信息安全审计数据源
2 基于网络的数据源
随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计 发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中 传输的数据。 采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数 据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原 有的结构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受 到攻击的概率。 (3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现 的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据 包和大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得多，
信息安全审计流程
1 策略定义
安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪 些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定 的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分 析处理结果来检查策略的合理性，必要时应调整审计策略。
2 事件采集
包含以下行为： a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件 后续的各阶段来处理； b)将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略 进行客体事件采集。
带有学习能力的数据挖掘方法己经在一些安全审计系统中得 到了应用，它的主要思想是从系统使用或网络通信的“正常”数 据中发现系统的“正常”运行模式，并和常规的一些攻击规则库 进行关联分析，并用以检测系统攻击行为。
信息安全审计分析方法
4 其它安全审计方法
安全审计是根据收集到的关于己发生事件的各种数据来发现 系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证 据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件 正在发生过程中，利用观测到的数据，发现攻击行为。两者的目 的都是发现系统入侵行为，只是入侵检测要求有更高的实时性， 因而安全审计与入侵检测两者在分析方法上有很大的相似之处， 入侵检测分析方法多能应用与安全审计。
5 结果汇总
主要包含以下行为： a)将各类审计报告进行分类汇总； b)对审计结果进行适当的统计分析，形成分析报告； c)根据用户需求和事件分析处理结果形成审计策略修改意见。
信息安全审计
4 安全审计的分析方法
信息安全审计分析方法
1. 基于规则库的安全审计方法
基于规则库的安全审计方法就是将已知的攻击行为进行特 征提取，把这些特征用脚本语言等方法进行描述后放入规则库中， 当进行安全审计时，将收集到的审核数据与这些规则进行某种比 较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现 可能的网络攻击行为。
信息安全审计
5 安全审计的数据源
信息安全审计数据源
对于安全审计系统而言，输入数据的选择是首先 需要解决的问题，而安全审计的数据源，可以分为三 类：基于主机、基于网络和其他途径。
信息安全审计数据源
1 基于主机的数据源
(1)操作系统的审计记录 操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的， 其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以 及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文 件。 (2)系统日志 日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信 息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日 志是有应用程序自己生成并维护的日志文件的总称。 (3)应用程序日志信息 操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作 系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计 算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方 面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来 分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵 攻击行为的目标日益集中于提供网络服务的特定应用程序，
信息安全审计数据源
5.5.2 基于网络的数据源
随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发 展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输 的数据。 采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据， 不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结 构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到 攻击的概率。 (3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的 攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和 大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得多，
信息安全审计体系结构
分布式安全审计系统体系结构
分布式安全审计系统实际上包含两层涵义：一是对分布式网络的安全审计， 其二是采用分布式计算的方法，对数据源进行安全审计。 它由三部分组成： （1）主机代理模块。主机代理模块是部 署在受监视主机上，并作为后台进程运行 的审计信息收集模块。 2）局域网监视器代理模块 局域网监视器代理模块是部署在受监视的 局域网上，用以收集并对局域网上的行为 进行审计的模块，主要分析局域网网上的 的通信信息，并根据需要将结果报告给中央管理者。 (3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告， 控制整个系统的通信信息，对接收到的数据进行分析。
信息安全审计概述
信息系统安全审计的分类
安全审计，按照不同的分类标准，具有不同的分类特性。 按照审计分析的对象，安全审计可分为针对主机的审计 和针对网络的审计。前者对系统资源如系统文件、注册表等 文件的操作进行事前控制和事后取证，并形成日志文件；后 者主要是针对网络的信息内容和协议分析。 按照审计的工作方式，安全审计可分为集中式安全审计 和分布式安全审计。集中式体系结构采用集中的方法，收集 并分析数据源（网络各主机的原始审计记录），所有的数据 都要交给中央处理机进行审计处理。分布式安全审计包含两 层涵义，一是对分布式网络的安全审计，其二是采用分布式 计算的方法，对数据源进行安全审计。
信息安全审计流程
3 事件分析
包含以下行为： a）按照预定策略，对采集到事件进行事件辨析，决定：1)忽略该事件；2)产生 审计信息；3)产生审计信息并报警；4)产生审计信息且进行响应联动。 b）按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告；
4 事件响应
包含以下行为： a)对事件分析阶段产生的报警信息、响应请求进行报警与响应； b)按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发 送到指定的对象； c)照预定策略对审计记录进行备份；
信息安全审计
2 安全审计系统的体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计系统的一般组成
一般而言，一个完整的安全审计系统图5-1所示，包括事件探测及数据 采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不 同的功能。 (1)事件探测及数据采集引擎 事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监 视主机的运行情况以及及网络上流过的数据包，对数据包进行检测和实 时分析，并将分析结果发送给相应的数据管理中心进行保存。 (2)数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及 安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件 探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息 的管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。 (3)审计引擎 审计引擎包括两个应用程序:审计控制台和用户管理。 审计控制台可以 实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据， 并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限 制不同级别的用户查看不同的审计内容。
信息安全审计概述
信息系统安全审计的概念
安全审计是对信息系统的各种事件及行为实行监测、信 息采集、分析并针对特定事件及行为采取相应响应动作。网 络安全审计是指对与网络安全有关的活动的相关信息进行识 别、记录、存储和分析，并检查网络上发生了哪些与安全有 关的活动以及谁对这个活动负责。
信息安全审计概述
基于规则库的安全审计方法有其自身的局限性。对于某些 特征十分明显的网络攻击行为，该技术的效果非常之好;但是对 于其他一些非常容易产生变种的网络攻击行为，规则库就很难用 完全满足要求了。
信息安全审计分析方法 2. 基于数理统计的安全审计方法
数理统计方法就是首先给对象创建一个统计量的描述，比如 一个网络流量的平均值、方差等等，统计出正常情况下这些特征 量的数值，然后用来对实际网络数据包的情况进行比较，当发现 实际值远离正常数值时，就可以认为是潜在的攻击发生。
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法，收集并分析数据源，所有的数 据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎 及安全审计引擎的工作，而部署在各受监视系统上的外围设备只是简 单的数据采集设备，承担事件检测及数据采集引擎的作用。 随着分布式网络技术的广泛应用，集中式的审计体系结构越来越显示 出其缺陷，主要表现在: (1)由于事件信息的分析全部由中央处理机承担，势必造成CPU、I/O 以及网络通信的负担，而且中心计算机往往容易发生单点故障（如针 对中心分析系统的攻击）。另外，对现有的系统进行用户的增容（如 网络的扩展，通信数据量的加大）是很困难的。 (2)由于数据的集中存储，在大规模的分布式网络中，有可能因为单个 点的失败造成整个审计数据的不可用。 (3)集中式的体系结构，自适应能力差，不能根据环境变化自动更改配 置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需 要重新启动系统以使配置生效。 因此，集中式的体系结构已不能适应高度分布的网络环境。