安全審計機制范文

前言：我們精心挑選了數篇優質安全審計機制文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

關鍵詞：系統日志；回調機制；松耦合

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)24-1150-02

The Application of Callback Mechanism in the Security System Log

LI Jian-hui1, DENG Zhao-hui2

(1.Yueyang Radio and TV University,Yueyang 414000,China;2.Chenzhou Vocational Technical College,Chenzhou 423000,China)

Abstract: Inside a complete information system, the diary system is an extremely important function constituent. Under it may record all behaviors which the system produces, and defers to some way to preserve. We may use the information which the diary system records for the system to carry on misprinting, the optimized system performance. In the security domain, the diary system status is more important, it is one of safe audit aspect most main tools. This article introduced adjusts callback utilization in the diary system.

Key words: systems log;call-back;lax-coupling

系統的日志記錄提供了對系統活動的詳細審計，這些日志用于評估、審查系統的運行環境和各種操作。對于一般情況，日志記錄包括記錄用戶登錄時間、登錄地點、操作內容等項目，在一個完整的安全審計系統里面，日志系統是一個非常重要的功能組成部分。

1 問題地提出

通常，借助于面向對象的分析、設計和實現技術，開發者可以將用戶的需求轉換為軟件系統中的模塊，從而很自然地完成從需求到軟件的轉換。但是，在軟件系統中，往往有很多模塊，或者很多類共享某個行為，或者是某個行為存在于軟件的各個模塊中，這個行為可以看作是“橫向”存在于軟件之中，它所關注的是軟件的各個部分的一些共有的行為，而且，這種行為在很多情況下不屬于業務邏輯的一部分(如圖1)，系統日志的記錄就屬于這種行為。這種操作并不是業務邏輯調用的必須部分，但是，開發者卻往往不得不在代碼中顯式進行調用，并承擔由此帶來的后果（例如，當日志記錄的接口發生變化時，必須對調用代碼進行修改）。這種問題，使用傳統的面向對象的方法是很難解決的。本文就討論在Delphi中如何將這些“橫切面”與業務邏輯代碼相分離，從而得到松耦合軟件結構以及更好的性能、穩定性等方面的好處。

圖1 業務邏輯示意圖

2 分析問題

對于日志系統，為了得到好的程序結構，通常使用面向對象的方法，將系統日志過程封裝在一個類中，這個類包含了一個系統日志的代碼，例如：

TLog=class//日志類

procedure exepre(Sender: TObject);//執行業務邏輯前的系統日志

procedure exeback(Sender: TObject);//執行業務邏輯后的系統日志end;

TBusiness =class(TLog)//業務邏輯類

procedure Business (Sender: TObject);//業務邏輯

end;

……//處理業務邏輯

exeback(Sender);//處理業務邏輯后記錄系統日志

end;

procedure TForm1.Button1Click(Sender: TObject);

begin

mybusiness:= TBusiness.Create();

mybusiness. Business (Memo1);//調用業務邏輯

end;

procedure TLog.exepre(Sender: TObject);

begin

TMemo(Sender).Lines. Add('業務邏輯開始')

end;

procedure TLog.exeback(Sender: TObject);

begin

TMemo(Sender).Lines. Add('業務邏輯結束')

end;

end.

通常情況下，實現日志系統的最直接的方法：創建一個類，將日志功能放在其中，并讓所有需要日志功能的類繼承這個類。這樣的方法有如下問題：

1) 如果這個需求是后期提出的，需要修改的地方就會分散在多達數十個分散的文件中。巨大的修改量，無疑會增加出錯的幾率，并且加大系統維護的難度。

2) 代碼混亂：軟件系統中的模塊可能要同時兼顧幾個方面的需要。舉例來說，開發者經常要同時考慮業務邏輯和日志問題，兼顧各方面的需要會導致兩種實現元素同時出現，從而引起代碼混亂。

3) 緊耦合：使用這種方法，我們必須在業務邏輯代碼必須繼承自TLog類，這就造成了業務邏輯代碼同TLog類的緊耦合，這意味著，當TLog發生變化時，例如，當系統進化需要對exepre和exeback的方法進行改動時，可能會影響到所有引用代碼。

