第六章入侵检测与安全审计系统(46页PPT).pptx

《第六章入侵检测与安全审计系统(46页PPT).pptx》由会员分享，可在线阅读，更多相关《第六章入侵检测与安全审计系统(46页PPT).pptx（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全与病毒防范第六章第六章 入侵检测与安全审计系统入侵检测与安全审计系统11/8/20221n6.1 入侵检测系统入侵检测系统n6.2 安全审计系统安全审计系统11/8/20222电子科技大学成都学院6.1 入侵检测系统入侵检测系统n6.1.1 入侵检测系统的概念入侵检测系统的概念n入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。n入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。n入侵检测系统Intrusion Detection System，简称IDS，入侵

2、检测的软件与硬件的组合。11/8/20223电子科技大学成都学院n模型最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图：11/8/20224电子科技大学成都学院CIDF(通用入侵检测框架)标准入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。事事件件IDS需需要要分分析析的的数数据据，可可以以是是网网络络中中的的数数据据包包，也也可可以以是是从从系系统统日日志志等等其他途径得到的信息。其他途径得到的信息。事事件件产产生生器器：从从整整个个计计算算环环境境中中获获得得事事件件，并向系

3、统的其他部分提供此事件。并向系统的其他部分提供此事件。事事件件分分析析器器：分分析析得得到到的的数数据据，并并产产生生分分析结果。析结果。响响应应单单元元：对对分分析析结结果果作作出出反反应应的的功功能能单单元元，它它可可以以作作出出切切断断连连接接、改改变变文文件件属属性性 等强烈反应，或是简单的报警。等强烈反应，或是简单的报警。事事件件数数据据库库：存存放放各各种种中中间间和和最最终终数数据据的的地地方方的的统统称称，既既可可以以是是复复杂杂的的数数据据库库，也也可可以以是是简简单单的文本文件。的文本文件。11/8/20225电子科技大学成都学院n作用作用是防火墙的合理补充，帮助系统对付网

4、络攻击，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。息安全基础结构的完整性。是安防系统的重要组成部分。是安防系统的重要组成部分。以后台进程的形式运行，发现可疑情况，立即以后台进程的形式运行，发现可疑情况，立即通知有关人员。通知有关人员。被认为是防火墙之后的第二道安全闸门。被认为是防火墙之后的第二道安全闸门。如同大楼的监视系统。如同大楼的监视系统。11/8/20226电子科技大学成都学院n6.1.2 入侵检测系统的特点入侵检测系统的特点不需要人工干预即可不间断的运行有容错能力不需要占用大量的系统

5、资源能够发现异常的操作能够适应系统行为的长期变化判断正确灵活定制保持领先11/8/20227电子科技大学成都学院n6.1.3 入侵行为的误判入侵行为的误判正误判正误判将一个合法操作判断为异常行为。将一个合法操作判断为异常行为。n后果：导致用户不理会后果：导致用户不理会IDS的报警，使的报警，使IDS形同虚设。形同虚设。负误判负误判将一个攻击动作判断为非攻击行为，将一个攻击动作判断为非攻击行为，并允许其通过检测。并允许其通过检测。n后果：背离了安全防护的宗旨，后果：背离了安全防护的宗旨，IDS系统成为例行公事。系统成为例行公事。失控误判失控误判攻击者修改了攻击者修改了IDS系统的操作，使它系统的

6、操作，使它总出现负误判的情况。总出现负误判的情况。n后果：不易察觉，长此以往，后果：不易察觉，长此以往，IDS将不会报警。将不会报警。11/8/20228电子科技大学成都学院n6.1.4 入侵分析方法入侵分析方法签名分析法签名分析法统计分析法统计分析法数据完整性分析法数据完整性分析法11/8/20229电子科技大学成都学院签名分析法签名分析法n主要用来监测对系统的已知弱点进行攻击的行为。主要用来监测对系统的已知弱点进行攻击的行为。n方法：从攻击模式中归纳出它的签名，编写到方法：从攻击模式中归纳出它的签名，编写到IDS系统的代码里。系统的代码里。n签名分析实际上是一种模板匹配操作：签名分析实际上

