第一章 绪论
1.1 选题背景及意义
近年来我国互联网行业蓬勃发展,其开放性以及便捷性深受人们的青睐,网络规模不断扩展,应用范围日益扩大,实现了社会信息的高速交互。随着现代社会越来越信息化,电子商务的迅速崛起,同时政府企事业单位大力引进电子政务,网络已成为人们的生活必需品。当人们在享受网络给我们的工作和生活带来巨大方便的同时,各种频繁的网络入侵与攻击行为也使得网络安全问题日益突显,与此同时,组织化、规模化的网络入侵行为向分布式方向发展演化,这不仅使得企业与个人的财产受到严重威胁,甚至会影响到国家信息的安全以及社会稳定的发展。目前,绝大多数企事业单位为了实现资源的共享组建了内部局域网,这样一来使得信息传递极为便捷,工作效率得到了极大的提高,日常工作中网络成为了不可或缺的重要部分。可是由于局域网具有开放共享的特点,使得各分布主机中存储的重要资料处于一种高风险状态,极易受到来自外部以及系统内部的非法访问。来自 CERT/CC 的报告,自 2003 年以来,入侵计算机内部事件大约以每年3 倍的速度上升,同时系统漏洞也呈现出增长状态,总而言之,越来越广泛的信息网络化渗透,使局域网的安全受到极大的挑战,越发突出维护信息安全的重要性,局域网使用者和维护者必须面对局域网安全问题,势在必行。维护网络安全的首要目标是有效地制定安全策略或方案。网络安全的主要技术有安全审计、身份认证、数据加密、访问控制、信息审计等。其中,安全审计系统逐渐成为整个安全系统中最关键的组成部分。网络安全审计系统的基本思想是通过实时采集,解包网络数据,对各种上层应用协议数据的实时分析和还原,对被监控中的网络使用情况进行实时监控,对违反某些特定操作的违规主机进行封锁,以及实时记录各种网络违规行为,以帮助政府机构或企事业单位的网络管理员对网络内信息资源进行有效的管理和维护。
……..
1.2 国内外现状分析
网络安全审计是指根据一定的策略,通过对历史事件数据进行记录以及分析对数据的保密性、完整性及可用性进行保护,使其不受损坏,同时保证网络系统的安全运行,防止人为错误的发生,为了及早发现网络中存在的安全隐患,除了需要采取常规的安全措施外,还可以通过审计机制对网络运行的实时状况进行审查、记录及追踪[11]。与此同时,审计机制还可以在网上过滤规则定制的过程中为其提供依据。通过信息过滤机制对有害网站信息进行过滤,拒绝过滤列表中所存储的信息地址,以此来完成拒绝某些网站的垃圾信息[5]。近年来,网络安全问题的严重性使得国内外专家都在进行这方面的研究,急切想改变现有的网络安全状况。网络安全审计系统已逐步成为各个厂商在这个领域重点研究的对象[12],目前也有一些网络安全审计系统已经成型,如基于主机的安全审计系统,防火墙安全审计系统等[4]。
……..
第二章 相关技术概述
2.1 网络安全技术概述
现代企业采用统一的网络信息化平台实现企业内部的数据共享与信息流通,从而强化企业的内部管理。在网络容量与网络规模快速增长的同时,网络中的非法入侵与不当操作引起的安全问题对企业局域网安全威胁极大。局域网安全问题逐渐引起人们的重视[14]。局域网安全是指某局域网范围内各计算机系统中的数据受到保护,系统能够持续正常可靠地运行,既不会发生网络服务中断也不会无故遭到破坏、更改、泄露。计算机网络安全保护计算机网络系统中硬件,软件和数据资源,保证网络系统网络服务连续可靠的正常有序的运行[15]。网络安全的实质即是网络上的信息安全。网络安全的研究领域颇为广泛,例如一些涉及到信息的保密性,可用性,完整性及真实性的技术都是网络安全的研究领域。总体来说,网络安全是一门涉及计算机科学、密码技术、数论、信息论等学科的综合性学科[21]。
………
2.2 Socket 通信技术
Socket 俗称套接字,用于描述口地址和端口号,是进程之间通信的抽象连接点,是一个通信链的句柄。应用程序通常通过“套接字”向网络发出请求或者应答网络请求。套接字封装了非同种协议之间的差别。这些协议存在于通信协议族系中的传输层[22]。用户可以通过选取不同参数使 Socket 机制来支持两种协议,第一种为不同族系之间的通信协议,第二种为同族通信协议中的不同质量要求的协议。Socket 是面向 Client/Server 模型而设计的,Client/Server 模型的发展基于以下两点:1.网络资源需要共享。网络中分布的软硬件资源不均等、预算能力参差不一、信息独自占有,需要将这些网络资源集中在一起方便访问。服务器就上集中了众多的资源提供服务,其它客户机可以对等的向服务器提出请求,享用服务器上的资源。2.网络上的每个客户机之间的通信过程完全是异步的,这些进程既不共享缓冲区,也不存在着继承关系。Socket 是建立在 TCP/IP 协议之上的 API,主要有两种操作方式:有连接方式和无连接方式,TCP 即是一种面向有连接的流式 Socket 协议,提供了双向的、有序的、数据流服务。UDP 即是一种面向无连接的数据报式 Socket 协议,支持双向的不可靠数据流[17]。本文主要采用 UDP 通信模式,服务端创建 socket 通信时首先处于监听的状态,客户端向服务端发送请求,在连接成功时,应用程序两端都会产生一个 Socket 实例,通过对这个实例的操作完成所需的会话。
……..
