基于映射表的通用安全审计策略定制方法

文档序号:6342867阅读:189来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:基于映射表的通用安全审计策略定制方法
技术领域
本发明涉及的是一种安全审计策略定制方法,具体是一种基于映射表的通用安全审计策略定制方法。属于计算机技术领域。
背景技术
互联网的迅速发展为企业之间、行业之间乃至全世界的沟通都变得更加便利。与此同时,黑客正在利用网络技术的脆弱性展开越来越猛烈的攻击,并且随着各国对互联网与信息化依赖程度的不断加深,这种攻击所造成的后果将更为严重。然而,要想使各种网络安全设备有效的发挥作用,不能单纯依靠网络安全设备的部署,安全策略是指导系统有效运行的一个重要因素,安全策略制定的是否全面、符合实际应用情况将直接关系着网络系统防护作用的发挥。
安全审计系统作为网络安全防护体系中的一个重要组成部分,能够记录和分析在被监控对象中进行的各种活动,根据一定的安全策略识别已发生的和潜在的违规事件。通常的安全审计系统的处理方法主要包括三个处理环节规则配置、数据采集、规则匹配。规则配置是根据系统包含的规则模板设置审计规则,形成规则库;数据采集是根据规则采集相应的审计数据;规则匹配是将采集的审计数据与规则库中的审计规则进行匹配,如果发现某个数据与某条规则吻合,则根据该条规则设定的响应机制采取相应的处理措施。经检索发现,美国CA公司于2001年推出的一款安全审计工具eTrust Audit V1.5,(从发布至今一直在作改进,但基本原理不变)首先由用户根据系统提供的模式识别配置模板,预先定制和配置一系列的安全标准,系统将收集上来的系统审计信息存放于一个单独的数据库中,并将这些审计信息与预先设置的安全策略进行模式匹配,如果检测到与某种模式相匹配的事件,将会根据配置自动触发相应的一系列操作,由此实现对各类安全事件的监控与管理。
但该技术方案采用的基于固定模板配置出的安全策略千篇一律,很难满足的新的安全需求,导致这类产品适用范围较小,扩展性较差。而且,目前用户对于审计系统的需求是要实现跨平台、多层次的审计系统,审计数据的获取需要采用多种方式,通过多种渠道来获取审计数据,采用不同的方式获取审计数据所需要的安全审计策略的结构和内容都不同的,采用传统的固定模板来定制安全审计策略往往不能实现通用性要求,因此也造成了多种审计产品各自为战、分别采用独立的安全策略定义界面。

发明内容
本发明主要针对现有安全审计产品在安全策略配置上过于局限的这一缺陷,提供一种基于映射表的通用安全审计策略定制方法,使其建立一套严密合理的安全策略,保障安全审计系统有效发挥作用。
本发明是通过以下技术方案实现的,本发明方法如下当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项。然后为这些审计事件定义相应的审计策略,其中包括定义审计策略的基本信息、定义审计策略的参数项、定义审计策略与审计事件之间的映射关系,为审计策略参数项赋值,形成“审计策略数据表”。审计事件和审计策略的参数项定义既包括通用参数项的定义,还可以针对每类安全策略和安全事件的特性分别定义特殊的参数项。审计事件/策略的通用参数项的定义和赋值都记录在审计事件/策略数据表中,特殊参数项独立定义在审计/事件策略特定参数定义表中,通过设置预留字段在审计事件/策略数据表中为审计策略和审计事件的特殊参数项提供必需的存储空间。审计事件和审计策略定义完成后,形成自定义的XML格式的审计策略配置文件,将审计策略下发到相应的审计代理。对于从监控环境中接收到的安全事件,审计代理要将这些安全事件与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
采用本发明可以实现以下目标(1)可以用于构建统一的安全审计平台,集成各类安全审计产品,可以通过统一的界面为不同的安全审计产品定制安全审计策略。(2)可以兼容将来出现的新的安全审计产品和技术所需要的安全审计策略。(3)根据本发明定义的标准格式设计的安全审计产品和模块可以直接集成到统一安全审计平台,实现新的安全审计功能。(4)用户可以根据自身应用的需求定制与应用相关的安全审计策略,实现应用层审计功能。
以下对本发明方法作进一步的说明,本发明方法的具体流程如下1.定义审计事件的基本信息和特征参数项(1)定义审计事件类型的基本信息由于不同安全事件的审计策略侧重点千差万别,因此审计策略的制定首先应明确具体是针对何种事件类型,这种事件包括哪些可能的正常操作和违规操作行为,以及由这些行为产生的结果。这部分信息定义在审计事件类型表中,该表格具体格式定义如下审计事件类型表

