工业控制系统应用与安全防护技术（微课版）课件 第7章 态势感知与安全审计技术

工业控制系统应用与安全防护技术第7章态势感知与安全审计技术7.1态势感知概述

随着计算机和网络技术的不断发展，为了满足新的需求需要对网络安全的防御提出更高的要求，必须借助更加先进的技术才能够抵御技术水平越来越高、攻击形式越来越多样的黑客攻击。传统的网络安全防护产品只能防御某一个方面的入侵，如果想对网络系统进行全方面的防护，就需要购买各种各样的安全产品，这样虽然也可以起到防御作用，但这些产品之间缺乏联动，只能反映出网络中部分层面或区域的安全状况，不能体现网络整体的安全性，而且在技术方面也有一定的局限性。

传统方式下，通过不断购买更多的安全设备已经不能够实质性地提升整个网络的安全保障，而且难以对网络的安全状态做出预测。因此，态势感知技术逐渐成为了网络防护的主流发展方向。态势感知最早在军事领域被提出，从态势提取、态势理解和态势预测三个方面对整个网络的安全状态进行监控和评估，不仅可以解决现有的网络防御技术只能片面地防御某一个方面的攻击缺陷，还可以对网络未来一段时间内的安全状态进行预测，从而更好地保障网络的安全。7.1.1网络安全态势感知的定义

为了有效监控和管理网络的安全，安全管理员需要了解网络当前的情况、攻击者的行为、可用信息和模型的质量、攻击的影响和演变以便做出正确的决定。此时可能会出现以下问题：有没有正在进行的攻击；攻击者在哪里；可用的攻击模型是否能够近似描述实际的情况；能否预测攻击者的目标；能否阻止攻击者实现目标。引入态势感知技术有助于这些问题的解决。

态势感知是指在一定的时空条件下，对环境的获取、理解和对未来的预测。上世纪90年代以来，各个领域都逐渐引入态势感知的概念，其中网络安全领域出现了“网络态势感知（CSA）”这个概念，它是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及对最近发展趋势的预测，其中对环境要素的预测包括依据感知和理解获得的知识进行预测的能力，从而为安全管理员的决策提供可靠的支持。7.1.2网络安全态势感知模型根据网络安全态势感知技术的主要相关内容以及网络的实际运行状况，选择合适的态势感知模型，对于网络安全管理、资源分配以及网络防御至关重要。目前在此领域构建出的模型种类繁多，其中使用最广泛的包括Endsely模型、JDL模型、TimBass模型。1.Endsely模型Endsley提出的态势感知模型主要是由环境或系统状态部分和影响态势感知的其他要素所组成的。环境和系统状态部分主要由态势感知的三个层次组成，即对数据和环境因素的获取、对当前态势的理解和对未来态势和事件的预测，另外包括应该采取的决策以及应该采取的行动措施等。影响态势感知的其他因素主要包括人员个体之间的差异以及任务或环境之间的差异等。

将

Endsley所提出的三层态势感知模型应用于对网络安全态势的感知，每一层次的具体内容如下：数据和环境因素获取：该层的主要目的是利用现有的技术手段和网络安全设备，对能够影响网络安全状况发生变化的各种基础安全数据进行实时地检测和获取，根据相关特征对安全数据和网络行为进行分类，为态势理解层提供基础支撑。

态势理解：该层首先融合元素感知层收集到的安全数据，并分析数据元素之间的关联性；然后选择合理的数学模型对整合结果进行综合评估；最后经过计算分析获取能反映出网络当前安全状态的态势值。

态势预测：基于态势理解层获取的能反映网络运行状况的安全态势值后，结合相关理论模型分析并通过使用现实工具对网络未来的安全状况进行准确的预测。2.JDL模型

态势感知与数据融合的研究有很多相似点，数据融合是将多个来自不同信息源的数据进行收集，并对它们进行关联和整合，从而达到提升数据准确度和有效性的效果。其中JDL（JointDirectorsofLaboratories）态势感知模型就是根据数据融合模型衍生而来的。在JDL模型中，态势感知的实现被分为5个阶段，将收集到的数据源通过不同阶段的处理和反馈后，通过可视化平台实现人机交互。以下为5个阶段的介绍：

（1）数据预处理。数据预处理是该模型的第一个阶段，其主要功能是将从信息采集系统收集上来的各种不规整、有错误、重复、结构不完整等有缺陷的数据通过诸如数据清洗、数据集成、数据变换等方法来对数据进行预处理，为下一步事件提取做准备。

