項(xiàng)目時(shí)期
大學(xué)
項(xiàng)目詳情
第一章 作品概述
????本作品實(shí)現(xiàn)了對(duì)客戶端的Linux系統(tǒng)日志審計(jì)以及警報(bào)炎疆。使用者只需預(yù)留用于警報(bào)的郵箱窃判,在客戶端部署軟件嗤详,即可實(shí)現(xiàn)對(duì)Linux系統(tǒng)日志的轉(zhuǎn)發(fā)分析以及通過客戶預(yù)留的郵箱進(jìn)行警報(bào)礁遣,適用于Linux個(gè)體以及集群對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)聽矾削。
????實(shí)現(xiàn)日志轉(zhuǎn)發(fā)郎逃、審計(jì)和報(bào)警的工作哥童、一鍵部署rsyslog環(huán)境、利用rsyslog轉(zhuǎn)發(fā)日志褒翰、分析處理日志mysql數(shù)據(jù)庫贮懈、用java搭建可視化界面與WEB可視化界面并實(shí)現(xiàn)警報(bào)功能。
第二章 作品設(shè)計(jì)與實(shí)現(xiàn)
2.1 作品簡(jiǎn)介? ????
????在Linux系統(tǒng)上优训,找出日志文件并在服務(wù)器監(jiān)控客戶機(jī)的操作朵你,然后對(duì)傳送過來的日志保存在數(shù)據(jù)中并進(jìn)行安全性分析,若檢測(cè)到客戶機(jī)的操作超出權(quán)限范圍或者該操作危險(xiǎn)性過高或不合法揣非,即進(jìn)行自動(dòng)判斷抡医,則系統(tǒng)會(huì)馬上發(fā)出警報(bào)(發(fā)送郵箱郵件),并將非法操作記錄收集起來妆兑,若構(gòu)成犯罪則記錄用以提供證據(jù)魂拦。
????該軟件對(duì)系統(tǒng)日志進(jìn)行處理、分類搁嗓、可視化展示芯勘,并提供篩選,定時(shí)刷新腺逛,定時(shí)對(duì)客戶發(fā)送日志詳情以及警報(bào)等功能荷愕。軟件界面如下圖:
2.2 設(shè)計(jì)思路
????Linux龐大規(guī)模和不斷普及使Linux系統(tǒng)的安全威脅大大的增長(zhǎng)棍矛,系統(tǒng)管理人員面臨著越來越嚴(yán)峻的考驗(yàn)安疗。為了在第一時(shí)間發(fā)現(xiàn)系統(tǒng)的惡意行為并警告管理者,作品實(shí)時(shí)對(duì)系統(tǒng)日志進(jìn)行統(tǒng)計(jì)分析够委,找出可疑的操作并通過郵件報(bào)告給管理者荐类。從而使管理者即使不在電腦旁邊,也能知道電腦的最新動(dòng)態(tài)茁帽∮窆蓿考慮到數(shù)據(jù)在客戶本機(jī)保存的不安全性屈嗤,所以我們采用客戶端——服務(wù)器的方式進(jìn)行客戶系統(tǒng)日志審計(jì)。
用客戶端——服務(wù)器的方式進(jìn)行系統(tǒng)日志審計(jì)吊输,既能保證服務(wù)器一對(duì)多的同時(shí)進(jìn)行日志審計(jì)饶号,也能安全地儲(chǔ)存信息,甚至作為攻擊者的犯罪證據(jù)季蚂。其次茫船,服務(wù)器上應(yīng)有統(tǒng)一管理的后臺(tái)∨てǎ考慮到系統(tǒng)日志文件可讀性較差算谈,所以我們開發(fā)一個(gè)帶可視化界面的后臺(tái)管理軟件,用以針對(duì)客戶的需求更改相關(guān)報(bào)警條件等要求疯搅。
日志的級(jí)別有:
2.3 功能
2.3.1 一鍵配置
????為了使用rsyslog的日志轉(zhuǎn)發(fā)功能濒生,需要對(duì)rsyslog以及數(shù)據(jù)庫進(jìn)行配置。用戶只需要運(yùn)行一個(gè)shell程序幔欧,即可對(duì)Linux系統(tǒng)進(jìn)行一鍵配置罪治,其中包括對(duì)rsyslog的環(huán)境部署以及對(duì)配置文件的相關(guān)修改。
2.3.2 服務(wù)器端配置
在管理員模式下安裝java環(huán)境后則可以進(jìn)行服務(wù)器的配置礁蔗,流程如下:
1)利用# java -jar Linux日志審計(jì)系統(tǒng).jar命令打開軟件
2)點(diǎn)擊“Set(First Use)”
3)點(diǎn)擊“一鍵配置服務(wù)器環(huán)境”觉义,進(jìn)行環(huán)境配置,成功后如下圖