其中“事件处理优先级”字段,用数字由小到大表示处理的优先级由高到低。
审计事件类型表中的“特定参数个数”字段可以由用户根据实际需要定义每个安全事件所需特殊定义的配置参数项个数。
在每类审计事件中,通常会由于各种不同的行为层层派生出很多事件,比如网络传输监控安全事件包括来自外部的非法网络连接事件和主机发起的非法网络连接事件两大类,来自外部的非法网络连接事件包括对标准端口的违规访问、对非标准端口的违规访问、来自外部的正常网络访问事件;主机发起的非法网络连接事件包括访问被禁站点、使用被禁协议、非法进程发起的对外连接、主机发起的正常访问连接事件等。
本发明方法中将所有审计事件分为四个层次等级表示。审计事件类型表中的“事件类型级别”字段描述了每个事件树状结构中所属的级别,“事件类型所属的n级类别”字段中描述了每个事件在其所属级别中的标识序号或者是该事件的上级事件在对应所属级别中的标识序号。
(2)定义审计事件具体的参数项对于每类审计事件,在本发明的技术方案中预先为其设定一些通用的参数项,这些通用的参数项涵盖了各类事件的基本信息,适用于所有安全事件。审计事件通用参数项包括主体定义、客体定义、时间定义和响应定义。
其中主体指审计事件的发起端,主体定义包括主体主机IP、主体主机名、主体主机MAC、主体用户帐号、主体进程名、主体源端口。客体指审计事件的目的端,客体定义包括客体主机IP、客体主机名、客体主机MAC、客体服务名称、客体进程名称、客体文件/目录名称、客体目的端口。时间定义包括审计事件上报时间、审计事件的开始时间、审计事件的结束时间。响应定义描述的是各种响应类型。审计事件的通用参数项设置在“审计事件数据表”中,“审计事件数据表”的格式在下面将具体描述。
此外,如果系统默认的通用参数项无法满足对新类别审计事件描述的要求,在本发明中还可以为每类审计事件定制特殊参数项。审计事件特殊参数项的信息定义在“审计事件特定参数定义表”中,该表的具体格式如下审计事件特定参数定义表

2.为新增的审计事件定义相应的审计策略(1)定义审计策略的基本信息审计事件确定之后,要为其定制相应的审计策略。审计策略的基本信息定义在“审计策略类型表”中,具体格式如下审计策略类型表

由于每种审计代理对应不同类别的安全事件,因此对每种审计代理实施的审计策略也不相同。在“审计策略类型表”中,定义了审计代理与策略类型之间的对应关系。其中“策略特定参数个数”字段标识了每类审计策略需要特殊定义的参数项个数。
(2)定义审计策略具体的参数项对每类审计策略,在本发明的技术方案中预先为其设定一些通用的参数项,这些通用的参数项主要描述的是每条策略生效的具体时间段、策略的授权用户以及该策略的状态,如是否启用、是否删除等信息。审计策略的通用参数项设置在“审计策略数据表”中,具体格式见“审计策略数据表”。
此外,与审计事件的特定参数相对应,对于每类审计策略,本发明也可以为每类审计策略定制特殊参数,以满足不同审计策略的特殊需求。审计策略的特殊参数定义在“审计策略特定参数定义表”中,具体格式如下审计策略特定参数定义表

(3)定义审计策略与审计事件之间的映射关系每类审计策略可能会对应多个审计事件,因此在审计事件与审计策略信息建立好后,需要在“审计策略-审计事件映射表”中标识出二者之间的关联映射关系。具体格式如下审计策略-审计事件映射表

(4)为设置审计策略参数项赋值,形成“审计策略数据表”根据上述审计策略参数项的定义,对每类策略各个参数项赋予不同的参数值,即可形成多条具体的审计策略。审计策略的具体数值记录在“审计策略数据表”中,格式如下审计策略数据表

