网络安全审计系统

网络安全审计系统(Network Security Audit System)

　　网络安全审计系统是指一种基于信息流的数据采集、分析、识别和资源审计封锁软件。

　　通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。它侧重于“事中”阶段。该系统综合了基于主机的技术手段，可以多层次、多手段的实现对网络的控制管理。通过多级、分布式的网络审计、管理、控制机制，全面体现了管理层对内部网关键资源的全局控制、把握和调度能力。为全面管理人员提供了一种审计、检查当前系统运行状态的有效手段。一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节，一般处在人侵检测系统之后，作为对防火墙系统和人侵检测系统的一个补充，其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。

　　网络安全审计系统作为一个独立的软件，和其他的安全产品（如防火墙、入侵检测系统、漏洞扫描系统等）在功能上互相独立，但是同时又能互相协调、补充，保护网络的整体安全。

• 基于规则库的方法 

  基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放人规则库中，当进行安全审计时，将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。

　　这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的网络数据信息，对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包，一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如.cert;.org等站点都可以提供各种最新攻击数据库)，使得系统的可扩充性非常好。 

　　但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件，当出现新的攻击软件或者攻击软件进行升级之后，就容易产生漏报。

• 基于数理统计的方法 

　　数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。

　　数理统计的最大问题在于如何设定统计量的“阂值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，不可避免地容易产生误报和漏报。

• 数据挖掘

　　数据挖掘是一个比较完整地分析大量数据的过程，它一般包括数据准各、数据预处理、建立挖掘模型模型评估和解释等，它是一个迭代的过程，通过不断调整方法和参数以求得到较好的模型。

• 信息安全审计
• 联网审计