网络环境下的日志监控与安全审计系统设计与实现

在拥有大量节点的网络环境中,迫切需要一个能够针对整个网络系统日志,进行统一监控与安全审计的平台。本文分析了日志监控与安全审计平台应当具备的功能,在此基础上提出了网络环境下日志监控与安全审计系统的结构模型,并给出了一种基于Web管理的实现方案。     

Unix/Linux操作系统安全(二)

2.4审计 Unix系统的审计机制监控系统中发生的事件,以保证安全机制正确工作并及时对系统异常报警提示。审计结果常写在系统的日志文件中。丰富的日志为Unix的安全运行提供了保障。常见的日志文件有:acct或pacct记录每个用户使用过的命令aculog拨出modems(自动呼叫部件)记录     

基于网络日志的安全审计系统的研究与设计

随着网络规模的不断扩大,以及在实际网络环境下审计系统审计和实现的困难,在此基础上提出一个基于网络日志更有效的安全审计系统,对网络进行监控并发现有违安全的网络事件。文中分析了该系统的体系结构、总体结构模型,以及各个组成模块的功能及所用的关键技术。应用结果表明,系统既实现了网络的安全审计功能,可以提供身份认证、访问控制、流量控制等功能,又为局域网络采取进一步的安全措施提供了依据,并且具有较好的可移植性及实现网络性能的稳定性。     

基于微过滤驱动的文件监控系统

文件安全访问控制,是银行自动柜员机安全的核心部分。采用微过滤模型的文件监控系统,将用户、进程和访问控制权限结合,实时监控文件,实现文件安全访问。同时,基于互斥锁的日志文件的操作,实现日志事件生成和写入日志文件的同步,提高了写日志的效率。该文件监控系统,增强了文件的安全性,提高了系统的稳定性。     

基于可信平台的安全审计日志

任何的安全系统,审计日志都是非常重要的一部分.因此必须保护好审计日志,保证审计日志的保密性和完整性.安全审计日志机制就是为了保护日志系统自身的安全性的,Schneier和Kelsey提出了一种机制来实现日志的防篡改,可以很好地保护系统生成的日志,但是该机制需要依赖于可信服务器.初步探索了可信平台上的安全审计日志机制,并且提出了一种新的日志机制来保护可信平台上生成的日志.该日志机制建立在微软提出的NGSCB平台上,不需要依赖于可信服务器.     

Windows平台下安全审计技术的探讨与实现

简述了安全审计技术对计算机安全的重要性，通过对Windows日志的分析并利用系统API函数替换法和状态转移分析法提出了基于用户行为的审计技术和基于状态转移法的日志审计技术。最后。在状态转移法的理论指导下实现安全日志的轻型审计系统。     

安全审计系统中日志数据整合的研究

日志数据是安全审计系统的重要数据来源,但由于不同安全产品所生成的日志格式未能实现完全的统一,安全审计系统在使用这些日志数据前必须做好日志格式的整合工作,本文就此提出一些探讨。     

Kylin安全审计系统的设计与实现

通过用户与角色关联、角色与强制访问控制策略关联,Kylin操作系统实现了角色定权.在借鉴并继承Linux审计框架的基础上,Kylin安全审计系统设计实现了基于角色的审计,定义了针对角色定权以及强制访问控制策略的统一审计接口和日志记录与分析功能.与Linux安全审计系统由root负责审计管理不同,利用角色定权和强制访问控制策略,实现了只能由审计管理员进行安全审计管理工作.针对审计日志内容复杂、用户难以理解的缺点,实现了便捷的日志查询和友好的图形化审计管理工具.     

异构数据集成采集交换平台中安全审计技术的设计与实现

以自行开发的基于异构数据源通用ETLA工具为背景,讨论了其审计监控子系统的设计方法和实现.该子系统具有完整的审计安全保护、监控整个数据的ETLA过程和日志分析功能.     

一种基于IPSec隧道的网络安全审计系统模型

网络安全审计系统对网络进行监控,发现有违安全的网络事件。阐述网络安全审计系统的实现方法以及当前存在的一些审计系统模型,并分析其存在的缺陷。在此基础上,提出一种基于IPSec隧道的网络安全审计系统模型,该系统能够实时的对非法用户进行阻塞,有效地实现审计日志的真实性。该系统还可以提供身份认证、访问控制、流量限制等功能,以实现网络性能的稳定。     

基于安全审计日志的网络文件系统数据完整性保护方法

网络文件系统在方便数据共享的同时也带来了新的安全隐患,审计日志跟踪并记录文件服务器上数据的变化,对于分析评价系统的安全性有重要价值.现有的系统因为不能防止内部攻击以保证审计日志的安全性,无法很好地满足用户需求,如攻击者可以直接通过驱动程序修改磁盘上的审计日志来删除敏感数据.提出了一种基于安全审计日志的对网络文件服务器上的数据进行完整性保护的方法.服务器中的每个文件和目录都对应一个认证符以保证其完整性,通过将文件服务器上的活动记录下来并生成日志,事后根据认证符和分析日志信息来对数据进行审计.另外,通过引入一个可信组件来生成认证符和审计日志并保证它们的安全性.根据该方法在NFS服务器上实现了原型系统Nfsd-log并对其进行了性能测试.SSH-build的测试结果表明,Nfsd-log的总时间开销比未受审计日志保护的原始NFS服务器的时间开销仅增加9.2%.     