3.形成审计策略配置文件,下发审计策略当新的审计策略定制完成之后,本发明将审计策略数据表和审计策略特定参数定义表中各个代表审计策略基本特征的字段作为审计策略配置文件的标签和属性,形成XML文件格式的审计策略配置文件,下发给部署在各处的审计代理。
审计策略配置文件的具体格式如下<?xml version=″1.0″?>
<审计代理策略>
<审计代理类型 审计代理标识号=″″>
<审计策略 策略标识号=″″策略类型标识号=″″事件类型标识号=″″策略类型优先级=″″策略生效时间=″″响应类型=″″策略授权用户=″″>
<策略特定参数 策略特定参数标识号=″″策略特定参数值=″″/>
……<策略特定参数 策略特定参数标识号=″″策略特定参数值=″″/>
</审计策略>
</审计代理类型>
……</审计代理策略>
其中,根元素命名为“审计代理策略”,它包括一个子元素“审计代理类型”,“审计代理类型”的属性为“审计代理”。“审计代理类型”又包括一个子元素“审计策略”,“审计策略”包括七个属性,分别是“策略标识号”、“策略类型标识号”、“事件类型标识号”、“策略类型优先级”、“策略生效时间”、“响应类型”、“策略授权用户”。“审计策略”又包括一个子元素“策略特定参数”,“策略特定参数”包括两个属性,分别是“策略特定参数标识号”和“策略特定参数值”。这些属性分别取自审计策略数据表和审计策略特定参数定义表中的各个字段,代表了审计策略的基本特征。
4.策略匹配,形成审计事件数据表审计代理在接收到新的审计策略之后,审计代理将收集到的审计数据与新定制的策略进行匹配,上报对应新规则产生的安全事件,由审计事件数据表记录审计代理上报上来的各个审计事件的具体信息,作为日后取证的依据。审计事件数据表的格式如下审计事件数据表

本发明具有实质性特点和显著进步,利用通用参数项与特殊参数项定义与赋值相分离的结构设计,以及扩展性强、并具有自解释特性的XML格式的审计策略配置文件,提供了一种数据格式可自定义的策略配置方法,能够在不改变原有系统的条件下为不同种类的安全事件定制审计策略,满足了多样化的安全需求,具有较好的可扩展性。
具体实施例方式
假定为原审计系统新增两种类型的安全审计事件,一种是“文件操作类审计事件”,另一种是“重要进程监控类审计事件”。下面以这两种新类型安全事件的审计策略配置为例,本发明方法对不同种类安全事件策略定制的具体实施方式
如下(1)定义“审计事件类型表”信息首先应分析文件操作类审计事件和重要进程监控类审计事件分别包含哪些具体的审计事件,分析结果如下文件操作类审计事件包括本地违规访问、通过网络的违规访问和正常文件访问三大类事件。本地违规访问事件包括对系统文件/目录的违规访问、对业务文件/目录的违规访问、重要的本地文件操作;通过网络的违规访问事件包括对系统文件/目录的违规远程访问、对业务文件/目录的违规远程访问、对重要文件的违规远程访问。
重要进程监控类审计事件包括重要进程异常退出、重要进程正常运行、正常的进程启动、其它进程监控信息等四种事件。
由上述分析结果,确定“审计事件类型表”的数据(假设原系统共包含事件N-1个,其中一级事件N1-1个)


(2)定义“审计事件特定参数定义表”信息

注属于同一类别的审计事件包含的特定参数是一样的,因此仅在“审计事件特定参数定义表”中标注出每类事件的一级事件所包含的特定参数,通过“审计事件类型表”中“事件类型所属的1级类别”字段与审计事件特定参数定义表”中“事件类型标识号”字段的映射,即可得到所有事件的特定参数信息。
(3)定义“审计策略类型表”信息根据审计事件类型特征,制定对应的审计策略。(假设原系统共包含M-1种类型的审计代理,共包含R-1种类型的审计策略,假设这两类新增的审计事件需要两类不同的审计代理实现。)

(4)定义“审计策略特定参数定义表”信息


(5)定义“审计策略—审计事件映射表”确定审计策略类型与审计事件类型之间的对应关系。

(6)为每类策略的各个参数项赋值,将具体的审计策略(假设原系统共有r-1条具体的审计策略)填入“审计策略数据表”假设我们为“文件操作类审计事件”定制两条策略■当User1在周一至周五之间,如果对“D\Program Files\app1”这个业务进行读写操作时,系统报警■当User1在周一至周五之间,如果通过网络远程对“C\WINNT”下的任何文件进行读写操作时,系统阻断同样,对“重要进程监控类审计事件”也定制两条策略
■当用户Guest在周一至周五之间,将系统进程“Services.exe”退出时,系统报警■当用户Administrator在周一至周五之间,将系统进程“Services.exe”正常启动时,系统忽略

