安全管理平台中的日志数据格式统一与融合

raymin官方网站

安全管理平台中的日志数据格式统一与融合

时间:2011-10-23 10:52 作者:原创人气:次

　　设计了一种网络安全管理平台的系统模型分析了网络安全管理平台中各安全产品的日志和数据信息的格式统一与融合问题提出了解决方法并详细论述了实现过程实验表明该方法较大地提高了系统处理网络中安全事件的效率关键词网络安全安全管理平台格式统一融合,[\\]\[\\]][]\\\][\\]\]\\]\]\\\[\[\,[[\\]\\\网络安全管理平台的系统结构在网络安全管理平台的设计中选择了几个网络安全系统中不可或缺的安全部件防火墙入侵检测系统和漏洞扫描系统在具体实现中我们选择了以下几个比较典型的产品防火墙]入侵检测系统漏洞扫描系统的设计目标是实现]三种产玩家可怜品的互连和集中管理并能从各产品实时得到安全数据和日志对数据和日志信息进行格式统一融合和综合分析然后从策略库中提取相应的策略对产品进行配置管理和联动等操作在对上述三种产品实施统一管理的基础上平台的应用范围应该能够扩大到入侵检测类漏洞扫描类以及防火墙类的其他产品的系统模型如图<所示采用结构平台主要由三部分组成平台平台以及与之间的通信与加密平台运行在===平台上包括应用模块管理配置模块本地数据处理模块日志告警处理模块和数据库其中应用模块提供用户接管理配置模块负责平台的管理和配置功能本地数据处理模块负责进行本地数据的处理工作日志告警处理模块进行日志数据的融合和综合分析处图<系统模型图与之间的通讯与加密应用模块数据库日志告警处理模块本地数据处理模块管理配置模块平台平台]平台理数据库;包括策略库。存放平台的所有数据平台随同部件产品运行在部件产品所运行的平台上和各个之间的通信基于用进行加密平台中日志数据格式的统一与融合在平台中的三个安全产品中启动后会实时的在硬盘上记录大量的报警信息每一次扫描结束后也会生成一个结果报告而]的日志极少只有起动和停止好玩网游了的时间信息所以我们只做了日志和数据的格式统一和融合将日志和数据进行融合就生成了既包含静态漏洞信息又包含动态攻击事件的新数据由于新数据中既有漏洞信息又有受到的攻击行为的信息所以可以对漏洞进行分级将受攻击较频繁的漏洞|==<<=收到==~=<~改回||吕建周男年生在读硕士研究方向计算机网络安全第<"卷第~期电脑开发与应用;总<><。设为高危险等级!而受攻击不频繁的漏洞设为低危险等级!管理员可以按危险等级顺序对漏洞进行修补!使网络系统受到完美国际的危害降低"如果管理员根据新数据修补了系统中的所有漏洞!即使%漏报了攻击行为!则攻击对一个完好的系统所造成的危害与对一个有漏洞的系统造成的危害相比也是较小的!因此此方法也降低了%漏报对网络安全造成的影响"平台中各安全产品的日志数据格式的统一)%日志格式分析%监听网络数据时会实时的在硬盘上记录大量的报警信息"%记录信息，可以参考这个-完美国际SF学习相关资料。的文件可以是文本+,-.+/012342格式!也可以把信息记录到5/%6或者数据库"其中基于文本的格式+/012342格式和数据库是%最重要的三种报警形式"不论那种形式的日志都包括7%探测到的攻击事件发生的时间+%提示信息8报警的分类和优先级9+攻击方所使用的:;地址+攻击方所使用的端号+被攻击的主机的:;地址+被攻击的端"因此我们考虑一种数据格式!此格式包含七个字段!其中前六个字段分别对应上述六个内容!最后一个字段存备注信息"在46<端按此格式对每一条%日志信息进行格式化处理!再将处理过的数据加密后传给<=<")(<>数据格式分析用<>对网络上的某一计算机进行扫描后生成一个报告!此报告的内容包括7被扫描的计算机名或:;地址+被扫描的端!包括在此端www.dongyagk.com的服务。端号协议+扫描所使用的插件的:号+安全告警信息或安全漏洞报告+告警信息或漏洞报告的内容"用46<对此报告进行处理7把被扫描主机的端号与在被扫描端的服务和使用的协议分开加入扫描开始时间和扫描结束时间"然后按照))中的方法设计一种包含九个字段的数据格式!