工業(yè)控制系統(tǒng)應用與安全防護技術（微課版）課件 第7章 態(tài)勢感知與安全審計技術

工業(yè)控制系統(tǒng)應用與安全防護技術第7章態(tài)勢感知與安全審計技術7.1態(tài)勢感知概述

隨著計算機和網(wǎng)絡技術的不斷發(fā)展，為了滿足新的需求需要對網(wǎng)絡安全的防御提出更高的要求，必須借助更加先進的技術才能夠抵御技術水平越來越高、攻擊形式越來越多樣的黑客攻擊。傳統(tǒng)的網(wǎng)絡安全防護產(chǎn)品只能防御某一個方面的入侵，如果想對網(wǎng)絡系統(tǒng)進行全方面的防護，就需要購買各種各樣的安全產(chǎn)品，這樣雖然也可以起到防御作用，但這些產(chǎn)品之間缺乏聯(lián)動，只能反映出網(wǎng)絡中部分層面或區(qū)域的安全狀況，不能體現(xiàn)網(wǎng)絡整體的安全性，而且在技術方面也有一定的局限性。

傳統(tǒng)方式下，通過不斷購買更多的安全設備已經(jīng)不能夠實質(zhì)性地提升整個網(wǎng)絡的安全保障，而且難以對網(wǎng)絡的安全狀態(tài)做出預測。因此，態(tài)勢感知技術逐漸成為了網(wǎng)絡防護的主流發(fā)展方向。態(tài)勢感知最早在軍事領域被提出，從態(tài)勢提取、態(tài)勢理解和態(tài)勢預測三個方面對整個網(wǎng)絡的安全狀態(tài)進行監(jiān)控和評估，不僅可以解決現(xiàn)有的網(wǎng)絡防御技術只能片面地防御某一個方面的攻擊缺陷，還可以對網(wǎng)絡未來一段時間內(nèi)的安全狀態(tài)進行預測，從而更好地保障網(wǎng)絡的安全。7.1.1網(wǎng)絡安全態(tài)勢感知的定義

為了有效監(jiān)控和管理網(wǎng)絡的安全，安全管理員需要了解網(wǎng)絡當前的情況、攻擊者的行為、可用信息和模型的質(zhì)量、攻擊的影響和演變以便做出正確的決定。此時可能會出現(xiàn)以下問題：有沒有正在進行的攻擊；攻擊者在哪里；可用的攻擊模型是否能夠近似描述實際的情況；能否預測攻擊者的目標；能否阻止攻擊者實現(xiàn)目標。引入態(tài)勢感知技術有助于這些問題的解決。

態(tài)勢感知是指在一定的時空條件下，對環(huán)境的獲取、理解和對未來的預測。上世紀90年代以來，各個領域都逐漸引入態(tài)勢感知的概念，其中網(wǎng)絡安全領域出現(xiàn)了“網(wǎng)絡態(tài)勢感知（CSA）”這個概念，它是指在大規(guī)模網(wǎng)絡環(huán)境中對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及對最近發(fā)展趨勢的預測，其中對環(huán)境要素的預測包括依據(jù)感知和理解獲得的知識進行預測的能力，從而為安全管理員的決策提供可靠的支持。7.1.2網(wǎng)絡安全態(tài)勢感知模型根據(jù)網(wǎng)絡安全態(tài)勢感知技術的主要相關內(nèi)容以及網(wǎng)絡的實際運行狀況，選擇合適的態(tài)勢感知模型，對于網(wǎng)絡安全管理、資源分配以及網(wǎng)絡防御至關重要。目前在此領域構建出的模型種類繁多，其中使用最廣泛的包括Endsely模型、JDL模型、TimBass模型。1.Endsely模型Endsley提出的態(tài)勢感知模型主要是由環(huán)境或系統(tǒng)狀態(tài)部分和影響態(tài)勢感知的其他要素所組成的。環(huán)境和系統(tǒng)狀態(tài)部分主要由態(tài)勢感知的三個層次組成，即對數(shù)據(jù)和環(huán)境因素的獲取、對當前態(tài)勢的理解和對未來態(tài)勢和事件的預測，另外包括應該采取的決策以及應該采取的行動措施等。影響態(tài)勢感知的其他因素主要包括人員個體之間的差異以及任務或環(huán)境之間的差異等。

將

Endsley所提出的三層態(tài)勢感知模型應用于對網(wǎng)絡安全態(tài)勢的感知，每一層次的具體內(nèi)容如下：數(shù)據(jù)和環(huán)境因素獲?。涸搶拥闹饕康氖抢矛F(xiàn)有的技術手段和網(wǎng)絡安全設備，對能夠影響網(wǎng)絡安全狀況發(fā)生變化的各種基礎安全數(shù)據(jù)進行實時地檢測和獲取，根據(jù)相關特征對安全數(shù)據(jù)和網(wǎng)絡行為進行分類，為態(tài)勢理解層提供基礎支撐。

態(tài)勢理解：該層首先融合元素感知層收集到的安全數(shù)據(jù)，并分析數(shù)據(jù)元素之間的關聯(lián)性；然后選擇合理的數(shù)學模型對整合結果進行綜合評估；最后經(jīng)過計算分析獲取能反映出網(wǎng)絡當前安全狀態(tài)的態(tài)勢值。

態(tài)勢預測：基于態(tài)勢理解層獲取的能反映網(wǎng)絡運行狀況的安全態(tài)勢值后，結合相關理論模型分析并通過使用現(xiàn)實工具對網(wǎng)絡未來的安全狀況進行準確的預測。2.JDL模型

態(tài)勢感知與數(shù)據(jù)融合的研究有很多相似點，數(shù)據(jù)融合是將多個來自不同信息源的數(shù)據(jù)進行收集，并對它們進行關聯(lián)和整合，從而達到提升數(shù)據(jù)準確度和有效性的效果。其中JDL（JointDirectorsofLaboratories）態(tài)勢感知模型就是根據(jù)數(shù)據(jù)融合模型衍生而來的。在JDL模型中，態(tài)勢感知的實現(xiàn)被分為5個階段，將收集到的數(shù)據(jù)源通過不同階段的處理和反饋后，通過可視化平臺實現(xiàn)人機交互。以下為5個階段的介紹：

（1）數(shù)據(jù)預處理。數(shù)據(jù)預處理是該模型的第一個階段，其主要功能是將從信息采集系統(tǒng)收集上來的各種不規(guī)整、有錯誤、重復、結構不完整等有缺陷的數(shù)據(jù)通過諸如數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換等方法來對數(shù)據(jù)進行預處理，為下一步事件提取做準備。

（2）事件提取。經(jīng)過數(shù)據(jù)預處理后的數(shù)據(jù)雖然減少了錯誤，并且也調(diào)整了格式，但并不是所有的數(shù)據(jù)都是有用的數(shù)據(jù)，我們將對結果能夠產(chǎn)生影響的有用數(shù)據(jù)稱為事件，事件提取就是從大量數(shù)據(jù)中挑選其中有用的數(shù)據(jù)，為態(tài)勢評估工作做好數(shù)據(jù)基礎。