(7)形成审计策略配置文件,下发审计策略将“审计策略数据表”中对应字段的数据作为标签值填写到审计策略配置文件的各个对应标签中。
<?xml version=″1.0″?>
<审计代理策略>
<审计代理类型 审计代理标识号=″M″>
<审计策略 策略标识号=″r″策略类型标识号=″R″事件类型标识号=″N+3″策略类型优先级=″H″策略生效时间=″12345″响应类型=″1″策略授权用户=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″D\Program Files\app1″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″User1″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″test.exe″/>
<策略特定参数 策略特定参数标识号=″4″策略特定参数值=″R&W″/>
</审计策略>
<审计策略 策略标识号=″r+1″策略类型标识号=″R″事件类型标识号=″N+6″策略类型优先级=″H″策略生效时间=″12345″响应类型=″2″策略授权用户=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″C\WINNT″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″User1″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″test.exe″>
<策略特定参数 策略特定参数标识号=″4″策略特定参数值=″R&W″/>
</审计策略>
</审计代理类型>
<审计代理类型 审计代理标识号=″M+1″>
<审计策略 策略标识号=″r+2″策略类型标识号=″R+1″事件类型标识号=″N+11″策略类型优先级=″H″策略生效时间=″12345″响应类型=″1″策略授权用户=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″Guest″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″Services.exe″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″Exit″/>
</审计策略>
<审计策略 策略标识号=″r+3″策略类型标识号=″R+1″事件类型标识号=″N+13
″策略类型优先级=″L″策略生效时间=″12345″响应类型=″3″策略授权用户=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″Administrator″>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″Services.exe″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″Start″/>
</审计策略>
</审计代理类型>
</审计代理策略>
(8)策略匹配,形成“审计事件数据表”(假设原系统已包含A-1条审计数据)根据策略配置文件的设置规则,审计代理对收集到的数据进行规则匹配,将匹配结果记录在“审计事件数据表”中。假设在采集到的审计数据中发现■用户User1对D\Program Files\app1文件进行了读操作■用户Guest在周一将Services.exe进程非法退出

