基于Agent技術的網(wǎng)絡安全審計模型研究與實現(xiàn).pdf

1、隨著計算機網(wǎng)絡的發(fā)展和計算機應用的普及，網(wǎng)絡和網(wǎng)絡信息的安全問題日益突出。目前，網(wǎng)絡安全的研究較多地集中在訪問控制、數(shù)據(jù)加密、防火墻技術和入侵檢測技術上，而忽略了出現(xiàn)較多安全問題的內(nèi)網(wǎng)的管理控制和用戶行為審計。安全審計技術作為繼防火墻和入侵檢測系統(tǒng)后的第三道防線，能夠?qū)崿F(xiàn)對系統(tǒng)和內(nèi)部網(wǎng)絡安全事件的跟蹤、記錄和再現(xiàn)，提高局域網(wǎng)的管理力度，有效保障網(wǎng)絡的整體安全性。
　　基于日志分析的網(wǎng)絡安全審計系統(tǒng)是目前的主流研究方向之一，如何提高

2、審計日志分析效率是研究的熱點問題。但是隨著網(wǎng)絡規(guī)模的增大和日志數(shù)據(jù)種類的增多，集中式的審計結(jié)構(gòu)面臨消耗較多網(wǎng)絡資源和審計中心負擔大等問題，不利于審計分析效率的提高。本文借助于Agent技術自治、智能、協(xié)作等特點，構(gòu)建了一個基于Agent技術的網(wǎng)絡安全審計系統(tǒng)，所做的工作主要有:
　　1、設計和實現(xiàn)了分布式的日志數(shù)據(jù)采集。
　　利用Agent技術實現(xiàn)對局域網(wǎng)內(nèi)主機系統(tǒng)日志、安全日志以及網(wǎng)絡數(shù)據(jù)包等多個審計數(shù)據(jù)源的實時采集和處理

3、。結(jié)合多種數(shù)據(jù)源的分析，解決了只分析單一數(shù)據(jù)源帶來的審計不準確的問題，提高審計日志數(shù)據(jù)的整體分析水平和判斷能力。
　　2、改進了傳統(tǒng)的關聯(lián)規(guī)則挖掘算法和基于滑動窗口的信息熵檢測算法，用于挖掘和完善審計規(guī)則，提高了審計分析 Agent中規(guī)則庫更新的智能性。
　　在系統(tǒng)中使用基于“支持度-置信度”框架的Apriori算法挖掘日志數(shù)據(jù)中隱含的行為規(guī)則，但是該算法存在掃描數(shù)據(jù)庫時 I/O代價較高、產(chǎn)生較多候選項集等問題，致使其尋找最

4、大頻繁項集的效率很低?；诖?，本文提出了一種結(jié)合排序矩陣的強關聯(lián)規(guī)則生成算法，該算法只需要掃描一次數(shù)據(jù)庫并且產(chǎn)生較少的候選項集，提高了算法效率。日志數(shù)據(jù)挖掘的規(guī)則添加入審計規(guī)則庫，較好地解決了審計規(guī)則的自動生成和更新問題，提高審計分析效率和審計準確率。
　　分析網(wǎng)絡數(shù)據(jù)包時，結(jié)合基于滑動窗口的信息熵檢測算法可以發(fā)現(xiàn) UDPFlood、SYNFlood等 DoS攻擊行為，避免了使用數(shù)理統(tǒng)計等方法帶來的漏報和誤報現(xiàn)象，提高審計分析的智

5、能性。
　　3、設計了一個基于Agent技術的網(wǎng)絡安全審計模型并加以實現(xiàn)。
　　結(jié)合局域網(wǎng)實際，在局域網(wǎng)網(wǎng)關服務器和各網(wǎng)絡節(jié)點分布具備不同功能的Agent實體:數(shù)據(jù)采集 Agent、審計分析 Agent、管理控制中心 Agent和客戶端 Agent。利用數(shù)據(jù)采集Agent實現(xiàn)多數(shù)據(jù)源的分布式采集；利用數(shù)據(jù)挖掘技術和入侵檢測相關算法挖掘和完善審計規(guī)則，提高審計分析 Agent的智能性；同時，通過基于Socket類的通信機制實現(xiàn)