（3）態(tài)勢評估。通過各種數(shù)據(jù)分析方法對事件進行分析，并得出態(tài)勢評估結果。然后系統(tǒng)將態(tài)勢評估結果做成分析報告或態(tài)勢圖，以方便安全人員進行決策。

（4）影響評估。系統(tǒng)將當前的態(tài)勢評估結果進行推廣，為安全人員提供對未來安全形勢預測的依據(jù)。

（5）資源管理、過程控制與優(yōu)化。最后，為了系統(tǒng)可以在最快的時間內(nèi)完成對數(shù)據(jù)的處理、提取和分析，還需要對該系統(tǒng)進行優(yōu)化，可以通過制定優(yōu)化指標，來完成相關資源的最優(yōu)分配，并可以對整個過程進行監(jiān)控與評價。3.TimBass模型TimBass等人參考了JDL數(shù)據(jù)融合模型，提出了一種多傳感器數(shù)據(jù)融合的態(tài)勢感知模型，主要包括數(shù)據(jù)提取、攻擊對象識別、態(tài)勢提取、威脅評估以及資源管理五部分。

（1）數(shù)據(jù)提取。主要工作是對網(wǎng)絡設備采集到的數(shù)據(jù)根據(jù)特征進行分類篩選和屬性約簡等預處理操作。

（2）攻擊對象識別。根據(jù)數(shù)據(jù)提取部分獲取的預處理數(shù)據(jù)，從多個角度對這些數(shù)據(jù)進行關聯(lián)分析，有效識別網(wǎng)絡攻擊行為、攻擊對象以及攻擊目標。

（3）態(tài)勢提取。通過實時分析所識別攻擊對象的協(xié)調(diào)行為、依賴關系、共同的原點和共同的協(xié)議來檢測聚合的對象集，對網(wǎng)絡安全態(tài)勢進行評估，了解網(wǎng)絡當前運行狀況。

（4）威脅評估。根據(jù)態(tài)勢提取部分得到的網(wǎng)絡安全態(tài)勢評估結果，建立合理的模型，分析整個網(wǎng)絡中各種安全威脅發(fā)生的可能性和破壞程度，同時對網(wǎng)絡攻擊所造成的影響進行評測。

（5）資源管理。在態(tài)勢提取和威脅評估的基礎上，了解網(wǎng)絡自身的運行狀況、網(wǎng)絡所處的環(huán)境，以及網(wǎng)絡所遭受的安全威脅，便于使用者及時采取合理的應對策略。

7.1.3工業(yè)控制系統(tǒng)態(tài)勢感知模型空間分布式的工業(yè)控制系統(tǒng)模型，其中，被控過程的運行由控制器進行控制，控制器能夠接收分布在不同地域的傳感器測量值，并利用通信網(wǎng)絡將控制信號傳輸至空間分布的執(zhí)行器中，但系統(tǒng)在網(wǎng)絡通信過程中可能會遭受到攻擊。

工業(yè)控制網(wǎng)絡態(tài)勢感知模型主要分為三個部分：工控網(wǎng)絡態(tài)勢要素提取分類、工控網(wǎng)絡態(tài)勢評估和工控網(wǎng)絡態(tài)勢預測。

工控網(wǎng)絡安全態(tài)勢要素提取分類：負責收集工業(yè)控制網(wǎng)絡系統(tǒng)（主要是企業(yè)管理網(wǎng)絡和過程控制網(wǎng)絡）中各關鍵節(jié)點的網(wǎng)絡安全數(shù)據(jù)和信息，并按照不同的特征和類型進行分類。安全態(tài)勢要素提取的目標是為了有效識別不同的網(wǎng)絡攻擊行為和安全事件，例如網(wǎng)絡流量、入侵檢測等可以被看作網(wǎng)絡安全要素提取分類的組成部分。除了網(wǎng)絡攻擊之外，網(wǎng)絡自身發(fā)生的故障、人為操控因素等均可被視為影響網(wǎng)絡系統(tǒng)安全的要素。為了下一步網(wǎng)絡安全態(tài)勢評估中獲得準確的安全態(tài)勢值，正確判斷網(wǎng)絡底層的安全事件類型至關重要。

工控網(wǎng)絡安全態(tài)勢評估：工控網(wǎng)絡安全態(tài)勢評估在工控網(wǎng)絡態(tài)勢感知中起著承上啟下的作用，能否對網(wǎng)絡安全態(tài)勢及時、準確、高效地進行評估直接關系到網(wǎng)絡運行的穩(wěn)定性和安全性。工控網(wǎng)絡安全態(tài)勢評估的本質(zhì)在于從數(shù)據(jù)中發(fā)現(xiàn)規(guī)律，即如何從海量的網(wǎng)絡安全事件中挖掘出影響網(wǎng)絡狀況的重要信息，進一步解析出信息之間的關聯(lián)性并對其進行融合，獲取能夠體現(xiàn)整體工控網(wǎng)絡安全狀況的態(tài)勢值。

工控網(wǎng)絡安全態(tài)勢預測：當評估得出一段時間內(nèi)的網(wǎng)絡安全態(tài)勢值后，通過建立基于時間序列的預測模型，預測未來一段時間內(nèi)的網(wǎng)絡安全態(tài)勢。工控網(wǎng)絡安全態(tài)勢預測部分是態(tài)勢感知模型中最重要的環(huán)節(jié)，準確預測未來網(wǎng)絡安全態(tài)勢是網(wǎng)絡主動防御體系的重點，從而為安全管理員提供可靠的信息，應對可能到來的威脅，并合理分配網(wǎng)絡資源，對網(wǎng)絡采取準確的防御措施，最大限度的降低網(wǎng)絡風險和損失。7.2.1數(shù)據(jù)采集技術

