基于logs2intrusions与WebLogExplorer的综合取证分析研究
- 格式:pdf
- 大小:7.51 MB
- 文档页数:6
■doi ;10.3969/j.issn.1671-1122.2017.03.006/2017年第3期N〇T I N F O s e c u r i t y技术研究基于 logs2intrusions与 Web Log Explorer的综合取证分析研究-------------------------------杨晶,赵鑫,芦天亮--------------------------------(中国人民公安大学信息技术与网络安全学院,北京102600 )摘要:随着互联网应用的迅猛增长,其受到的安全威胁也越来越严重,尤其是网络入侵 攻击事件造成了极大的危害。
目前,对入侵行为检测的一种必要手段是对日志数据进行分析,网站日志文件是记录W e b服务器接收处理请求以及运行时错误等各种原始信息的文件,但目前来看网络日志文件的作用还有待进一步提升。
文章分析了 lo g s2in tru s io n s、W e b L o g E x p lo r e r、光年S E〇日志分析系统、逆火网站分析器这四种日志分析工具的特性,提出了基于lo g s2in tru s io n s和W e b L o g E x p lo r e r两个工具优势的综合取证分析技术,实现了对大批量入侵攻击日志数据的快速分析处理,提高了对网络入侵攻击行为识别的准确率。
关键词:网络入侵检测;l〇gs2in tru s io n s ;W e b L o g E x p lo re r ;系统曰志中图分类号:T N919.8 文献标识码:A文章编号:1671-1122 (2017 ) 03-0033-06中文引用格式:杨晶,赵鑫,芦天亮.基于l〇gs2intrusions与Web Log Explorer的综合取证分析研究[J].信息网络安全,2017 ( 3) : 33-38.英文弓 I用格式:YANG Jing, ZHAO Xin, LU Tianliang. Research on Comprehensive Forensic Analysis Based on Logs2intrusions and Web Log Explorer[J]. Netinfo Security,2017(3):33—38.Research on Comprehensive Forensic Analysis Based onLogs2intrusions and Web Log ExplorerYANG Jing, ZHAO Xin, LU Tianliang(School of I nformation Technology and N etwork S ecurity, People's P ublic Security University of C hina, Beijing102600, China)Abstract: With the rapid development o f Internet applications,the security threat is becoming more and more serious,especially network intrusion attacks.A t present,it is necessary for intrusion detectionto anatyze the log data.The website log file is a file that records various original information,such as webserver receiving processing requests and run-time eixors,but the effect o f analyzing log data remains to befurther improvement.This paper analyzed the characteristics o f four log analysis tools,Logs2intrusions,Web Log Explorer,Light Year SEO Log Analysis System,Backfire Website Analyzer,and proposed thecomprehensive forensic anatysis technique based on the advantage o f these tools.The technique,whichhave a certain value in combating cybercrime and maintaining network space security,achieve the rapidanalysis o f the log data from the large quantities o f intrusion attacks,and improve the recognition accuracyo f network intrusion attack.Key words: network intrusion detection;logs2intrusions;Web Log Explorer;system log收稿日期:2016-11-1基金项目:囯家自然科学基金[61602489]作者简介:杨晶( 1990—),女,山东,硕士研究生,主要研究方向为计算机犯罪侦查;赵鑫( 1990—),男,甘肃,本科,主要研究方向为电子 数据取证;芦天亮( 1985—),男,河北,讲师,博士,主要研究方向为网络攻防、恶意代码分析与检测。
