一 引 言
随着互联网应用的蓬勃发展,企业网信息服务快速增长,网络环境日益复杂。 为了保障企业网的高效安全运行,网络安全问题也越来越重要。 由于企业网服务对象的特殊性, 对于企业网网络攻击经常来自网络内部。
常规的防火墙、入侵监测等安全防护设备,很难针对来自内网的攻击起到应有的保护效果。 即使这些设备发现了某些入侵的迹象进行预警,还需要网络管理人员根据相关信息手动地部署防御措施,工作量大,效率比较低,导致网络防御的延迟,给入侵者实施入侵提供了足够多的时间。
二 模型描述
针对上述问题,我们提出并实现了一种基于集中日志分析的企业网智能网络安全防御模型,如图 1 所示。 该模型主要由日志集中采集、日志处理与分析、动态部署网络安全策略组成。
对服务器、防火墙、交换机等关键设备日志进行集中管理,然后针对相关日志进行有效的分析,根据日志分析结果对入侵行为进行预警, 并及时自动地部署相应的防御策略 ACL(AccessControl List)。 该模型能够在网络入侵者真正实现入侵之前 ,及时地、有针对性地实施网络安全控制策略,从而提供有力的网络的安全保证。【图1】
三 集中日志采集服务器的构建
日志采集服务采用符合 RFC 3164 规范的 rsyslog,使用 or-acle 作为后台数据库 。 rsyslog 兼容传统的 syslog 程序 , 但是rsyslog 支持多线程,支持数据库存储,支持定制化的模块添加 ,这些特性使得 rsyslog 适合做集中的日志服务器,而且对非标准的日志格式具有良好的适应性和扩展性。
1.支持 syslog 格式设备的日志采集 。 支持 syslog 格 式设备需要在该设备中配置集中日志采集服务器的 IP 地址和端口以及对应的传输协议,并根据关心的安全问题,在对应的策略上开启日志服务即可。
2.Linux 服务器的日志采集。 Linux 服务器日志系统默认采用的是 syslog,根据安全策略的需求,可以精简日志信息,发送相关的日志信息到集中日志采集服务器。 需要配置/etc/sys-log.conf 文件,例如:kern.warning @ 日志采集服务器 IP 地址在 Linux 环境上, 一般是采用 iptables 作为服务器的防火墙来实施的。 例如,如果关心 ssh 的远程登录情况,当非法IP 尝试 SSH 登录将产生警告日志:
(1) 配置产生 log 的链。
iptables -N LOG_DROP
iptables -A LOG_ACCEPT -j LOG --log-level 4 --log-
prefix "[IPTABLES ACCEPT] : " #--log-prefix 添加日志前
缀 --log-level 指定日志等级,4 的含义为 warning
iptables -A LOG_DROP -j RETURN
(2) 配置 iptables 的 22 端口 log。
iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j AC-
CEPT # 允许访问的 ip
iptables -A INPUT -p tcp -m tcp --dport 22 -j
LOG_DROP # 非法 ip 访问 22 端口产生日志
iptables -A INPUT -j DROP
# 拒绝其他 ip 访问 22 端口
3.Windows 服务器日志的收集 。 Windows 的系统日志格式、日志记录方式与 RFC 3164 标准不同。 所以,需要第三方软件来将 windows 系统的日志转换成 syslog 类型的日志类型,然后转发给日志采集服务器。 这里采用 evtsys来实现。
4.交换机设备的日志的采集。 交换机的日志格式与 sys-log 的日志格式相同,只需指定接收日志的服务器即可。 具体的配置需要参考相关的交换机设备的配置文档。 例如,华为交换机的相关配置命令如下:info-center logbuffer //向内部缓冲区输出信息info-center logbuffer size //定义输出信息的内部 缓 冲区大小info-center loghost IP 地址 //向日志服务器输出信息四 日志的预处理和存储。。
日志数据来自不同类型的设备,并且每种类型的设备日志所包含的日志信息也不一样,因此根据不同的日志来源和日志信息进行分类,然后分别进行存储。 为了提高效率,日志的预处理和分类存储工作在 oracle 数据库中进行。 通过 or-acle 存储过程实现对日志进行分类和存储 。 通过任务队列(DBMS_JOB)定期执行表数据清理、转存等工作,减少运行数据库的数据量,提供系统的数据处理响应速度。
