網路安全審計系統
出自 MBA智库百科(https://wiki.mbalib.com/)
網路安全審計系統(Network Security Audit System)
目錄 |
網路安全審計系統是指一種基於信息流的數據採集、分析、識別和資源審計封鎖軟體。
通過實時審計網路數據流,根據用戶設定的安全控制策略,對受控對象的活動進行審計。它側重於“事中”階段。該系統綜合了基於主機的技術手段,可以多層次、多手段的實現對網路的控制管理。通過多級、分散式的網路審計、管理、控制機制,全面體現了管理層對內部網關鍵資源的全局控制、把握和調度能力。為全面管理人員提供了一種審計、檢查當前系統運行狀態的有效手段。一般的基於網路的安全審計系統作為一個完整安全框架中的一個必要環節,一般處在人侵檢測系統之後,作為對防火牆系統和人侵檢測系統的一個補充,其功能:首先它能夠檢測出某些特殊的IDS無法檢測的人侵行為(比如時間跨度很大的長期的攻擊特征);其次它可以對人侵行為進行記錄並可以在任何時間對其進行再現以達到取證的目的;最後它可以用來提取一些未知的或者未被髮現的人侵行為模式等。
網路安全審計系統作為一個獨立的軟體,和其他的安全產品(如防火牆、入侵檢測系統、漏洞掃描系統等)在功能上互相獨立,但是同時又能互相協調、補充,保護網路的整體安全。
- 基於規則庫的方法
基於規則庫的安全審計方法就是將已知的攻擊行為進行特征提取,把這些特征用腳本語言等方法進行描述後放人規則庫中,當進行安全審計時,將收集到網路數據與這些規則進行某種比較和匹配操作(關鍵字、正則表達式、模糊近似度等),從而發現可能的網路攻擊行為。
這種方法和某些防火牆和防病毒軟體的技術思路類似,檢測的準確率都相當高,可以通過最簡單的匹配方法過濾掉大量的網路數據信息,對於使用特定黑客工具進行的網路攻擊特別有效。比如發現目的埠為139以及含有DOB標誌的數據包,一般肯定是Winnuke攻擊數據包。而且規則庫可以從互連網上下載和升級(如.cert;.org等站點都可以提供各種最新攻擊資料庫),使得系統的可擴充性非常好。
但是其不足之處在於這些規則一般只針對已知攻擊類型或者某類特定的攻擊軟體,當出現新的攻擊軟體或者攻擊軟體進行升級之後,就容易產生漏報。
- 基於數理統計的方法
數理統計方法就是首先給對象創建一個統計量的描述,比如一個網路流量的平均值、方差等等,統計出正常情況下這些特征量的數值,然後用來對實際網路數據包的情況進行比較,當發現實際值遠離正常數值時,就可以認為是潛在的攻擊發生。
數理統計的最大問題在於如何設定統計量的“閡值”,也就是正常數值和非正常數值的分界點,這往往取決於管理員的經驗,不可避免地容易產生誤報和漏報。
數據挖掘是一個比較完整地分析大量數據的過程,它一般包括數據準各、數據預處理、建立挖掘模型模型評估和解釋等,它是一個迭代的過程,通過不斷調整方法和參數以求得到較好的模型。