數(shù)據(jù)采集是指從傳感器或其它數(shù)據(jù)采集裝置收集所需數(shù)據(jù)信息的過程。對于態(tài)勢感知來說，數(shù)據(jù)采集為態(tài)勢感知提供數(shù)據(jù)來源，是整個流程需要完成的第一步。工業(yè)控制系統(tǒng)中，需要采集的數(shù)據(jù)一般包括系統(tǒng)網(wǎng)絡拓撲結構、主機運行狀態(tài)信息、網(wǎng)絡通信協(xié)議特征、通信流量信息以及網(wǎng)絡資源配置等。目前較為常用的數(shù)據(jù)采集方式包括兩種，分別是Syslog采集方式和Snmp采集方式，其中Snmp方式是最常用的系統(tǒng)拓撲信息和主機狀態(tài)信息采集方式，大部分主機和工業(yè)網(wǎng)關之中都內(nèi)置了此項功能。7.2態(tài)勢感知相關技術1.Syslog采集技術 Syslog協(xié)議是由加里佛尼亞大學開發(fā)出來的一種數(shù)據(jù)采集協(xié)議，通過Syslog協(xié)議可以完成對系統(tǒng)日志信息進行采集的工作。Syslog協(xié)議在Unix和Linux系統(tǒng)中較為常用，Unix和Linux系統(tǒng)中大部分日志信息都是通過Syslog機制進行收集和維護的。目前，Syslog協(xié)議已經(jīng)發(fā)展成為一套獨立的數(shù)據(jù)采集協(xié)議。 Syslog數(shù)據(jù)采集主要有三種方式，設備—接收服務器模式、設備—中繼器—接收服務器模式、設備—接收服務器—中繼器—接收服務器模式，其中設備—中繼器—接收服務器模式是通過中繼器代理完成數(shù)據(jù)采集工作，服務器只需要進行數(shù)據(jù)的整理，能夠有效減輕系統(tǒng)服務器壓力。2.Snmp采集技術 Snmp是一種位于應用層的簡單網(wǎng)絡管理協(xié)議，主要用于網(wǎng)絡設備的管理，也可用于下層數(shù)據(jù)的收集。該協(xié)議簡單可靠、應用方便，是目前使用最為廣泛的網(wǎng)絡管理協(xié)議。Snmp協(xié)議主要由Snmp管理站和Snmp代理兩部分組成。Snmp管理站處于中心位置，負責接收各個Snmp代理所上傳的數(shù)據(jù)信息，并對數(shù)據(jù)進行分析與處理。Snmp代理分布在下層節(jié)點處，負責收集節(jié)點處的各類狀態(tài)信息，如網(wǎng)絡拓撲信息、設備運行參數(shù)、系統(tǒng)日志信息等，并將這些數(shù)據(jù)發(fā)送給Snmp管理站。Snmp管理站與Snmp代理之間使用UDP協(xié)議進行通信，通常由Snmp管理站下發(fā)管理命令，當Snmp代理站接收到管理站所下發(fā)的命令，根據(jù)命令報文的參數(shù)，返回Snmp管理站所需要的網(wǎng)絡數(shù)據(jù)。Snmp代理站也可以使用Snmptrap協(xié)議主動向Snmp管理站發(fā)送緊急數(shù)據(jù)。7.2.2態(tài)勢評估技術態(tài)勢評估指對提取的態(tài)勢要素進行處理和分析后，對網(wǎng)絡的整體運行狀況進行評估的過程，主要分為數(shù)據(jù)融合和態(tài)勢值計算兩個階段。

由于態(tài)勢要素是從多源異構的分布式傳感器收集到的數(shù)據(jù)，會存在噪聲和冗余性，因此需要利用數(shù)據(jù)融合的方法對數(shù)據(jù)進行處理，以得到更加準確、簡潔的數(shù)據(jù)集。數(shù)據(jù)融合一般分為以下兩類：1）基于邏輯和推理的融合方法

該方法主要有兩種形式，一種是分析信息間的邏輯關系來實現(xiàn)數(shù)據(jù)融合，另一種是模糊量化信息的不確定性并按照規(guī)則進行推理。2）基于數(shù)學統(tǒng)計的融合方法

該方法主要有兩種形式，一種是通過分析不同態(tài)勢要素的影響來構造評估函數(shù)，一種是通過分析信息的統(tǒng)計特征來構造評估模型。在完成數(shù)據(jù)融合后，就可以根據(jù)相應的評估指標對網(wǎng)絡運行狀態(tài)進行態(tài)勢評估，網(wǎng)絡安全態(tài)勢評估能夠實現(xiàn)對整個網(wǎng)絡體系安全性的度量，并且對整個網(wǎng)絡存在的安全狀況進行綜合的評價，常見的評估方法有層次分析法和人工神經(jīng)網(wǎng)絡。

層次分析法（AnalyticHierarchyProcess，AHP）作為一種涵蓋多個目標和多項準則的決策方法，通過對定量分析和定性分析的綜合運用，能夠將復雜的態(tài)勢評估過程通過分層處理的方式進行簡化，并采取由下至上、先局部后整體的策略，通過逐層計算局部的、底層的態(tài)勢要素的影響來分析系統(tǒng)整體的安全態(tài)勢情況。

神經(jīng)網(wǎng)絡是一種由大量神經(jīng)元連接所組成的運算模型，神經(jīng)元的連接方式不同，組成的神經(jīng)網(wǎng)絡亦不同。由于有著較強的自組織、自學習和自適應能力，人工神經(jīng)網(wǎng)絡在信息處理和模式識別領域有著很大的優(yōu)勢，適合用于態(tài)勢評估。7.2.3態(tài)勢預測技術態(tài)勢預測是指根據(jù)態(tài)勢評估得到的歷史態(tài)勢值，對將來一段時間網(wǎng)絡的變化趨勢進行預測的過程，這對采取相應防御措施有著很大的參考價值。常見的態(tài)勢預測技術有支持向量機、神經(jīng)網(wǎng)絡和時間序列預測法等。1）支持向量機支持向量機（SupportVectorMachine，SVM）的理論基礎是統(tǒng)計學，作為一種模式識別方法，它是一類按監(jiān)督學習方式對數(shù)據(jù)進行二元分類的廣義線性分類器。SVM可以實現(xiàn)低維空間向量向高維空間的過渡，從而借助高維線性回歸來解決低維非線性回歸的問題。SVM的穩(wěn)健性和稀疏性在確保求解可靠結果的同時降低了系統(tǒng)計算量和內(nèi)存開銷。2）神經(jīng)網(wǎng)絡

神經(jīng)網(wǎng)絡是一種網(wǎng)絡態(tài)勢預測方法，它具有自學習、自適應性和非線性處理的特性，神經(jīng)網(wǎng)絡的結構多變，有著很好的靈活性和容錯性。該算法首先利用存在時間關系的態(tài)勢值作為訓練樣本構造神經(jīng)網(wǎng)絡模型，然后利用該模型，將當前時間段的態(tài)勢值作為輸入，并輸出未來時間的態(tài)勢值，完成態(tài)勢預測。3）時間序列預測法

該方法利用態(tài)勢評估產(chǎn)生的非線性的態(tài)勢值，通過分析遵循時間序列的歷史數(shù)據(jù)的變化趨勢，來尋找態(tài)勢值的變化規(guī)律，并根據(jù)此規(guī)律預測未來一段時間的態(tài)勢值。在預測過程中，將態(tài)勢值x抽象為時間序列t的函數(shù)，即x=f(t)。網(wǎng)絡安全態(tài)勢值可以看作一個時間序列，預測過程就是利用序列的前M個時刻的態(tài)勢值預測出后N個時刻的態(tài)勢值。時間序列預測法易于理解，通常結合支持向量機、神經(jīng)網(wǎng)絡等其他方法一起使用。7.3安全審計概述隨著日益增長的互聯(lián)網(wǎng)安全風險，安全問題的復雜性日益加大，據(jù)中國國家計算機網(wǎng)絡應急協(xié)調(diào)中心CNCERT/CC的調(diào)查結果顯示，通過外部攻擊獲得內(nèi)部信息的只占入侵總數(shù)的大約五分之一左右，大部分的網(wǎng)絡安全威脅由內(nèi)部產(chǎn)生，其危害程度更甚于黑客攻擊及病毒造成的損失，而這些威脅絕大部分與內(nèi)部各種網(wǎng)絡訪問行為有關。