每个字段分别对应7被扫描主机的:;+被扫描的端+在被扫描端的服务协议+扫描所用到的插件+安全告警信息或安全漏洞报告+告警或报告的内容+扫描开始时间+扫描结束时间+备注信息"在46<端按此格式对每一条<>数据进行格式化处理!再将处理过SF的数据加密后传给<=<")%日志和<>数据的格式统一通过分析比较%日志格式和<>数据格式可以发现!两者有一个交集!即:;地址和端"%检测到完美国际的攻击是针对某一主机的某一端!而<>扫描到的漏洞也是运行在一个主机某一个端上的软件或服务存在的漏洞"因此可以通过对两者取并集的方式进行格式统一"对%日志格式和<>数据格式取并集!并将交集的:;地址字段和端字段合并!生成一种新数据格式!它包含以下内容7时间%提示信息8报警的分类和优先级9攻击方的端被攻击方。被扫描主机的:;与被攻击。被扫描的端在此端的服务和使用的协议扫描所用到的插件安全告警信息或安全漏洞报告告警或报告的内容扫描开始时间扫描结束时间备注信息!我们称此格式为统一格式"用此格式对%日志和<>数据分别进行扩展便能实现格式统一"(平台中各安全产品SF的日志数据格式的融合由于%是实时写日志的!而<>是按计划隔一段时间进行一次扫描的!因此在进行融合时!要做到%日志和<>数据在时间上互相具有参考性"这需要对各个46<端的系统时间进行校正"我们把<=<端的时间作为标准时间!在<=<端206各46<端!根据包返回的时间可以计算出每一条传输路径上的网络延迟!把标准时间与每个网络延迟时间之和传给相应的各个46数据格式并校准了各主机的系统时间后!就可以进行融合了"我们采取了以下方法!以时间为坐标轴,新闻!第次<>扫描开始时间对应坐标轴上的一个点!设为!用向后靠拢的方法!把在时间上满足。!9。我们称此为融合条件的%日志与第次扫描得到的数据进行融合"此功能在<=<端实现"我们设计了三个数据库!分别存放46<传来的%日志+<>数据和融合后生成的新数据"具体实现过程如下76<将加密的%日志信息和<>数据传送给<=<<=<将%日志信息解密后存入数据库!将<>数据解密后存入数据库从数据库中取出未融合的%日志数据!从数据库中取出与%日志数据共同满足融合条件的<>数据进行融合!融合后的数据存入数据库"这时需要考虑的一种情况是7%日志和<>数据的交集为空!也即在遭到攻击的主机的端上没有漏洞!或存在漏洞的端没有遭到攻击"这时只需用统一格式分别对二者进行扩展!扩展部分取值为空!然后存入数据库!这样的数据从内容上等于单。下转第页。总安全管理平台中的日志数据格式统一与融合年此时!炉内电阻丝所加功率"为%(+,%-,%.).+,%/,%01式01中!%为通过可控硅加于炉子的功率2%为电阻丝的额定功率2为可控硅导通周波数时间!(+为可控硅截止周波数时间!控制周期-(+3改变/值即改变了所加功率3定义-)4456!对工频交流电7849:!半波数为)44;6!则半波周期为)4456!/的调节值可为4<);)4<+;)4<;)4<=网友可以玩的;)4<8;)4<>;)4<。;)4<;)4<;)4<)共)4个值!因此易于编程!且不用;转换器!输出电路简单3由于控制周期-)4456!对大功率<大惯性电阻炉的热惯性来说是很短的!足够满足系统要求!故此方法特别适合此类系统3图+半导体蒸铝炉温度控制系统硬件结构图8+++484显示器参比端预处理;;预处理衬底加热室热电偶蒸发源加热室系统的软件设计系统控制软件全部采用模块化结构!分为主程序<;转换子程序<非线性校正子程序<模糊控制子程序等3其程序流程图如图所示3图模糊控制程序流程图输出模糊控制非线性校正采集实际温度初始化结束语采用上述自调整因子模糊控制系统对某半导体厂的晶闸管蒸铝炉进行了改造3实际运行表明实际升温线与给定升温线间误差可小于4+!充分显示了它的本网络游戏此点真好啊优越性3图=为实测炉温控制响应曲线36图=炉温控制响应曲线;844+44+实际曲线)理想曲线-;)+。

上一篇：爱上网上买卖
下一篇：体育教学中如何运用激励教学法