一种基于多主机日志关联的入侵检测方法技术

技术编号:10106698 阅读:197 留言:0更新日期:2014-06-01 21:31
本发明专利技术涉及一种基于多主机日志关联的入侵检测系统及其方法,其中一种基于多主机日志关联的入侵检测系统,包括异构操作系统日志采集模块、日志过滤模块,以及一种日志匹配算法。所述异构操作系统日志采集模块用来采集虚拟机操作系统日志,并实时传输到日志服务器;所述日志过滤模块用于接收被检测日志,并按规则转换后,生成XML或者Excel格式的日志;所述日志匹配算法用于分析入侵行为特征,提取特征数据,形成匹配规则。本发明专利技术可以采集虚拟机集群中不同操作系统日志,进行归纳抽象为统一的格式,并集中存储,保证日志数据的完整性和真实性;另外,对集中存储的日志数据采用基于模型检测的思路进行关联性分析,从而对入侵路径进行有效的追踪与识别。

【技术实现步骤摘要】
【专利摘要】本专利技术涉及一种基于多主机日志关联的入侵检测系统及其方法,其中一种基于多主机日志关联的入侵检测系统,包括异构操作系统日志采集模块、日志过滤模块,以及一种日志匹配算法。所述异构操作系统日志采集模块用来采集虚拟机操作系统日志,并实时传输到日志服务器;所述日志过滤模块用于接收被检测日志,并按规则转换后,生成XML或者Excel格式的日志;所述日志匹配算法用于分析入侵行为特征,提取特征数据,形成匹配规则。本专利技术可以采集虚拟机集群中不同操作系统日志,进行归纳抽象为统一的格式,并集中存储,保证日志数据的完整性和真实性;另外,对集中存储的日志数据采用基于模型检测的思路进行关联性分析,从而对入侵路径进行有效的追踪与识别。【专利说明】
本专利技术设计,用于复杂的虚拟机群环境中,对集群中不同操作系统的日志,进行归纳、分析、检测,从而对入侵路径进行有效的追踪与识别,属于电信服务安全