4)點(diǎn)擊“一鍵配置服務(wù)器數(shù)據(jù)庫”浴井,進(jìn)行數(shù)據(jù)庫配置晒骇,成功后如下圖
5)回到主界面,點(diǎn)擊“I’m Server”
6)輸入賬號(hào)“admin”,密碼“newsoft”磺浙,數(shù)據(jù)庫密碼“abc123”,點(diǎn)擊“登錄”,進(jìn)入到程序主界面
2.3.3 客戶器端配置
1)打開程序洪囤,點(diǎn)擊“I’m Clinet”
2)點(diǎn)擊“配置客戶端環(huán)境”,完成后在把IP地址修改為Server服務(wù)器的IP地址:
2.3.4 信息的統(tǒng)計(jì)與分析
????基于linux系統(tǒng)對(duì)客戶系統(tǒng)日志進(jìn)行可視化展示撕氧,對(duì)日志信息進(jìn)行歸類篩選瘤缩,篩選條件有主機(jī),優(yōu)先級(jí)伦泥,日志時(shí)間等剥啤。用戶可以明確看到每一份日志對(duì)應(yīng)的id號(hào)、主機(jī)ip不脯、設(shè)施府怯、優(yōu)先級(jí)、執(zhí)行時(shí)間以及其他詳細(xì)信息防楷。
2.3.5?郵件警告
????郵件的發(fā)送間隔可按意愿設(shè)置牺丙,進(jìn)行定時(shí)發(fā)送,如設(shè)置每24小時(shí)發(fā)送郵件复局,則發(fā)送內(nèi)容為這24小時(shí)內(nèi)的所有日志到數(shù)據(jù)庫進(jìn)行存儲(chǔ)赘被,設(shè)置界面如圖(5)是整;當(dāng)分析出威脅程度高的操作時(shí)(日志危險(xiǎn)等級(jí)達(dá)到0~3級(jí)時(shí)),可以馬上將警告發(fā)送到的客戶預(yù)留的郵箱民假,讓客戶第一時(shí)間處理問題,盡可能地減少損失龙优。做出警報(bào)的標(biāo)準(zhǔn)可手動(dòng)設(shè)置(默認(rèn)等級(jí)為0~3級(jí))羊异,如圖(6);亦可以定時(shí)將所有日志信息發(fā)送至客戶郵箱彤断,以便讓客戶知道客戶端的實(shí)時(shí)情況野舶;此功能的前提是要綁定相關(guān)郵箱,可綁定多個(gè)郵箱宰衙,讓多方管理員同時(shí)管理并知曉系統(tǒng)的情況平道。
2.4 軟件流程
第三章 WEB審計(jì)界面
對(duì)數(shù)據(jù)進(jìn)行可視化,分別為“每天操作數(shù)量供炼、IP占比一屋、設(shè)施分布圖、優(yōu)先級(jí)分布圖袋哼、”
第四章 總結(jié)
在當(dāng)今互聯(lián)網(wǎng)環(huán)境中,安全事件隨處可見涛贯。除了傳統(tǒng)的安全日志之外诽嘉,需要采用一種可以暴露各種可能得攻擊載體的活動(dòng)模式方式來收集和監(jiān)視應(yīng)用程序日志數(shù)據(jù)。企業(yè)往往希望將日志收集和事件關(guān)聯(lián)結(jié)合起來弟翘,作為監(jiān)視問些并對(duì)其作出快速反應(yīng)虫腋。
日志是管理員的得力助手,一個(gè)小小的日志能為管理員提供更可靠的信息稀余,可以判別系統(tǒng)是否發(fā)生過入侵悦冀、數(shù)據(jù)損毀、了解應(yīng)用程序運(yùn)行狀態(tài)是否正常等滚躯,同時(shí)也為系統(tǒng)運(yùn)行提供了可靠的保障雏门。要想利用好日志,必須要了解日志掸掏、認(rèn)識(shí)日志茁影,更要熟悉日志結(jié)構(gòu),對(duì)于剛上手的管理員來說丧凤,這個(gè)門檻還是比較高的募闲。所以再為日志加上圖形界面形象地把日志展示出來就非常必要。充分利用本軟件愿待,可以大大降低管理人員的工作量浩螺。網(wǎng)絡(luò)管理人員可以根據(jù)警報(bào)郵件的信息靴患,有針對(duì)性地對(duì)Linux系統(tǒng)進(jìn)行修復(fù)∫觯可見鸳君,日志審計(jì)系統(tǒng)能給我們的工作提供很大的保障。
隨著Linux用戶的不斷增多患蹂,Linux主機(jī)數(shù)量不斷地增加或颊,我們的客戶端——服務(wù)器模式起到了很大的作用〈冢客戶端——服務(wù)器模式允許我們的日志服務(wù)器并行地處理多個(gè)Linux系統(tǒng)發(fā)送過來的日志審計(jì)請(qǐng)求囱挑,迎合了Linux系統(tǒng)安全這個(gè)隱形但正在不斷擴(kuò)張的市場(chǎng)。