（2）事件提取。经过数据预处理后的数据虽然减少了错误，并且也调整了格式，但并不是所有的数据都是有用的数据，我们将对结果能够产生影响的有用数据称为事件，事件提取就是从大量数据中挑选其中有用的数据，为态势评估工作做好数据基础。

（3）态势评估。通过各种数据分析方法对事件进行分析，并得出态势评估结果。然后系统将态势评估结果做成分析报告或态势图，以方便安全人员进行决策。

（4）影响评估。系统将当前的态势评估结果进行推广，为安全人员提供对未来安全形势预测的依据。

（5）资源管理、过程控制与优化。最后，为了系统可以在最快的时间内完成对数据的处理、提取和分析，还需要对该系统进行优化，可以通过制定优化指标，来完成相关资源的最优分配，并可以对整个过程进行监控与评价。3.TimBass模型TimBass等人参考了JDL数据融合模型，提出了一种多传感器数据融合的态势感知模型，主要包括数据提取、攻击对象识别、态势提取、威胁评估以及资源管理五部分。

（1）数据提取。主要工作是对网络设备采集到的数据根据特征进行分类筛选和属性约简等预处理操作。

（2）攻击对象识别。根据数据提取部分获取的预处理数据，从多个角度对这些数据进行关联分析，有效识别网络攻击行为、攻击对象以及攻击目标。

（3）态势提取。通过实时分析所识别攻击对象的协调行为、依赖关系、共同的原点和共同的协议来检测聚合的对象集，对网络安全态势进行评估，了解网络当前运行状况。

（4）威胁评估。根据态势提取部分得到的网络安全态势评估结果，建立合理的模型，分析整个网络中各种安全威胁发生的可能性和破坏程度，同时对网络攻击所造成的影响进行评测。

（5）资源管理。在态势提取和威胁评估的基础上，了解网络自身的运行状况、网络所处的环境，以及网络所遭受的安全威胁，便于使用者及时采取合理的应对策略。

7.1.3工业控制系统态势感知模型空间分布式的工业控制系统模型，其中，被控过程的运行由控制器进行控制，控制器能够接收分布在不同地域的传感器测量值，并利用通信网络将控制信号传输至空间分布的执行器中，但系统在网络通信过程中可能会遭受到攻击。

工业控制网络态势感知模型主要分为三个部分：工控网络态势要素提取分类、工控网络态势评估和工控网络态势预测。

工控网络安全态势要素提取分类：负责收集工业控制网络系统（主要是企业管理网络和过程控制网络）中各关键节点的网络安全数据和信息，并按照不同的特征和类型进行分类。安全态势要素提取的目标是为了有效识别不同的网络攻击行为和安全事件，例如网络流量、入侵检测等可以被看作网络安全要素提取分类的组成部分。除了网络攻击之外，网络自身发生的故障、人为操控因素等均可被视为影响网络系统安全的要素。为了下一步网络安全态势评估中获得准确的安全态势值，正确判断网络底层的安全事件类型至关重要。

工控网络安全态势评估：工控网络安全态势评估在工控网络态势感知中起着承上启下的作用，能否对网络安全态势及时、准确、高效地进行评估直接关系到网络运行的稳定性和安全性。工控网络安全态势评估的本质在于从数据中发现规律，即如何从海量的网络安全事件中挖掘出影响网络状况的重要信息，进一步解析出信息之间的关联性并对其进行融合，获取能够体现整体工控网络安全状况的态势值。

工控网络安全态势预测：当评估得出一段时间内的网络安全态势值后，通过建立基于时间序列的预测模型，预测未来一段时间内的网络安全态势。工控网络安全态势预测部分是态势感知模型中最重要的环节，准确预测未来网络安全态势是网络主动防御体系的重点，从而为安全管理员提供可靠的信息，应对可能到来的威胁，并合理分配网络资源，对网络采取准确的防御措施，最大限度的降低网络风险和损失。7.2.1数据采集技术

