第4章安全审计与入侵检测20101010(免费阅读).ppt

信息安全原理与技术 第 4 章 安全审计与入侵检测 4.1 安全审计 4.1.1 安全审计概念 4.1.2 安全审计目的 4.1.3 安全审计内容 4.1.4 安全审计分类和过程 4.1.5 审计日志管理 4.1.6 安全审计系统的组成、功能与特点 4.2 入侵检测 4.2.1 入侵检测概述 4.2.2 入侵检测侧方法 4.2.3 入侵检测系统的部署 4.2.4 入侵检测技术发展 4.2.5 与入侵检测有关的新技术 4.1 安全审计 安全审计即是对安全方案中的功能提供持续的评估。安全审计可以为安全官员提供一组可进行分析的管理数据，以发现在何处发生了违反安全方案的事件。为了保证信息系统安全可靠的运行，需加强信息安全审计。 4.1.1 安全审计概念 一、安全审计概念 从总体上说，安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。利用安全审计结果，可调整安全政策，堵住出现的漏洞。 二、安全审计日志 利用安全审计日志进行监控是一种更为主动的监督管理形式，它也是一种检测触犯安全规定事件的手段。 出于它自身的重要性，安全审计日志和监控功能本身给安全带来了额外的威胁，因此必须加强对这类信息的保护。 对安全审计日志和监控功能的使用也必须做审计记录，否则蓄谋作案的内部人员将有机可乘，逃脱审查。 三、安全审计和报警 安全报警的产生是检测到任何符合已定义报警条件的安全相关事件的结果。 安全审计和报警的实现，可能需要使用其他安全服务来支持安全审计和报警服务，并确保它们正确而有把握地运行。 安全审计和报警服务与其他安全服务的不同之处在于没有单个的特定安全机制可以用于提供这种服务。 四、安全审计跟踪 安全审计跟踪是一种很有价值的安全机制，可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况。 安全审计需要安全审计跟踪与安全有关的记录信息，以及从安全审计跟踪中得到的分析和报告信息。 日志或记录被视为一种安全机制，而分析和报告生成则被视为一种安全管理功能。 4.1.2 安全审计目的 安全审计与报警的目的是根据适当安全机构的安全策略，确保与开放系统互联的安全有关的事件得到处理，安全审计只在定义的安全策略范围内提供。 具体的目的主要有： 辅助辨识和分析未经授权的活动或攻击； 帮助保证那些实体响应行动处理这些活动； 促进开发改进的损伤控制处理程序； 认可与已建立的安全策略的一致性； 报告那些可能与系统控制不相适应的信息； 辨识可能需要的对控制、策略和处理程序的改变。 4.1.3 安全审计内容 个人职能（Individual Accountability）。审计跟踪是管理人员用来维护个人职能的技术手段。 事件重建（Reconstruction of Events）。在发生故障后，审计跟踪可以用于重建事件和数据恢复。 入侵检测（Intrusion Detection）。审计跟踪记录可以用来协助入侵检测工作。 故障分析（Problem Analysis）。审计跟踪可以用于实时审计或监控。 4.1.4 安全审计分类和过程 一、安全审计分类 按照审计对象分类 ：① 网络审计（网络信息内容、协议）；② 主机审计（系统资源等使用事前、事后取证）；③ 应用系统审计 。 按照审计方式分类： ①人工审计；②半自动审计；③智能审计。 二、审计过程的实现 第一步，收集审计事件，产生审计记录； 第二步，根据记录进行安全事件的分析； 第三步，采取处理措施。审计范围包括操作系统和各种应用程序。 三、审计的工作流程 1. 根据相应的审计条件判断事件是否是审计事件。 2. 对审计事件的内容按日志的模式记录到审计日志中。 3. 对满足报警条件的事件向审计员发送报警信息并记录其内容。 4. 当事件在一定时间内频繁发生，满足逐出系统的条件值时，则将引起该事件的用户逐出系统并记录其内容。 审计员可以查询、检索审计日志以形成审计报告。 4.1.5 审计日志管理 一、审计日志管理的重要性 审计日志是记录信息系统安全状态和问题的依据，各级信息系统必须制定保存和调阅审计日志的管理制度。 忽视日志管理很快会变成严重的问题，日志管理是确保记录长期稳定和有用的过程。 二、日志的内容 基于安全观点考虑，理想的日志应该包括全部与数据、程序以及与系统资源相关事件的记录。 实际上，这样的日志只能适用于某些有特殊需要的系