个日志匹配算法。下面具体分析各部分结构 : 0061 异构操作系统日志采集模块, 该模块主要是安装在被检测虚拟机上, 用来采集虚 说 明 书 CN 103824069 A 7 5/6 页 8 拟机上操作系统的日志, 并将日志实时的传输到远端的日志服务器中。按照操作系统不同 分为Windows系统日志采集模块与Syslog日志采集模块。 其中, Windows系统日志采集模块 可以分为日志文件获取、 筛选日志事件、 提取事件元数据、 日志重构、 日志发送六个子模块, 其中日志文件获取模块有两种方案可以选择, 一是根据提供的日志文。
31、件路径对选择日志文 件进行转换, 二是系统自动根据主机日志默认路径进行采集 ; 筛选日志事件模块根据用户 需求, 对中间XML文档进行筛选 ; 提取事件元数据模块调用Windows Event Log API, 用API 提供的函数获取需要的日志信息 ; 日志重构模块根据标准 syslog 日志格式, 将中间 XML 文 档转换为目标 syslog 格式 ; 日志发送模块将转换好的 syslog 日志发送到目标服务器端。 Syslog 日志采集模块的目标虚拟机操作系统为 Unix 或 Linux, 通过系统自带的 syslog 或 rsyslog 服务进程将日志文件导向远端的中央日志服务器。 。
32、0062 日志过滤模块, 接受来自被检测虚拟机系统的日志, 并根据需求, 按一定规则对其 进行转换后, 生成XML或者Excel格式的日志信息。 该模块可以主要分为日志解析存储与日 志过滤输出两大模块, 日志解析存储模块完成对日志源数据的解析, 然后根据解析字段的 类型设计用于存储的数据库完成存储, 日志过滤输出模块接收用户过滤规则的选择请求, 通过使用 SQL 查询语句, 将符合条件的日志条目筛选出来。 0063 日志匹配过程算法主要包括日志匹配模型的建立以及规则的匹配。 日志匹配模型 的建立主要包括入侵行为对应的日志记录特征数据的提取以及各个入侵子行为之间的因 果关联关系到对应日志因果关联。
33、关系的横向过渡。 入侵实例匹配过程是一个验证匹配库匹 配规则的过程, 匹配规则库给出了所有入侵事件的日志序列特征, 根据所采集到的日志按 照时间进行划分, 判断各个时间段组成的日志序列是否与匹配规则库中某条匹配序列相对 应, 判断是否发生入侵行为。 0064 本发明的核心部分日志匹配过程从功能流程上主要分为匹配实例的建立过 程和匹配实例匹配过程。匹配实例的建立过程是本系统自主学习的过程, 通过对已知特征 的入侵实例进行分析, 提取各个子事件对应的日志数据, 然后对日志数据的特征字段进行 提取, 存入匹配规则库, 从而实现对该特征的入侵具有自动响应能力。 匹配实例匹配过程是 一个验证匹配库匹配模。
34、型的过程, 在日志分析之前的所有操作包括日志的采集、 日志的存 储、 日志的过滤等都类似于匹配实例建立过程, 在得到抽象之后的日志数据后, 对抽象所得 的数据 (node,consequence_log) 进行关键字匹配。 0065 如图 2 所示, 本发明实施的一种基于多主机日志关联入侵检测评估通用方法, 具 体包括以下步骤 : 0066 步骤 1 : 对整个系统进行具有一定特征的入侵攻击, 将攻击划分为若干子事件, 并 抽象为 Sub_Attack 类型数据, 采集与该次入侵相对应的日志数据加以分析, 归纳出可以反 映此次攻击事件的日志集合。由于本系统是事后分析系统, 所以对于系统中存在的。
35、脆弱性 事先并不知, 本系统关注的是当入侵事件发生后如何通过日志发现这些入侵事件, 所以对 于整个虚拟机环境中脆弱性存在的假设并不影响系统的主体功能价值。 ; 0067 步骤 2: 日志采集 : 该模块分为 windows 系统日志采集与 Linux 系统日志采集。 Windows 系统日志采集工具设定采集时间间隔 T, 表示采集从当前时刻往回推 T 时间之间 的日志数据, 然后利用 JAVA 自带的定时器设定时间间隔 T 定时运行采集工具, 然后利用 socket通信将T时间内的日志数据发送到目标日志服务器的UDP514端口, 实现日志数据在 说 明 书 CN 103824069 A 8 6。
36、/6 页 9 时间上的无缝传输。Linux 系统日志采用 rsyslog 系统进行实时传输, 不存在传输间隔问 题 ; 0068 步骤 3 : 中央日志服务器可以设定接收远端系统日志的文件及存储路径, 需要在 人为操作下, 定时对产生的文件进行解析, 保留有效的字段存入数据库, 便于后续的分析 ; 0069 步骤 4 : 为实现横向匹配, 抽象出入侵子事件背后的日志数据特征, 首先需要在数 据库中过滤出有效的日志数据, 然后再进行抽象分析。 根据入侵特征设定合适的过滤规则, 将入侵相对应的日志数据进行过滤, 提取关注的几个字段, 比如节点描述、 日志的 ID、 日志 内容的描述等, 抽象为 S。
37、ub_Attack_log 类型的数据。本次测试选用的过滤规则采用按时间 与按主机过滤相结合的方式, 根据入侵行为发生的时间范围先限定日志的过滤时间范围, 然后针对 IP 地址进行主机过滤, 筛选这目标主机在该时间范围内的日志记录 ; 0070 步骤 5 : 经过日志过滤, 使结果数据最大限度的接近有效数据集合, 对于过滤后的 日志数据, 逐条的根据时间参数、 描述内容与入侵子事件进行横向匹配, 提取特征数据, 抽 象出 Sub_Attack 实例对应的 Sub_Attack_Log 实例。 0071 步骤 6 : 根据 sub_attack 之间的时间序列关系和因果关联关系确定 sub_at。
38、tack_ log 之间的 prepare-for 关系 ; 0072 步骤 7 : 将抽象的数据进行入库操作, 实现匹配规则库的更新 ; 0073 步骤 8 : 当测试选用的入侵实例对应的匹配规则库建立完成, 对相同的测试环境 进行相同类型的模拟攻击 ; 如果恶意行为发生, 系统检测行为匹配到可能的入侵时, 会将警 告信息显示在屏幕上 ; 同时本系统支持通过文件记录下系统运行时的告警信息, 以便做离 线分析。 0074 以上所述仅为本发明的较佳实施例, 并不用以限制本发明, 凡在本发明的精神和 原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。 说 明 书 CN 103824069 A 9 1/2 页 10 图 1 说 明 书 附 图 CN 103824069 A 10 2/2 页 11 图 2 图 3 说 明 书 附 图 CN 103824069 A 11 。