Syslog日志高效解析和異常檢測.pdf

1、本文通過分析一個防火墻系統(tǒng)記錄的日志文件，實現(xiàn)了一個基于防火墻日志信息的準實時的網(wǎng)絡(luò)入侵檢測系統(tǒng)。系統(tǒng)主要包括四個模塊：數(shù)據(jù)采集模塊、日志分析模塊、入侵檢測模塊和用戶接口模塊。系統(tǒng)中數(shù)據(jù)采集模塊實現(xiàn)了日志文件由防火墻系統(tǒng)到日志處理工作站的轉(zhuǎn)移，并利用動態(tài)緩沖區(qū)技術(shù)將網(wǎng)絡(luò)繁忙時的數(shù)據(jù)留待空閑時處理。日志分析模塊采用了日志預(yù)處理方案，將日志信息進行分類，丟棄無用的日志數(shù)據(jù)，并將數(shù)據(jù)包封裝成系統(tǒng)所需的格式。在入侵檢測模塊中，通過對大量的入侵實

2、例進行分析，提取入侵方法的特征，建立了一個包括部分常見攻擊方法特征的入侵規(guī)則庫，實現(xiàn)了對部分常見攻擊方法的檢測。用戶接口模塊實現(xiàn)了與用戶相關(guān)的接口，系統(tǒng)將分析結(jié)果通過此接口通知給用戶，并同時將告警信息存入日志文件中，供管理員后期查詢和分析。 實際運行表明，系統(tǒng)對Syslog日志的分析效率較高，有很好的容錯性，異常處理方面具有較高的實時性。 由于防火墻日志格式和網(wǎng)絡(luò)攻擊方式多種多樣，本文著重介紹了符合RFC3164協(xié)議的日