項(xiàng)目時(shí)期

大學(xué)

項(xiàng)目詳情

第一章 作品概述

????本作品實(shí)現(xiàn)了對(duì)客戶(hù)端的Linux系統(tǒng)日志審計(jì)以及警報(bào)。使用者只需預(yù)留用于警報(bào)的郵箱，在客戶(hù)端部署軟件，即可實(shí)現(xiàn)對(duì)Linux系統(tǒng)日志的轉(zhuǎn)發(fā)分析以及通過(guò)客戶(hù)預(yù)留的郵箱進(jìn)行警報(bào)，適用于Linux個(gè)體以及集群對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)聽(tīng)。

????實(shí)現(xiàn)日志轉(zhuǎn)發(fā)、審計(jì)和報(bào)警的工作、一鍵部署rsyslog環(huán)境、利用rsyslog轉(zhuǎn)發(fā)日志、分析處理日志mysql數(shù)據(jù)庫(kù)、用java搭建可視化界面與WEB可視化界面并實(shí)現(xiàn)警報(bào)功能。

第二章 作品設(shè)計(jì)與實(shí)現(xiàn)

2.1 作品簡(jiǎn)介? ????

????在Linux系統(tǒng)上，找出日志文件并在服務(wù)器監(jiān)控客戶(hù)機(jī)的操作，然后對(duì)傳送過(guò)來(lái)的日志保存在數(shù)據(jù)中并進(jìn)行安全性分析，若檢測(cè)到客戶(hù)機(jī)的操作超出權(quán)限范圍或者該操作危險(xiǎn)性過(guò)高或不合法，即進(jìn)行自動(dòng)判斷，則系統(tǒng)會(huì)馬上發(fā)出警報(bào)（發(fā)送郵箱郵件），并將非法操作記錄收集起來(lái)，若構(gòu)成犯罪則記錄用以提供證據(jù)。

????該軟件對(duì)系統(tǒng)日志進(jìn)行處理、分類(lèi)、可視化展示，并提供篩選，定時(shí)刷新，定時(shí)對(duì)客戶(hù)發(fā)送日志詳情以及警報(bào)等功能。軟件界面如下圖：

圖1

圖2?登錄后的軟件界面，界面展示了該軟件的各個(gè)功能

2.2 設(shè)計(jì)思路

????Linux龐大規(guī)模和不斷普及使Linux系統(tǒng)的安全威脅大大的增長(zhǎng)，系統(tǒng)管理人員面臨著越來(lái)越嚴(yán)峻的考驗(yàn)。為了在第一時(shí)間發(fā)現(xiàn)系統(tǒng)的惡意行為并警告管理者，作品實(shí)時(shí)對(duì)系統(tǒng)日志進(jìn)行統(tǒng)計(jì)分析，找出可疑的操作并通過(guò)郵件報(bào)告給管理者。從而使管理者即使不在電腦旁邊，也能知道電腦的最新動(dòng)態(tài)?？紤]到數(shù)據(jù)在客戶(hù)本機(jī)保存的不安全性，所以我們采用客戶(hù)端——服務(wù)器的方式進(jìn)行客戶(hù)系統(tǒng)日志審計(jì)。

用客戶(hù)端——服務(wù)器的方式進(jìn)行系統(tǒng)日志審計(jì)，既能保證服務(wù)器一對(duì)多的同時(shí)進(jìn)行日志審計(jì)，也能安全地儲(chǔ)存信息，甚至作為攻擊者的犯罪證據(jù)。其次，服務(wù)器上應(yīng)有統(tǒng)一管理的后臺(tái)?？紤]到系統(tǒng)日志文件可讀性較差，所以我們開(kāi)發(fā)一個(gè)帶可視化界面的后臺(tái)管理軟件，用以針對(duì)客戶(hù)的需求更改相關(guān)報(bào)警條件等要求。

日志的級(jí)別有：

圖3

2.3 功能

2.3.1 一鍵配置

????為了使用rsyslog的日志轉(zhuǎn)發(fā)功能，需要對(duì)rsyslog以及數(shù)據(jù)庫(kù)進(jìn)行配置。用戶(hù)只需要運(yùn)行一個(gè)shell程序，即可對(duì)Linux系統(tǒng)進(jìn)行一鍵配置，其中包括對(duì)rsyslog的環(huán)境部署以及對(duì)配置文件的相關(guān)修改。

2.3.2 服務(wù)器端配置

在管理員模式下安裝java環(huán)境后則可以進(jìn)行服務(wù)器的配置，流程如下：

1）利用# java -jar Linux日志審計(jì)系統(tǒng).jar命令打開(kāi)軟件

2）點(diǎn)擊“Set（First Use）”

3）點(diǎn)擊“一鍵配置服務(wù)器環(huán)境”，進(jìn)行環(huán)境配置，成功后如下圖

4）點(diǎn)擊“一鍵配置服務(wù)器數(shù)據(jù)庫(kù)”，進(jìn)行數(shù)據(jù)庫(kù)配置，成功后如下圖

5）回到主界面，點(diǎn)擊“I’m Server”