防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡安全手段，可實現(xiàn)對網(wǎng)絡異常行為的監(jiān)測和管理，如網(wǎng)絡連接和訪問的合法性進行控制、監(jiān)測網(wǎng)絡攻擊事件等，但是不能監(jiān)控網(wǎng)絡內(nèi)容和己經(jīng)授權的正常內(nèi)部網(wǎng)絡訪問行為，因此對正常網(wǎng)絡訪問行為導致的信息泄密事件、網(wǎng)絡資源濫用行為無法及時發(fā)現(xiàn)，也難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。

因此，如何采用一種安全手段對上述問題進行有效監(jiān)控和管理顯得極為重要。安全審計正是基于這樣的目的而產(chǎn)生。對于任何一個安全體系來說，審計追查手段都是必不可少的。7.3.1安全審計概念

信息安全是一個動態(tài)的過程，在為自身業(yè)務提供高效的網(wǎng)絡運營平臺的同時，日趨復雜的IT業(yè)務系統(tǒng)與不同背景業(yè)務用戶的行為也帶給網(wǎng)絡了潛在的威脅，如內(nèi)部業(yè)務數(shù)據(jù)、重要敏感文件通過電子郵件、數(shù)據(jù)庫訪問、遠程終端訪問（TELNET、FTP等）等方式被泄露、竊取和篡改，訪問非法網(wǎng)站、發(fā)布非法言論等違規(guī)上網(wǎng)行為泛濫，嚴重破壞了政府、企業(yè)的信息系統(tǒng)安全。

安全審計（SecurtiyAudit）就是對審計對象的安全運行狀態(tài)進行監(jiān)控審計。通過審計日志來記錄審計對象的行為和發(fā)生的事件，隨后對審計日志進行全面的分析。當發(fā)現(xiàn)有異?；蚬羰录臅r候，就會啟動相應的處理程序。7.3.2安全審計系統(tǒng)模型

安全審計系統(tǒng)完成對信息流的數(shù)據(jù)采集、分析、識別和資源審計。通過實時審計網(wǎng)絡數(shù)據(jù)流，根據(jù)用戶設定的安全控制策略，對受控對象的活動進行審計。它側重于“事中”階段。該系統(tǒng)綜合了基于主機的技術手段，可以多層次、多手段的實現(xiàn)對網(wǎng)絡的控制管理。通過多級、分布式的網(wǎng)絡審計、管理、控制機制，全面體現(xiàn)了管理層對內(nèi)部網(wǎng)關鍵資源的全局控制、把握和調(diào)度能力，為管理人員提供了一種審計、檢查當前系統(tǒng)運行狀態(tài)的有效手段。

安全審計系統(tǒng)是一個多功能的完備系統(tǒng)，它是由多個功能不同的模塊相互協(xié)同共同完成一系列的簡單或復雜的任務。

圖中反映出了各個審計模塊之間的關系，以及他們相互協(xié)作的流程。下面分別對這些模塊進行說明：

（1）審計數(shù)據(jù)采集器。該模塊是整個審計系統(tǒng)中數(shù)量最多的模塊，根據(jù)類型劃分可以分為主動型和被動型兩種。主動型指審計數(shù)據(jù)采集器依據(jù)審計任務被部署到相應的數(shù)據(jù)釆集源上，然后根據(jù)響應的安全策略對數(shù)據(jù)源進行監(jiān)控，自動生成審計日志。

（2）審計數(shù)據(jù)分析器。該模塊是整個系統(tǒng)模型中最重要的組成部分，它處于整個審計系統(tǒng)的中心，從數(shù)據(jù)釆集器中獲取審計日志，然后依據(jù)具體的審計規(guī)則，對數(shù)據(jù)進行異常行為分析，從中找出不正常的數(shù)據(jù)以及發(fā)現(xiàn)潛在的危險行為。

（3）審計數(shù)據(jù)存儲器。審計數(shù)據(jù)存儲器是用來存儲釆集器釆集到的數(shù)據(jù)和事件記錄以及分析器鑒定之后產(chǎn)生的審計日志，以供審計人員查看管理，并準確反應整個系統(tǒng)的安全運行狀態(tài)。因為審計日志是系統(tǒng)運行狀態(tài)的直觀數(shù)據(jù)表現(xiàn)，所以需要保證審計日志的準確性、有效性、完整性、真實性。為了能夠實現(xiàn)審計數(shù)據(jù)存儲器的這些功能需求，研究人員將更多的安全技術應用到其中，采用的技術包括安全加密技術、數(shù)據(jù)完整性校驗技術、來訪用戶訪問控制技術等。

（4）審計決策執(zhí)行器。審計決策執(zhí)行器也是安全審計系統(tǒng)的重要組成部分，如果沒有該模塊，其他工作將變得沒有意義。該執(zhí)行器的主要工作是在發(fā)生攻擊事件時，能夠實施攔截操作，及時阻斷攻擊并進行反追蹤等。在現(xiàn)在的審計產(chǎn)品中，實現(xiàn)的功能包括：對網(wǎng)絡攻擊進行阻截，切斷會話，阻止危險數(shù)據(jù)進入系統(tǒng)或敏感數(shù)據(jù)被私自發(fā)送出去；發(fā)現(xiàn)異常程序正在運行時及時關閉該程序，并予以刪除。以上四種模塊共同實現(xiàn)了安全審計系統(tǒng)的功能。但是這四種模塊都只是邏輯實體，并不是說每一個模塊就是一個完全獨立的程序，它們也可能是一個進程或線程。即一個獨立運行程序，可能包含審計日志釆集器，也包含審計日志分析器。7.3.3安全審計的作用

網(wǎng)絡系統(tǒng)的安全與否是一個相對的概念，不存在絕對的安全。在網(wǎng)絡安全整體解決方案日益增多時，安全審計系統(tǒng)是網(wǎng)絡安全體系中的一個重要環(huán)節(jié)。企業(yè)客戶對網(wǎng)絡系統(tǒng)中的安全設備和網(wǎng)絡設備、應用系統(tǒng)和運行狀況進行全面的監(jiān)測、分析、評估是保障網(wǎng)絡安全的重要手段。網(wǎng)絡安全是動態(tài)的，對己經(jīng)建立的系統(tǒng)，如果沒有實時的、集中的、可視化的審計，就不能及時準確地評估系統(tǒng)究竟是不是安全的，并及時發(fā)現(xiàn)和排除安全隱患。所以安全系統(tǒng)需要集中的審計系統(tǒng)。在安全解決方案中，跨廠商產(chǎn)品的簡單集合往往會存在漏洞，不利于系統(tǒng)的安全。當某種安全漏洞出現(xiàn)時，如果先需要對不同廠商的技術和產(chǎn)品進行人工分析，然后再綜合分析，提出解決方案，將降低對攻擊的反應速度，并潛在地增加成本。如果不能將在同一網(wǎng)絡中所有廠商的產(chǎn)品實現(xiàn)技術上互操作，實現(xiàn)集中的審計，就無法有效管理，無法實現(xiàn)統(tǒng)一的安全性。安全審計系統(tǒng)能夠對網(wǎng)絡中的各種設備和系統(tǒng)進行集中的、可視的綜合審計，及時發(fā)現(xiàn)安全隱患，提高系統(tǒng)安全系數(shù)。

