日志企业集中日志采集服务器的构建及信息安全防御(信息安全范文)

服务器防御  时间:2021-01-07  阅读:()

封面

《企业集中日志采集服务器的构建及信息安全防御》

Word格式可编辑含目录

精心整理放心阅读欢迎下载

文档信息

企业集中日志采集服务器的构建及信息安全防御

目录

一引言

二模型描述

1.支持syslog格式设备的日志采集

(1)配置产生log的链

4.交换机设备的日志的采集

五攻击行为的分析与记录

六动态生成和部署ACL(Access Control List. . .

一旦发现攻击行为将对攻击源实行全面的封锁

正文

一引言

随着互联网应用的蓬勃发展企业网信息服务快速增长 网络环境日益复杂。 为了保障企业网的高效安全运行 网络安全问题也越来越重要。 由于企业网服务对象的特殊性 对于企业网网络攻击经常来自网络内部。

常规的防火墙、入侵监测等安全防护设备很难针对来自内网的攻击起到应有的保护效果。 即使这些设备发现了某些入侵的迹象进行预警还需要网络管理人员根据相关信息手动地部署防御措施工作量大效率比较低导致网络防御的延迟给入侵者实施入侵提供了足够多的时间。

二模型描述

针对上述问题我们提出并实现了一种基于集中日志分析的企业网智能网络安全防御模型如图1所示。 该模型主要由日志集中采集、 日志处理与分析、动态部署网络安全策略组成。

对服务器、防火墙、交换机等关键设备日志进行集中管理然后针对相关日志进行有效的分析根据日志分析结果对入侵行为进行预警 并及时自动地部署相应的防御策略ACL(AccessControl List) 。该模型能够在网络入侵者真正实现入侵之前及时地、有针对性地实施网络安全控制策略从而提供有力的网络的安全保证。 【图1】三集中日志采集服务器的构建

日志采集服务采用符合RFC 3164规范的yslog使用or-acle 作为后台数据库。 yslog兼容传统的syslog程序 但是yslog 支持多线程支持数据库存储支持定制化的模块添加这些特性使得yslog适合做集中的日志服务器而且对非标准的日志格式具有良好的适应性和扩展性。

1.支持syslog格式设备的日志采集。 支持syslog格式设备需要在该设备中配置集中日志采集服务器的IP地址和端口以及对应的传输协议并根据关心的安全问题在对应的策略上开启日志服务即可。

服务器的日志采集。 Linux服务器日志系统默认采用的是syslog根据安全策略的需求可以精简日志信息发送相关的日志信息到集中日志采集服务器。 需要配置/etc/文件例如 @ 日志采集服务器IP地址在Linux环境上 一般是采用iptables作为服务器的防火墙来实施的。 例如如果关心ssh的远程登录情况当非法IP尝试SSH登录将产生警告日志

(1)配置产生log的链。 iptables -N LOG_DROPiptables -A LOG_ACCEPT -j LOG --log-level 4 --log-pref ix "[IPTABLES ACCEPT] : " #--log-prefix添加日志前缀--log-level指定日志等级 4的含义为warningiptables -A LOG_DROP -j RETURN(2)配置iptables的22端口 log。 iptables -A INPUT -s -p tcp --dport 22 -j AC-CEPT #允许访问的ipiptables -A INPUT -p tcp -m tcp --dport 22 -jLOG_DROP #非法ip访问22端口产生日志iptables -A INPUT -j DROP #拒绝其他ip访问22端口 服务器日志的收集。 W indows的系统日志格式、 日志记录方式与RFC 3164标准不同。 所以需要第三方软件来将windows系统的日志转换成syslog类型的日志类型然后转发给日志采集服务器。 这里采用evtsys来实现。

