一 引 言

隨著互聯網應用的蓬勃發展，企業網信息服務快速增長，網絡環境日益復雜。 為了保障企業網的高效安全運行，網絡安全問題也越來越重要。 由于企業網服務對象的特殊性， 對于企業網網絡攻擊經常來自網絡內部。

常規的防火墻、入侵監測等安全防護設備，很難針對來自內網的攻擊起到應有的保護效果。 即使這些設備發現了某些入侵的跡象進行預警，還需要網絡管理人員根據相關信息手動地部署防御措施，工作量大，效率比較低，導致網絡防御的延遲，給入侵者實施入侵提供了足夠多的時間。

二 模型描述

針對上述問題，我們提出并實現了一種基于集中日志分析的企業網智能網絡安全防御模型，如圖 1 所示。 該模型主要由日志集中采集、日志處理與分析、動態部署網絡安全策略組成。

對服務器、防火墻、交換機等關鍵設備日志進行集中管理，然后針對相關日志進行有效的分析，根據日志分析結果對入侵行為進行預警， 并及時自動地部署相應的防御策略 ACL\\(AccessControl List\\)。 該模型能夠在網絡入侵者真正實現入侵之前 ，及時地、有針對性地實施網絡安全控制策略，從而提供有力的網絡的安全保證?！緢D1】


三 集中日志采集服務器的構建

日志采集服務采用符合 RFC 3164 規范的 rsyslog，使用 or-acle 作為后臺數據庫 。 rsyslog 兼容傳統的 syslog 程序 ， 但是rsyslog 支持多線程，支持數據庫存儲，支持定制化的模塊添加 ，這些特性使得 rsyslog 適合做集中的日志服務器，而且對非標準的日志格式具有良好的適應性和擴展性。

1.支持 syslog 格式設備的日志采集 。 支持 syslog 格 式設備需要在該設備中配置集中日志采集服務器的 IP 地址和端口以及對應的傳輸協議，并根據關心的安全問題，在對應的策略上開啟日志服務即可。

2.Linux 服務器的日志采集。 Linux 服務器日志系統默認采用的是 syslog，根據安全策略的需求，可以精簡日志信息，發送相關的日志信息到集中日志采集服務器。 需要配置/etc/sys-log.conf 文件，例如：kern.warning @ 日志采集服務器 IP 地址在 Linux 環境上， 一般是采用 iptables 作為服務器的防火墻來實施的。 例如，如果關心 ssh 的遠程登錄情況，當非法IP 嘗試 SSH 登錄將產生警告日志：

\\(1\\) 配置產生 log 的鏈。
iptables -N LOG_DROP
iptables -A LOG_ACCEPT -j LOG --log-level 4 --log-
prefix "[IPTABLES ACCEPT] : " #--log-prefix 添加日志前
綴 --log-level 指定日志等級，4 的含義為 warning
iptables -A LOG_DROP -j RETURN
\\(2\\) 配置 iptables 的 22 端口 log。
iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j AC-
CEPT # 允許訪問的 ip
iptables -A INPUT -p tcp -m tcp --dport 22 -j
LOG_DROP # 非法 ip 訪問 22 端口產生日志
iptables -A INPUT -j DROP


# 拒絕其他 ip 訪問 22 端口

3.Windows 服務器日志的收集 。 Windows 的系統日志格式、日志記錄方式與 RFC 3164 標準不同。 所以，需要第三方軟件來將 windows 系統的日志轉換成 syslog 類型的日志類型，然后轉發給日志采集服務器。 這里采用 evtsys來實現。

4.交換機設備的日志的采集。 交換機的日志格式與 sys-log 的日志格式相同，只需指定接收日志的服務器即可。 具體的配置需要參考相關的交換機設備的配置文檔。 例如，華為交換機的相關配置命令如下:info-center logbuffer //向內部緩沖區輸出信息info-center logbuffer size //定義輸出信息的內部 緩 沖區大小info-center loghost IP 地址 //向日志服務器輸出信息四 日志的預處理和存儲。。

日志數據來自不同類型的設備，并且每種類型的設備日志所包含的日志信息也不一樣，因此根據不同的日志來源和日志信息進行分類，然后分別進行存儲。 為了提高效率，日志的預處理和分類存儲工作在 oracle 數據庫中進行。 通過 or-acle 存儲過程實現對日志進行分類和存儲 。 通過任務隊列（DBMS_JOB）定期執行表數據清理、轉存等工作，減少運行數據庫的數據量，提供系統的數據處理響應速度。