目前內(nèi)部網(wǎng)絡可以采用以下手段進行安全保護：對計算機操作進行審計控制；了解計算機的局域網(wǎng)內(nèi)部單臺計算機網(wǎng)絡的連接情況；對計算機局域網(wǎng)內(nèi)網(wǎng)絡數(shù)據(jù)的釆集、分析、存儲備案。網(wǎng)絡安全審計系統(tǒng)能幫助我們對網(wǎng)絡安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，實時記錄網(wǎng)絡上發(fā)生的異常情況，提供取證手段。它是一種十分重要的增強網(wǎng)絡安全性的手段。7.4安全審計的分類

網(wǎng)絡安全審計技術大致可以分為四個方面：流量異常審計、入侵檢測審計、內(nèi)容安全審計、行為安全審計。7.4.1流量異常審計

網(wǎng)絡流量異常是指網(wǎng)絡的流量行為偏離其正常行為的情形。網(wǎng)絡安全管理中，網(wǎng)絡流量日志和統(tǒng)計分析是安全審計的基礎，它提供最原始的數(shù)據(jù)，在已有的日志記錄上進行分析和安全審計。在不影響合法用戶上網(wǎng)的前提下，有效跟蹤并且記錄用戶上網(wǎng)活動，通過日志分析的方式盡早發(fā)現(xiàn)用戶的非法行為進而加以規(guī)范，已經(jīng)成為現(xiàn)代互聯(lián)網(wǎng)絡管理的重要手段。審計主要內(nèi)容是對網(wǎng)絡流量日志進行實時監(jiān)測和事后分析，基于規(guī)則來判斷、查看是否違反已經(jīng)制定的安全策略，按照預先定義的策略記錄、阻斷、自動報警等。

目前網(wǎng)絡規(guī)模和速度不斷增加，智能網(wǎng)絡是下一代網(wǎng)絡的發(fā)展方向，流量突發(fā)異常檢測算法需要實時準確地分析處理海量的網(wǎng)絡業(yè)務量數(shù)據(jù)，具有很大的挑戰(zhàn)性。通過采用新的流量數(shù)據(jù)模型來描述網(wǎng)絡通信量，以解決現(xiàn)有網(wǎng)絡異常檢測模型存在的不足成為可能，基于日志記錄的數(shù)據(jù)挖掘網(wǎng)絡流量異常檢測及分析得到廣泛研究。1.網(wǎng)絡流量異常分類

網(wǎng)絡流量異常是指影響網(wǎng)絡正常運行的網(wǎng)絡流量模式，引起網(wǎng)絡流量異常的原因很多，如網(wǎng)絡設備的不良運行、網(wǎng)絡操作異常、突發(fā)訪問、網(wǎng)絡入侵等。異常流量的特點是突然發(fā)作，無先兆特征，可以在短時間內(nèi)給網(wǎng)絡或網(wǎng)上的計算機造成極大的危害，如由特定的攻擊程序或蠕蟲爆發(fā)所引起的突發(fā)流量行為等。因此準確、快速地檢測網(wǎng)絡流量的異常行為，判斷引起流量異常的原因，做出準確的響應是保證網(wǎng)絡有效運行的前提之一，也成為目前國內(nèi)外學術界和工業(yè)界共同關注的熱點問題之一。2.網(wǎng)絡流量異常檢測的方法

針對網(wǎng)絡流量異常檢測的方法主要有以下幾種：基于特征/行為的研究方法、基于統(tǒng)計的異常檢測、基于機器學習的方法和基于數(shù)據(jù)挖掘的方法等。

基于特征/行為的檢測研究通過在網(wǎng)絡流量數(shù)據(jù)中查找與異常特征相匹配的模式來檢測異常。因此需要分類描述網(wǎng)絡異常的流量的特征及行為特征、構造蠕蟲分類和DDoS攻擊行為等，其缺點是無法檢測出未知的攻擊類型，而且需要對不斷更新規(guī)則特征庫。

機器學習的方法是基于更新的信息和以前的結果來提高系統(tǒng)的性能，異常檢測中常用的機器學習技術包括基于系統(tǒng)調(diào)用的序列分析、貝葉斯網(wǎng)絡、主成分分析法、馬爾可夫模型等。

數(shù)據(jù)挖掘技術可以用來從大量審計數(shù)據(jù)中挖掘出正?；蛉肭中再|(zhì)的行為模式。

以上兩種異常檢測的方法是將正常的系統(tǒng)網(wǎng)絡行為進行建模，檢測時通過與正常模型的比較來實現(xiàn)異常檢測，因此能有效地發(fā)現(xiàn)己知和未知的攻擊。3.網(wǎng)絡流量異常審計系統(tǒng)

網(wǎng)絡流量安全審計系統(tǒng)（ASM）是分析業(yè)務系統(tǒng)安全的設備，它通過對采集的網(wǎng)絡流量進行挖掘和關聯(lián)性分析，將網(wǎng)絡流量、訪問行為和業(yè)務系統(tǒng)的安全結合起來分析，有效幫助管理人員掌握網(wǎng)絡資源使用情況、分析業(yè)務系統(tǒng)異常情況，保障業(yè)務系統(tǒng)的安全、穩(wěn)定和高效運行。

一個成熟的網(wǎng)絡流量異常審計系統(tǒng)需具備以下特點：

（1）監(jiān)測核心資源系統(tǒng)的帶寬使用情況。

（2）通過對核心資源系統(tǒng)進行持續(xù)性訪問統(tǒng)計和對比分析，繪制出核心資源系統(tǒng)的正常流量輪廓，及時發(fā)現(xiàn)流量異常變化情況。

（3）通過對網(wǎng)絡訪問行為進行特定性監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡中對核心資源庫的異常訪問和攻擊行為，確保針對業(yè)務系統(tǒng)的網(wǎng)絡使用和訪問操作符合規(guī)范。

（4）追蹤和記錄異常網(wǎng)絡行為，提供報警處理、報表統(tǒng)計等功能，對異常事件進行深入分析。7.4.2入侵檢測審計1.入侵檢測的概念

入侵檢測是指通過對安全日志、審計數(shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測是否存在對系統(tǒng)的闖入或具有闖入的企圖。入侵檢測技術的作用包括檢測、響應、攻擊預測、損失情況評估、威懾和起訴支持等。

