基于Web应用的安全日志审计系统研究与设计

doi:10.3969/j.issn.1671-1122.2014.10.013

信息网络安全 ›› 2014, Vol. 15 ›› Issue (10): 70-76.doi: 10.3969/j.issn.1671-1122.2014.10.013

• • 上一篇

基于Web应用的安全日志审计系统研究与设计

段娟^1,², 辛阳^1,², 马宇威^1,²

1.北京邮电大学信息安全中心,北京 100876
2.灾备技术国家工程实验室,北京 100876

收稿日期:2014-09-01 出版日期:2014-10-01 发布日期:2015-08-17
作者简介:
段娟（1986-）,女,陕西,硕士研究生,主要研究方向：Web安全、Webshell;辛阳（1977-）,男,北京,副教授,博士,主要研究方向：虚拟化安全、云安全、Web安全;马宇威（1988-）,男,河北,硕士研究生,主要研究方向：网络攻防、移动互联网、IDS技术。
基金资助:
国家自然科学基金[61121061、61161140320]、中央高校基本科研业务费专项资金[2012RC0215、2012RC0216]

Research and Design of Security Audit Log System Based on Web Application

Juan DUAN^1,², Yang XIN^1,², Yu-wei MA^1,²

1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China
2. National Engineering Laboratory for Disaster Backup and Recovery, Beijing 100876, China

Received:2014-09-01 Online:2014-10-01 Published:2015-08-17

摘要/Abstract

摘要：

近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势。目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少。在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备和在攻击事件发生后及时的降低风险,分析审计日志对于事后检测和维护设备的安全是非常必要的。基于此,文章主要对基于Web应用安全日志审计系统进行研究和设计,日志审计系统主要分为三个子系统：日志采集子系统、分析引擎子系统和日志告警子系统。日志采集子系统采用多协议分析对日志进行收集,并进行相应的日志规范化和去重等处理。分析引擎子系统采用规则库和数理统计的方法,对日志特征进行提取和设置相应的统计量参数,进行比较分析。日志告警子系统则是主要配置相应策略并下发任务,对于审计结果进行界面展示或生成报告并以邮件的方式发送给用户等。

关键词: 日志采集, 多协议采集, 分析引擎, 审计管理

Abstract:

In recent years, with the Web applications technology continuing to progress and develop, there are more and more demands development about Web application services, and then the attendant Web application security attacks are also on the rise. The technical means for cyber attacks are endless at present, but they are generally pre-detection and deal with things in the progress, the corresponding post-detection for less maintenance. In the network center, there are a large number of the server’s equipments, Web log files as part of the server detail a variety of events happening every day of equipment system, such as client access to the server request records, hacker intrusion on the site records, and so on. Therefore, in order to effectively manage the maintenance of equipment and timely reduction in the risk of attacks, analyze audit log for later inspection and maintenance of safety equipment is necessary. Based on this, mainly research and design of security audit log system based on Web application, log audit system consists of three subsystems: the subsystem of log acquisition, the subsystem of analysis engine and the subsystem log alarm. The subsystem of log acquisition uses multi-protocol analysis to collect log, and to process the corresponding log normalization and de-emphasis. The subsystem of analysis engine uses the rule base and mathematical statistics method to extract the log feature and set the appropriate statistic parameters, and then to do the comparative analysis. The subsystem log alarm is the main configuration tasks appropriate policy and issued for the audit results show interface, or generate reports and send messages to users.

Key words: log collection, multi-protocol collection, analysis engine, audit management

中图分类号:

TP309

段娟, 辛阳, 马宇威. 基于Web应用的安全日志审计系统研究与设计[J]. 信息网络安全, 2014, 15(10): 70-76.

Juan DUAN, Yang XIN, Yu-wei MA. Research and Design of Security Audit Log System Based on Web Application[J]. Netinfo Security, 2014, 15(10): 70-76.