数据采集是指从传感器或其它数据采集装置收集所需数据信息的过程。对于态势感知来说，数据采集为态势感知提供数据来源，是整个流程需要完成的第一步。工业控制系统中，需要采集的数据一般包括系统网络拓扑结构、主机运行状态信息、网络通信协议特征、通信流量信息以及网络资源配置等。目前较为常用的数据采集方式包括两种，分别是Syslog采集方式和Snmp采集方式，其中Snmp方式是最常用的系统拓扑信息和主机状态信息采集方式，大部分主机和工业网关之中都内置了此项功能。7.2态势感知相关技术1.Syslog采集技术 Syslog协议是由加里佛尼亚大学开发出来的一种数据采集协议，通过Syslog协议可以完成对系统日志信息进行采集的工作。Syslog协议在Unix和Linux系统中较为常用，Unix和Linux系统中大部分日志信息都是通过Syslog机制进行收集和维护的。目前，Syslog协议已经发展成为一套独立的数据采集协议。 Syslog数据采集主要有三种方式，设备—接收服务器模式、设备—中继器—接收服务器模式、设备—接收服务器—中继器—接收服务器模式，其中设备—中继器—接收服务器模式是通过中继器代理完成数据采集工作，服务器只需要进行数据的整理，能够有效减轻系统服务器压力。2.Snmp采集技术 Snmp是一种位于应用层的简单网络管理协议，主要用于网络设备的管理，也可用于下层数据的收集。该协议简单可靠、应用方便，是目前使用最为广泛的网络管理协议。Snmp协议主要由Snmp管理站和Snmp代理两部分组成。Snmp管理站处于中心位置，负责接收各个Snmp代理所上传的数据信息，并对数据进行分析与处理。Snmp代理分布在下层节点处，负责收集节点处的各类状态信息，如网络拓扑信息、设备运行参数、系统日志信息等，并将这些数据发送给Snmp管理站。Snmp管理站与Snmp代理之间使用UDP协议进行通信，通常由Snmp管理站下发管理命令，当Snmp代理站接收到管理站所下发的命令，根据命令报文的参数，返回Snmp管理站所需要的网络数据。Snmp代理站也可以使用Snmptrap协议主动向Snmp管理站发送紧急数据。7.2.2态势评估技术态势评估指对提取的态势要素进行处理和分析后，对网络的整体运行状况进行评估的过程，主要分为数据融合和态势值计算两个阶段。

由于态势要素是从多源异构的分布式传感器收集到的数据，会存在噪声和冗余性，因此需要利用数据融合的方法对数据进行处理，以得到更加准确、简洁的数据集。数据融合一般分为以下两类：1）基于逻辑和推理的融合方法

该方法主要有两种形式，一种是分析信息间的逻辑关系来实现数据融合，另一种是模糊量化信息的不确定性并按照规则进行推理。2）基于数学统计的融合方法

该方法主要有两种形式，一种是通过分析不同态势要素的影响来构造评估函数，一种是通过分析信息的统计特征来构造评估模型。在完成数据融合后，就可以根据相应的评估指标对网络运行状态进行态势评估，网络安全态势评估能够实现对整个网络体系安全性的度量，并且对整个网络存在的安全状况进行综合的评价，常见的评估方法有层次分析法和人工神经网络。

层次分析法（AnalyticHierarchyProcess，AHP）作为一种涵盖多个目标和多项准则的决策方法，通过对定量分析和定性分析的综合运用，能够将复杂的态势评估过程通过分层处理的方式进行简化，并采取由下至上、先局部后整体的策略，通过逐层计算局部的、底层的态势要素的影响来分析系统整体的安全态势情况。

神经网络是一种由大量神经元连接所组成的运算模型，神经元的连接方式不同，组成的神经网络亦不同。由于有着较强的自组织、自学习和自适应能力，人工神经网络在信息处理和模式识别领域有着很大的优势，适合用于态势评估。7.2.3态势预测技术态势预测是指根据态势评估得到的历史态势值，对将来一段时间网络的变化趋势进行预测的过程，这对采取相应防御措施有着很大的参考价值。常见的态势预测技术有支持向量机、神经网络和时间序列预测法等。1）支持向量机支持向量机（SupportVectorMachine，SVM）的理论基础是统计学，作为一种模式识别方法，它是一类按监督学习方式对数据进行二元分类的广义线性分类器。SVM可以实现低维空间向量向高维空间的过渡，从而借助高维线性回归来解决低维非线性回归的问题。SVM的稳健性和稀疏性在确保求解可靠结果的同时降低了系统计算量和内存开销。2）神经网络

神经网络是一种网络态势预测方法，它具有自学习、自适应性和非线性处理的特性，神经网络的结构多变，有着很好的灵活性和容错性。该算法首先利用存在时间关系的态势值作为训练样本构造神经网络模型，然后利用该模型，将当前时间段的态势值作为输入，并输出未来时间的态势值，完成态势预测。3）时间序列预测法