7、是一种模板匹配操作：一方是系统设置情况和用户操作动作一方是系统设置情况和用户操作动作一方是已知攻击模式的签名数据库一方是已知攻击模式的签名数据库 11/8/202210电子科技大学成都学院统计分析法统计分析法n以统计学为理论基础，以系统正常使用情况下以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。偏离了正常轨道。数据完整性分析法数据完整性分析法n以密码学为理论基础，可以查证文件或者对象是以密码学为理论基础，可以查证文件或者对象是否被别人修改过。否被别人修改过。11/8/202211电子科技大学成都学院工作流

8、程工作流程n根据计算机审计记录文件产根据计算机审计记录文件产生代表用户会话行为的会话生代表用户会话行为的会话矢量，然后对这些会话矢量矢量，然后对这些会话矢量进行分析，计算出会话的异进行分析，计算出会话的异常值，当该值超过阈值便产常值，当该值超过阈值便产生警告。生警告。一个简单的基于统计的异常检测模型一个简单的基于统计的异常检测模型11/8/202212电子科技大学成都学院步骤步骤1：产生会话矢量。：产生会话矢量。n根根据据审审计计文文件件中中的的用用户户会会话话(如如用用户户会会话话包包括括login和和logout之间的所有行为之间的所有行为)产生会话矢量。产生会话矢量。n会会话话矢矢量量X

9、=表表示示描描述述单单一一会会话话用用户户行行为为的的各各种种属属性性的的数数量量。会会话话开开始始于于login，终终止止于于logout，login和和logout次次数数也也作作为为会会话话矢矢量量的的一一部部分分。可可监监视视20多多种种属属性性，如如：工工作作的的时时间间、创创建建文文件数、阅读文件数、打印页数和件数、阅读文件数、打印页数和I/O失败次数等。失败次数等。11/8/202213电子科技大学成都学院步骤步骤2：产生伯努里矢量。：产生伯努里矢量。n伯伯努努里里矢矢量量B=是是单单一一2值值矢矢量量，表表示示属属性性的的数数目目是是否否在在正正常常用用户户的的阈阈值值范范围围

10、之之外外。阈阈值值矢矢量量T=表表示示每每个个属属性性的的范范围围，其其中中ti是是形形式式的的元元组组，代代表表第第i个个属属性性的的范范围围。这这样样阈阈值值矢矢量量实实际际上上构构成成了了一一张张测测量量表表。算算法法假假设设ti服服从从高高斯斯分分布布(即即：正态分布正态分布)。n产产生生伯伯努努里里矢矢量量的的方方法法就就是是用用属属性性i的的数数值值xi与与测测量量表表中中相相应应的的阈阈值值范范围围比比较较，当当超超出出范范围围时时，bi被被置置1，否否则则bi置置0。产生伯努里矢量的函数可描述为：。产生伯努里矢量的函数可描述为：11/8/202214电子科技大学成都学院步骤步骤

11、3：产生加权入侵值。：产生加权入侵值。n加加权权入入侵侵矢矢量量W=中中每每个个wi与与检检测测入入侵侵类类型型的的第第i个个属属性性的的重重要要性性相相关关。即即，wi对对应应第第i个个属属性性超超过过阈阈值值ti的的情情况况在在整整个个入入侵侵判判定定中中的的重重要要程程度度。加权入侵值由下式给出：加权入侵值由下式给出：加权入侵值加权入侵值步步骤骤4：若若加加权权入入侵侵值值大大于于预预设设的的阈阈值值，则则给给出报警。出报警。11/8/202215电子科技大学成都学院模型应用实例n利用该模型设计一防止网站被黑客攻击的预警系统。考虑到一个黑客应该攻击他自己比较感兴趣的网站，因此可以在黑客最

12、易发起攻击的时间段去统计各网页被访问的频率，当某一网页突然间被同一主机访问的频率剧增，那么可以判定该主机对某一网页发生了超乎寻常的兴趣，这时可以给管理员一个警报，以使其提高警惕。11/8/202216电子科技大学成都学院n借借助助该该模模型型，可可以以根根据据某某一一时时间间段段的的Web日日志志信信息息产产生生会会话话矢矢量量，该该矢矢量量描描述述在在特特定定时时间间段段同同一一请请求求主主机机访访问问各各网网页页的的频频率率，xi说说明明第第i个个网网页页被被访访问问的的频频率率；接接着着根根据据阈阈值值矢矢量量产产生生伯伯努努里里矢矢量量，此此处处的的阈阈值值矢矢量量定定为为各各网网页页