3 解決方案

為了解決上述問題，考慮引入Delphi中的回調機制[1]。回調機制的基本思想就是調用者在初始化一個對象（這里的對象是泛指，包括OOP中的對象、全局函數等）時，將一些參數傳遞給對象，同時將一個調用者可以訪問的函數地址傳遞給該對象。這個函數就是調用者和被調用者之間的一種通知約定，當約定的事件發生時，被調用者（一般會包含一個工作線程）就會按照回調函數地址調用該函數。如下是回調函數的一個簡單實例：

1) 回調函數類型定義：

TCalcFunc=function (a:integer;b:integer):integer;

2) 按照回調函數的格式自定義函數的實現，如

function Add(a:integer;b:integer):integer

begin

result:=a+b;

end;

function Sub(a:integer;b:integer):integer

begin

result:=a-b;

end;

3) 回調的使用

function Calc(mycalc:TcalcFunc;a:integer;b:integer):integer

begin

mycalc(a,b);……………………………..③

end;

4) 下面，我們就可以在我們的程序里按照需要調用這兩個函數了

c:=calc(@add,a,b);//c=a+b…………………①

c:=calc(@sub,a,b);//c=a-b………………….②

通過上面的實例我們可以看出：程序中在①②處分別兩次調用了calc()函數，第一次采用add()函數的地址和兩個數作為參數，第二次采用sub()函數的地址和兩個數作為參數。相當于通過調用一個函數calc()，傳遞了不同的函數地址參數，得到了不同函數的調用。

以上是回調函數的的基本思想，如果將系統日志操作語句放在③處的上面和下面，這樣在不改動業務邏輯add()、sub()函數的基礎上增加了系統日志。下面將本文第一個例子采用回調機制重新改寫，結果如下。

為了實現松散耦合結構，利用兩個類分別實現日志功能和業務邏輯。

type

THDProcedure = procedure(Sender: TObject) of object;

TLog=class//日志類

procedure Mylog(mypro:THDProcedure;Sender: TObject);//處理系統日志

end;

TBusiness=class //業務邏輯類

…….. //處理業務邏輯

End;

procedure TForm1.FormCreate(Sender: TObject);

begin

rz:=TLog.Create();

dz:=TBusiness.Create();

end;

end.（下轉第1154頁）

（上接第1151頁）

以上日志類和業務邏輯類的定義中，需要說明的是：

1) 回調函數類型定義：THDProcedure = procedure(Sender: TObject) of object，這個定義中的參數必須與業務邏輯類中的處理業務邏輯方法的參數一致。

2) 因為定義的回調函數不是一個普通的函數，它是業務邏輯類對象的方法，所以of object關鍵字是表示這個方法屬于對象方法（不是類方法），也就是說這個函數類型的參數列表中將包括隱含的self參數（其中參數為對象方法中要使用的對象指針）。

3) 業務邏輯類中的處理業務邏輯方法必須聲明為Published[2]，否則就會發生錯誤，這是為什么呢？因為對象方法的地址不能簡單的通過“@”符號得到，必須使用TObject.MethodAddress方法，MethodAddress 使用RTTI通過對象方法名獲取一個對象方法的地址，但MethodAddress方法只能取出Published型的方法，如果沒有聲明為Published，則MethodAddress(對象方法名)會返回空，導致錯誤。

4) Routine變量是方法指針，它實際上是一對指針：第一個存儲方法的地址，第二個存儲方法所屬的對象的引用。

通過利用回調機制的重新改寫，系統主要由三個大模塊組成：日志模塊（Tlog類）、業務邏輯模塊（Tbusiness類）和組合模塊（TForm1類）。那么系統的開發包括三個清晰的開發步驟：

第一步：功能分解：本步驟中，把核心模塊級和系統模塊級的功能分離開來，就上述的例子來說明，即可以分解出兩個功能模塊：核心級的業務邏輯功能模塊、系統級的日志功能模塊。

