基于Agent技术的网络安全审计模型研究与实现

【摘要】：随着计算机网络的发展和计算机应用的普及,网络和网络信息的安全问题日益突出。目前,网络安全的研究较多地集中在访问控制、数据加密、防火墙技术和入侵检测技术上,而忽略了出现较多安全问题的内网的管理控制和用户行为审计。安全审计技术作为继防火墙和入侵检测系统后的第三道防线,能够实现对系统和内部网络安全事件的跟踪、记录和再现,提高局域网的管理力度,有效保障网络的整体安全性。 基于日志分析的网络安全审计系统是目前的主流研究方向之一,如何提高审计日志分析效率是研究的热点问题。但是随着网络规模的增大和日志数据种类的增多,集中式的审计结构面临消耗较多网络资源和审计中心负担大等问题,不利于审计分析效率的提高。本文借助于Agent技术自治、智能、协作等特点,构建了一个基于Agent技术的网络安全审计系统,所做的工作主要有: 1、设计和实现了分布式的日志数据采集。 利用Agent技术实现对局域网内主机系统日志、安全日志以及网络数据包等多个审计数据源的实时采集和处理。结合多种数据源的分析,解决了只分析单一数据源带来的审计不准确的问题,提高审计日志数据的整体分析水平和判断能力。 2、改进了传统的关联规则挖掘算法和基于滑动窗口的信息熵检测算法,用于挖掘和完善审计规则,提高了审计分析Agent中规则库更新的智能性。 在系统中使用基于“支持度-置信度”框架的Apriori算法挖掘日志数据中隐含的行为规则,但是该算法存在扫描数据库时I/O代价较高、产生较多候选项集等问题,致使其寻找最大频繁项集的效率很低。基于此,本文提出了一种结合排序矩阵的强关联规则生成算法,该算法只需要扫描一次数据库并且产生较少的候选项集,提高了算法效率。日志数据挖掘的规则添加入审计规则库,较好地解决了审计规则的自动生成和更新问题,提高审计分析效率和审计准确率。分析网络数据包时,结合基于滑动窗口的信息熵检测算法可以发现UDPFlood、SYNFlood等DoS攻击行为,避免了使用数理统计等方法带来的漏报和误报现象,提高审计分析的智能性。 3、设计了一个基于Agent技术的网络安全审计模型并加以实现。 结合局域网实际,在局域网网关服务器和各网络节点分布具备不同功能的Agent实体:数据采集Agent、审计分析Agent、管理控制中心Agent和客户端Agent。利用数据采集Agent实现多数据源的分布式采集;利用数据挖掘技术和入侵检测相关算法挖掘和完善审计规则,提高审计分析Agent的智能性;同时,通过基于Socket类的通信机制实现管理控制中心Agent和客户端Agent间的同步连接和数据传输,实现对局域网内主机屏幕、鼠键信息的远程审计,为局域网的整体安全提供保障。 本文系统可以在一定程度上改善传统安全审计系统的缺陷,并且将相关审计分析方法进行研究改进并应用于该系统中,能够有效提高审计系统的智能性。