《信息安全理论与技术》课件第11章 安全审计技术

第十一章

安全审计技术第十一章

安全审计技术11.1安全审计概论11.2安全审计的过程11.3安全审计的常用实现方法11.1安全审计概论安全审计是指由专业审计人员或系统根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价安全审计是一类事后安全技术，记录有关安全事件的信息或提供调查手段11.1安全审计概论日志（Logging）记录可以由任何系统或应用生成，记录了这些系统或应用的事件和统计信息，反映了他们的使用情况和性能情况。审计（Auditing）的输入可以是日志也可以是响应时间的直接报告，审计系统会进一步根据这些日志生成审计记录，提供更清晰、更易于理解的系统时间和统计信息。另外审计结果的存放受到一定的系统保护，比普通日志文件更安全，需要专门的工具读取11.1安全审计概论入侵检测系统需要在充分收集网络和系统的数据、提取描述网络和系统行为特征的基础上，根据这些数据特征，高效并准确的判断网络和系统行为的性质，然后对网络和系统入侵给出响应手段。审计系统就是入侵检测系统的基本构件之一，它主要的作用就是为以后的响应收集网络和系统的数据和行为特征11.1安全审计概论审计系统是一种为事后观察、分析操作或安全违规事件提供支持的系统，它广泛的存在于操作系统、数据库系统和应用系统中，它们根据审计策略记录相应事件的发生情况，为事后的分析提供基本信息。当系统遭受攻击后，事件分析与追踪技术可以通过考察攻击者造成的网络通信与系统活动异常情况追踪攻击者的信息11.2安全审计的过程在审计系统投入使用之前，要解决审计事件确定、事件记录、记录分析和系统管理几个问题审计事件确定：审计事件通常包括系统事件、登录事件、资源访问、操作、特权使用、账号管理和策略更改等类别事件记录：事件记录是指当审计事件发生时，由审计系统用审计日志记录相关的信息11.2安全审计的过程记录分析：审计记录的分析主要目的有两个：第一，帮助用户发现系统存在的攻击事件和安全问题；第二，系统管理员可以通过分析审计日志更新审计事件的确定，使审计日志简化系统管理：审计系统需要提供相应的管理手段，用于管理审计数据存储方式和位置、审计参数设置、初始化、生成和查看审计报告等11.3安全审计的常用实现方法11.3.1基于规则库的方法11.3.2基于数理统计的方法11.3.3有学习能力的数据挖掘11.3.1基于规则库的方法将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放人规则库中，当进行安全审计时，将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为对于某些特征十分明显的网络攻击数据包，该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为(如Backdoo:等)，规则库就很难用完全满足要求了11.3.2基于数理统计的方法数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生数理统计的最大问题在于如何设定统计量的“阂值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，不可避免地容易产生误报和漏报11.3.3有学习能力的数据挖掘主要思想是从“正常”的网络通讯数据中发现“正常”的网络通讯模式。并和常规的一些攻击规则库进行关联分析，达到检测网络人侵行为的目的分类算法