第二步：功能實現：各自獨立的實現這些功能模塊，仍然沿用上面的例子，即實現業務邏輯處理單元和日志單元。

第三步：功能的重新組合：本步驟中，通過創建一個模塊單元，一方面來指定重組的規則，另一方面則使用這些信息來構建最終系統。以上述例子說明，即指定哪些操作需要記錄。

4 結論

總而言之，回調機制不僅可幫助我們解決傳統方法對系統日志操作中出現的代碼后期維護、代碼混亂、緊耦合等問題，它還有更多的優勢：

1) 系統容易擴展：由于日志功能模塊和業務邏輯功能模塊根本不知道彼此的存在，所以很容易通過建立新的功能模塊加入新的功能，使系統易于擴展。

2) 更好的代碼重用性：把每個功能實現為獨立的模塊，模塊之間是松散耦合的。舉例來說，我們可以用另外一個獨立的日志寫入器功能來替換當前的模塊，用于把日志寫入數據庫，以滿足不同的日志寫入要求。松散藕合的實現通常意味著更好的代碼重用性。

回調機制不僅僅可以在系統日志中發揮重要作用，而且它還可以運用在系統安全、模式匹配的性能分析[3-4]、驗證等方面。

參考文獻：

[1] Steve Teixeira,Xavier Pacheco.Delphi 5開發人員指南[M].北京:機械工業出版社,2001.

[2] 耿宏運,陳站林,趙宗福,等.Delphi6組件大全[M].北京:電子工業出版社,2002.

第2篇

關鍵詞：網絡安全審計；日志；日志格式

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)14-20803-02

1 引言

防火墻、入侵檢測系統和安全審計系統等安全產品為內部網絡提供了良好的保護作用。安全審計系統提供了一種通過收集各種網絡信息從而發現有用信息的機制，將這種機制應用于局域網內部，從多種網絡安全產品中收集日志和警報信息并分析，從而實現效能的融合，與防火墻、入侵檢測系統等安全產品形成合力，為局域網的安全提供強有力的保障。

如何高效的從各種網絡設備所生成的海量的日志數據信息中提取有用信息，通過格式的統一整合后為安全審計系統提供統一接口，這是安全審計系統一項十分關鍵的工作，也是影響整個系統性能的一個重要因素，本文就此進行探討。

2 安全審計系統的功能需求

安全監控與審計技術通過實時監控網絡活動，分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、跟蹤識別違反安全法則的行為等功能，使系統管理員可以有效地監控、評估自己的系統和網絡。監控審計技術是對防火墻和入侵檢測系統的有效補充，彌補了傳統防火墻對網絡傳輸內容粗粒度(傳輸層以下)的控制不足，同時作為一種重要的網絡安全防范手段，對檢測手段單一的入侵檢測系統也是有益的補充，能及時對網絡進行監控，規范網絡的使用[1]。

目前，安全審計系統是網絡安全領域的一個研究熱點，許多研究者都提出了不同的系統模型，這包括對內容進行審計的安全審計系統、對用戶行為進行審計的安全審計系統以及對各種安全設備生成的日志進行審計的安全審計系統等等。

基于日志的網絡安全審計系統是一個日志接收與日志分析的審計系統，該系統能夠接收、分析審計局域網內的防火墻、入侵檢測系統等網絡安全產品生成的日志，審計局域網內的網絡信息安全。基于日志的網絡安全審計系統的功能需求如下：

(1) 集中管理：審計系統通過提供一個統一的集中管理平臺，實現對日志、安全審計中心、日志數據庫的集中管理，包括對日包更新、備份和刪除等操作。

(2) 能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志，并且具備處理多日志來源、多種不同格式日志的能力。

(3) 審計系統不僅要能對不同來源的日志進行識別、歸類和存儲，還應能自動將其收集到的各種日志轉換為統一的日志格式，以供系統調用。并且能以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

(4) 能及時發現網絡存在的安全問題并通知管理員采取相應措施。系統必須從海量的數據信息中找出可疑或危險的日志信息，并及時以響鈴、E-mail或其他方式報警，通知管理員采取應對措施及修復漏洞。

(5) 審計系統的存在應盡可能少的占用網絡資源，不對網絡造成任何不良的影響。

(6) 具備一定的隱蔽性和自我保護能力。具有隱蔽性是說系統的存在應該合理“隱藏”起來，做到對于入侵者來說是透明而不易察覺系統的存在。

(7) 保證安全審計系統使用的各種數據源的安全性和有效性。若采用未經加密的明文進行數據傳輸，很容易被截獲、篡改和偽造，工作站與服務器之間的通訊應進行加密傳輸，可采用SSL、AES、3DES等加密方式。