13、被被访访问问的的正正常常频频率率范范围围；然然后后计计算算加加权权入入侵侵值值，加加权权矢矢量量中中的的wi与与网网页页需需受受保保护护程程度度相相关关，即即若若wiwj，表表明明网网页页i比比网网页页j更更需需要要保保护护；最最后后若若加加权权入入侵侵值值大大于于预预设设的的阈阈值值，则则给给出出报报警警，提提醒醒管管理理员员，网网页页可可能将会被破坏。能将会被破坏。11/8/202217电子科技大学成都学院该模型存在的缺陷和问题，如：该模型存在的缺陷和问题，如：n大量审计日志的实时处理问题。尽管审计日志能提供大大量审计日志的实时处理问题。尽管审计日志能提供大量信息，但它们可能遭受数据崩溃、

14、修改和删除。并且量信息，但它们可能遭受数据崩溃、修改和删除。并且在许多情况下，只有在发生入侵行为后才产生相应的审在许多情况下，只有在发生入侵行为后才产生相应的审计记录，因此该模型在实时监控性能方面较差。计记录，因此该模型在实时监控性能方面较差。n检测属性的选择问题，即如何选择与入侵判定相关度高检测属性的选择问题，即如何选择与入侵判定相关度高的、有限的一些检测属性。的、有限的一些检测属性。n阈值矢量的设置存在缺陷。由于模型依赖于用户正常行阈值矢量的设置存在缺陷。由于模型依赖于用户正常行为的规范性，因此用户行为变化越快，误警率也越高。为的规范性，因此用户行为变化越快，误警率也越高。n预设入侵阈值的

15、选择问题，即如何更加科学地设置入侵预设入侵阈值的选择问题，即如何更加科学地设置入侵阈值，以降低误报率、漏报率。阈值，以降低误报率、漏报率。11/8/202218电子科技大学成都学院n6.1.5 入侵检测系统的主要类型入侵检测系统的主要类型分类分类n根据其采用的分析方法可分为根据其采用的分析方法可分为异常检测异常检测误用检测误用检测n根据系统的工作方式可分为根据系统的工作方式可分为离线检测离线检测在线检测在线检测n根据系统所检测的对象可分为根据系统所检测的对象可分为基于主机的基于主机的基于网络的基于网络的11/8/202219电子科技大学成都学院异常检测异常检测n需要建立目标系统及其用户的正常活

16、动模型，然需要建立目标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为计，当主体活动违反其统计规律时，则将其视为可疑行为。可疑行为。n关键：异常阈值和特征的选择关键：异常阈值和特征的选择n优点：可以发现新型的入侵行为，漏报少优点：可以发现新型的入侵行为，漏报少n缺点：容易产生误报缺点：容易产生误报11/8/202220电子科技大学成都学院误用检测误用检测n假定所有入侵行为和手段（及其变种）都能够表达假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动为

17、一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。是否符合这些模式。n优点：可以有针对性地建立高效的入侵检测系统，优点：可以有针对性地建立高效的入侵检测系统，其精确度较高，误报少。其精确度较高，误报少。n缺点缺点:只能发现攻击库中已知的攻击，不能检测未知只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因而会发生的入侵，也不能检测已知入侵的变种，因而会发生漏报；复杂性将随着攻击数量的增加而增加。漏报；复杂性将随着攻击数量的增加而增加。11/8/202221电子科技大学成都学院n离线检测离线检测在事后分析审计事件，从中检查入侵活动，是在事后分析审计事件，从中检查

