文献类型：期刊文章

作　　者：段娟[1,2] 辛阳[1,2] 马宇威[1,2]

机构地区：[1]北京邮电大学信息安全中心,北京100876 [2]灾备技术国家工程实验室,北京100876

出　　处：《信息网络安全》

基　　金：国家自然科学基金[61121061;61161140320];中央高校基本科研业务费专项资金[2012RC0215;2012RC0216]

年　　份：2014

期　　号：10

起止页码：70-76

语　　种：中文

收录情况：JST、RCCSE、ZGKJHX、普通刊

摘　　要：近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势。目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少。在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备和在攻击事件发生后及时的降低风险,分析审计日志对于事后检测和维护设备的安全是非常必要的。基于此,文章主要对基于Web应用安全日志审计系统进行研究和设计,日志审计系统主要分为三个子系统:日志采集子系统、分析引擎子系统和日志告警子系统。日志采集子系统采用多协议分析对日志进行收集,并进行相应的日志规范化和去重等处理。分析引擎子系统采用规则库和数理统计的方法,对日志特征进行提取和设置相应的统计量参数,进行比较分析。日志告警子系统则是主要配置相应策略并下发任务,对于审计结果进行界面展示或生成报告并以邮件的方式发送给用户等。

关 键 词：日志采集 多协议采集  分析引擎 审计管理

分 类 号：TP393.09]