(8) 具有友好的操作界面。

3 安全審計系統的模型概述

如圖1所示，基于日志的安全審計系統主要包含如下模塊：

(1) ：負責收集各種日志數據，包括各種操作系統的日志，防火墻系統日志、入侵檢測系統日志、網絡交換及路由設備的日志、各種服務和應用系統日志等。定時或實時發送到審計中心。其間，日志數據的傳送采用加密方式進行發送，防止數據被截獲、篡改和偽造。

(2) 數據預處理模塊：將采集到的日志數據經過解密后按照數據來源存入相應的數據庫中。

(3) 系統管理模塊：負責對日志、安全審計中心、日志數據庫的集中管理，包括對日志數據的更新、備份和刪除等操作。

(4) 數據處理模塊：負責自動將收集到的各種日志轉換為統一的日志格式，并且從海量的數據中通過模式匹配，發現并找出可疑或危險的日志信息，交由“日志報警處理模塊”進行處理。

(5) 日志報警處理模塊：處理已發現的問題，以響鈴、E-mail或其他方式報警通知管理員采取應對措施。

(6) 數據庫模塊：負責接收、保存各種日志數據，包括策略庫也存放其中。

(7) 接口模塊：供用戶訪問、查詢。

4 安全審計系統中有用數據整合的方法

4.1 安全審計系統的數據源

安全審計系統可以利用的日志大致分為以下四類[2]：

4.1.1 操作系統日志

a) Windows系統日志。Windows NT/2K/XP的系統日志文件有應用程序日志、安全日志和系統日志等，日志默認位置在%systemroot%\system32\config目錄下。Windows是使用一種特殊的格式存放它的日志文件，這種格式的文件通常只可以通過事件查看器EVENT VIEWER讀取。

b) Linux/Unix系統日志。在Linux/Unix系統中，有三個主要的日志子系統：連接時間日志、進程統計日志和錯誤日志。錯誤日志――由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog向文件/var/log/messages報告值得注意的事件。

4.1.2 安全設備日志

安全設備日志主要是指防火墻，入侵檢測系統等網絡安全設備產生的日志。這部分日志格式沒有統一標準。目前，國內多數防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式，而多數入侵檢測系統的日志兼容Snort產生日志格式。

4.1.3 網絡設備日志

網絡設備日志是指網絡中交換機、路由器等網絡設備產生的日志，這些設備日志通常遵循RFC3164(TheBSD syslog Protocol)規定的日志格式,可以通過syslogd實現方便的轉發和處理。一個典型的syslog記錄包括生成該記錄的進程名字、文本信息、設備和優先級范圍等。

4.1.4 應用系統日志

應用系統日志包含由各種應用程序記錄的事件。應用系統的程序開發員決定記錄哪一個事件。Web應用程序日志往往是系統管理員最關心的應用系統日志之一。

a) Apache日志。Apache日志記錄Apache服務器處理的所有請求和出錯信息，它支持兩種格式的日志：普通記錄格式(Common Log Format)，組合記錄格式(Combined Log Format)。

b) IIS日志。IIS日志文件記錄了所有訪問IIS服務程序的信息，IIS日志文件一般位于如下路徑：%systemroot%\system32\LogFiles。IIS支持“W3C擴充日志文件格式”、“NCSA通用日志格式”和“ODBC數據庫日志格式”。

第3篇

論文關鍵詞：安全審計　日志　數據挖掘

論文摘要：該文提出了無線網關安全審計系統的系統模型，詳細介紹了該系統的設計思想和流程。在系統中通過改進syslog機制，引入有學習能力的數據挖掘技術，實現對無線網關的安全審計。

無線網關作為無線網絡與布線網絡之間的橋梁，所有的通信都必須經過無線網關的審計與控制。在無線網絡中，無線網關放置在無線網絡的邊緣，相當于無線網絡的大門，當無線網關遭到攻擊和入侵時，災難會殃及整個無線網絡，使無線網絡不能工作或異常工作，由此可見，對無線網關進行安全審計是十分有意義的。

一、系統概述

本文研究的安全審計系統是北京市重點實驗室科研項目智能化無線安全網關的一部分。智能化無線安全網關在無線網關上集成具有IDS和防火墻功能的模塊，以及控制和阻斷模塊，這些功能模塊在統一操作系統的基礎上，既各司其職，又密切合作，共同完成防范、預警、響應和自學習的功能，構成一個有機的安全體系。