18、入侵活动，是一种非实时工作的系统。一种非实时工作的系统。n在线检测在线检测实时联机的检测系统，包含对实时网络数据包实时联机的检测系统，包含对实时网络数据包分析，对实时主机审计分析。分析，对实时主机审计分析。11/8/202222电子科技大学成都学院n主要类型主要类型应用软件入侵检测应用软件入侵检测n概念：在应用级收集信息概念：在应用级收集信息n优点：控制性好优点：控制性好n缺点：缺点：需要支持的应用软件数量多需要支持的应用软件数量多只能保护一个组件只能保护一个组件11/8/202223电子科技大学成都学院基于主机的入侵检测基于主机的入侵检测n概念概念在宿主系统审计日志文件中寻找攻击特征，然后给

19、出在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。统计分析报告。始于始于80年代早期，通常采用查看针对可疑行为的审年代早期，通常采用查看针对可疑行为的审计记录来执行。计记录来执行。对新的记录条目与攻击特征进行比较，并检查不应对新的记录条目与攻击特征进行比较，并检查不应该被改变的系统文件的校验和来分析系统是否被侵该被改变的系统文件的校验和来分析系统是否被侵入或被攻击。入或被攻击。若发现与攻击模式匹配，若发现与攻击模式匹配，IDS系统通过向管理员报警系统通过向管理员报警和其他呼叫行为来响应。和其他呼叫行为来响应。11/8/202224电子科技大学成都学院n优点：优点：监视所有系统行为监

20、视所有系统行为有些攻击在网络的数据流中很难发现，或根本没有通过有些攻击在网络的数据流中很难发现，或根本没有通过网络在本地进行，此时基于网络的网络在本地进行，此时基于网络的IDS系统将无能为力系统将无能为力适应交换和加密适应交换和加密不要求额外的硬件不要求额外的硬件n缺点：缺点：看不到网络活动的状况看不到网络活动的状况运行审计功能要占用额外系统资源运行审计功能要占用额外系统资源主机监视感应器对不同的平台不能通用主机监视感应器对不同的平台不能通用管理和实施比较复杂管理和实施比较复杂11/8/202225电子科技大学成都学院基于网络的入侵检测基于网络的入侵检测n概念概念在网络通信中寻找符合网络入侵模

21、板的数据包，并立即做在网络通信中寻找符合网络入侵模板的数据包，并立即做出相应反应，如发生电子邮件、记录日志、切断网络连接出相应反应，如发生电子邮件、记录日志、切断网络连接等。等。n优点优点花费低花费低检查所有的包头来识别恶意和可疑行为检查所有的包头来识别恶意和可疑行为处于比较隐蔽的位置，基本上不对外提供服务，比处于比较隐蔽的位置，基本上不对外提供服务，比较坚固。较坚固。具有更好的实时性具有更好的实时性检测不成功的攻击和恶意企图检测不成功的攻击和恶意企图基于网路的基于网路的IDS不依赖于被保护主机的操作系统不依赖于被保护主机的操作系统11/8/202226电子科技大学成都学院n缺点缺点对加密通信

22、无能为力对加密通信无能为力对高速网络无能为力对高速网络无能为力不能预测命令的执行后果不能预测命令的执行后果11/8/202227电子科技大学成都学院集成入侵检测集成入侵检测n概念：综合前几种技术的入侵检测方法概念：综合前几种技术的入侵检测方法n优点优点具有每一种检测技术的优点，并试图弥补各自的不足具有每一种检测技术的优点，并试图弥补各自的不足趋势分析趋势分析稳定性好稳定性好节约成本节约成本n缺点缺点在安防问题上不思进取在安防问题上不思进取把不同供应商的组件集成在一起较困难把不同供应商的组件集成在一起较困难11/8/202228电子科技大学成都学院n6.1.6 入侵检测系统的优点和不足入侵检测系

23、统的优点和不足优点优点n能够使现有的安防体系更完善能够使现有的安防体系更完善n能够更好地掌握系统的情况能够更好地掌握系统的情况n能够追踪攻击者的攻击线路能够追踪攻击者的攻击线路n界面友好，便于建立安防体系界面友好，便于建立安防体系n能够抓住肇事者能够抓住肇事者11/8/202229电子科技大学成都学院不足不足n不能够在没有用户参与的情况下对攻击行为展开调不能够在没有用户参与的情况下对攻击行为展开调查查n不能够在没有用户参与的情况下阻止攻击行为的发不能够在没有用户参与的情况下阻止攻击行为的发生生n不能克服网络协议方面的缺陷不能克服网络协议方面的缺陷n不能克服设计原理方面的缺陷不能克服设计原理方面

