安全审计
介绍
- 概念
安全审计(Security Auditing)是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。它的目的是为保证网络系统安全运行,保护数据的保密性、完整性及可用性不受损坏,防止有意或无意的人为错误,防范和发现计算机网络犯罪活动,除采取其他安全措施外,利用审计机制可以有针对性地对网络运行的状况和过程进行记录、跟踪和审查,以从中发现安全问题。此外审计还能为制定网上信息过滤规则提供依据,如发现有害信息的网站后将其加入路由过滤列表,通过信息过滤机制拒绝接收一切来自过滤列表上IP地址的信息,将网上的某些站点产生的信息垃圾拒之门外。
具体作法为:利用技术手段,不间断地将计算机网络上发生的事件记录下来,用事后追查的方法保证系统的安全。采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
- 原理
网络安全审计原理
为了保证网络安全可靠的运行,从总体上说,网络安全审计是采用数据挖掘与数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和跟踪。
审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选:事后分析,维护审计数据的机构对审计记录的事后分析。事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说.两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力。如果条件允许,也应具备事后分析的能力。
安全审计的系统结构
安全审计系统(Security Auditing System)由审计中心、审计控制台和审计Agent组成。审计中心使整个审计系统的数据进行集中存储和管理,并使用应急响应的专用软件,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守的情况下长期运行。审计控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件。可以有多个审计控制台软件同时运行。审计Agent是直接同被审计网络和系统连接的部件,不同的审计Agent完成不同的功能。审计Agent将报警数据和需要记录的数据自动保送到审计中心,并由审计中心进行统一的调度管理。
网络安全审计技术
1 基于神经网络的网络安全审计技术:
神经网络由许多称为单元的简单处理元素组成。一个神经网络知识根据单元和它们权值间连接编码成网络结构。网络通过改变单元状态,改变连接权值,加入一个连接或者移去它们来指示一个事件异常。这种技术的主要不足是神经网络不能为它们找到的任何异常提供解释,导致用户无法确认事故的责任人。
2 基于专家系统的网络安全审计技术:
许多早期经典的安全审计模型都是采用专家系统,比如DIDS( 分布式网络入侵检测系统) 和CMDS 就采用了由美国国家航空和宇宙航行局开发的CLIPS 系统15J。这种技术的优点是把系统的控制推理从问题解决的描述中分离出去。这个特性允许用户使用类似if-then 规则输入异常行为信息,然后输入事实,系统根据输入信息评估这些事实。这个过程不需要用户理解系统内部功能,但需要在审计系统运行之前,编写规则代码,这是一个非常耗时的工作。
3 基于代理的网络安全审计技术:
代理可以被看作是在网络中执行某项特定监视任务的软件实体。该系统通常分布式的运行在网络的主机上,其中监视器是审计系统的关键功能模块,一旦出现故障,其它转发器都不能正常提交结果;而且多个监视器的同一问题报告可能产生不同的安全审计结果。
4 基于免疫系统的网络安全审计技术.
这种技术的提出主要由于生物免疫系统和计算机系统保护机制之间有着相似性。免疫系统通过识别异常或者以前未出现的特征来确定入侵,其本质就是“自我/非自我”的决定能力。但是这种技术不能处理包括种族条件、身份伪装和策略违背等违规行为。
5基于数据挖掘的网络安全审计技术:
数据挖掘的目的是从海量的数据中提取出有用的信息,非常适合当前网络安全审计的大数据量分析要求。网络安全审计系统中可以使用数据挖掘技术从大量的日志行为记录数据中抽象出有利于进行判断和比较的特征模型,并可以由这些用户行为特征模型判断出当前网络行为的性质。目前,国际上在这个方向上的研究很活跃。
网络安全审计系统的主要功能
它的主要功能包括:
(1) 对操作系统的系统日志、安全日志、应用程序日志、防火墙日志、网络数据等进行采集,并将采集出的数据进行统一格式处理。
(2) 对采集到审计系统中的日志进行实时处理分析,随后根据规则库产生相应报警,并可以通过电子邮件或弹出对话框向管理员报警。
(3) 对采集到审计系统中的日志进行事后处理分析,并产生报表
(4) 对采集到审计系统中的日志进行定时或定量备份存储,并可以支持各种日志从外部导入。
(5) 为用户提供管理界面,并支持高效的组合条件查询库存日志。
(6) 审计结果可以对入侵行为和违法行为进行记录并可以在任何时间对其进行再现,此功能对于责任追查和数据恢复非常有必要;最后此系统还可以用来提取一些未知的或者未被发现的入侵行为模式。
(7) 对于审计出的问题进行相关的日志跟踪。
安全审计模型
基于Manager/Agent 结构的分布式网络安全审计系统模型
整个系统设计为Manager/Agent 结构, 由一个安全审计服务器(Manager ;附属一专家系统)和多个置于审计对象(主机、网段等)之上的审计代理(Agent)组成。其中, 安全审计服务器收集各代理送来的审计数据, 并交给专家系统, 再根据专家系统反馈的分析、处理结果作出相应的反应。它具有统计、分析、报警、控制、检索等功能, 同时也部分负责各审计对象的安全管理, 此外还提供与安全审计员的交互界面。而运行于各审计对象上的审计代理则承担获取审计数据(该审计对象的审计模块收集的)的任务, 并酌情收集部分有关系统运行状态的数据, 在作一些简单的处理之后, 将这些数据传送给安全审计服务器, 由专家系统去处理。基于SOM的多层Web安全审计模型
基于SOM的多层安全审计模型通过支持多层用户行为模型,不仅解决了可视化过程中的效率问题,而且处于不同层次的行为模型为安全管理员提供不同细节的视角。该模型使安全管理员在关注宏观用户行为模式时也能兼顾微观用户活动细节,从而高效地审计用户活动,并从中及时发现用户异常活动,达到安全审计之目的。
在图1的审计模型中,共有两个角色参与,即:
安全专家:安全专家根据经验,结合组织的安全策略,制定审计规则,由审计规则指导分层模型的建立。
安全管理员:控制安全审计系统的运行;并根据可视化的审计信息来分析用户行为模式,从中辨识出异常用户活动.