無線網關的安全審計系統，其主要功能就是在事后通過審計分析無線安全網關的日志信息，識別系統中的異常活動，特別是那些被其他安全防范措施所遺漏的非法操作或入侵活動，并采取相應的報告，以有利于網絡管理員及時有效地對入侵活動進行防范，確保網絡的安全。無線網關安全審計系統是針對無線網絡的安全運作而提出的，主要包括數據控制、數據采集、日志歸類、日志的審計與報警等幾大基本功能。

首先，審計系統的數據控制模塊對進出的數據信息進行嚴格的控制，根據預定義的規則進行必要的限制，適當地降低風險。其次，安全審計系統的數據采集模塊收集無線安全網關的網絡日志、系統日志、及用戶和應用日志。隨后，采集部件收集到的日志記錄被送到日志歸類模塊，根據日志記錄行為的不同層次來進行分類。最后，使用審計與報警模塊對日志記錄進行審計分析。這時可以根據預先定義好的安全策略對海量的日志數據進行對比分析，以檢測出無線網關中是否存在入侵行為、異常行為或非法操作。管理員可以初始化或變更系統的配置和運行參數，使得安全審計系統具有良好的適應性和可操作性。

二、系統設計

1、系統結構組成

2、設計思想

系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，采用有學習能力的數據挖掘方法，從“正常”的日志數據中發掘“正常”的網絡通信模式，并和常規的一些攻擊規則庫進行關聯分析，達到檢測網絡入侵行為和非法操作的目的。

3、系統的詳細設計

(1)數據的控制

數據控制模塊使用基于Netfilter架構的防火墻軟件iptables對進出的數據信息進行嚴格的控制，適當地降低風險。

(2)數據的采集

數據采集模塊，即日志的采集部件，為了實現日志記錄的多層次化，即需記錄網絡、系統、應用和用戶等各種行為來全面反映黑客的攻擊行為，所以在無線安全網關中設置了多個數據捕獲點，其主要有系統審計日志、安全網關日志、防火墻日志和入侵檢測日志4種。

(3)日志的歸類

日志歸類模塊主要是為了簡化審計時的工作量而設計的，它的主要功能是根據日志記錄行為的不同層次來進行分類，將其歸為網絡行為、系統行為，應用行為、用戶行為中的一種，同時進行時間歸一化。進行日志分類目的是對海量信息進行區分，以提高日志審計時的分析效率。

(4)日志審計與報警

日志審計與報警模塊側重對日志信息的事后分析，該模塊的主要功能是對網關日志信息進行審計分析，即將收到的日志信息通過特定的策略進行對比，以檢測出不合規則的異常事件。隨著審計過程的進行，若該異常事件的可疑度不斷增加以致超過某一閾值時，系統產生報警信息。該模塊包括日志信息的接收、規則庫的生成、日志數據的預處理、日志審計等幾個功能。

三、系統的實現

1、系統的開發環境

智能無線安全網關安全審計系統是基于linux操作系統開發的B/S模式的日志審計系統。開發工具為前臺：Windows XPprofessional+html+php后臺：Linux+Apache+Mysql+C++。

2、系統的處理流程

前面已經詳細介紹了該系統的設計思想，系統的處理流程如圖2所示：

3、日志歸類模塊的實現

無線網關的日志采用linux的syslog機制進行記錄，syslog記錄的日志中日期只包含月和日，沒有年份。在本模塊中，對日志記錄的syslog機制進行一些改進，克服其在日志中不能記錄年的問題。

下面以無線網關的日志為例，說明其實現過程。網關日志的保存文件為gw.log，用一個shell腳本，在每月的第一天零點，停止syslogd進程，在原來的文件名后面加上上一個月的年和月，如gw.log200603，再新建一個gw.log用于記錄當月的日志，再重啟syslogd記錄日志。這樣就把每月的日志存放在有標志年月的文件中，再利用C++處理一下，在記錄中加入文件名中的年份。

4、日志審計與報警模塊的實現

(1)日志審計模塊的處理流程

(2)規則庫生成的實現

安全審計系統所采用的審計方法主要是基于對日志信息的異常檢測，即通過對當前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權操作的存在。該方法的優點是無需了解系統的缺陷，有較強的適應性。