图/表 11

图1

图2

表1

表2

图3

图4

表3

图5

图6

图7

图8

参考文献 15

[1]	梁莹. 基于“WEB日志挖掘”技术的校园网络日志分析与安全审计[D]. 重庆:重庆大学,2009.
[2]	熊艳. 基于网络日志的安全审计系统的研究与实现[D]. 上海:上海交通大学,2002.
[3]	周琪锋. 基于网络日志的安全审计系统的研究与设计[J]. 计算机技术与发展,2009,19(11):139-142.
[4]	韩松言. Windows日志审计系统的设计[D]. 沈阳:东北大学,2009.
[5]	石彪,胡华平,刘利枚. 网络环境下的日志监控与安全审计系统设计与实现[J]. 福建电脑,2004,(12):43-44.
[6]	宋擒豹,沈钧毅. Web日志的高效多能挖掘算法[J].计算机研究与发展,2001,38(3):328-333.
[7]	施建生,伍卫国,陆丽娜,等. Web日志中挖掘用户浏览模式的研究[J]. 西安交通大学学报,2001,35(6):621-324.
[8]	邢东山,沈钧毅,宋擒豹. 从Web日志中挖掘用户浏览偏爱路径[J].计算机学报,2003,26(11):1518-1523.
[9]	石彪,胡华平,刘利枚. 网络环境下的日志监控与安全审计系统设计与实现[J]. 福建电脑,2004,(12):43-44.
[10]	殷秦. 基于云计算服务的Web性能测试服务系统开发[D]. 北京:清华大学,2010.
[11]	梁广泰,王千祥. CODAS:一个易扩展的静态代码缺陷分析服务[J]. 计算机科学,2012,39(1):14-18.
[12]	王海峰,夏洪雷. 入侵检测系统的局限性分析与解决策略[J]. 临沂师范学院学报,2006,28(3):110-113.
[13]	Spinellis D, Louridas P.A framework for the static verification of API calls[J]. The Journal of Systems and Software, 2007, 80(07): 1156–1168.
[14]	Ayewah N, Pugh W.Evaluating Static Analysis Defect Warnings On Production Software[C]//Proceedings of the 7th ACM SIGPLAN-SIGSOFT workshop on Program analysis for software tools and engineering, 2007: 1-8.
[15]	Hovemeyer D, Pugh W.Finding More Null Pointer Bugs, But Not Too Many[C]//Proceedings of the 7th ACM SIGPLAN-SIGSOFT Workshop on Program Analysis for Software Tools and Engineering, 2007: 9-14.

基于Web应用的安全日志审计系统研究与设计

Research and Design of Security Audit Log System Based on Web Application

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 11

参考文献 15

相关文章 15

编辑推荐

Metrics

本文评价

[1]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[2]	刘敏, 陈曙晖. 基于关联融合的VoLTE流量分析研究[J]. 信息网络安全, 2020, 20(4): 81-86.
[3]	边玲玉, 张琳琳, 赵楷, 石飞. 基于LightGBM的以太坊恶意账户检测方法[J]. 信息网络安全, 2020, 20(4): 73-80.
[4]	杜义峰, 郭渊博. 一种基于信任值的雾计算动态访问控制方法[J]. 信息网络安全, 2020, 20(4): 65-72.
[5]	傅智宙, 王利明, 唐鼎, 张曙光. 基于同态加密的HBase二级密文索引方法研究[J]. 信息网络安全, 2020, 20(4): 55-64.
[6]	王蓉, 马春光, 武朋. 基于联邦学习和卷积神经网络的入侵检测方法[J]. 信息网络安全, 2020, 20(4): 47-54.
[7]	董晓丽, 商帅, 陈杰. 分组密码9轮Rijndael-192的不可能差分攻击[J]. 信息网络安全, 2020, 20(4): 40-46.
[8]	郭春, 陈长青, 申国伟, 蒋朝惠. 一种基于可视化的勒索软件分类方法[J]. 信息网络安全, 2020, 20(4): 31-39.
[9]	陈璐, 孙亚杰, 张立强, 陈云. 物联网环境下基于DICE的设备度量方案[J]. 信息网络安全, 2020, 20(4): 21-30.
[10]	江金芳, 韩光洁. 无线传感器网络中信任管理机制研究综述[J]. 信息网络安全, 2020, 20(4): 12-20.
[11]	刘建伟, 韩祎然, 刘斌, 余北缘. 5G网络切片安全模型研究[J]. 信息网络安全, 2020, 20(4): 1-11.
[12]	刘鹏, 何倩, 刘汪洋, 程序. 支持撤销属性和外包解密的CP-ABE方案[J]. 信息网络安全, 2020, 20(3): 90-97.
[13]	宋宇波, 樊明, 杨俊杰, 胡爱群. 一种基于拓扑分析的网络攻击流量分流和阻断方法[J]. 信息网络安全, 2020, 20(3): 9-17.
[14]	王腾飞, 蔡满春, 芦天亮, 岳婷. 基于iTrace_v6的IPv6网络攻击溯源研究[J]. 信息网络安全, 2020, 20(3): 83-89.
[15]	张艺, 刘红燕, 咸鹤群, 田呈亮. 基于授权记录的云存储加密数据去重方法[J]. 信息网络安全, 2020, 20(3): 75-82.