入侵檢測通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，因此被認為是防火墻之后的第二道安全閘門，能對網(wǎng)絡進行監(jiān)測而不影響網(wǎng)絡性能。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；識別反映己知進攻的活動模式并及時報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理。

入侵檢測是防火墻的有效補充，能夠幫助系統(tǒng)應對網(wǎng)絡攻擊，擴展了系統(tǒng)管理員包括安全審計、監(jiān)視、進攻識別和響應處理等的安全管理能力，提高了信息安全基礎結構的完整性。

2.入侵檢測系統(tǒng)的分類

針對入侵檢測技術的分類方法很多，主要存在以下幾種分類方法。按數(shù)據(jù)來源和系統(tǒng)結構進行分類，入侵檢測系統(tǒng)分為兩類，基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。按照系統(tǒng)各個模塊運行的分布方式不同，可以分為兩類，集中式檢測系統(tǒng)和分布式檢測系統(tǒng)。根據(jù)數(shù)據(jù)分析方法的不同，可以將入侵檢測系統(tǒng)分為兩類，異常檢測和誤用檢測。1）基于主機的入侵檢測系統(tǒng)，

通常，基于主機的入侵檢測系統(tǒng)可以檢測安全記錄。

基于網(wǎng)絡的入侵檢測系統(tǒng)簡稱為網(wǎng)絡入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡中的數(shù)據(jù)包。系統(tǒng)通過在計算機網(wǎng)絡中的某些點被動地監(jiān)測網(wǎng)絡上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡數(shù)據(jù)進行處理，從中挖掘有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡行為原型相比較以識別相應的攻擊事件。3）集中式入侵檢測系統(tǒng)

集中式IDS有多個分布在不同主機上的審計程序，僅有一個中央入侵檢測服務器。審計程序將當?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務器進行分析處理。4）分布式入侵檢測系統(tǒng)

分布式IDS是將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，負責監(jiān)控當?shù)刂鳈C的某些活動。因此其可伸縮性、安全性都等到了明顯的提高。與集中式IDS相比，分布式IDS對基于網(wǎng)絡的共享數(shù)據(jù)量的要求較低，但維護成本卻較高，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。5）誤用入侵檢測

誤用入侵檢測是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測。誤用檢測是對不正常的行為建模，這些不正常的行為是被記錄下來的確認的誤用和攻擊。通過對系統(tǒng)活動的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報少。但需要不斷更新攻擊的特征庫，系統(tǒng)靈活性和自適應性較差，存在較多漏報情況。商用IDS多釆用該種檢測方法。6）異常入侵檢測

異常入侵檢測是指能根據(jù)異常行為和使用計算機資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。異常檢測是對用戶的正常行為進行建模，通過正常行為與用戶的行為進行比較，如果二者的偏差超過了規(guī)定閾值則認為該用戶存在異常行為。但異常檢測有較多的誤報。大多數(shù)的異常檢測技術在商業(yè)IDS中較少應用。3.入侵檢測系統(tǒng)的功能

入侵檢測系統(tǒng)的功能主要有：監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補漏洞，一般由安全掃描系統(tǒng)完成；評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為，統(tǒng)計分析異常行為；對操作系統(tǒng)日志進行管理，并識別違反安全策略的用戶活動等。

典型的入侵檢測系統(tǒng)包括數(shù)據(jù)收集器、數(shù)據(jù)過濾器和數(shù)據(jù)分析器三部分。7.4.3內(nèi)容安全審計1.網(wǎng)絡信息內(nèi)容安全的概念

網(wǎng)絡信息內(nèi)容安全是指在網(wǎng)絡服務可用的前提下，保證網(wǎng)絡中數(shù)據(jù)的內(nèi)容符合規(guī)定的安全策略，避免數(shù)據(jù)遭到濫用，保證傳輸內(nèi)容的安全性。這方面的技術包括基于內(nèi)容的防火墻和網(wǎng)絡信息安全內(nèi)容審計。近年來，除了對防火墻技術和入侵檢測技術研究之外，人們把更大的力量投入到網(wǎng)絡信息安全內(nèi)容審計技術的研究上來，主要基于以下原因：

（1）防火墻規(guī)則基于統(tǒng)計分析的結果，會使得誤判為非法的數(shù)據(jù)包被攔截而導致網(wǎng)絡服務不可用。

（2）危害網(wǎng)絡安全的有害信息往往包裝成合法的報文或者加載到合法的報文中間，通過合法的用戶進行發(fā)布，能順利地通過防火墻和入侵檢測系統(tǒng)而不會受到攔截，只有通過特定的網(wǎng)絡信息審計系統(tǒng)才能將其檢測出來。

（3）據(jù)調(diào)查大多數(shù)的攻擊及非法信息來自于內(nèi)部，對于這些來自內(nèi)部的攻擊來說，防火墻無法發(fā)揮有效的功用。

（4）底層協(xié)議的防火墻無法保護上層協(xié)議的攻擊。

（5）采用掃描系統(tǒng)、防火墻和入侵檢測技術對網(wǎng)絡信息報文進行處理，在網(wǎng)絡防護階段事前、事中和事后的取證就必須用到審計系統(tǒng)。2.網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)

網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)（簡稱CASNI）是指從網(wǎng)絡中的關鍵點收集數(shù)據(jù)包，審計其所傳送的內(nèi)容，分析檢查其中是否含有違反安全策略的內(nèi)容，實現(xiàn)對網(wǎng)絡信息內(nèi)容的可控性，防止內(nèi)部機密或敏感信息的非法泄漏及有害信息的傳送，對非法內(nèi)容、可疑行為釆取對應措施，并為查證提供證據(jù)。從技術研究的領域來看，網(wǎng)絡信息審計技術義可分為兩大類：一類是基于報文結構格式的完整性及合法性進行審計的技術，例如對病毒的審查和對黑客程序的審查就屬于該類審計內(nèi)容。另一類就是基于報文內(nèi)容的審計技術，它采用人工智能、自然語言識別技術等，對通過網(wǎng)絡的報文內(nèi)容實時進行處理和識別，凡是發(fā)現(xiàn)包含有害、非法信息的報文就記錄其源/目標IP地址、源/目標端口號、服務類型、報文發(fā)布的時間、報文的內(nèi)容以及有關用戶的信息，并形成系統(tǒng)訪問日志，提供給系統(tǒng)管理人員和有關人員進行事后審計和分析，進而釆取相應的安全管理措施，包括對非法的、不健康的信息進行追查等處理。3.網(wǎng)絡內(nèi)容安全審計的主要功能

網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)主要在應用層對信息內(nèi)容進行分析，以便發(fā)現(xiàn)可疑的破壞行為，并對這些破壞行為釆取相應的措施，如進行記錄、報警和阻斷等。網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)主要包括以下功能：

