資料探勘於防火牆政策管理之研究

Abstract

動機：對於企業組織而言，防火牆系統可說是目前最為普遍的資訊安全防禦機制。隨著系統以及網路環境的動態改變，防火牆政策規則表必須不斷更新調整，才能確實達到防護功效。運用日誌分析方式來輔助政策管理是可行的作法，然而傳統以人工方式分析，不但耗時且容易發生錯誤。因此，如何利用資料探勘技術分析網路日誌，輔助網路管理者進行防火牆政策管理，是非常值得去研究的課題。 作法：本論文採用關聯規則演算法來探勘防火牆日誌資料，從中萃取網路連線的異常行為，例如：出現頻繁的來源位址、短時間內最常被連線的Port等，以推導出適合且有效的防火牆規則。在實際系統環境中，日誌資料是屬於累加性質的動態資料，容易使得日誌分析工作成為系統的效能瓶頸。我們針對這些影響系統效能的因素進行探討，並提出對應的解決辦法。與現有的方法相比，本論文首先運用動態探勘技術來改進傳統靜態探勘方法，並提出改良的加速演算法，解決過去方法探勘效能不佳的問題。此外，還與資訊安全專家討論，歸納出重要的分析項目，例如：木馬程式之行為分析。論文中針對提出之方法效率皆加以優化，提升整體系統之執行效能，更符合實用上的需要。 結果：本研究實際開發一個防火牆日誌探勘分析與政策偵錯管理工具，並以實際防火牆日誌進行測試。實驗結果顯示，所提出的一系列防火牆日誌分析演算法，在處理速度上皆比過去的傳統方法要來更好。使得系統能更快速地分析防火牆日誌，進而適時推導出有效之政策規則，輔助防火牆進行政策最佳化管理。

Motivation: Firewall system is the most popular network security mechanism for enterprises. Due to the dynamic feature of network environment, firewall policy rules must be constantly revised and adapted to assure the security of intranet. The problem we address is how to apply data mining technology for analyzing firewall logs and assisting network administrators to improve firewall efficiency and to safeguard the network. Method: We apply association rule mining to analyze network logs and detect anomalous behaviors, such as connections those shown frequently in short period with the same source IP and port. From these anomalous behaviors, we could inference useful, up-to-dated and efficient firewall policy rules. Comparing with the method proposed by K. Golnabi et al. in NOMS’ 2006, we utilize incremental mining to handle the increasingly changed traffic log data to enhance the efficiency in analyzing. Moreover, our approach has analyzed not only high-frequent network logs but also other significant security factors to make whole system more feasible and effective. Results: In this thesis, we have developed fast algorithm to optimize the execution performance. Experimental results show that the execution efficiency of our proposed method is significantly better than that of traditional method when dealing with the large-sized log file.