基于SYSLOG网络安全预警系统.pdf

2010年第7明 OIT论坛。 科技信息 基于SYSLOG网络安全预警系统 李广福 (山东大学网络信息安全研究所 山东济南250000) 【摘要】随着网络规模的扩大和网络设备的增多，网络安全事件也随之增多，如何实现对全网安全事件的集中预警，成为我们迫切需要解 决的问题。s叫og是一种工业标准协议，包括防火墙、IDS、IPS、路由器、交换机在内的所有网络设备及操作系统都支持这种协议。通过sy如g收 集以上网元的日志信息。并对日志信息通过规则库进行关键字匹配，触发预警，从而实现全网安全事件的集中预警。 【关键词】S舛og；网络安全；关键字匹配；安全预警 0引言 靖口、划人隔离Vlan、下发ACL、防火墙策略等操作。 其工作原理图如下： 随着网络规模的不断扩大和网络应用的不断增多，网络中也越来 越多的面临各种安全威胁的困扰，传统的依靠单一设备或者人工管理 l防火墙 I 一 r————————————1 的方式已不能应对日益复杂的网络威胁的挑战，不能及时发现和准确’ 定位网络安全事件，也不能对安全事件可能造成的后果进行准确评r=■]：．． l筌堕竺堑兰I：o 一。／L一———-1 估。本文主要讨论如何基于标准syslog协议，作为安全日志信息采集l竺! l 威胁处理 方式，构建一个具有较高兼容性、实时性和主动性的网络安全预警系 心脚匹配错析孤 统，使网络中的各个网络单元都加入到安全预警系统中来，能够更加 l路由器 l广———J＼， 一 主动实时地发现并有效处理日益繁多的网络威胁。L———-J———叫 。。 1 现有网络安全管理方式存在的问题 l交换机 I 1．．．．．．．．．．．．．．．．．．_J 网络安全管理就是利用各种应用程序、工具和设备来协助管理人 员处理各种安令问题．维护网络正常运行。随着网络规模的扩大和网 策略服务器是本系统的大脑。它不仅需要对所搜集到的信息进行 络用户的增多，网络结构日趋复杂。安全威胁日趋多样化，网络安全管 处理。还需要分析判断并做出下一步的告警的决定，它的主要工作方 理也变得日趋繁杂、困难。现有方式已经不能适应当今网络安全管理 式是将不同设备发送过来的Syslog日志信息采用不同的关键字进行 的需要，其普遍存在的问题如下： 匹配．将这些日志信息中的关键字进行提炼并与预设规则库(知识库) 中的条目进行比对，无符合条目则跳过，如果匹配符合某种攻击规则， 1．1依赖单一的网络安全设备，防火墙、lPS、防毒墙等单一安全设备 只能部署在网络的边界或区域之间，可以预警和处理各种跨越它自身 则再统计其攻击次数、持续时间等因素，做出危害评价，然后根据评价 的攻击，但却无法感知内部网络中发生的各种网络威胁，当内部网络 等级和危害类型执行相关操作。如发出告警。 安全事件发生时。不能准确定位和在最恰当的位置消除事件对内部网 3基于Syslog的网络安全预警系统的优势 络的影响。 1．2依赖多个互不兼容的网络管理系统或工具进行预警，不同厂家 基于Syslog的网络安全管理系统可以较好的兼容不同厂商的各 的管理系统或设备互不兼容。各系统各自独立采集它所需要的数据， 种设备．采用统一的方式对网络安全事件进行评估，并可做到自