该方法利用态势评估产生的非线性的态势值，通过分析遵循时间序列的历史数据的变化趋势，来寻找态势值的变化规律，并根据此规律预测未来一段时间的态势值。在预测过程中，将态势值x抽象为时间序列t的函数，即x=f(t)。网络安全态势值可以看作一个时间序列，预测过程就是利用序列的前M个时刻的态势值预测出后N个时刻的态势值。时间序列预测法易于理解，通常结合支持向量机、神经网络等其他方法一起使用。7.3安全审计概述随着日益增长的互联网安全风险，安全问题的复杂性日益加大，据中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示，通过外部攻击获得内部信息的只占入侵总数的大约五分之一左右，大部分的网络安全威胁由内部产生，其危害程度更甚于黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关。

防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的监测和管理，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和己经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为无法及时发现，也难以实现针对内容、行为的监控管理及安全事件的追查取证。

因此，如何采用一种安全手段对上述问题进行有效监控和管理显得极为重要。安全审计正是基于这样的目的而产生。对于任何一个安全体系来说，审计追查手段都是必不可少的。7.3.1安全审计概念

信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台的同时，日趋复杂的IT业务系统与不同背景业务用户的行为也带给网络了潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问（TELNET、FTP等）等方式被泄露、窃取和篡改，访问非法网站、发布非法言论等违规上网行为泛滥，严重破坏了政府、企业的信息系统安全。

安全审计（SecurtiyAudit）就是对审计对象的安全运行状态进行监控审计。通过审计日志来记录审计对象的行为和发生的事件，随后对审计日志进行全面的分析。当发现有异常或攻击事件的时候，就会启动相应的处理程序。7.3.2安全审计系统模型

安全审计系统完成对信息流的数据采集、分析、识别和资源审计。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。它侧重于“事中”阶段。该系统综合了基于主机的技术手段，可以多层次、多手段的实现对网络的控制管理。通过多级、分布式的网络审计、管理、控制机制，全面体现了管理层对内部网关键资源的全局控制、把握和调度能力，为管理人员提供了一种审计、检查当前系统运行状态的有效手段。

安全审计系统是一个多功能的完备系统，它是由多个功能不同的模块相互协同共同完成一系列的简单或复杂的任务。

图中反映出了各个审计模块之间的关系，以及他们相互协作的流程。下面分别对这些模块进行说明：

（1）审计数据采集器。该模块是整个审计系统中数量最多的模块，根据类型划分可以分为主动型和被动型两种。主动型指审计数据采集器依据审计任务被部署到相应的数据釆集源上，然后根据响应的安全策略对数据源进行监控，自动生成审计日志。

（2）审计数据分析器。该模块是整个系统模型中最重要的组成部分，它处于整个审计系统的中心，从数据釆集器中获取审计日志，然后依据具体的审计规则，对数据进行异常行为分析，从中找出不正常的数据以及发现潜在的危险行为。

（3）审计数据存储器。审计数据存储器是用来存储釆集器釆集到的数据和事件记录以及分析器鉴定之后产生的审计日志，以供审计人员查看管理，并准确反应整个系统的安全运行状态。因为审计日志是系统运行状态的直观数据表现，所以需要保证审计日志的准确性、有效性、完整性、真实性。为了能够实现审计数据存储器的这些功能需求，研究人员将更多的安全技术应用到其中，采用的技术包括安全加密技术、数据完整性校验技术、来访用户访问控制技术等。

（4）审计决策执行器。审计决策执行器也是安全审计系统的重要组成部分，如果没有该模块，其他工作将变得没有意义。该执行器的主要工作是在发生攻击事件时，能够实施拦截操作，及时阻断攻击并进行反追踪等。在现在的审计产品中，实现的功能包括：对网络攻击进行阻截，切断会话，阻止危险数据进入系统或敏感数据被私自发送出去；发现异常程序正在运行时及时关闭该程序，并予以删除。以上四种模块共同实现了安全审计系统的功能。但是这四种模块都只是逻辑实体，并不是说每一个模块就是一个完全独立的程序，它们也可能是一个进程或线程。即一个独立运行程序，可能包含审计日志釆集器，也包含审计日志分析器。7.3.3安全审计的作用

网络系统的安全与否是一个相对的概念，不存在绝对的安全。在网络安全整体解决方案日益增多时，安全审计系统是网络安全体系中的一个重要环节。企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对己经建立的系统，如果没有实时的、集中的、可视化的审计，就不能及时准确地评估系统究竟是不是安全的，并及时发现和排除安全隐患。所以安全系统需要集中的审计系统。在安全解决方案中，跨厂商产品的简单集合往往会存在漏洞，不利于系统的安全。当某种安全漏洞出现时，如果先需要对不同厂商的技术和产品进行人工分析，然后再综合分析，提出解决方案，将降低对攻击的反应速度，并潜在地增加成本。如果不能将在同一网络中所有厂商的产品实现技术上互操作，实现集中的审计，就无法有效管理，无法实现统一的安全性。安全审计系统能够对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高系统安全系数。