（1）公用信息內(nèi)容安全分析。

（2）可靠阻斷。

（3）會話重現(xiàn)。4.網(wǎng)絡內(nèi)容安全審計的主要技術網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)涉及的技術包括以下兩種：（1）網(wǎng)絡信息內(nèi)容的獲取。研究如何在大規(guī)模網(wǎng)絡環(huán)境中快速獲取各種協(xié)議的信息內(nèi)容，如何突破高速網(wǎng)絡下內(nèi)容分析與入侵檢測系統(tǒng)發(fā)展的瓶頸。一般常用方法是提高系統(tǒng)的CPU速度和釆用更多的內(nèi)存。然而網(wǎng)絡的發(fā)展速度遠遠超過了單個計算機硬件的發(fā)展速度，單純提高硬件的性能已不能滿足飛速發(fā)展的計算機網(wǎng)絡的需要，因此還需要選擇新的算法來應用。（2）信息內(nèi)容分析還原。將截獲的數(shù)據(jù)包還原，并分析其中的信息內(nèi)容。信息內(nèi)容分析還原系統(tǒng)主要工作在應用層，而基于應用層的協(xié)議很多，許多新的應用協(xié)議還在不斷產(chǎn)生，而且在同一個會話當中，往往存在多協(xié)議同時工作的情況。7.4.4行為安全審計1.網(wǎng)絡行為審計的概念

網(wǎng)絡行為審計（NetworkBehaviorAudit，NBA）是通過分析網(wǎng)絡中的數(shù)據(jù)包、數(shù)據(jù)流量，借助協(xié)議分析技術，或者異常流量分析技術，來發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的異常和違規(guī)行為，尤其是那些偽裝成正常行為的非法行為。并且一些產(chǎn)品在對該技術擴展后，還具有網(wǎng)絡行為控制、流量控制的功能。網(wǎng)絡行為審計是安全審計中較為重要的一種審計方式，其他安全審計技術還包括日志審計技術、本機代理審計技術、遠程代理審計技術。2.網(wǎng)絡行為審計的實現(xiàn)方式NBA的實現(xiàn)有多種方式，其中有兩個重要的分支：（1）基于流量分析技術的NBA。通過收集網(wǎng)絡設備的各種格式的流量日志來進行分析和審計，發(fā)現(xiàn)違規(guī)和異常行為。傳統(tǒng)的網(wǎng)管廠商很多開始以此為進入安全的切入口，而安全廠商則也較多的采用此種方式。（2）基于抓包協(xié)議分析技術的NBA。通過偵聽網(wǎng)絡中的數(shù)據(jù)包來進行分析和審計，發(fā)現(xiàn)異常和違規(guī)行為，傳統(tǒng)的安全廠商多采用此種方式作為進入審計領域的切入點。3.抓包型NBA技術及產(chǎn)品類型說明

根據(jù)用途的和部署位置的不同，抓包型網(wǎng)絡行為審計一般又分為兩種子類型。

（1）上網(wǎng)審計型。硬件設備采用旁路/串路方式部署在用戶互聯(lián)網(wǎng)出口處。通過旁路偵聽、數(shù)據(jù)報文截獲的方式對內(nèi)部網(wǎng)絡連接到外部網(wǎng)絡的數(shù)據(jù)流進行采集、分析和識別，基于應用層協(xié)議還原行為和內(nèi)容審計，例如針對網(wǎng)頁瀏覽、網(wǎng)絡聊天、收發(fā)郵件、P2P、網(wǎng)絡音視頻、文件傳輸?shù)鹊膶徲??？梢灾贫ǜ鞣N控制策略進行統(tǒng)計分析。審計網(wǎng)絡內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容，發(fā)現(xiàn)用戶違規(guī)行為，防止內(nèi)部信息泄漏，有效提升監(jiān)管內(nèi)部網(wǎng)絡用戶上網(wǎng)行為的效率。

（2）業(yè)務審計型。硬件設備釆用旁路偵聽的方式對數(shù)據(jù)流進行釆集、分析和識別，實現(xiàn)對用戶操作數(shù)據(jù)庫、遠程訪問主機和網(wǎng)絡流量的審計。例如針對各種類型的數(shù)據(jù)庫SQL語句、操作命令的審計，針對Telnet、FTP、SSH、VNC、文件共享協(xié)議的審計。管理員可以指定各種控制策略，并進行事后追蹤與審計取證。對網(wǎng)絡中重要的業(yè)務系統(tǒng)（主機、服務器、應用軟件、數(shù)據(jù)庫等）進行保護，審計所有針對業(yè)務系統(tǒng)的網(wǎng)絡操作，防止針對業(yè)務系統(tǒng)的違規(guī)操作和行為，提升核心業(yè)務系統(tǒng)的網(wǎng)絡安全保障水平，尤其是信息和數(shù)據(jù)的安全保護能力，防止信息泄漏。4.差異分析

上網(wǎng)審計型系統(tǒng)分析的協(xié)議都是互聯(lián)網(wǎng)上常用的應用層協(xié)議，同時，為了實現(xiàn)更為精確的審計，還需要進一步深入分析協(xié)議的內(nèi)容，一個好的上網(wǎng)審計型NBA必須要有一個巨大的、不斷及時更新的協(xié)議分析庫。

業(yè)務審計型系統(tǒng)分析的協(xié)議基本上都是常見的應用層協(xié)議，并且與業(yè)務系統(tǒng)密切相關。例如TDS、TNS等數(shù)據(jù)庫訪問協(xié)議，F(xiàn)TP、TELNET協(xié)議，HTTP、企業(yè)郵箱協(xié)議（IMAP、STMP等），等等。對于業(yè)務審計型NBA而言，協(xié)議種類相對比較固定，并且協(xié)議版本比較穩(wěn)定，比較易于實現(xiàn)。

數(shù)據(jù)庫審計主要就是針對業(yè)務的核心，即數(shù)據(jù)庫的審計?？梢哉f，數(shù)據(jù)庫審計是業(yè)務審計在實現(xiàn)功能上的子集。而業(yè)務系統(tǒng)是由包括主機、網(wǎng)絡設備、安全設備、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等在內(nèi)的多種資源有機組合而成的。因此，針對業(yè)務的審計就要對構成業(yè)務系統(tǒng)的各個資源之間的訪問行為以及業(yè)務系統(tǒng)之間的操作的審計。只有通過審計構成業(yè)務系統(tǒng)的各種資源的運行行為才能真正反映出系統(tǒng)的安全狀態(tài)。7.5安全審計的分析方法

早期的安全審計分析主要是由人工完成的，分析過程依賴于審計者的知識和經(jīng)驗，效率低下。隨著安全審計數(shù)據(jù)量的持續(xù)増大，僅僅依靠人工進行審計已變得不切實際。為了解決這種問題，出現(xiàn)了如下的審計方法。7.5.1基于數(shù)理統(tǒng)計的安全審計方法