由上述两类审计事件的策略配置过程可以看出,对于不同安全需求、策略配置参数定义结构完全不相同的两类审计事件,应用本发明中提出的策略配置方法,都可以灵活的完成相应的策略配置。
权利要求
1.一种基于映射表的通用安全审计策略定制方法,其特征在于,具体方法如下当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项,然后为这些审计事件定义相应的审计策略,其中包括定义审计策略的基本信息、定义审计策略的参数项、定义审计策略与审计事件之间的映射关系,为审计策略参数项赋值,形成审计策略数据表;审计事件和审计策略的参数项定义既包括通用参数项的定义,还针对每类安全策略和安全事件的特性分别定义特殊的参数项,审计事件和审计策略的通用参数项的定义和赋值都分别记录在审计事件数据表和审计策略数据表中,特殊参数项分别独立定义在审计事件特定参数定义表和审计策略特定参数定义表中,通过设置预留字段在审计事件数据表和审计策略数据表中为审计策略和审计事件的特殊参数项提供必需的存储空间;审计事件和审计策略定义完成后,形成自定义的XML格式的审计策略配置文件,将审计策略下发到相应的审计代理,对于从监控环境中接收到的安全事件,审计代理将这些安全事件与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
2.根据权利要求1所述的基于映射表的通用安全审计策略定制方法,其特征是,方法的流程如下(1)定义审计事件的基本信息和特征参数项①定义审计事件类型的基本信息审计策略的制定首先应明确具体是针对何种事件类型,这种事件包括哪些可能的正常操作和违规操作行为,以及由这些行为产生的结果,这部分信息定义在审计事件类型表中;②定义审计事件具体的参数项对于每类审计事件,预先为其设定一些通用的参数项,这些通用的参数项涵盖了各类事件的基本信息,适用于所有安全事件;审计事件通用参数项包括主体定义、客体定义、时间定义和响应定义;其中,主体指审计事件的发起端,主体定义包括主体主机IP、主体主机名、主体主机MAC、主体用户帐号、主体进程名、主体源端口,客体指审计事件的目的端,客体定义包括客体主机IP、客体主机名、客体主机MAC、客体服务名称、客体进程名称、客体文件/目录名称、客体目的端口,时间定义包括审计事件上报时间、审计事件的开始时间、审计事件的结束时间,响应定义描述的是各种响应类型,审计事件的通用参数项设置在“审计事件数据表”中;或者为每类审计事件定制特殊参数项,审计事件特殊参数项的信息定义在“审计事件特定参数定义表”中;(2)为新增的审计事件定义相应的审计策略①定义审计策略的基本信息审计事件确定之后,要为其定制相应的审计策略,审计策略的基本信息定义在“审计策略类型表”中;②定义审计策略具体的参数项对每类审计策略,预先为其设定一些通用的参数项,这些通用的参数项主要描述的是每条策略生效的具体时间段、策略的授权用户以及该策略的状态,审计策略的通用参数项设置在“审计策略数据表”中;与审计事件的特定参数相对应,对于每类审计策略,也为每类审计策略定制特殊参数,审计策略的特殊参数定义在“审计策略特定参数定义表”中;③定义审计策略与审计事件之间的映射关系,二者之间的关联映射关系,具体格式如下审计策略—审计事件映射表策略类型标识号、事件类型标识号,④为设置审计策略参数项赋值,形成“审计策略数据表”,根据上述审计策略参数项的定义,对每类策略各个参数项赋予不同的参数值,即形成多条具体的审计策略,审计策略的具体数值记录在“审计策略数据表”中;(3)形成审计策略配置文件,下发审计策略当新的审计策略定制完成之后,将审计策略数据表和审计策略特定参数定义表中各个代表审计策略基本特征的字段作为审计策略配置文件的标签和属性,形成XML文件格式的审计策略配置文件,下发给部署在各处的审计代理;(4)策略匹配,形成审计事件数据表审计代理在接收到新的审计策略之后,审计代理将收集到的审计数据与新定制的策略进行匹配,上报对应新规则产生的安全事件,由审计事件数据表记录审计代理上报上来的各个审计事件的具体信息,作为日后取证的依据。
3.根据权利要求1或2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件类型表,具体格式定义如下审计事件类型表为事件类型标识号、事件类型名称、事件处理优先级、事件特定参数个数、事件类型级别、事件类型所属的1级类别、事件类型所属的2级类别、事件类型所属的3级类别、事件类型所属的4级类别,其中“事件处理优先级”字段,用数字由小到大表示处理的优先级由高到低;审计事件类型表中的“特定参数个数”字段由用户根据实际需要定义每个安全事件所需特殊定义的配置参数项个数;所有审计事件分为四个层次等级表示,审计事件类型中的“事件类型级别”字段描述了每个事件树状结构中所属的级别,“事件类型所属的n级类别”字段中描述了每个事件在其所属级别中的标识序号或者是该事件的上级事件在对应所属级别中的标识序号。
4.根据权利要求1所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件特定参数定义表,具体格式如下审计事件特定参数定义表事件类型标识号、事件特定参数标识号、事件特定参数名称、事件特定参数类型。
5.根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略类型,其具体格式如下审计策略类型审计代理标识号、策略类型标识号、策略类型名称、策略特定参数个数,其中,定义了审计代理与策略类型之间的对应关系,其中“策略特定参数个数”字段标识了每类审计策略需要特殊定义的参数项个数。
6.根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略特定参数定义表,具体格式如下审计策略特定参数定义表策略类型标识号、策略特定参数标识号、策略特定参数名称、策略特定参数类型。
7.根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略数据表,其具体格式如下审计策略数据表策略标识号、策略类型标识号、审计代理标识号、事件类型标识号、策略类型优先级、策略生效时间、响应类型、策略特定参数1、策略特定参数2、……、策略特定参数N、策略授权用户、策略是否启动、策略是否删除。
8.根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件数据表,其具体格式如下审计事件数据表审计事件记录标识号、事件类型标识号、策略标识号、审计代理标识号、事件处理优先级、事件进行状态、主体定义、客体定义、时间定义、响应类型、事件特定参数1、事件特定参数2、……、事件特定参数N。
全文摘要
一种基于映射表的通用安全审计策略定制方法。属于计算机技术领域。方法如下当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项,然后为这些审计事件定义相应的审计策略,为审计策略参数项赋值,形成审计策略数据表;审计事件和审计策略的参数项定义包括通用参数项的定义,还针对每类安全策略和安全事件的特性分别定义特殊的参数项;审计事件和审计策略定义完成后,形成自定义的XML格式审计策略配置文件,将审计策略下发到相应的审计代理,对于从监控环境中接收到的安全事件,审计代理将其与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
文档编号G06F17/30GK1561035SQ20041001642
公开日2005年1月5日 申请日期2004年2月19日 优先权日2004年2月19日
发明者张世远, 吴珺, 郭巍, 廖健, 廖志成 申请人:上海复旦光华信息科技股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张世远;吴珺;郭巍;廖健;廖志成
  • 技术所有人:上海复旦光华信息科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2