看重日志分析——天融信推出安全审计综合分析系统

9月8日获悉,天融信推出了一套安全审计综合分析系统——TOPSEC Auditor。此系统能对采集到的日志统一管理.并结合对各种入侵行为进行检测.由此自动生成详细的风险评估报告和综合报表。为解决网络安全问题提供了一个综合的安全审计管理平台。TOPSEC Auditor 采用综合的。集中的日志审计分析系统,能够采集包括操作系统日志,防火墙系统日志.入侵检测系统日志、网络交换及路由设备的日志以及各种服务和应用系统日志等等。对于重要的信息.TOPSEC Auditor 会采用多种方式(如 E-mail、windows     

计算机系统的日志文件安全性分析

随着信息社会的发展,计算机系统的安全是信息社会中安全使用的重要部分之一。本文根据Windows系统的日志文件介绍,分析了计算机系统中日志文件的安全性,并提出了安全保护系统日志文件的方法。     

基于关联规则的日志分析系统的研究与设计

日志文件作为系统和网络用户行为的记录管理工具,对保护系统安全,方便调查系统故障,监控系统运行状况起着极其重要的作用。该文提出了一个基于关联规则的日志分析系统,将数据挖掘技术运用在日志分析中,并针对挖掘的数据特点对Apriori算法进行了改进。日志分析系统可以利用关联规则对日志进行分析获取其中所蕴合的重要信息。     

基于Xen虚拟机的系统日志安全研究

系统日志对于计算机系统的安全至关重要。为了确保系统日志的安全,通常的做法是通过网络将系统日志备份到远程主机上,但其在传输过程中容易被截获。提出一个运行于Xen之上的日志实时备份模型,通过系统实例之间的共享内存来传输系统日志,这样可以避免日志数据在传输过程中被暴露在网络上所带来的风险。实验表明,该方法不仅增强了系统日志的安全性,而且传输效率也非常高。     

系统日志的安全保护

针对目前系统日志安全级较弱的特点，提出一套完整的系统日志安全保护方案。对于保护系统中其它重要文件也有重要意义。     

融合网络异构P2P流媒体系统抗扰动性研究

融合网络中的异构P2P流媒体系统中具有多种终端、应用及节目类型,使得用户行为模式复杂,为系统稳定性带来了挑战。针对以上问题提出融合网络异构P2P流媒体系统稳定性增强策略。通过分析流媒体系统用户日志,确定用户行为影响因素,在此基础上对不同类型的用户行为进行收集及拟合,进行基于可靠性分析的路由、资源信息维护及合作节点选择,提高了系统资源信息维护准确性及节点间数据合作有效性。使用真实系统日志驱动的仿真实验验证了该策略的效果。     

面向多平台的日志远程采集系统研究

日志对于系统的日常运维、审计及入侵检测等具有重要作用,对日志进行远程集中化管理是日志管理的有效手段。由于不同操作系统平台上支持的日志格式不统一,传统上很难将大型网络中不同系统的日志远程采集到集中的日志服务器上。nxlog是一种支持多平台的功能强大的日志采集工具,部署方便,可以在目标系统上持续稳定地收集系统日志,并支持以多种日志格式和传输模式将日志发送到远程日志服务器。同时,Syslog作为一种工业协议,也得到了越来越多的支持。基于nxlog并配合成熟的日志服务器可以构建灵活可靠的系统日志远程采集系统。实际运行结果表明该方案可有效解决大型网络中系统日志远程采集的问题。     

一种Windows主机入侵检测实验系统

针对广泛使用的Windows平台，建立了一个基于主机的入侵检测实验系统。在深入分析Windows主机的安全特性的基础上，利用安全日志、系统日志、性能日志及文件完整性校验、注册表等多种信息，提出了18项入侵检测特征，并利用支持向量机建立入侵检测器，实现了对多种攻击的检测。实验结果表明，特征选取合理、检测方法有效。     

对日志统一管理的安全审计系统的实现

日志的统一管理在一个有着较多系统的单位是一个急需解决的问题,它关系着整个工作环境系统的协调工作及正常运行。文汇新民联合报业集团在实际工作中,使用了日志安全审计系统,保证了对集团内部现有的各类日志进行统一存储、统一分析、统一管理。使用该系统提高了集团内部的日志管理的效率,并且使得系统运行的安全性得到了加强,是多系统日志管理系统的成功运用,对相同情况单位有较大借鉴意义。     

服务器日志玩儿“躲猫猫”

众所周知,日志文件就是服务器操作系统运行的日记,它能按照既定的设置来记录所发生的事件,包括应用程序日志、安全日志和系统日志三类,分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个日志文件。在Windows2000服务器中,这些日志文件默认是存放于C:\WINNT\system32\config文件夹中的。当操作系统系统发生一些大大小小的故障时,有经验的网管就会从这些日志文件中找到一些蛛丝马迹,特别是一些与安全相关的网络入侵证据(比如黑客入侵时的出发IP地址或是登录账号等信息)。不过话又说回来,许多稍有些头脑的黑客也是深知这一点的,因此为防止被抓住入侵的把柄,很多情况下他们在撤退时使用工具或直接手工来清除所有的日志内容(这样的行为俗称擦脚印或擦PP),甚至是事先制作一份假日志文件再上传至config文件夹中以达到鱼目混珠的上的。因此,对于日志文件的保护工作必须要慎重,其中比较可行的简易方法是与黑客玩儿一下躲猫猫,也就是让日志文件撤离其默认的窝,躲藏到黑客所想不到的地方去!     