目前内部网络可以采用以下手段进行安全保护：对计算机操作进行审计控制；了解计算机的局域网内部单台计算机网络的连接情况；对计算机局域网内网络数据的釆集、分析、存储备案。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，实时记录网络上发生的异常情况，提供取证手段。它是一种十分重要的增强网络安全性的手段。7.4安全审计的分类

网络安全审计技术大致可以分为四个方面：流量异常审计、入侵检测审计、内容安全审计、行为安全审计。7.4.1流量异常审计

网络流量异常是指网络的流量行为偏离其正常行为的情形。网络安全管理中，网络流量日志和统计分析是安全审计的基础，它提供最原始的数据，在已有的日志记录上进行分析和安全审计。在不影响合法用户上网的前提下，有效跟踪并且记录用户上网活动，通过日志分析的方式尽早发现用户的非法行为进而加以规范，已经成为现代互联网络管理的重要手段。审计主要内容是对网络流量日志进行实时监测和事后分析，基于规则来判断、查看是否违反已经制定的安全策略，按照预先定义的策略记录、阻断、自动报警等。

目前网络规模和速度不断增加，智能网络是下一代网络的发展方向，流量突发异常检测算法需要实时准确地分析处理海量的网络业务量数据，具有很大的挑战性。通过采用新的流量数据模型来描述网络通信量，以解决现有网络异常检测模型存在的不足成为可能，基于日志记录的数据挖掘网络流量异常检测及分析得到广泛研究。1.网络流量异常分类

网络流量异常是指影响网络正常运行的网络流量模式，引起网络流量异常的原因很多，如网络设备的不良运行、网络操作异常、突发访问、网络入侵等。异常流量的特点是突然发作，无先兆特征，可以在短时间内给网络或网上的计算机造成极大的危害，如由特定的攻击程序或蠕虫爆发所引起的突发流量行为等。因此准确、快速地检测网络流量的异常行为，判断引起流量异常的原因，做出准确的响应是保证网络有效运行的前提之一，也成为目前国内外学术界和工业界共同关注的热点问题之一。2.网络流量异常检测的方法

针对网络流量异常检测的方法主要有以下几种：基于特征/行为的研究方法、基于统计的异常检测、基于机器学习的方法和基于数据挖掘的方法等。

基于特征/行为的检测研究通过在网络流量数据中查找与异常特征相匹配的模式来检测异常。因此需要分类描述网络异常的流量的特征及行为特征、构造蠕虫分类和DDoS攻击行为等，其缺点是无法检测出未知的攻击类型，而且需要对不断更新规则特征库。

机器学习的方法是基于更新的信息和以前的结果来提高系统的性能，异常检测中常用的机器学习技术包括基于系统调用的序列分析、贝叶斯网络、主成分分析法、马尔可夫模型等。

数据挖掘技术可以用来从大量审计数据中挖掘出正常或入侵性质的行为模式。

以上两种异常检测的方法是将正常的系统网络行为进行建模，检测时通过与正常模型的比较来实现异常检测，因此能有效地发现己知和未知的攻击。3.网络流量异常审计系统

网络流量安全审计系统（ASM）是分析业务系统安全的设备，它通过对采集的网络流量进行挖掘和关联性分析，将网络流量、访问行为和业务系统的安全结合起来分析，有效帮助管理人员掌握网络资源使用情况、分析业务系统异常情况，保障业务系统的安全、稳定和高效运行。

一个成熟的网络流量异常审计系统需具备以下特点：

（1）监测核心资源系统的带宽使用情况。

（2）通过对核心资源系统进行持续性访问统计和对比分析，绘制出核心资源系统的正常流量轮廓，及时发现流量异常变化情况。

（3）通过对网络访问行为进行特定性监测，及时发现网络中对核心资源库的异常访问和攻击行为，确保针对业务系统的网络使用和访问操作符合规范。

（4）追踪和记录异常网络行为，提供报警处理、报表统计等功能，对异常事件进行深入分析。7.4.2入侵检测审计1.入侵检测的概念

入侵检测是指通过对安全日志、审计数据或其它网络上可以获得的信息进行操作，检测是否存在对系统的闯入或具有闯入的企图。入侵检测技术的作用包括检测、响应、攻击预测、损失情况评估、威慑和起诉支持等。

入侵检测通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，因此被认为是防火墙之后的第二道安全闸门，能对网络进行监测而不影响网络性能。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；识别反映己知进攻的活动模式并及时报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理。