24、的缺陷n响应不够快时，签名数据库更新不够快。响应不够快时，签名数据库更新不够快。11/8/202230电子科技大学成都学院n6.1.7 入侵检测体系结构入侵检测体系结构集中式结构集中式结构nIDS发展初期，大都采用单一的体系结构，即所有发展初期，大都采用单一的体系结构，即所有的工作包括数据的采集、分析都由单一主机上的的工作包括数据的采集、分析都由单一主机上的单一程序来完成。单一程序来完成。n注意：一些所谓的分布式IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成。n优点：数据的集中处理可以更加准确地分析可优点：数据的集中处理可以更加准确地分析可能的入侵行为能的

25、入侵行为11/8/202231电子科技大学成都学院n缺点：缺点：可扩展性差。在单一主机上处理所有的信可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。据收集常会引起网络数据过载问题。难于重新配置和添加新功能。要使新的设置难于重新配置和添加新功能。要使新的设置和功能生效，和功能生效，IDS通常要重新启动。通常要重新启动。中央分析器是个单一失效点。数据的集中中央分析器是个单一失效点。数据的集中处理使检测主机成了网络安全的瓶颈，若处理使检测主机成了网络安全的瓶颈，若它出现故障或受到攻击，则整个网络的安它出现故障

26、或受到攻击，则整个网络的安全将无从保障。全将无从保障。11/8/202232电子科技大学成都学院分布式结构分布式结构n采用多个代理在网络各部分分别进行入侵检测，并采用多个代理在网络各部分分别进行入侵检测，并且协同处理可能的入侵行为。且协同处理可能的入侵行为。n优点优点:能够较好地实现数据的监听，可以检测内部和能够较好地实现数据的监听，可以检测内部和外部的入侵行为。外部的入侵行为。n缺点：不能完全解决集中式结构的缺点。缺点：不能完全解决集中式结构的缺点。因为当前的网络普遍是分层的结构，而纯分布式因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所的入侵检测要求代

27、理分布在同一个层次，若代理所处的层次太低，则无法检测针对网络上层的入侵；处的层次太低，则无法检测针对网络上层的入侵；反之，则无法检测针对网络下层的入侵。反之，则无法检测针对网络下层的入侵。同时，由于每个代理都没有针对网络数据的整体认识，所同时，由于每个代理都没有针对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对分段等针对IDS的攻击。的攻击。11/8/202233电子科技大学成都学院分层结构分层结构n在树形分层结构中，最底层的代理负责收集所有的在树形分层结构中，最底层的代理负责收集所有的基本信息，然后对这些信

28、息进行简单的处理，并完基本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。特点：所处理的数据量大、成简单的判断和处理。特点：所处理的数据量大、速度快、效率高，但只能坚持某些简单的攻击。速度快、效率高，但只能坚持某些简单的攻击。n中间层代理起承上启下的作用，一方面可以接受并中间层代理起承上启下的作用，一方面可以接受并处理下层节点处理后的数据，一方面可以进行较高处理下层节点处理后的数据，一方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点层次的关联分析、判断和结果输出，并向高层节点进行报告。中间层的加入减轻了中央控制的负担，进行报告。中间层的加入减轻了中央控制的负担，增强了系

29、统的伸缩性。增强了系统的伸缩性。n最高层节点主要负责在整体上对各级节点进行管理最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可根据环境的要求动态调整节和协调，此外，它还可根据环境的要求动态调整节点层次关系，实现系统的动态配置。点层次关系，实现系统的动态配置。11/8/202234电子科技大学成都学院n6.1.8 入侵检测系统的发展入侵检测系统的发展方向：攻击防范技术和更好的攻击识别技术，方向：攻击防范技术和更好的攻击识别技术，即入侵防范技术。即入侵防范技术。优势：优势：n对入侵作出主动的反映对入侵作出主动的反映n不再完全依赖于签名数据库，易于管理不再完全依赖于签名数据库，易于管

