《信息安全原理》-信息系统安全监控.pptVIP

4.6.3 安全审计的类型 1.根据审计的对象分类 根据审计的对象安全审计可以分为以下一些类型： · 操作系统的审计； · 应用系统的审计； · 设备的审计； · 网络应用的审计。 2. 审计的关键部位 通常审计的关键部位有： （1）对来自外部攻击的审计； （2）对来自内部攻击的审计； （3）对电子数据的安全审计。 习 题 1. 审计与入侵检测技术有什么关系？ 2. 综述入侵检测技术的发展过程，并提出自己的思路。 3. 综述有关入侵检测技术的各种定义。 4. 入侵检测系统有哪些可以利用的数据源？ 5. 试构造一个网络数据包的截获程序。 6. 试述入侵检测系统的工作原理。 7. 收集资料，对国内外主要基于网络的入侵检测产品进行比较。 8. 收集资料，对国内外主要基于主机的入侵检测产品进行比较。 9. 分析入侵检测系统的不足和发展趋势。 10. 入侵检测技术与法律有什么关系？ 11. 简述蜜罐技术的特殊用途。 12. 用下载的蜜罐工具，构造一个简单的蜜罐系统。 13. 简述安全审计的作用。 14. 简述日志的作用和记录内容。 15. 审计与入侵检测有什么关联？ 响应单元 事件数据库 事件发生器 事件产生器 图4.12 CIDF的体系结构 （1）事件产生器 事件产生器的任务是从入侵检测系统之外的整个计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件。例如，事件产生器可以是读取C2级审计踪迹并将其转换为GIDO格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器，还可以是SQL数据库中产生描述事务的事件的应用代码。 （2）事件分析器 事件分析器分析从其他组件收到的GIDO，分析它们，并将产生的新GIDO返回给其他组件。分析器可以是一个轮廓描述工具，统计性地检查当前事件是否可能与以前某个事件来自同一个时间序列；也可以是一个特征检测工具，在一个事件序列中检查是否有已知的滥用攻击特征；还可以是一个相关器，将有联系的事件放到一起，以便以后进一步分析。 （3）事件数据库 用来存储GIDO，以备系统需要的时候使用。它可以是复杂的数据库，也可以是简单的文件。 （4）响应单元 响应单元根据收到的GIDO做出反应，如杀死相关进程、将连接复位、修改文件权限等。 由于CIDF有一个标准格式GIDO，所以这些组件也适用于其他环境，只需要将典型的环境特征转换成GIDO格式，这样就提高了组件之间的消息共享和互通。 3.CISL CIDF的总体目标是实现软件的复用和IDR（入侵检测与响应）组件之间的互操作性。首先，IDR组件基础结构必须是安全、健壮、可伸缩的，CIDF的工作重点是定义了一种应用层的语言CISL（Common Intrusion Specification Language，公共入侵规范语言），用来描述IDR组件之间传送的信息，以及制定一套对这些信息进行编码的协议。CISL可以表示CIDF 中的各种信息，如原始事件信息（审计踪迹记录和网络数据流信息）、分析结果（系统异常和攻击特征描述）、响应提示（停止某些特定的活动或修改组件的安全参数）等。 CISL使用了一种被称为S表达式的通用语言构建方法，S表达式可以对标记和数据进行简单的递归编组，即对标记加上数据，然后封装在括号内完成编组，这跟LISP有些类似。S表达式的最开头是语义标识符（简称为SID），用于显示编组列表的语义。例如下面的S表达式： （HostName ‘first. example. com’） 该编组列表的SID是HostName，它说明后面的字符串“first. example. com”将被解释为一个主机的名字。 有时侯，只有使用很复杂的S 表达式才能描述出某些事件的详细情况，这就需要使用大量的SID。SID在CISL中起着非常重要的作用，用来表示时间、定位、动作、角色、属性等，只有使用大量的SID， 才能构造出合适的句子。CISL使用范例对各种事件和分析结果进行编码，把编码的句子进行适当的封装，就得到了GIDO。 GIDO的构建与编码是CISL的重点。 4.CIDF的程序接口 CIDF的API负责GIDO的编码、解码和传递，它提供的调用功能使程序员可以在不了解编码和传递过程具体细节的情况下，以一种很简单的方式构建和传递GIDO。 GIDOD 生成分为两个步骤： 在构造树形结构时，SID分为两组：一组把S表达式作为参数（即动词、副词、角色、连接词等），另一组把单个数据或一个数据阵列作为参数（即原子），这样就可以把一个完整的句子表示成一棵树，每个SID表示成一个节点，最高层的SID是树根。因为每个S表达式都包含一定的数据，所以，树的每个分支末端都有表示原子SID的叶子。 （1）构造表示GIDO的树形结构 （2）将此结构编成字