入侵检测是防火墙的有效补充，能够帮助系统应对网络攻击，扩展了系统管理员包括安全审计、监视、进攻识别和响应处理等的安全管理能力，提高了信息安全基础结构的完整性。

2.入侵检测系统的分类

针对入侵检测技术的分类方法很多，主要存在以下几种分类方法。按数据来源和系统结构进行分类，入侵检测系统分为两类，基于主机的入侵检测系统和基于网络的入侵检测系统。按照系统各个模块运行的分布方式不同，可以分为两类，集中式检测系统和分布式检测系统。根据数据分析方法的不同，可以将入侵检测系统分为两类，异常检测和误用检测。1）基于主机的入侵检测系统，

通常，基于主机的入侵检测系统可以检测安全记录。

基于网络的入侵检测系统简称为网络入侵检测系统，数据来源为网络中的数据包。系统通过在计算机网络中的某些点被动地监测网络上传输的原始流量，对获取的网络数据进行处理，从中挖掘有用的信息，再与已知攻击特征相匹配或与正常网络行为原型相比较以识别相应的攻击事件。3）集中式入侵检测系统

集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。4）分布式入侵检测系统

分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，负责监控当地主机的某些活动。因此其可伸缩性、安全性都等到了明显的提高。与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低，但维护成本却较高，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。5）误用入侵检测

误用入侵检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，存在较多漏报情况。商用IDS多釆用该种检测方法。6）异常入侵检测

异常入侵检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。异常检测是对用户的正常行为进行建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户存在异常行为。但异常检测有较多的误报。大多数的异常检测技术在商业IDS中较少应用。3.入侵检测系统的功能

入侵检测系统的功能主要有：监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作；检查系统配置和漏洞，并提示管理员修补漏洞，一般由安全扫描系统完成；评估系统关键资源和数据文件的完整性；识别已知的攻击行为，统计分析异常行为；对操作系统日志进行管理，并识别违反安全策略的用户活动等。

典型的入侵检测系统包括数据收集器、数据过滤器和数据分析器三部分。7.4.3内容安全审计1.网络信息内容安全的概念

网络信息内容安全是指在网络服务可用的前提下，保证网络中数据的内容符合规定的安全策略，避免数据遭到滥用，保证传输内容的安全性。这方面的技术包括基于内容的防火墙和网络信息安全内容审计。近年来，除了对防火墙技术和入侵检测技术研究之外，人们把更大的力量投入到网络信息安全内容审计技术的研究上来，主要基于以下原因：

（1）防火墙规则基于统计分析的结果，会使得误判为非法的数据包被拦截而导致网络服务不可用。

（2）危害网络安全的有害信息往往包装成合法的报文或者加载到合法的报文中间，通过合法的用户进行发布，能顺利地通过防火墙和入侵检测系统而不会受到拦截，只有通过特定的网络信息审计系统才能将其检测出来。

（3）据调查大多数的攻击及非法信息来自于内部，对于这些来自内部的攻击来说，防火墙无法发挥有效的功用。

（4）底层协议的防火墙无法保护上层协议的攻击。

（5）采用扫描系统、防火墙和入侵检测技术对网络信息报文进行处理，在网络防护阶段事前、事中和事后的取证就必须用到审计系统。2.网络信息安全内容审计系统

网络信息安全内容审计系统（简称CASNI）是指从网络中的关键点收集数据包，审计其所传送的内容，分析检查其中是否含有违反安全策略的内容，实现对网络信息内容的可控性，防止内部机密或敏感信息的非法泄漏及有害信息的传送，对非法内容、可疑行为釆取对应措施，并为查证提供证据。从技术研究的领域来看，网络信息审计技术义可分为两大类：一类是基于报文结构格式的完整性及合法性进行审计的技术，例如对病毒的审查和对黑客程序的审查就属于该类审计内容。另一类就是基于报文内容的审计技术，它采用人工智能、自然语言识别技术等，对通过网络的报文内容实时进行处理和识别，凡是发现包含有害、非法信息的报文就记录其源/目标IP地址、源/目标端口号、服务类型、报文发布的时间、报文的内容以及有关用户的信息，并形成系统访问日志，提供给系统管理人员和有关人员进行事后审计和分析，进而釆取相应的安全管理措施，包括对非法的、不健康的信息进行追查等处理。3.网络内容安全审计的主要功能

网络内容安全分析与审计系统主要在应用层对信息内容进行分析，以便发现可疑的破坏行为，并对这些破坏行为釆取相应的措施，如进行记录、报警和阻断等。网络内容安全分析与审计系统主要包括以下功能：