技术介绍
Internet应用的迅速增长及规模经济的需求催生了新的网络计算模式——云计算(Cloud Computing)。云计算是当前IT领域最受关注话题之一,是各界关注的焦点。它利用互联网将大量的软硬件资源整合在一起,构成规模巨大的虚拟资源池,通过互联网为企业、部门等用户提供各种各样的服务。然而,由于云计算自身关键技术而产生的安全问题却一直制约着云计算进一步的普及和发展。在互联网时代,随着科学技术的飞速发展和普及以及各种新型个人应用的层出不穷,科技的进步必然带来的安全问题也越来越受关注,特别是斯诺登事件的发生给全世界的网络安全防护造成了前所未有的冲击和挑战。近年计算机安全漏洞、网络攻击的种类、复杂性以及遭受入侵的计算机数量逐年增加,潜在的威胁和攻击继续增长。云计算系统中计算和存储资源高度集中的特性会使其更容易成为攻击和利用的对象。如何在如此严峻的网络安全形势下保证云计算系统不被入侵和破坏是云计算研究中亟待解决的主要问题之一。虚拟化技术是云计算中关键的技术之一,虚拟化技术的出现,使传统主机被虚拟机替代,一方面有效的提高了资源的利用率,降低了管理的成本,但另一方面功能越强大背后的安全隐患也越多,虚拟机之间的不正当隔离、虚拟机逃逸、虚拟机劫持、虚拟机网络拓扑结构的动态变化等等,这些安全因素使虚拟机的安全问题比传统主机更为复杂。日志对主机系统的安全有着重要作用,通过系统日志可以查找出系统错误或者受到的攻击来源,传统的日志分析工具只能记录分析单一操作系统的日志,当面对复杂网络结构下一项应用或者一项服务需要多虚拟机共同参与的情况,无法通过对整个虚拟机集群原始数据背后逻辑关系的研究,识别出攻击者的攻击企图或攻击路径。在传统的非虚拟化环境中,日志分析功能一般与主机入侵检测系统HIDS相结合,将日志分析的部分功能集成在HIDS中。HIDS可以很好的保障系统的安全,检测来自于系统的日志文件,与知识库中入侵规则进行匹配,检测系统中是否有安全事件发生。但是HIDS自身存在很多问题:为确保检测结果的准确性,必须先确保系统的安全性,所有的检测活动都在在默认系统本身具有合理的安全设置的前提下;即使系统满足上面的条件,攻击者在入侵行为完成后可以即时将对应的系统日志删除,从而不被检测到,所以在保证所采集数据的实时性、完整性、真实性方面有所欠缺。另外,虚拟化环境中,虚拟机系统的出现导致传统操作系统直接运行于硬件之上的结构发生变化,同一个虚拟平台可以部署多台虚拟机,每台虚拟机的安全策略会有所区另Ij,并且由于虚拟环境中网络配置的动态变化,虚拟机所在的网络拓扑结构也会发生动态变化,这些特征都使得传统的HIDS不能完全适应结构体系上的变化。最后,分布式入侵系统是以后的主流。传统的IDS大多都局限于单一的主机或网络架构,对异构系统的检测明显不足,不同的IDS系统之间不能很好的协同工作。
技术实现思路
针对上述问题,本专利技术的目的是,提供。本专利技术解决上述技术问题的技术方案如下:一个基于多主机日志关联的入侵检测系统,包括异构操作系统日志采集模块、日志过滤模块,以及一种日志匹配算法;所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志,并将日志实时的传输到远端的日志服务器中。按照操作系统不同分为Windows系统日志采集模块与syslog日志采集模块,为不同操作系统的日志格式统一与采集归并提供强有力的技术支持;所述日志过滤模块接受来自被检测虚拟机系统的日志,并根据需求,按一定规则对其进行转换后,生成XML或者Excel格式的日志信息,传递给后续的模块,以供分析使用。用于提高日志的有效性,减轻日志的存储负担,为后续的日志分析工作提供内容支持;所述日志匹配过程算法使用来自日志过滤模块输出的数据,用于在分析入侵行为特征的基础上,对测试环境进行多次模拟攻击,采集分析与该入侵行为相关的日志数据,提取特征数据,形成匹配规则。本专利技术的有益结果是:本专利技术可以采集整个虚拟机集群中不同操作系统的日志,进行归纳抽象为统一的日志格式,并进行集中存储,保证了日志数据的完整性和真实性?’另外,对集中存储的日志数 据进行关联性分析,采用基于模型检测的分析思路,将采集到的日志序列与知识库中模型进行匹配,从而对入侵路径进行有效的追踪与识别。在上述技术方案的基础上,本专利技术还可以做如下改进。进一步,所述异构操作系统日志采集模块包括Windows系统日志采集子模块和Linux日志采集子模块;所述Windows系统日志采集子模块包括日志文件获取子模块、筛选日志事件子模块、提取事件元数据子模块、日志重构子模块和日志发送子模块;进一步,所述异构操作系统日志采集模块设置本地计算机合理的审核策略并且在日志传输前对日志进行有效的过滤,最大限度的减少冗余数据;所述日志过滤模块包括日志选择子模块、日志解析存储子模块、日志过滤子模块以及日志输出子模块;为达到上述目的,本专利技术还提供了一种基于多主机日志关联的入侵检测的方法,具体包括以下步骤:步骤1:异构操作系统日志采集模块在异构操作系统环境下收集日志信息,并发送到日志分析服务器;步骤2:在日志分析服务器端接受日志信息,并对信息进行分析和处理,并进行响应;进一步,所述步骤I进一步包括下列操作:步骤1.1:获取日志文件:Windows操作系统下获取扩展名evtx的日志文件;Linux操作系统下获取Syslog日志文件;步骤1.2:筛选日志事件:根据一定规则,对获取到的日志文件进行初步筛选;步骤1.3:日志解析重构=Windows操作系统下日志需要进行解析,生成XML格式的中间文档,并经过重构成为标准Syslog日志形式;Linux操作系统则不需要该步骤;步骤1.4:日志发送:将日志文件以UDP封装包的形式发送到服务器端。进一步,所述步骤2进一步包括下列操作:步骤2.1:对接受到的日志进行过滤;步骤2.2:对过滤后的日志进行分析;步骤2.3:对本系统日志分析结果的输出,以及根据响应规则库采取入侵响应活动,确保整个集群环境的正确运行。进一步,步骤2.1进一步包括下列操作:步骤2.1.1:读取Syslog日志,逐行对日志内容进行解析,并保存;步骤2.1.2:根据指定规则,过滤日志文件,并根据设置,输出XML或者Excel格式的过滤结果。进一步,步骤2.2进一步包括本文档来自技高网
...

【技术保护点】
一种基于多主机日志关联的入侵检测系统,其特征在于,包括异构操作系统日志采集模块、日志过滤模块、以及一种日志匹配算法;所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志,并将日志实时的传输到远端的日志服务器中;所述日志过滤模块用于提高日志的有效性,减轻日志的存储负担,为后续的日志分析工作提供内容支持,包括日志选择子模块、日志解析存储子模块、日志过滤子模块以及日志输出子模块,接收异构操作系统日志采集模块传递的日志文件,并且根据需求,按一定规则转换,传递给后续模块;所述日志匹配算法使用来自日志过滤模块输出的数据,对日志数据进行关联性分析,采用基于模型检测的分析思路,将采集到的日志序列与知识库中模型进行匹配,从而对入侵路径进行有效的追踪与识别,并且将识别出的入侵和威胁信息传递给安全事件相应模块。

【技术特征摘要】

【专利技术属性】
技术研发人员:闫丹凤冯瑞周广
申请(专利权)人:北京邮电大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1