011 安全审计【产品】

1 产品概述

对与信息安全相关的数据进行识别，记录，储存和分析，检查发生了哪些与安全有关的活动以及谁对活动负责。通过收集和评价审计证据，对信息系统是否能够保护资产的安全，维护数据的完整，使被审计单位的目标得以有效地实现，使组织的资源得到高效地使用等方面作出判断。

像飞机“黑匣子”一样忠实记录网络通信行为，为安全事故/故障调查提供详实的记录；

主要功能：取证，威慑，发现系统漏洞，发现系统运行异常。

2 产品原理

通过硬件或软件代理对客体进行数据采集，将采集到的数据发送至数据挖掘分析模块，识别危险后发送至报警处理模块，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。

2.1 产品组成

事件探测及数据采集引擎

全面侦听主机及网络上的信息流，动态监视主机的运行情况以及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。

数据处理引擎

负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行处理，还负责对事件探测及数据采集引擎的设置，用户对安全审计的自定义，系统配置信息的管理，一般包括三个模块：数据库管理，引擎管理，配置管理。

审计引擎

包括两个应用程序，审计控制台和用户管理。审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。

2.2 审计方法

基于规则库的安全审计

将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作（关键字，正则表达式，模糊近似度等），从而发现可能的网络攻击行为。

基于数理统计的安全审计

给对象创建一个统计量的描述，如网络流量的平均值，方差等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。

基于日志数据挖掘的安全审计

从系统使用或网络通信的‘正常’数据中发现系统的‘正常’运行模式，并和常规的一些攻击规则库进行关联分析，用以检测系统攻击行为。基于数据挖掘的网络安全审计系统检测准确率高，速度快，自适应能力强等优点。

2.3 数据源

日志数据

日志作为计算机网络系统运行轨迹的真实写照，对于维护系统状况、监视系统活动及维护系统安全至关重要，是反映网络安全状况的重要数据源之一，是安全审计系统的重要数据来源。通过日志采集代理、专用日志访问协议、日志输出接口等方式对主机、安全设备以及其他日志系统日志进行采集。由于日志文件具有易损性，很容易被修改或破坏，比较典型的是入侵者入侵后往往会修改或删除与其相关的日志，甚至伪造日志以迷惑网络安全人员。因此需加入日志完整性检测模块，在设备日志系统中嵌入日志完整性检测算法，对日志完整性进行检测。

设备数据

根据SNMP协议实时采集网络内交换设备和终端设备等可控设备MIB库中的相关数据，并对其进行分析，获得网络拓扑信息、网络流量信息和安全事件信息等系统的所需信息，并以规范统一的格式提交给上层应用。

网络数据

采集网络通信设备产生的数据，对其进行统计分析。实时或近实时地提供多层次、多角度、多粒度的流量信息、全方位的网络连接信息，以及对上述信息进行分析得出的网络事件信息等系统所需要的信息，具有视角宽广、信息量大、实时性强等优点。

对全部的流量数据进行统计分析，给出当前网络的流量信息，流量信息可作为网络规划和网络负载均衡的依据，也可作为辅助信息帮助分析确定当前的安全状态。流量信息获取模块提供的流量信息分为三个层次，从宏观到微观依次排列自治域之间的流量信息、路由器间的流量信息包括网内路由器间，网络边界路由器与网络外围相邻路由器间、主机间的流量信息。对于这三个层次的流量信息都给出特定服务的数据量、数据包数和网络流数，这是传统的基于SNMP的流量测量方法所做不到的。对流量信息获取模块所得到的流量信息进行简单排序，取前N位或大于特定闽值的N位就形成TOPN流量信息表，该信息表对于分析模块检测异常事件具有重要意义。

安全事件信息获取模块采用基线检测法与特征检测法相结合的层次化检测法来检测安全事件，并结合流量信息获取模块所获取的流量信息进行分析，生成安全事件警报。规则库存放分析模块所用的规则，包括分析规则和事件规则，其中事件规则又分为异常事件规则和正常事件规则。为规则库中的每一条规则设置可信度，以表征一该规则判断事件的准确程度。分析模块根据规则库中的分析规则对当前流记录进行分析，得出其特征并与规则库中的事件规则进行匹配，如果匹配为异常事件则上报给系统上层。

主要完成以下工作：

①数据报文捕获。

根据网络流量监测需求采用相应的算法和技术对目标网络或设备的数据报文进行采样，将提取的数据报文信息提交给上层处理模块，如有必要还需存放在磁盘缓冲区中，便于分析。

②报文过滤

应能够满足某些特定管理需求而只捕获感兴趣的网络流量数据报文，忽略其他报文，从而有利于网络处理速度的提高，减少了所需的软、硬件资源。定义好的过滤器如果使用在监控功能中就是监控过滤器，使用在捕获功能中就是捕获过滤器。

③报文协议解析

能对流量数据报文的协议信息进行初步的解析，解析的程度可以是简单的报文类型或报文地址解析，也可以是复杂的解析，对数据部分进行分析还原成指令代码，如文件打开、关闭等。

④流量信息监控

可以监控网络中的数据流量，连接数，处在网络连接中的目的端和源客户端的地址、数据报文的大小分布，协议分析，可以通过历史采样功能对多达个以上的网络参数进行采样。

⑤流量统计

高速网络环境下，流量统计应该能够快速、精确地对流量进行精确的统计并能够实时地将网络状态信息提交给网络管理员。对主干网络上的长流进行识别和统计，能够促使网络管理人员优化网络负载，减少网络瓶颈。

4 产品部署