6）輸入賬號(hào)“admin”,密碼“newsoft”，數(shù)據(jù)庫(kù)密碼“abc123”,點(diǎn)擊“登錄”,進(jìn)入到程序主界面

2.3.3 客戶(hù)器端配置

1）打開(kāi)程序，點(diǎn)擊“I’m Clinet”

2）點(diǎn)擊“配置客戶(hù)端環(huán)境”，完成后在把IP地址修改為Server服務(wù)器的IP地址：

2.3.4 信息的統(tǒng)計(jì)與分析

????基于linux系統(tǒng)對(duì)客戶(hù)系統(tǒng)日志進(jìn)行可視化展示，對(duì)日志信息進(jìn)行歸類(lèi)篩選，篩選條件有主機(jī)，優(yōu)先級(jí)，日志時(shí)間等。用戶(hù)可以明確看到每一份日志對(duì)應(yīng)的id號(hào)、主機(jī)ip、設(shè)施、優(yōu)先級(jí)、執(zhí)行時(shí)間以及其他詳細(xì)信息。

圖（4）

2.3.5?郵件警告

????郵件的發(fā)送間隔可按意愿設(shè)置，進(jìn)行定時(shí)發(fā)送，如設(shè)置每24小時(shí)發(fā)送郵件，則發(fā)送內(nèi)容為這24小時(shí)內(nèi)的所有日志到數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)，設(shè)置界面如圖（5）；當(dāng)分析出威脅程度高的操作時(shí)（日志危險(xiǎn)等級(jí)達(dá)到0~3級(jí)時(shí)），可以馬上將警告發(fā)送到的客戶(hù)預(yù)留的郵箱，讓客戶(hù)第一時(shí)間處理問(wèn)題，盡可能地減少損失。做出警報(bào)的標(biāo)準(zhǔn)可手動(dòng)設(shè)置（默認(rèn)等級(jí)為0~3級(jí)），如圖（6）；亦可以定時(shí)將所有日志信息發(fā)送至客戶(hù)郵箱，以便讓客戶(hù)知道客戶(hù)端的實(shí)時(shí)情況；此功能的前提是要綁定相關(guān)郵箱，可綁定多個(gè)郵箱，讓多方管理員同時(shí)管理并知曉系統(tǒng)的情況。

圖（5）

圖（6）

2.4 軟件流程

第三章 WEB審計(jì)界面

對(duì)數(shù)據(jù)進(jìn)行可視化，分別為“每天操作數(shù)量、IP占比、設(shè)施分布圖、優(yōu)先級(jí)分布圖、”

圖3.1 主界面、登錄界面

圖4.2 每天操作數(shù)量界面

圖4.3 IP占比界面

圖4.4 設(shè)施分布圖界面

圖4.5 優(yōu)先級(jí)分布圖界面

第四章 總結(jié)

在當(dāng)今互聯(lián)網(wǎng)環(huán)境中，安全事件隨處可見(jiàn)。除了傳統(tǒng)的安全日志之外，需要采用一種可以暴露各種可能得攻擊載體的活動(dòng)模式方式來(lái)收集和監(jiān)視應(yīng)用程序日志數(shù)據(jù)。企業(yè)往往希望將日志收集和事件關(guān)聯(lián)結(jié)合起來(lái)，作為監(jiān)視問(wèn)些并對(duì)其作出快速反應(yīng)。

日志是管理員的得力助手，一個(gè)小小的日志能為管理員提供更可靠的信息，可以判別系統(tǒng)是否發(fā)生過(guò)入侵、數(shù)據(jù)損毀、了解應(yīng)用程序運(yùn)行狀態(tài)是否正常等，同時(shí)也為系統(tǒng)運(yùn)行提供了可靠的保障。要想利用好日志，必須要了解日志、認(rèn)識(shí)日志，更要熟悉日志結(jié)構(gòu)，對(duì)于剛上手的管理員來(lái)說(shuō)，這個(gè)門(mén)檻還是比較高的。所以再為日志加上圖形界面形象地把日志展示出來(lái)就非常必要。充分利用本軟件，可以大大降低管理人員的工作量。網(wǎng)絡(luò)管理人員可以根據(jù)警報(bào)郵件的信息，有針對(duì)性地對(duì)Linux系統(tǒng)進(jìn)行修復(fù)?？梢?jiàn)，日志審計(jì)系統(tǒng)能給我們的工作提供很大的保障。

隨著Linux用戶(hù)的不斷增多，Linux主機(jī)數(shù)量不斷地增加，我們的客戶(hù)端——服務(wù)器模式起到了很大的作用?？蛻?hù)端——服務(wù)器模式允許我們的日志服務(wù)器并行地處理多個(gè)Linux系統(tǒng)發(fā)送過(guò)來(lái)的日志審計(jì)請(qǐng)求，迎合了Linux系統(tǒng)安全這個(gè)隱形但正在不斷擴(kuò)張的市場(chǎng)。