例如 Linux 服務，iptables 防火墻 22 端口產生的日志如下：
2011 -12 -05T15:28:46.480798 +08:00 202.206.32.201
kernel:[IPTABLES DROP] : IN=eth0 OUT= MAC=08:00:27:
ab:18:e8:78:1d:ba:89:a5:9d:08:00 SRC =192.168.200.78 DST =
202.206.32.201 LEN=48 TOS =0x00 PREC =0x00 TTL =126
ID =48406 DF PROTO =TCP SPT =1886 DPT =22 WIN-
DOW=65535 RES=0x00 SYN URGP=0

如前所述，Linux 服務器日志收集時，在其連接日志前端添加了日志前綴[IPTABLES DROP]，所以，存儲過程可以根據這個對這條日志的解析，選擇將此條日志記錄的信息保存到對應的存儲表中，提供給后面的日志分析程序使用。

五 攻擊行為的分析與記錄

根據網絡攻擊行為的特性，或者利用已有的網絡攻擊行為的特征，生成對應的攻擊行為識別規則庫。 通過規則庫與集中日志服務采集到的信息進行匹配，若某些日志信息符合規則庫中的某條規則，則判斷為網絡攻擊行為。 這個匹配工作，由日志分析程序實時讀取日志信息來完成。 一旦發現攻擊行為，將攻擊行為的來源、攻擊對象等信息記錄到網絡攻擊信息表中，并以短信、電子郵件方式通知系統管理員。

由于日志信息一般記錄了應用層網絡行為，所以，網絡攻擊行為識別規則庫主要是標記一些危險的網絡行為，例如，端口掃描、密碼探測等，而不會涉及數據包的分解和重組。 例如，針對 Linux 系統 SSH 的 22 端口的攻擊的識別規則如下：

在一段時間 T 內同一 IP 地址通過 ssh 方式連接一臺服務器或者多臺服務器失敗次數超過 N 次， 視該 IP 地址發起了網絡攻擊行為。

更全面、更細致地確定網絡攻擊行為，就需要解析一些危險數據報文的信息。 為此， 可以在被保護的設備前部署類似snort的入侵檢測系統 ，而入侵檢測系統的日志信息也要發送給集中日志服務器，統一管理這些攻擊行為信息。 日志分析程序可以直接依據入侵檢測系統的日志信息，進行網絡攻擊行為判定，并做出相應的動作。

六 動態生成和部署ACL\\(Access Control List\\)

一旦發現攻擊行為將對攻擊源實行全面的封鎖，不允許其任何數據流出靠近其的支持 ACL 網絡設備。 當日志分析程序確定網絡攻擊行為后， 調用網絡攻擊處理程序進行處理。 該程序根據攻擊源的 IP 地址信息，通過事先定制的 ACL模板，生成對應的 ACL 規則，并通過 telnet 或者 ssh 方式自動登錄后， 將這些規則應用到離攻擊源最近的支持 ACL 的網絡設備上， 阻止該網絡攻擊行為進一步發生。 對于 Linux服務器而言， 可以動態地生成 iptables 規則， 阻止攻擊源 IP訪問該服務器。

系統管理員通過告警顯示界面，對網絡攻擊行為及 ACL執行的情況進行查詢。 一旦網絡攻擊行為被處理和解決，再通過網絡攻擊處理程序撤銷原先在網絡設備上部署的 ACL策略。

ACL 模板依據不同設備的不同 ACL 語法定制，每個設備的 ACL 模板包含應用 ACL 和撤銷 ACL 兩種模板。 網絡攻擊處理程序根據日志分析程序產生的攻擊源的 IP 地址信息，模板中的攻擊源 IP 進行替換，生成對應的 ACL 語句。 例如，華為交換機的 ACL 模板如下：
system-view //進入系統模式
acl 3000 //進入 ACL 列表
rule deny ip source ATTACKIP 0 //添加 ACL 規則
quit //退出 ACL 列表
//重新部署 ACL
traffic-filter vlan 1 inbound acl 3000

七 結語

通過基于集中日志分析的企業網智能網絡安全防御模型，就能夠很好地解決企業網面臨的內網攻擊行為的防范和處理問題。 該模型能夠通過采集各個系統及設備的日志信息和分析處理，幫助系統管理人員及時發現安全隱患，并對網絡攻擊行為自動地做出相關防御措施的響應。 這樣，提高了網絡的安全防護強度，降低維護網絡安全的工作強度。 該模型不僅限于企業網的實施，也可以應用于其他網絡環境比較復雜的園區網中。 在日志分析過程中，如果應用數據挖掘及行為模式識別技術，就可以實現對網絡攻擊行為的感知和預警，從而進一步提高該模型的智能化水平。