日志数据采集和实时审计关键技术研究与实现

作     者：杨尚大 

作者单位：浙江工商大学 

学位级别：硕士

导师姓名：王伟明

授予年度：2009年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：日志采集 实时审计 BTM算法 正则匹配 辅助协议 

摘      要：目前网络规模日益膨胀、网络应用日益频繁、网络威胁日益严重,主流的安全技术力不从心,日志审计技术作为安全审计的重要手段其研究价值倍受关注!本文重点研究了其中的日志数据采集技术和实时审计技术,并对这两模块问通信问题进行了研究。 本文在Linux平台上使用C语言进行开发并实现了日志实时审计系统。首先对日志采集技术进行分析和比较,采取了以Syslog-ng获取日志数据的方式和以文件形式的缓存。然后对实时审计算法和数据库接口技术进行研究,提出了利用正则匹配算法实现实时审计和通过ODBC实现数据库接口。接着针对模块间通信的要求,开发一套配合SSH的辅助协议。在此过程中,本文针对实时审计提出了日志审计最优轨迹图(Best Track Map)算法,提高规则匹配速度;针对日志数据采集和实时审计模块间通信提出了辅助通信协议实现彼此身份验证,并使用SSH加密协议单独传输日志文件,在一定程度上增强了系统的高效性和安全性。最后通过一系列的测试对系统功能和性能进行验证,结果表明该系统能有效地对日志数据实现实时审计。