PLQ: An Efficient Approach to Processing Pattern-Based Log Queries

As software systems grow more and more complex, extensive techniques have been proposed to analyze the log data to obtain the insight of the system status. However, during log data analysis, tedious manual efforts are paid to search interesting or informative log patterns from a huge volume of log data, named pattern-based queries. Although existing log management tools and DMBS systems can also support pattern-based queries, they suffer from a low efficiency. To deal with this problem, we propose a novel approach, named PLQ (Pattern-based Log Query). First, PLQ organizes logs into disjoint chunks and builds chunk-wise bitmap indexes for log types and attribute values. Then, based on bitmap indexes, PLQ finds candidate logs with a set of efficient bit-wise operations. Finally, PLQ fetches candidate logs and validates them according to the queried pattern. Extensive experiments are conducted on real-life datasets. According to experimental results, compared with existing log management systems, PLQ is more efficient in querying log patterns and has a higher pruning rate for filtering irrelevant logs. Moreover, in PLQ, since the ratio of the index size to the data size does not exceed 2.5% for log datasets of different sizes, PLQ has a high scalability.     

基于Spark的油田应用日志行为分析系统

随着油田信息化建设的不断发展,越来越多的IT业务系统在油田各级单位普及应用.由于油田应用数量庞大、种类复杂,如何快速评估各类系统的运行情况和安全状况成为油田关注的重要问题.在使用这些应用系统的同时,一些访问信息会以日志的形式储存下来,因此通过分析日志数据可以挖掘出用户访问喜好,发觉业务系统潜在的安全问题,进而为油田应用评估提供决策依据.然而随着IT业务访问量剧增,应用日志的数量、容量也随之增加,仅依靠单机环境对海量数据进行分析已经无法满足油田业务需求.针对这个问题本文提出了基于Spark计算框架的应用日志行为分析方法,同时设计了可视化平台完成对整个分析系统的管理.     

基于时间差约束的事件日志合并

在跨企业、跨系统的环境中,流程数据通常记录在单独的事件日志中,这使得无法挖掘完整的端到端的执行流程,因此本算法提出仅使用事件名称以及时间戳属性对日志进行合并。首先分别获取两个系统的过程模型以及根据活动的跨系统跟随依赖关系获得的合并模型,接着将两个系统的流程一对一进行合并并按照时间戳排序,留下与合并模型路径一致的合并流程,然后从这些流程中获得一对一的实例对,即唯一主流程仅与唯一子流程可以合并,再从这些实例对中挖掘活动间的时间约束用于剩余日志的合并,重复最后两步直到所有日志均合并或无法一对一合并日志。该算法在真实的事件日志上进行了实验,达到了满意的合并效果并获得较高的准确率与召回率。     

基于Spark平台的网络攻击检测系统

随着计算机技术和通信技术的飞速发展,网络安全形势也越来越严峻,如何在海量日志中发现安全攻击是个值得研究的问题,传统的日志分析方法效率低,难以发现一些高级的网络安全威胁。针对该问题,提出了基于分布式存储和Spark框架的网络日志分析系统架构,不仅有效利用了云环境中的计算存储资源,同时还大大提高了计算效率。     

基于国产操作系统的网络日志管理系统构建

系统日志信息是分析信息安全状况的重要数据来源,也是在出现信息安全事件后对事件发生路径及事件原因进行定位的关键,因此建立可为各种网络设备、主机设备提供集中日志管理的网络日志系统已经显得越来越重要。从实践出发,提出一种基于国产操作系统建立网络日志管理系统的采集方法。     

Distributed system anomaly detection using deep learning-based log analysis

Anomaly detection is a key step in ensuring the security and reliability of large-scale distributed systems. Analyzing system logs through artificial intelligence methods can quickly detect anomalies and thus help maintenance personnel to maintain system security. Most of the current works only focus on the temporal or spatial features of distributed system logs, and they cannot sufficiently extract the global features of distributed system logs to achieve a good correct rate of anomaly detection. To further address the shortcomings of existing methods, this paper proposes a deep learning model with global spatiotemporal features to detect the presence of anomalies in distributed system logs. First, we extract semi-structured log events from log templates and model them as natural language. In addition, we focus on the temporal characteristics of logs using the bidirectional long short-term memory network and the spatial invocation characteristics of logs using the Transformer. Extensive experimental evaluations show the advantages of our proposed model for distributed system log anomaly detection tasks. The optimal F1-Score on three open-source datasets and our own collected distributed system datasets reach 98.04%, 94.34%, 88.16%, and 97.40%, respectively.     

一种基于属性哈希的告警日志去重方法

网络安全防护设备产生的告警日志中存在大量重复告警,影响实时的网络威胁态势分析。为解决告警日志的实时准确去重问题,提出了一种基于属性哈希的告警日志去重方法。该方法采用属性哈希实现重复告警的快速检测,并采用哈希表同时解决了大量非重复告警日志的存储问题。在基于Darpa数据集构建的告警日志上进行了实验,结果表明该方法在保证较低时间复杂度的同时,去重准确率可以达到95%以上。