通信作者:杨晶 ppsucyangjing@33jNCTINFO securityI技术研究2017年第3期0引言随着互联网业务的发展,互联网的安全问题越来越严 重,特别是网络人侵攻击事件引起了人们的极大关注。
近 年来,网络攻击和人侵事件从数量规模到危害程度不断升级,据国家互联网应急中心(CNCERT/CC)在2012年的 监测发现,我国境内共有52324个网站被植人后门,其中政府网站3016个,较2011年月均増长213.7%,和93.1%', 据统计,在互联网上每20秒就会发生一次人侵攻击事件' 这对国家安全和社会安定构成严重危害。
而且在互联网上 实施犯罪,给公安机关的取证工作带来极大困难。
目前对 于人侵检测,可利用的信息一般来自于系统和网络日志文件、目录和文件中不期望的改变、程序执行中不期望的行为和 物理形式的人侵信息系统日志数据不仅保存正常操作的日志记录,也保存异常威胁操作的证据日志记录,日志数据是非常有价值的信息宝库,合理有效的利用日志信息 对维护系统安全和处理人侵行为检测非常重要,但当前对 于日志分析的工具成效都不显著。
本文首先对常用的四种日志分析工具(_l〇gs2intrusions、Web Log Explorei•、光年SE0日志分析系统、逆火网站分析 器)进行了介绍,根据实际案例的需求,选择其中两种工 具,将logs2intmsions的日志彳了为特征分析优势和Web Log Expl〇rel•的日志目标数据统计分析优势结合,研究和设计了 系统日志人侵检测模块,构建出日志自动分析工具,实现对 日志记录数据按层次筛选和统计,从而快速提取出日志中 有价值的信息,最终达到防范网络人侵攻击、保护系统安 全的目的。
1网站日志分析网站日志主要分为Web服务器日志和错误日志两类' 日志文件是记录Web服务器接收处理请求以及运行时错误 等各种原始信息的文件15]。
服务器日志一般都存放在Web 服务器安装目录的logs目录中,有4个基本的记录内容,包括访问的IP、访问的页面、访问的时间和访问是否成功。
因此,网站的日志分析是保障网络安全的重要组成部分,对其进行有效的分析,有两个方面的作用:1)系统维护方 面,日志可以记录操作系统、应用程序及用户的行为,通 过对日志进行统计、分析、综合,能有效地掌握网站运行状况,监控用户对系统的使用情况,发现和排除错误信息,记录系统中的异常事件M,更好的加强系统维护和管理'感知存在的威胁因素;2)攻击取证方面,网站日志是判断服务器安全的一个重要依据,通过对网站日志文件的查询,可以判断人侵行为是否存在,在攻击事件发生后,可以利用分析工具对日志进行分析,查找攻击的源头,分析攻击的方法,固定证据,找到攻击事件发生的根本原因,从而改进维护网站安全的策略方法。
因此,在人侵行为发生后,合理的日志分析是一种非常可行的方法日志数据对于分析人侵攻击行为的价值取决于三个因素:1)系统和设备必须进行合适的设置,能够记录所需的数据;2)有合适的工具和可用的资源来分析收集和提取日志数据'3)设备保存并且备份了日志信窗、。
我们从日志分析工具人手,分析当前常用的工具,对当前日志分析情况进行改进。
2常用日志分析软件优缺点分析Web应用日志分析可以分为日志的读取、日志分析和结果统计显示P]。
目前虽然日志分析软件数不胜数,但如何高效快速的分析大量的日志数据,从中提取有用信息仍然是摆在我们面前的难题。
下面,先对当前常用的四种日志分析工具各自的特点及存在的不足进行分析2.1 logs2instrusions 的特点及不足logs2instmsions是一个由 Turkish Security Network公司开发的一款开源的免费日志分析工具™,其主要特点总结如下:1)实现了对IIS4/5、Apache和其他类型的日志文件进 行分析,并且可以根据特征字符来匹配攻击的类型,生成报告文件。
2)可识别的人侵攻击种类多样l:l logs2intrusions包 含了各种各样的人侵检测代码,数据库代码量庞大,以logs2intrusions v.1.0的2013年版本为例,包含了三百多种人侵检测代码。
3)人侵攻击特征字符自动配置功能。
随着网络环境的 快速发展,攻击类型日新月异,导致网络攻击也没有固定的特征。
利用该工具,用户根据攻击类型可以手动添加特征字符到logs2instmsions安装目录下的sign.txt文件中,从而实现对新増人侵攻击行为的检测。
4)智能、便捷化的分析功能。
logs2intrusions针对人 侵行为可以进行快速比对分析,并自动整理固定可疑人侵34/2017年第3期N〇T I N F O s e c u r i t y 技术研究行为的源地址、访问时间等人侵日志的详细信息。
总体来看,logdintmsions的优势在于对日志行为进行分析,但也存在以下缺点:1) logs2intrusions日志分析软件有强大的人侵日志检测功能,但每次只能对一个日志进行分析,如需要批量处理日志信息,则需要大量的时间、精力。