基于數(shù)理統(tǒng)計的安全審計方案，一般是根據(jù)系統(tǒng)運行狀態(tài)進行審計。首先通過分析總結出能夠反應系統(tǒng)運行狀態(tài)的數(shù)據(jù)參數(shù)。然后統(tǒng)計出系統(tǒng)在正常運行的情況下，這些數(shù)據(jù)的波動范圍。再結合相關的理論，為每一個數(shù)據(jù)指標設定一個正常的閾值范圍。

（1）操作模型。該模型主要是針對那些情況單一、特征比較明顯、攻擊手段簡單的攻擊行為。這些攻擊往往具備一個相似的特點，就是出現(xiàn)不符合閾值的異常數(shù)據(jù)。不需要對收集數(shù)據(jù)進行過多分析，只要發(fā)現(xiàn)某一個或多個參數(shù)超過相應的設定好的閾值時，就能認定發(fā)生了攻擊事件。指標閾值一般是由安全審計人員經(jīng)過理論論證以及統(tǒng)計分析來制定的。

（2）平均值和標準差模型。該模型是以數(shù)據(jù)的平均值和標準差來衡量系統(tǒng)運行的度量參數(shù)。該模型設定的數(shù)據(jù)指標比較穩(wěn)定。有一些系統(tǒng)運行時，它的某些參數(shù)可能并不是一直處于一個比較穩(wěn)定的范圍，而是偶爾會出現(xiàn)偏差特別大的情況，但可能也屬于正常情況。只有當發(fā)現(xiàn)大量的數(shù)據(jù)參數(shù)偏離了正?；鶞示€的情況才會被認定為攻擊。該模型就非常適合這樣的系統(tǒng)。平均值和標準差計算公式如下：

（3）多元素模型。該模型不同于以上兩個模型，此模型不是對單個數(shù)據(jù)進行判斷，而是結合多個數(shù)據(jù)進行聯(lián)合分析。它需要考慮多個數(shù)據(jù)參數(shù)的相互影響和聯(lián)系，然后對這些數(shù)據(jù)參數(shù)進行整體分析判斷。簡單來說就是這些參數(shù)的變化不是孤立的，而是其中某一個參數(shù)的變化，就可能引起其他參數(shù)跟著發(fā)生變化。

（4）馬爾可夫模型。該模型不是針對具體數(shù)據(jù)參數(shù)變化進行統(tǒng)計分析，而是著眼于系統(tǒng)的狀態(tài)變化。系統(tǒng)在一個個的狀態(tài)之間發(fā)生轉移，通過相應的公式計算出在當前條件下，系統(tǒng)進入到某一實際狀態(tài)下的概率，如果計算出來的概率非常小，那就表示有異常發(fā)生。簡單來說就是系統(tǒng)正常運行的狀況下，當前的條件不可能使系統(tǒng)進入到該狀態(tài)。該模型下，系統(tǒng)有一個狀態(tài)集合S={S1，S2，...Sn}，系統(tǒng)任意時刻都會處于該集合中的某一個狀態(tài)?，F(xiàn)在假設在時刻t的狀態(tài)為qt，有如下定義：7.5.2基于特征匹配的安全審計方法

絕大部分的攻擊或者異常都有其特征。特征匹配安全審計就是基于這個理論基礎發(fā)展起來的。收集攻擊的各種參數(shù)，例如攻擊導致的結果、攻擊的入侵渠道和引起網(wǎng)絡負載的變化等數(shù)據(jù)。然后對各參數(shù)采用建模分類、相似歸納、特殊性總結等手段，提取出攻擊的特征信息。再采用合理的描述方式將特征數(shù)據(jù)化，建立攻擊特征模型庫。在審計節(jié)點部署之后，系統(tǒng)會對審計對象的運行進行監(jiān)督，釆集審計數(shù)據(jù)。之后再將數(shù)據(jù)進行預處理，提取出數(shù)據(jù)的有效信息，進行數(shù)據(jù)建模。最后將數(shù)據(jù)模型與特征庫的模型進行對比，就能判斷該審計對象是否被攻擊了。當發(fā)現(xiàn)審計對象疑似正在遭受攻擊或己經(jīng)遭受過攻擊，就需要釆取相應的防御措施，并向審計人員報警，通知審計人員進行協(xié)助處理。該技術能夠針對攻擊和異常進行精確匹配，但是對于沒有在特征模型庫中記錄過的攻擊，就沒有辦法發(fā)現(xiàn)了。此外，如何根據(jù)審計對象的特點設計出存儲高效、快速訪問的特征庫以及實現(xiàn)準確、快速、資源消耗小的匹配算法是研究的主要內(nèi)容。7.5.3基于數(shù)據(jù)挖掘的安全審計方法數(shù)據(jù)挖掘的過程通常由業(yè)務理解、數(shù)據(jù)理解、數(shù)據(jù)預處理、建模、評估、可視化表現(xiàn)等幾個階段組成，以下分別加以說明。1）業(yè)務理解

數(shù)據(jù)挖掘的前提是深入理解業(yè)務，明確業(yè)務的目標，將業(yè)務需要解決的問題轉化為數(shù)據(jù)挖掘問題，并制定計劃，這樣才能保證后續(xù)數(shù)據(jù)挖掘的準確性。2）數(shù)據(jù)理解

數(shù)據(jù)理解就是分析數(shù)據(jù)庫中的業(yè)務數(shù)據(jù)，找到數(shù)據(jù)中存在的質(zhì)量問題的過程，對于不理解的業(yè)務數(shù)據(jù)再做一次分析理解，使之被充分利用。3）數(shù)據(jù)預處理

一般來說，數(shù)據(jù)挖掘過程包含數(shù)據(jù)轉換、清洗等操作，因為在原始數(shù)據(jù)庫中，會存在一些屬性的類型、長度及格式化問題，要按照需求進行轉化后才能被有效使用。4）建模

數(shù)據(jù)挖掘過程中最重要的一個環(huán)節(jié)就是數(shù)據(jù)建模，模型的選擇非常重要，選擇什么樣的模型算法及參數(shù)設置，就決定了會得到什么樣的挖掘結果。在模型算法的計算過程中，通過調(diào)節(jié)算法的參數(shù)設置以達到結果最優(yōu)的效果，最終獲得合適的模型。5）評估

對已經(jīng)建好的模型進行評估，也就是對模型的檢驗操作，評估的結果將直接決定模型的適用性，在評估過程中，可以通過業(yè)務庫中的數(shù)據(jù)進行驗證。6）可視化表現(xiàn)

挖掘成功后，就需要將結果通過可視化的渠道展示給用戶，以便用戶可以直觀的通過一些圖形化界面對數(shù)據(jù)的結果進行分析，并能得出相應的結論，以對這些業(yè)務數(shù)據(jù)給出預測。

雖然借助數(shù)據(jù)挖掘進行安全審計，其智能化能夠幫助審計人員發(fā)掘出那