（1）公用信息内容安全分析。

（2）可靠阻断。

（3）会话重现。4.网络内容安全审计的主要技术网络内容安全分析与审计系统涉及的技术包括以下两种：（1）网络信息内容的获取。研究如何在大规模网络环境中快速获取各种协议的信息内容，如何突破高速网络下内容分析与入侵检测系统发展的瓶颈。一般常用方法是提高系统的CPU速度和釆用更多的内存。然而网络的发展速度远远超过了单个计算机硬件的发展速度，单纯提高硬件的性能已不能满足飞速发展的计算机网络的需要，因此还需要选择新的算法来应用。（2）信息内容分析还原。将截获的数据包还原，并分析其中的信息内容。信息内容分析还原系统主要工作在应用层，而基于应用层的协议很多，许多新的应用协议还在不断产生，而且在同一个会话当中，往往存在多协议同时工作的情况。7.4.4行为安全审计1.网络行为审计的概念

网络行为审计（NetworkBehaviorAudit，NBA）是通过分析网络中的数据包、数据流量，借助协议分析技术，或者异常流量分析技术，来发现网络中出现的异常和违规行为，尤其是那些伪装成正常行为的非法行为。并且一些产品在对该技术扩展后，还具有网络行为控制、流量控制的功能。网络行为审计是安全审计中较为重要的一种审计方式，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术。2.网络行为审计的实现方式NBA的实现有多种方式，其中有两个重要的分支：（1）基于流量分析技术的NBA。通过收集网络设备的各种格式的流量日志来进行分析和审计，发现违规和异常行为。传统的网管厂商很多开始以此为进入安全的切入口，而安全厂商则也较多的采用此种方式。（2）基于抓包协议分析技术的NBA。通过侦听网络中的数据包来进行分析和审计，发现异常和违规行为，传统的安全厂商多采用此种方式作为进入审计领域的切入点。3.抓包型NBA技术及产品类型说明

根据用途的和部署位置的不同，抓包型网络行为审计一般又分为两种子类型。

（1）上网审计型。硬件设备采用旁路/串路方式部署在用户互联网出口处。通过旁路侦听、数据报文截获的方式对内部网络连接到外部网络的数据流进行采集、分析和识别，基于应用层协议还原行为和内容审计，例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文件传输等的审计。可以制定各种控制策略进行统计分析。审计网络内部用户访问互联网的行为和内容，发现用户违规行为，防止内部信息泄漏，有效提升监管内部网络用户上网行为的效率。

（2）业务审计型。硬件设备釆用旁路侦听的方式对数据流进行釆集、分析和识别，实现对用户操作数据库、远程访问主机和网络流量的审计。例如针对各种类型的数据库SQL语句、操作命令的审计，针对Telnet、FTP、SSH、VNC、文件共享协议的审计。管理员可以指定各种控制策略，并进行事后追踪与审计取证。对网络中重要的业务系统（主机、服务器、应用软件、数据库等）进行保护，审计所有针对业务系统的网络操作，防止针对业务系统的违规操作和行为，提升核心业务系统的网络安全保障水平，尤其是信息和数据的安全保护能力，防止信息泄漏。4.差异分析

上网审计型系统分析的协议都是互联网上常用的应用层协议，同时，为了实现更为精确的审计，还需要进一步深入分析协议的内容，一个好的上网审计型NBA必须要有一个巨大的、不断及时更新的协议分析库。

业务审计型系统分析的协议基本上都是常见的应用层协议，并且与业务系统密切相关。例如TDS、TNS等数据库访问协议，FTP、TELNET协议，HTTP、企业邮箱协议（IMAP、STMP等），等等。对于业务审计型NBA而言，协议种类相对比较固定，并且协议版本比较稳定，比较易于实现。

数据库审计主要就是针对业务的核心，即数据库的审计。可以说，数据库审计是业务审计在实现功能上的子集。而业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种资源有机组合而成的。因此，针对业务的审计就要对构成业务系统的各个资源之间的访问行为以及业务系统之间的操作的审计。只有通过审计构成业务系统的各种资源的运行行为才能真正反映出系统的安全状态。7.5安全审计的分析方法

早期的安全审计分析主要是由人工完成的，分析过程依赖于审计者的知识和经验，效率低下。随着安全审计数据量的持续増大，仅仅依靠人工进行审计已变得不切实际。为了解决这种问题，出现了如下的审计方法。7.5.1基于数理统计的安全审计方法

基于数理统计的安全审计方案，一般是根据系统运行状态进行审计。首先通过分析总结出能够反应系统运行状态的数据参数。然后统计出系统在正常运行的情况下，这些数据的波动范围。再结合相关的理论，为每一个数据指标设定一个正常的阈值范围。