安全审计系统的日志采集模块从目标系统获得记录用户活动的日志数据后,去除日志异构性,提取为统一的审计事件。行为建模模块根据分层规则,将审计事件转化为用户行为模型。可视化建模模块在分层规则的指导下将行为模型转换为可视化模型。最后,由数据绘制与显示模块将可视化信息传递给安全管理员。
基于神经网络的安全审计系统模型
数据采集模块
在数据采集前先要对网络底层信息进行监听.也就是进行包捕获的操作。一般可以通过两种方法来实现。一种是利用设置路由器的端口监听实现。这种方式主要用于非以太网的接入。本系统是利用以太网的广播特性来实现包捕获的操作。
数据预处理模块
审计数据并不能直接作为神经网络的输入量。必须经过处理然后转换为神经网络所能识别的数据。预处理包括不同的阶段。即数据清理、数据格式转换。数据特征提取等几个阶段。
数据清理:通过剪裁、过滤、聚合等技术手段,有效地剔除了重复的、冗余的和细枝末节的数据。可以在确保关键信息不丢失的前提下。将庞杂、无序的各种网络日志组合成完备、紧凑的网络行为数据。最大程度地减少数据存储的空间,提高分析效率。
数据格式转换:将接收到的数据清理后,进行变化和规约。转化为神经网络能识别的格式,BP神经网络只能接受数字的输入。
数据特征提取:数据特征的提取步骤不仅影响神经网络的检测精确度。还决定了神经网络的输入层神经元个数。
数据归一化:归一化的目的就是要在距离计算时均衡各个特征的“贡献”.最后传给相应类型的神经网络进行学习或者检测。
神经网络分析模块
神经网络采用反向传播网络(BP)分为训练和预测两个子模块。
1.训练模块:神经网络首先必须要进行离线训练才能够用于实际的检测。其训练的过程一般称为学习的过程,给定学习样本库和期望输出作为神经网络输入结点的输入。学习样本包含具有典型攻击特征行为的样本数据(特征检测)和正常数据(异常检测),然后采用训练算法进行学习的过程。直到与期望输出的误差满足设定的标准.训练的目的就是利用反向学习来获得理想的权值和阈值。
2.预测模块:神经网络训练经后。就以权值和阈值的形式保存起来。用于识别正常和异常行为。只需将所要检测的样本输入到输入结点。神经网络就可以根据学习后的连接权值和阚值对此样本进行分析,生成检测结果。若在此过程中发现了新的未知攻击行为。则将其反馈给训练样本库。进而实现了自学习的功能。具备了识别未知异常行为的能力。
决策模块和预警模块
利用神经网络的输出结点的输出值进行决策:实际输出为检测结果,代表了所测试的记录是攻击行为或者正常行为,实际输出是一组0-1之问的实数组成,输出值与0的偏差(判别门限值)在一个指定范围内,被认为输出值为0,说明是正常行为;输出值与1的偏差(判别门限值)在一个指定范围内,被认为输出值为1,说明是异常行为或者攻击行为;判别门限值的选择对检测结果有比较大的影响,门限过高,出现误报现象概率大;门限过低。出现漏报概率大;具体判别门限值可根据系统具体要求设置。若通过决策模块判别为攻击行为则通知预警模块采取相应的措施。
参考文献: 1、基于数据挖掘的网络安全审计技术的研究 谢志伟1,王志明2 2、网络安全中的安全审计技术 赵晖 3、计算机网络安全及安全审计技术研究_吕镇邦 4、基于SOM的多层Web安全审计模型及其实现_郭陟 5、一种基于神经网络的安全审计系统模型 ’易晓梅,于芹芬,刘丽娟