第三章 安全审计组件需求分析.....15
3.1 信息安全系统概述........15
3.2 安全审计组件的需求分析与总体设计......19
3.3 本章小结........24
第四章 安全审计组件的设计与实现.......25
4.1 审计组件客户端的设计与实现........25
4.1.1 审计组件客户端设计........25
4.1.2 审计组件客户端实现........26
4.2 审计组件服务端的设计与实现........28
4.2.1 审计组件服务端设计........28
4.2.2 审计组件服务端实现........29
4.3 审计组件维护模块的设计与实现....30
4.4 告警触发管理模块的设计与实现.... 33
4.5 审计组件数据库...... 3
4.6 本章小结........ 42
第五章 安全审计组件的测试及分析.......43
5.1 组件运行环境..... 43
5.2 审计组件测试...... 43
5.3 本章小结........ 48
第五章 安全审计组件的测试及分析
5.1 组件运行环境
整个组件主要采用 C/S 模式,组件部署在局域网内,安全参数管理中心,认证服务器,数据库服务器挂接到局域网上,端机之间可以进行通信,也可以根据实际情况向服务器发送请求。端机的操作系统是 windows 7 及以上的 windows 操作系统版本,端用户之间的数据传输通信都是基于 windows 操作系统的。日志审计服务器系统配置:PC 机一台,CPU 为 Intel Core i3 995 X,内存 2G 以上,硬盘 320G 以上,有 CD--ROM 和网卡;操作系统为 windows 7 默认安装。针对审计日志的产生与查看功能,设计用例 1“请求服务器资源超时&读取文件失败”,此事件是产生需要记录的审计事件,输入:用户名为张三;ID 为 101;事件为请求服务器资源超时;操作类型为读取;资源对类型为文件;操作对象为 1309.jpg;操作结果为失败。输出和输入应该是一致的。图 5.10 为向数据库发送审计消息图,图 5.11 为收到审计消息图。通过图 5.10 和图 5.11 可以得出结论:日志信息成功计入数据库。
……..
结论
安全审计技术主要完成对网络事件进行分析及对异常行为进行检测的功能。安全审计组件的目的是发现用户的非法行为并提供相应证据,发现系统中潜在的安全隐患。对系统日志的分析和审计就是对操作系统中用户活动所产生的一系列事件进行记录和分析的过程[25]。论文首先阐述了网络中进行安全审计的重要性,分析了此项技术在国内外的研究现状,接着介绍了当前主要的安全审计技术,其中重点对基于局域网的安全审计技术进行了研究,并描述了安全审计组件模型和实现方案,为日后进一步的研究的工作奠定了良好的基础。论文研究的主要内容包括以下几个方面:
(1)阐述了安全审计的关键技术,从系统结构以及数据来源等方面对基于局域网的安全审计组件涉及的相关技术进行了研究和总结,奠定理论基础,并对现有的几种网络审计系统进行了分析介绍。
(2)针对局域网内安全审计组件应用的实际需求,确定了其功能需求并设计出组件体系结构,按功能需求将其分解为审计客户端、审计服务端、告警触发等各个子模块;启用线程监听的方式采集数据,不影响用户的正常使用。
(3)介绍本组件的总体实现模型,以及各个子模块的功能结构和实现方法。通过对审计关键字进行配置,使该组件可以适应不同环境的实际需要。满足不同用户的具体需求。#p#分页标题#e#
…………
参考文献(略)