30、理n追求的目标是在攻击对系统造成真正危害之前将它追求的目标是在攻击对系统造成真正危害之前将它们化解掉们化解掉n对攻击展开的跟踪调查随时都可以进行对攻击展开的跟踪调查随时都可以进行n极大地改善了极大地改善了IDS系统的易用性，减轻了主机安防系统的易用性，减轻了主机安防在系统管理方面的压力在系统管理方面的压力11/8/202235电子科技大学成都学院6.2 安全审计系统安全审计系统n6.2.16.2.1安全审计的概念及目的安全审计的概念及目的 计计算算机机网网络络安安全全审审计计（Audit）是是通通过过一一定定的的安安全全策策略略，利利用用记记录录及及分分析析系系统统活活动动和和用用户户活活动动

31、的的历历史史操操作作事事件件，按按照照顺顺序序检检查查、审审查查和和检检验验每每个个事事件件的的环环境境及及活活动动，发发现现系系统统的的漏漏洞洞和和入入侵侵行行为为并并改改进进系统的性能和安全。系统的性能和安全。n其中其中系统活动系统活动包括操作系统和应用程序进程的活动；包括操作系统和应用程序进程的活动；n用用户户活活动动包包括括用用户户在在操操作作系系统统中中和和应应用用程程序序中中的的活活动动，如如用用户户使使用用何何种种资资源源、使用的时间、执行何种操作等方面。使用的时间、执行何种操作等方面。安全审计就是对系统的记录与行为进行独立的审查与估计。安全审计就是对系统的记录与行为进行独立的审

32、查与估计。11/8/202236电子科技大学成都学院n目的及意义目的及意义对潜在的攻击者起到重大震慑和警告作用对潜在的攻击者起到重大震慑和警告作用测试系统的控制是否恰当，以便进行调整，保测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致证与既定安全策略和操作协调一致对已发生的破坏行为，作出损害评估并提供有对已发生的破坏行为，作出损害评估并提供有效的灾难恢复依据和追究责任的证据效的灾难恢复依据和追究责任的证据对系统控制、安全策略与规程中特定的改变作对系统控制、安全策略与规程中特定的改变作出评价和反馈，便于修订决策和部署出评价和反馈，便于修订决策和部署为系统管理员提供有价值的系

33、统使用日志，帮为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的助系统管理员及时发现系统入侵行为或潜在的系统漏洞系统漏洞11/8/202237电子科技大学成都学院n安全审计涉及四个基本要素安全审计涉及四个基本要素:控制目标、安全漏洞、控制目标、安全漏洞、控制措施和控制测试。控制措施和控制测试。控制目标控制目标是指企业根据具体的计算机应用是指企业根据具体的计算机应用,结合单位实际制结合单位实际制定出的安全控制要求。定出的安全控制要求。安全漏洞安全漏洞是指系统的安全薄弱环节是指系统的安全薄弱环节,容易被干扰或破坏的地方。容易被干扰或破坏的地方。控制措施控制措施是指企业

34、为实现其安全控制目标所制定的安全控制技术、是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。配置方法及各种规范制度。控制测试控制测试是将企业的各种安全控制措施与预定的安全标准进是将企业的各种安全控制措施与预定的安全标准进行一致性比较行一致性比较,确定各项控制措施是否存在、是否得到执行、确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效对漏洞的防范是否有效,评价企业安全措施的可依赖程度。评价企业安全措施的可依赖程度。11/8/202238电子科技大学成都学院n安全审计的类型安全审计的类型系统级审计系统级审计n登录情况、登录识别号、每次登录尝试的日期和时登录情况、

35、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录间、每次退出的日期和时间、所使用的设备、登录后运行的内容、如用户启动应用的尝试，无论是成后运行的内容、如用户启动应用的尝试，无论是成功还是失败。典型的系统级日志还包括和安全无关功还是失败。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。的信息，如系统操作、费用记账和网络性能。应用级审计应用级审计n打开和关闭数据文件、读取、编辑和删除记录或字打开和关闭数据文件、读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。段的特定操作以及打印报告之类的用户活动。用户级审计用户级审计n用户直接启