這里所說的規則庫就是指存儲在檢測異常數據時所要用到的正常的網絡通信及操作規則的數據庫。規則庫的建立主要是對正常的日志信息通過數據挖掘的相關算法進行挖掘來完成。首先系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，通過執行安全審計讀入規則庫來發現入侵事件，將入侵時間記錄到入侵時間數據庫，而將正常日志數據的訪問放入安全的歷史日志庫，并通過數據挖掘來提取正常的訪問模式。最后通過舊的規則庫、入侵事件以及正常訪問模式來獲得最新的規則庫。可以不停地重復上述過程，不斷地進行自我學習的過程，同時不斷更新規則庫，直到規則庫達到穩定。

(3)日志信息審計的實現

日志審計主要包括日志信息的預處理和日志信息的異常檢測兩個部分。在對日志進行審計之前，我們首先要對其進行處理，按不同的類別分別接收到日志信息數據庫的不同數據表中。此外，由于我們所捕獲的日志信息非常龐大，而系統中幾乎所有的分析功能都必須建立在對這些數據記錄進行處理的基礎上。而這些記錄中存在的大量冗余信息，在對它們進行的操作處理時必將造成巨大的資源浪費，降低了審計的效率。因此有必要在進行審計分析之前盡可能減少這些冗余信息。所以，我們在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄，從而大大減少日志記錄的數目，同時大大提高日志信息的含金量，以提高系統的效率。采用的方式就是將收集到的日志分為不同類別的事件，各個事件以不同的標識符區分，在存放日志的數據庫中將事件標識設為主鍵，如有同一事件到來則計數加一，這樣就可以大大降低日志信息的冗余度。

在日志信息經過預處理之后，我們就可以對日志信息進行審計了。審計的方法主要是將日志信息與規則庫中的規則進行對比，如圖3所示，對于檢測出的不合規則的記錄，即違反規則的小概率事件，我們記錄下其有效信息，如源，目的地址等作為一個標識，并對其設置一懷疑度。隨著日志審計的進行，如果屬于該標識的異常記錄數目不斷增加而達到一定程度，即懷疑度超過一定閾值，我們則對其產生報警信息。

四、數據挖掘相關技術

數據挖掘是一個比較完整地分析大量數據的過程，它一般包括數據準備、數據預處理、建立數據挖掘模型、模型評估和解釋等，它是一個迭代的過程，通過不斷調整方法和參數以求得到較好的模型。

本系統中的有學習能力的數據挖掘方法，主要采用了三個算法：

（1）分類算法　該算法主要將數據影射到事先定義的一個分類之中。這個算法的結果是產生一個以決策樹或者規則形式存在的“判別器”。本系統中先收集足夠多的正常審計數據，產生一個“判別器”來對將來的數據進行判別，決定哪些是正常行為，哪些是入侵或非法操作。

（2）相關性分析　主要用來決定數據庫里的各個域之間的相互關系。找出被審計數據間的相互關聯，為決定安全審計系統的特征提供很重要的依據。

（3）時間序列分析　該算法用來建立本系統的時間順序模型。這個算法幫助我們理解審計事件的時間序列一般是如何產生的，這些所獲取的常用時間標準模型可以用來定義網絡事件是否正常。

本系統通過改進syslog機制，使無線網關的日志記錄更加完善，采用有學習能力的數據挖掘技術對無線網關正常日志數據進行學習，獲得正常訪問模式的規則庫，檢測網絡入侵行為和非法操作，減少人為的知覺和經驗的參與，減少了誤報出現的可能性。該系統結構靈活，易于擴展，具有一定的先進性和創新性。此外，使用規則合并可以不斷更新規則庫，對新出現的攻擊方式也可以在最快的時間內做出反應。下一步的工作是進一步完善規則庫的生成以及審計的算法，增強系統對攻擊的自適應性，提高系統的執行效率。

參考文獻

[1]Branch，JW，Petroni，NL，VanDoorn，L.，Safford，D.，Auto-nomic802.11WirelessLANSecurityAuditing，IEEESecurity&Privacy，May/June 2004，pp.56-65.

[2]李承，王偉釗.　基于防火墻日志的網絡安全審計系統研究與實現.計算機工程　2002.6.