4.交换机设备的日志的采集。 交换机的日志格式与sys-log的日志格式相同只需指定接收日志的服务器即可。 具体的配置需要参考相关的交换机设备的配置文档。 例如华为交换机的相关配置命令如下:info-center logbuffer向内部缓冲区输出信息info-center logbuffer size定义输出信息的内部缓冲区大小info-center loghost IP地址向日志服务器输出信息四 日志的预处理和存储。

日志数据来自不同类型的设备并且每种类型的设备日志所包含的日志信息也不一样 因此根据不同的日志来源和日志信息进行分类然后分别进行存储。 为了提高效率 日志的预处理和分类存储工作在oracle数据库中进行。 通过or-acle存储过程实现对日志进行分类和存储。 通过任务队列DBMS_JOB定期执行表数据清理、转存等工作减少运行数据库的数据量提供系统的数据处理响应速度。

例如Li nux服务 iptab les防火墙22端口产生的日志如下2011 -12 -05T15:28: +08:00 : [IPTABLES DROP] : IN=eth0 OUT=MAC=08:00:27:ab: 18:e8:78: 1d:ba:89:a5:9d:08:00 SRC = DST =LEN=48 TOS =0x00 PREC =0x00 TTL =126ID =48406 DF PROTO =TCP SPT =1886 DPT =22 WIN-DOW=65535 RES=0x00 SYN URGP=0 如前所述 Li nux服务器日志收集时在其连接日志前端添加了日志前缀[IPTABLES DROP] 所以存储过程可以根据这个对这条日志的解析选择将此条日志记录的信息保存到对应的存储表中提供给后面的日志分析程序使用。

五攻击行为的分析与记录

根据网络攻击行为的特性或者利用已有的网络攻击行为的特征生成对应的攻击行为识别规则库。 通过规则库与集中日志服务采集到的信息进行匹配若某些日志信息符合规则库中的某条规则则判断为网络攻击行为。 这个匹配工作 由日志分析程序实时读取日志信息来完成。 一旦发现攻击行为将攻击行为的来源、攻击对象等信息记录到网络攻击信息表中并以短信、电子邮件方式通知系统管理员。

由于日志信息一般记录了应用层网络行为所以 网络攻击行为识别规则库主要是标记一些危险的网络行为例如端口扫描、密码探测等而不会涉及数据包的分解和重组。 例如针对Linux系统SSH的22端口的攻击的识别规则如下

在一段时间T内同一IP地址通过ssh方式连接一台服务器或者多台服务器失败次数超过N次 视该IP地址发起了网络攻击行为。

更全面、更细致地确定网络攻击行为就需要解析一些危险数据报文的信息。 为此 可以在被保护的设备前部署类似snort的入侵检测系统而入侵检测系统的日志信息也要发送给集中日志服务器统一管理这些攻击行为信息。 日志分析程序可以直接依据入侵检测系统的日志信息进行网络攻击行为判定并做出相应的动作。

六动态生成和部署ACL(Access Control List)

一旦发现攻击行为将对攻击源实行全面的封锁不允许其任何数据流出靠近其的支持ACL网络设备。 当日志分析程序确定网络攻击行

为后 调用网络攻击处理程序进行处理。 该程序根据攻击源的IP 地址信息通过事先定制的ACL模板生成对应的ACL规则并通过telnet或者ssh方式自动登录后 将这些规则应用到离攻击源最近的支持ACL的网络设备上 阻止该网络攻击行为进一步发生。 对于Linux服务器而言 可以动态地生成iptables规则 阻止攻击源IP访问该服务器。

系统管理员通过告警显示界面对网络攻击行为及ACL执行的情况进行查询。 一旦网络攻击行为被处理和解决再通过网络攻击处理程序撤销原先在网络设备上部署的ACL策略。

ACL模板依据不同设备的不同ACL语法定制每个设备的ACL模板包含应用ACL和撤销ACL两种模板。 网络攻击处理程序根据日志分析程序产生的攻击源的IP地址信息模板中的攻击源IP进行替换生成对应的ACL语句。 例如华为交换机的ACL模板如下system-view进入系统模式acl 3000进入ACL列表rule deny ip source ATTACKIP 0添加ACL规则quit退出ACL列表重新部署ACLtraffic-filter vlan 1 inbound acl 3000 七结语