36、动的所有命令、用户所有的鉴别和认证用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。尝试、用户所访问的文件和资源等方面。11/8/202239电子科技大学成都学院n安全审计系统基本结构安全审计系统基本结构系统事件系统事件安全事件安全事件应用事件应用事件网络事件网络事件其他事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器审计发生器审计发生器审计发生器审计发生器审计发生器日志日志记录器记录器日志日志分析器分析器审计分析报告审计分析报告日志日志文件文件审计策略审计策略和规则和规则11/8/202240电子科技大学成都学院n6.2.2 安全审计系统特点安全审

37、计系统特点细粒度的网络内容审计细粒度的网络内容审计全面的网络行为审计全面的网络行为审计综合流量分析综合流量分析11/8/202241电子科技大学成都学院n6.2.3 价值体现价值体现对于不同的审计对象有不同的审计重点：对于不同的审计对象有不同的审计重点：n对网络设备的安全审计对网络设备的安全审计n对服务器的安全审计对服务器的安全审计n对用户电脑的安全审计对用户电脑的安全审计n对数据库的安全审计对数据库的安全审计n对应用系统的安全审计对应用系统的安全审计n对网络安全设备的安全审计对网络安全设备的安全审计11/8/202242电子科技大学成都学院n6.2.4 技术分类技术分类日志安全审计日志安全审

38、计n收集日志，进行统一管理、分析和报警。收集日志，进行统一管理、分析和报警。主机安全审计主机安全审计n通过在服务器、用户电脑或其他审计对象中安装客通过在服务器、用户电脑或其他审计对象中安装客户端的方式来审计，可达到审计安全漏洞、审计合户端的方式来审计，可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。外拷贝文件行为、监控用户非工作行为等目的。网络安全审计网络安全审计n通过旁路和串接的方式实现对网络数据包的捕获，通过旁路和串接的方式实现对网络数据包的捕获，而且进行协议分析和还原，可达到设计服

39、务器、用而且进行协议分析和还原，可达到设计服务器、用户电脑、数据库、应用系统的安全漏洞、合法和非户电脑、数据库、应用系统的安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。工作行为等目的。11/8/202243电子科技大学成都学院n6.2.5 安全审计系统体系结构安全审计系统体系结构日志收集代理日志收集代理主机审计客户端主机审计客户端主机审计服务器端主机审计服务器端网络审计客户端网络审计客户端网络审计服务器网络审计服务器网络安全审计中心网络安全审计中心11/8/202244电子科技大学成都学院n6.2.6 网络安全审计技术

40、的发展趋势网络安全审计技术的发展趋势体系化体系化控制化控制化智能化智能化11/8/202245电子科技大学成都学院1、每一个成功者都有一个开始。勇于开始，才能找到成功的路。11月-2211月-22Tuesday,November 8,20222、成功源于不懈的努力，人生最大的敌人是自己怯懦。16:22:5016:22:5016:2211/8/2022 4:22:50 PM3、每天只看目标，别老想障碍。11月-2216:22:5016:22Nov-2208-Nov-224、宁愿辛苦一阵子，不要辛苦一辈子。16:22:5016:22:5016:22Tuesday,November 8,20225、

41、积极向上的心态，是成功者的最基本要素。11月-2211月-2216:22:5016:22:50November 8,20226、生活总会给你另一个机会，这个机会叫明天。08 十一月 20224:22:50 下午16:22:5011月-227、人生就像骑单车，想保持平衡就得往前走。十一月 224:22 下午11月-2216:22November 8,20228、业余生活要有意义，不要越轨。2022/11/8 16:22:5016:22:5008 November 20229、我们必须在失败中寻找胜利，在绝望中寻求希望。4:22:50 下午4:22 下午16:22:5011月-2210、一个人的梦想也许不值钱，但一个人的努力很值钱。11/8/2022 4:22:50 PM16:22:5008-11月-2211、在真实的生命里，每桩伟业都由信心开始，并由信心跨出第一步。11/8/2022 4:22 PM11/8/2022 4:22 PM11月-2211月-22谢谢大家谢谢大家