Syslog日志高效解析和異常檢測(cè).pdf

1、本文通過(guò)分析一個(gè)防火墻系統(tǒng)記錄的日志文件，實(shí)現(xiàn)了一個(gè)基于防火墻日志信息的準(zhǔn)實(shí)時(shí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。系統(tǒng)主要包括四個(gè)模塊：數(shù)據(jù)采集模塊、日志分析模塊、入侵檢測(cè)模塊和用戶接口模塊。系統(tǒng)中數(shù)據(jù)采集模塊實(shí)現(xiàn)了日志文件由防火墻系統(tǒng)到日志處理工作站的轉(zhuǎn)移，并利用動(dòng)態(tài)緩沖區(qū)技術(shù)將網(wǎng)絡(luò)繁忙時(shí)的數(shù)據(jù)留待空閑時(shí)處理。日志分析模塊采用了日志預(yù)處理方案，將日志信息進(jìn)行分類，丟棄無(wú)用的日志數(shù)據(jù)，并將數(shù)據(jù)包封裝成系統(tǒng)所需的格式。在入侵檢測(cè)模塊中，通過(guò)對(duì)大量的入侵實(shí)

2、例進(jìn)行分析，提取入侵方法的特征，建立了一個(gè)包括部分常見(jiàn)攻擊方法特征的入侵規(guī)則庫(kù)，實(shí)現(xiàn)了對(duì)部分常見(jiàn)攻擊方法的檢測(cè)。用戶接口模塊實(shí)現(xiàn)了與用戶相關(guān)的接口，系統(tǒng)將分析結(jié)果通過(guò)此接口通知給用戶，并同時(shí)將告警信息存入日志文件中，供管理員后期查詢和分析。 實(shí)際運(yùn)行表明，系統(tǒng)對(duì)Syslog日志的分析效率較高，有很好的容錯(cuò)性，異常處理方面具有較高的實(shí)時(shí)性。 由于防火墻日志格式和網(wǎng)絡(luò)攻擊方式多種多樣，本文著重介紹了符合RFC3164協(xié)議的日