PDF《景波,刘莹,陈耿》

(一)取证数据源 取证信息源主要分为防火墙信息、 入侵检测 信息、 网络设备日志、 数据库日志以及基于 Net Flow 技术的网络异常行为日志和主机数据.上 述信息均来自经公安部认证的网络安全产品.主 机数据来自于用户习惯信息、 操作系统审计日志、 系统日志和应用程序日志.其中, 用户习惯信息 是指因为用户使用习惯留下的痕迹;

操作系统审 计日志是由操作系统软件内部的专门审计子系统 产生的, 它记录当前系统的活动信息, 并将这些信 息按照时间顺序组织成为一个或多个审计文件;

系统日志是指系统使用日志机制记录主机发生的 事件;

应用程序日志可以反映系统活动的较高层 次信息, 它是用户级别的系统活动抽象信息.

(二)数据分析模型 持续审计模型中事件分析模块的目的有两个: 一是提供有关网络运行情况的统计及查询;

二是对 统计结果进行数据挖掘, 作进一步的分析计算, 以 生成相应的审计发现模型.系统构成如图3 所示. 图3 数据分析模型 网络运行情况的统计及查询采用基于统计的 数据分析, 并提供在线实时访问.系统将原始数 据以小时为单位, 按协议类型(TCP、 UDP、 ICMP 等) 、 源地址/ 端口、 目的地址/ 端口等进行流量统 计并记录统计结果, 以便于数据挖掘分析和建立 数据仓库. 对统计结果进行数据挖掘时, 系统主要分析 数据的关联性和潜在的行为趋势.该阶段分析将 决定系统对实际网络环境的适应程度和系统的自 学习能力.它将提取出的行为特征反馈到审计规 则中来修正数据采集层的活动.在数据分析层 中, 数据仓库是数据和模型的存储中心, 它多层的 存储结构能够有力支持复杂运算和海量存储, 而 联机分析处理(OLAP)可以对多维的数据进行有 效的分析处理和趋势发现. ―

0 6 ― 目前常用的分析方法有以下五种: 1. 基于统计模型的检测分析方法.统计模 型中常用参数包括审计事件的数量、 间隔时间、 资 源消耗情况等;

可用于检测分析的典型统计模型 有操作模型、 均值和标准差模型、 多元模型、 马尔 柯夫过程模型等. 2. 基于人工神经网络的检测分析方法.神 经网络具有自适应、 自组织和自学习的能力, 可以 处理一些环境信息十分复杂、 背景知识不清楚的 问题.在采用统计处理方法很难达到高效准确的 检测要求时, 系统可以构造智能化的基于神经网 络的检测分析器. 3. 基于专家系统的检测分析方法.与运用 统计方法与神经网络的方法不同, 用专家系统对 网络行为进行审计主要是针对有特征的违规行 为.所谓的规则即是知识.专家系统的建立依赖 于知识库的完备性, 而知识库的完备性又取决于 审计记录的完备性与实时性.违规行为的特征抽 取与表达, 是专家系统检测分析的关键. 4. 基于........