（1）操作模型。该模型主要是针对那些情况单一、特征比较明显、攻击手段简单的攻击行为。这些攻击往往具备一个相似的特点，就是出现不符合阈值的异常数据。不需要对收集数据进行过多分析，只要发现某一个或多个参数超过相应的设定好的阈值时，就能认定发生了攻击事件。指标阈值一般是由安全审计人员经过理论论证以及统计分析来制定的。

（2）平均值和标准差模型。该模型是以数据的平均值和标准差来衡量系统运行的度量参数。该模型设定的数据指标比较稳定。有一些系统运行时，它的某些参数可能并不是一直处于一个比较稳定的范围，而是偶尔会出现偏差特别大的情况，但可能也属于正常情况。只有当发现大量的数据参数偏离了正常基准线的情况才会被认定为攻击。该模型就非常适合这样的系统。平均值和标准差计算公式如下：

（3）多元素模型。该模型不同于以上两个模型，此模型不是对单个数据进行判断，而是结合多个数据进行联合分析。它需要考虑多个数据参数的相互影响和联系，然后对这些数据参数进行整体分析判断。简单来说就是这些参数的变化不是孤立的，而是其中某一个参数的变化，就可能引起其他参数跟着发生变化。

（4）马尔可夫模型。该模型不是针对具体数据参数变化进行统计分析，而是着眼于系统的状态变化。系统在一个个的状态之间发生转移，通过相应的公式计算出在当前条件下，系统进入到某一实际状态下的概率，如果计算出来的概率非常小，那就表示有异常发生。简单来说就是系统正常运行的状况下，当前的条件不可能使系统进入到该状态。该模型下，系统有一个状态集合S={S1，S2，...Sn}，系统任意时刻都会处于该集合中的某一个状态。现在假设在时刻t的状态为qt，有如下定义：7.5.2基于特征匹配的安全审计方法

绝大部分的攻击或者异常都有其特征。特征匹配安全审计就是基于这个理论基础发展起来的。收集攻击的各种参数，例如攻击导致的结果、攻击的入侵渠道和引起网络负载的变化等数据。然后对各参数采用建模分类、相似归纳、特殊性总结等手段，提取出攻击的特征信息。再采用合理的描述方式将特征数据化，建立攻击特征模型库。在审计节点部署之后，系统会对审计对象的运行进行监督，釆集审计数据。之后再将数据进行预处理，提取出数据的有效信息，进行数据建模。最后将数据模型与特征库的模型进行对比，就能判断该审计对象是否被攻击了。当发现审计对象疑似正在遭受攻击或己经遭受过攻击，就需要釆取相应的防御措施，并向审计人员报警，通知审计人员进行协助处理。该技术能够针对攻击和异常进行精确匹配，但是对于没有在特征模型库中记录过的攻击，就没有办法发现了。此外，如何根据审计对象的特点设计出存储高效、快速访问的特征库以及实现准确、快速、资源消耗小的匹配算法是研究的主要内容。7.5.3基于数据挖掘的安全审计方法数据挖掘的过程通常由业务理解、数据理解、数据预处理、建模、评估、可视化表现等几个阶段组成，以下分别加以说明。1）业务理解

数据挖掘的前提是深入理解业务，明确业务的目标，将业务需要解决的问题转化为数据挖掘问题，并制定计划，这样才能保证后续数据挖掘的准确性。2）数据理解

数据理解就是分析数据库中的业务数据，找到数据中存在的质量问题的过程，对于不理解的业务数据再做一次分析理解，使之被充分利用。3）数据预处理

一般来说，数据挖掘过程包含数据转换、清洗等操作，因为在原始数据库中，会存在一些属性的类型、长度及格式化问题，要按照需求进行转化后才能被有效使用。4）建模

数据挖掘过程中最重要的一个环节就是数据建模，模型的选择非常重要，选择什么样的模型算法及参数设置，就决定了会得到什么样的挖掘结果。在模型算法的计算过程中，通过调节算法的参数设置以达到结果最优的效果，最终获得合适的模型。5）评估

对已经建好的模型进行评估，也就是对模型的检验操作，评估的结果将直接决定模型的适用性，在评估过程中，可以通过业务库中的数据进行验证。6）可视化表现

挖掘成功后，就需要将结果通过可视化的渠道展示给用户，以便用户可以直观的通过一些图形化界面对数据的结果进行分析，并能得出相应的结论，以对这些业务数据给出预测。

虽然借助数据挖掘进行安全审计，其智能化能够帮助审计人员发掘出那