例如 Linux 服务,iptables 防火墙 22 端口产生的日志如下:
2011 -12 -05T15:28:46.480798 +08:00 202.206.32.201
kernel:[IPTABLES DROP] : IN=eth0 OUT= MAC=08:00:27:
ab:18:e8:78:1d:ba:89:a5:9d:08:00 SRC =192.168.200.78 DST =
202.206.32.201 LEN=48 TOS =0x00 PREC =0x00 TTL =126
ID =48406 DF PROTO =TCP SPT =1886 DPT =22 WIN-
DOW=65535 RES=0x00 SYN URGP=0
如前所述,Linux 服务器日志收集时,在其连接日志前端添加了日志前缀[IPTABLES DROP],所以,存储过程可以根据这个对这条日志的解析,选择将此条日志记录的信息保存到对应的存储表中,提供给后面的日志分析程序使用。
五 攻击行为的分析与记录
根据网络攻击行为的特性,或者利用已有的网络攻击行为的特征,生成对应的攻击行为识别规则库。 通过规则库与集中日志服务采集到的信息进行匹配,若某些日志信息符合规则库中的某条规则,则判断为网络攻击行为。 这个匹配工作,由日志分析程序实时读取日志信息来完成。 一旦发现攻击行为,将攻击行为的来源、攻击对象等信息记录到网络攻击信息表中,并以短信、电子邮件方式通知系统管理员。
由于日志信息一般记录了应用层网络行为,所以,网络攻击行为识别规则库主要是标记一些危险的网络行为,例如,端口扫描、密码探测等,而不会涉及数据包的分解和重组。 例如,针对 Linux 系统 SSH 的 22 端口的攻击的识别规则如下:
在一段时间 T 内同一 IP 地址通过 ssh 方式连接一台服务器或者多台服务器失败次数超过 N 次, 视该 IP 地址发起了网络攻击行为。
更全面、更细致地确定网络攻击行为,就需要解析一些危险数据报文的信息。 为此, 可以在被保护的设备前部署类似snort的入侵检测系统 ,而入侵检测系统的日志信息也要发送给集中日志服务器,统一管理这些攻击行为信息。 日志分析程序可以直接依据入侵检测系统的日志信息,进行网络攻击行为判定,并做出相应的动作。
六 动态生成和部署ACL(Access Control List)
一旦发现攻击行为将对攻击源实行全面的封锁,不允许其任何数据流出靠近其的支持 ACL 网络设备。 当日志分析程序确定网络攻击行为后, 调用网络攻击处理程序进行处理。 该程序根据攻击源的 IP 地址信息,通过事先定制的 ACL模板,生成对应的 ACL 规则,并通过 telnet 或者 ssh 方式自动登录后, 将这些规则应用到离攻击源最近的支持 ACL 的网络设备上, 阻止该网络攻击行为进一步发生。 对于 Linux服务器而言, 可以动态地生成 iptables 规则, 阻止攻击源 IP访问该服务器。
系统管理员通过告警显示界面,对网络攻击行为及 ACL执行的情况进行查询。 一旦网络攻击行为被处理和解决,再通过网络攻击处理程序撤销原先在网络设备上部署的 ACL策略。
ACL 模板依据不同设备的不同 ACL 语法定制,每个设备的 ACL 模板包含应用 ACL 和撤销 ACL 两种模板。 网络攻击处理程序根据日志分析程序产生的攻击源的 IP 地址信息,模板中的攻击源 IP 进行替换,生成对应的 ACL 语句。 例如,华为交换机的 ACL 模板如下:
system-view //进入系统模式
acl 3000 //进入 ACL 列表
rule deny ip source ATTACKIP 0 //添加 ACL 规则
quit //退出 ACL 列表
//重新部署 ACL
traffic-filter vlan 1 inbound acl 3000
七 结语
通过基于集中日志分析的企业网智能网络安全防御模型,就能够很好地解决企业网面临的内网攻击行为的防范和处理问题。 该模型能够通过采集各个系统及设备的日志信息和分析处理,帮助系统管理人员及时发现安全隐患,并对网络攻击行为自动地做出相关防御措施的响应。 这样,提高了网络的安全防护强度,降低维护网络安全的工作强度。 该模型不仅限于企业网的实施,也可以应用于其他网络环境比较复杂的园区网中。 在日志分析过程中,如果应用数据挖掘及行为模式识别技术,就可以实现对网络攻击行为的感知和预警,从而进一步提高该模型的智能化水平。
