安全审计分析类型
潜在攻击分析 基于模板的异常检测 简单攻击试探 复杂攻击试探 等几种类型。
安全审计分析类型（续）
潜在攻击分析：系统能用一系列的规则监控审 计事件，并根据这些规则指示系统的潜在攻击；
基于模板的异常检测：检测系统不同等级用户 的行动记录，当用户的活动等级超过其限定的 登记时，应指示出此为一个潜在的攻击；
审计总控
安全审计系统体系结构示意图
FDDI
●●●
控制台 1
控制台 2
广域网 X.25
审计中心
审计设备 Ethernet 1
要保护的网络服务器
DB
装有审计软件服务器 要保护的工作站 数据库服务器
移动工作站
审计设备 Ethernet 2
安全审计系统的典型配置示意图
路由器
审计软件 Agent
防火墙
审计设备 2
安全审计事件选择
系统能够维护、检查或修改审计事件的 集合，能够选择对哪些安全属性进行审 计，例如：与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。系统管理员将能够有选择地在个人 识别的基础上审计任何一个用户或多个 用的动作。
安全审计事件存储
系统将提供控制措施以防止由于资源的 不可用丢失审计数据。能够创造、维护、 访问它所保护的对象的审计踪迹，并保 护其不被修改、非授权访问或破坏。审 计数据将受到保护直至授权用户对它进 行的访问。
该功能要求记录与安全相关事件的出现， 包括鉴别审计层次、列举可被审计的事 件类型、以及鉴别由各种审计记录类型 提供的相关审计信息的最小集合。系统 可定义可审计事件清单，每个可审计事 件对应于某个事件级别，如低级、中级、 高级。
产生的审计数据有以下几方面
对于敏感数据项（例如，口令通行字等） 的访问 目标对象的删除 访问权限或能力的授予和废除 改变主体或目标的安全属性 标识定义和用户授权认证功能的使用 审计功能的启动和关闭
安全审计系统的必要性（续）
在TCSEC和CC等安全认证体系中，网络安全审 计的功能都是方在首要位置的，它是评判一个 系统是否真正安全的重要尺码。因此在一个安 全网络系统中的安全审计功能是必不可少的一 部分。网络安全审计系统能帮助我们对网络安 全进行实时监控，及时发现整个网络上的动态， 发现网络入侵和违规行为，忠实记录网络上发 生的一切，提供取证手段。它是保证网络安全 十分重要的一种手段。
DB Server
Application Server
内部网
审计中心 Work station
DNS Server Mail Server Application Server Search Server Web Server
审计设备 1 服务网
审计与日志分析
审计与日志分析的参考标准 防火墙和路由器等网络和网络安 全设备日志 通用操作系统日志 日志过滤 可疑的活动分析
信息系统安全技术
--安全审计与日志分析
何长龙
高级工程师
目录
专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析
安全审计系统的必要性
一旦我们采用的防御体系被突破怎么办？ 至少我们必须知道系统是怎样遭到攻击 的，这样才能恢复系统，此外我们还要 知道系统存在什么漏洞，如何能使系统 在受到攻击时有所察觉，如何获取攻击 者留下的证据。网络安全审计的概念就 是在这样的需求下被提出的，它相当于 飞机上使用的“黑匣子”。
CC标准中的网络安全审计功能定义
网络安全审计包括识别、记录、存储、分析与 安全相关行为有关的信息。国际标准化组织 (ISO)和国际电工委员会(IEC)发表了【信息技 术安全性评估通用准则2.0版】 (ISO/IEC15408)，俗称CC准则，目前它已被广 泛地用于评估一个系统的安全性。在这个标准 中对网络审计定义了一套完整的功能，有：安 全审计自动响应、安全审计数据生成、安全审 计分析、安全审计浏览、安全审计事件存储、 安全审计事件选择等。
审计结果
参考审计执行过程 建立设计报告库 安全审计和安全标准 建议性审计解决方案
建议审计执行过程
为了能够确定安全策略和实施情况的差 距，建议采用特定方法继续进行有效的 审计； 抵御和清除病毒，蠕虫和木马，修补系 统漏洞；
建议改善和增强如下内容：
重新配置路由器； 添加和重新配置防火墙规则； 升级操作系统补丁类型； 升级已有的和不安全的服务； 加强网络审核； 自动实施和集中管理网络内部和边界安 全；
安全审计事件存储（续）
它可保证某个指定量度的审计记录被维护，并不 受以下事件的影响： 审计存储用尽； 审计存储故障； 非法攻击； 其他任何非预期事件。 系统能够在审计存储发生故障时采取相应的动 作，能够在审计存储即将用尽时采取相应的动 作。
网络安全审计层次结构图
应用层审计 系统层审计 网络层审计
简单攻击试探：当发现一个系统事件与一个表 示对系统潜在攻击的签名事件匹配时，应指示 出此为一个潜在的攻击；
复杂攻击试探：当发现一个系统事件或事迹序 列与一个表示对系统潜在攻击的签名事件匹配 时，应指示出此为一个潜在的攻击。
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括：审计浏览、有限审 计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务； 有限审计浏览 要求除注册用户外，其他用户 不能读取信息； 可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。
每一条审计记录中至少应所含 以下信息：
事件发生的日期、时间、事件类型、主 题标识、执行结果（成功、失败） 、引 起此事件的用户的标识以及对每一个审 计事件与该事件有关的审计信息。
安全审计分析
此部分功能定义了分析系统活动和审计 数据来寻找可能的或真正的安全违规操 作。它可以用于入侵检测或对安全违规 的自动响应。当一个审计事件集出现或 累计出现一定次数时可以确定一个违规 的发生，并执行审计分析。事件的集合 能够由经授权的用动响应定义在被测事件指示 出一个潜在的安全攻击时作出的响应， 它是管理审计事件的需要，这些需要包 括报警或行动，例如包括实时报警的生 成、违例进程的终止、中断服务、用户 帐号的失效等。根据审计事件的不同系 统将作出不同的响应。其响应方式可作 增加、删除、修改等操作。
安全审计数据生成