基于日志分析的虚拟机安全事件追踪系统的设计与实现

发布时间：2017-11-06 07:36

  本文关键词：基于日志分析的虚拟机安全事件追踪系统的设计与实现

  更多相关文章： HIDS系统日志 日志分析 虚拟机 模型匹配 路径追踪

【摘要】：在互联网时代,随着科学技术的发展和普及以及各种个人新型应用的层出不穷,科技的进步带来的安全问题也越来越受关注,特别是斯诺登事件的发生给全世界的网络安全防护造成了前所未有的冲击和挑战。在传统非虚拟环境中,日志分析功能一般通过主机入侵检测系统HIDS实现,将日志分析的功能集成在HIDS中。HIDS通过检测系统的日志文件,与知识库中入侵规则进行匹配,检测系统中是否有安全事件发生从而达到保障系统安全的目的。但是HIDS为确保检测结果的准确性,必须先确保系统的安全性,所有的检测活动都是在默认系统本身具有合理的安全设置前提下进行；即使系统具有合理的安全设置,攻击者在入侵完成后可以即时将入侵产生的系统日志删除,从而导致入侵行为不被检测到,所以传统的日志分析工具在保证日志数据的实时性、完整性、真实性方面有所欠缺。 尽管传统日志分析工具存在一定的缺陷与不足,但是系统日志对于发现入侵问题仍然具有重要价值。系统日志可以记录系统中软硬件运行状况和错误信息,同时还可以实时反映系统中发生的重要事件,用户可以通过分析日志找到入侵者留下的痕迹,来识别错误发生的原因。因此,本论文探索针对虚拟环境的日志分析方法,为新环境下日志分析工具的研发提供借鉴。 面对复杂的虚拟环境,传统日志分析工具只能提供给用户单一操作系统或单一应用(比如Web应用)安全事件的分析结果。单一系统的日志分析无法推出整个安全事件的来龙去脉,无法识别出源数据背后隐藏的逻辑关系。论文提出的VMSET日志分析方法可以采集整个虚拟机集群中不同操作系统的日志,归纳抽象为统一的日志格式,进行集中存储,保证了日志数据的完整性和真实性；另外,对集中存储的多主机日志数据进行关联性分析,采用基于规则匹配的分析方法,将采集到的日志数据与知识库中匹配规则进行匹配,从而对入侵路径进行有效的追踪与识别。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP302

【参考文献】

中国期刊全文数据库 前10条

1 周彬彬;崔宝江;杨义先;;基于系统行为分析的异常检测技术研究[J];电信科学;2009年02期

2 孙鹏程;周利华;;Linux环境下syslog日志管理系统研究[J];电子科技;2007年07期

3 黄文;谢冬青;;基于Syslog的网络日志管理分析模型[J];湖南科技学院学报;2006年05期

4 郑文怡;鞠时光;;模式匹配方法研究[J];计算机应用研究;2006年02期

5 肖云;王选宏;;基于网络安全知识库的入侵检测模型[J];计算机应用研究;2009年03期

6 赵凯;;基于Snort的分布式入侵检测系统的研究与设计[J];煤炭技术;2011年09期

7 于佳耕;周鹏;武延军;赵琛;;虚拟机确定性执行重放的模型分析和实现方法[J];软件学报;2012年06期

8 周延森;汪永好;;网络入侵检测系统模式匹配算法研究[J];计算机工程与设计;2008年07期

9 项国富;金海;邹德清;陈学广;;基于虚拟化的安全监控[J];软件学报;2012年08期

10 刘杰,方勇,李哲,高一军;基于主机的入侵检测系统分析[J];网络安全技术与应用;2002年10期

中国博士学位论文全文数据库 前1条

1 叶建伟;云计算系统中作业安全技术研究[D];哈尔滨工业大学;2011年

，

本文编号：1147947