安全审计系统获取地址映射关系的方法

提出了安全审计系统获取内外网IP地址映射关系的一种方法,解决了目前安全审计系统只能掌握局域网计算机私网IP地址的缺陷。该方法通过模拟局域网计算机在防火墙内侧发送定制数据包,以及在防火墙外侧接收该数据包,获取计算机私网IP以及通过防火墙转换后的公网IP地址的映射关系。通过对定制数据包的特殊设置,保证了其不对局域网ARP地址表造成混乱,消除了对因特网可能造成的不良影响。     

基于安全局域网分级文件分发系统设计与实现

通过分析安全局域网系统文件动态分级管理技术机制以及系统基于动态监控交换机的终端行为监控结构,提出了一种基于安全局域网分级文件分发系统的设计与实现方案。该系统解决了原有安全局域网系统监控结构的网络化扩展问题,实现了网络文件的分级可控管理,除了能够防范来自系统外部的普通网络攻击行为外,确保了对系统合法用户操作行为的控制,有效阻止了内部人员信息泄露的基本途径,能够提高各类共享数据的安全性。     

基于改进Apriori算法的审计日志关联规则挖掘

针对安全审计系统中存在的智能程度低、日志信息没有充分利用的问题,提出一个基于关联规则挖掘的安全审计系统。该系统充分利用已有审计日志,结合数据挖掘技术,建立用户及系统的行为模式数据库,做到及时发现异常情况,提高了计算机的安全性。在传统Apriori算法的基础上提出一种改进的E-Apriori算法,该算法可以缩小待扫描事务集合的范围,降低算法的时间复杂度,提高运行效率。实验结果表明基于关联规则挖掘的审计系统对攻击类型的识别能力提升在10%以上,改进的E-Apriori算法相比经典Apriori算法和FP-GROWTH算法在性能上得到了提高,特别是在大型稀疏数据集中最高达到51%。     

基于Agent和数据挖掘的分布式信息审计平台

针对部门内部人员对部门信息实施的一系列不安全的操作行为,构建了一个基于Agent和数据挖掘的分布式终端行为审计平台。采用数据挖掘技术,实时地对系统所产生的报警信息和审计日志进行分析,并自动扩充规则库;同时,采用入侵检测技术帮助系统管理员做出实时的安全策略。考虑到多部门终端地理位置分散的分布式用户环境,系统引入A-gent。该系统为银行、证券、保险、政府和企业等涉密部门的信息系统提供了一个内部可信赖的安全审计环境。     

基于主机的安全审计系统研究

文中综合入侵检测、访问控制等技术,提出了一种适用于涉密局域网中UNIX主机的主机(服务器)安全审计系统的原型系统,模型以多级安全策略为基础,以全面增强主机安全。通过实际的应用,验证了系统的可行性。     

基于用户的VPN安全审计模式

针对现有VPN系统安全审计的不足,提出一种新的VPN安全审计模式.通过将用户身份与数据流的绑定,把传统单一数据流审计转变为用户数据流的访问日志,不仅克服了传统日志信息理解难的问题,而且有效地解决了远程用户接入控制与管理问题.     

应用系统安全审计监测研究与实现

至今信息系统审计已进入普及阶段,但应用系统审计对用户行为审计支持不足,无法满足监测审计功能、倒查取证的安全需求。为此文章提出一种适用于多应用、多级互联的应用日志监测方案。该方案以安全审计技术规范为核心,在部署应用系统审计手段的基础上,通过应用日志监测系统实现审计功能监测和日志倒查取证。     

基于旁路监听的数据库安全审计系统

通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。     

基于协议分析的办公局域网监控系统研究

针对特定部门对办公局域网的安全性要求以及商用监控软件的局限性等问题,设计开发了基于协议分析的办公局域网监控系统.监控系统由数据包捕获模块、数据包过滤模块、协议解析模块、流量统计模块、管理配置模块和日志管理模块组成.在实验平台中进行测试,发现该系统可对流经交换机的以太网数据包进行实时捕获和解析,从而对办公局域网实施有效地...