通过基于集中日志分析的企业网智能网络安全防御模型就能够很好地解决企业网面临的内网攻击行为的防范和处理问题。 该模型能够通过采集各个系统及设备的日志信息和分析处理帮助系统管理人员及时发现安全隐患并对网络攻击行为自动地做出相关防御措施的响应。 这样提高了网络的安全防护强度降低维护网络安全的工作强度。 该模型不仅限于企业网的实施也可以应用于其他网络环境比较

复杂的园区网中。 在日志分析过程中如果应用数据挖掘及行为模式识别技术就可以实现对网络攻击行为的感知和预警从而进一步提高该模型的智能化水平。

“企业集中日志采集服务器的构建及信息安全防御”由本人精心编辑整理内容源于网络仅供学习交流请勿商用。如有侵犯作者权益请留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载

VPS云服务器GT线路,KVM虚vps消息CloudCone美国洛杉矶便宜年付VPS云服务器补货14美元/年

近日CloudCone发布了最新的补货消息,针对此前新年闪购年付便宜VPS云服务器计划方案进行了少量补货,KVM虚拟架构,美国洛杉矶CN2 GT线路,1Gbps带宽,最低3TB流量,仅需14美元/年,有需要国外便宜美国洛杉矶VPS云服务器的朋友可以尝试一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器...

ucloud香港服务器优惠活动:香港2核4G云服务器低至358元/年,968元/3年

ucloud香港服务器优惠降价活动开始了!此前,ucloud官方全球云大促活动的香港云服务器一度上涨至2核4G配置752元/年,2031元/3年。让很多想购买ucloud香港云服务器的新用户望而却步!不过,目前,ucloud官方下调了香港服务器价格,此前2核4G香港云服务器752元/年,现在降至358元/年,968元/3年,价格降了快一半了!UCloud活动路子和阿里云、腾讯云不同,活动一步到位,...

酷番云-618云上秒杀,香港1核2M 29/月,高防服务器20M 147/月 50M 450/月,续费同价!

官方网站:点击访问酷番云官网活动方案:优惠方案一(限时秒杀专场)有需要海外的可以看看,比较划算29月,建议年付划算,月付续费不同价,这个专区。国内节点可以看看,性能高IO为主, 比较少见。平常一般就100IO 左右。优惠方案二(高防专场)高防专区主要以高防为主,节点有宿迁,绍兴,成都,宁波等,节点挺多,都支持防火墙自助控制。续费同价以下专场。 优惠方案三(精选物理机)西南地区节点比较划算,赠送5...

服务器防御为你推荐
域名注册申请域名申请有什么要求美国主机空间哪个美国ASP的主机空间最稳定,最好使!!免费美国主机谁有免费空间?给我提供一个,主机屋的就不要了,美国主机也行,但是必须得稳定,谢谢linux主机linux优点和缺点有哪些啊?域名代理如何知道自己的域名是在哪个代理商注册的啊?虚拟主机代理请问虚拟主机的代理和虚拟主机分销有什么区别?分销的主机是不是可以把主机分给多个用户使用?我用的ResellerClub代理!!网站服务器租用哪些网站适合独立服务器租用?价格方面怎么样?com域名注册com域名注册要注意哪些情况啊?我想现在注册一个com域名~空间域名服务器和空间域名什么意思万网虚拟主机万网虚拟、专享、独享主机有什么区别?
美国域名注册 中国万网域名 windows主机 本网站在美国维护 阿里云浏览器 怎样建立邮箱 免费吧 域名和空间 服务器监测 Updog 主机管理系统 免费网络 qq金券 万网服务器 数据湾 香港博客 免费网站加速 侦探online blaze bwg 更多