专利名称:基于动态审计域模型的协同安全强审计及态势评估系统的制作方法
技术领域:
本发明专利属于信息应用技术领域,尤其是涉及ー种对全网络审计及安全态势评·估的系统。
背景技术:
随着网络逐渐深入社会生活的各个层面,它已经成为国家、社会正常运行的重要基础设施,如何保证网络的运行安全是ー个重要研究方向。从审计及安全态势评估的角度来看,确定网络当前及未来的安全状况,不仅可以在日常网络维护中帮助网络管理人员有效地发现网络中存在的各种问题、瓶颈,更能在关键时刻为网络安全管理人员做出正确决策提供重要的依据。因此,在网络安全领域开展审计及安全态势评估研究具有十分重要的意义。· 发明专利内容本发明专利所要解决的技术问题在于对于透过防火墙进入网络系统的各种访问,建立快速准确的审计机制,并对整个系统的安全态势进行分析和评估,为预警定位和电子取证提供基础。为解决上述问题,本发明专利采用的技术方案是审计单元与IDS、Firewall和Honeypot间的联动技术、日常分析审计、实时分析审计。上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是联动技术,IDS,Fireffall和Honeypot相互联动、协同工作,为审计提供必要的信息;IDS、Firewall和Honeypot向审计单元提供个自的日志信息,经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励,以保证其功能的正常运行。日常分析审计审计各种日志文件、关键文件的签名、HoneyPot、IDS的记录信息等;实时分析审计审计HoneyPot、IDS的实时记录信息,登陆用户信息及其启动进程运行情况、系统调用情况、操作命令等信息,建立日志。上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是审计域的动态规划模型审计域(安全域)是指审计单元所能覆盖网络拓扑的最小単元,系统被定义为一系列审计域的组合,各个域之间具有边界。安全审计域规划模型可以从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。审计域分布图的作用不仅在于对审计节点的分布做出规划,对于防御节点的布局也具有同样的指导作用。当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大規模蠕虫病毒的传播。上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是安全状态评估模型在有大量噪声的审计结果中准确的对网络安全状态进行评估,我们提出了基于模糊推理的综合审计模型。该模型建立在现有任何一种检测器之上,对多个检测器的输出进行综合审计从而对网络的安全状态做出评估。
3
本发明专利与现有技术相比具有以下优点审计域的动态规划模型,当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大規模蠕虫病毒的传播。提高审计的准确率。
图I为事件协同审计体系结构
图2为对登录及文件的完整性进行监控结构
图3为IDS数据审计结构流程
图4-1为安全状态评估模型布局4-2为安全状态评估模型中模糊处理过程图4-3为安全状态评估模型中论域的模糊划分
具体实施例方式如图3所示,IDS的数据是从Mysql数据库中提取的,提取后对其进行必要的预处理过程,然后将能够用于电子取证的数字特征发给电子取证代理。当预处理过程结束后保留必要的特征值函数,然后将特征值函数作为安全状态评估模型的输入发送给评估函数。预处理的最終結果将作为流审计的状态值进入审计过程。如图4-1所示,安全状态评估模型模型为分布式运行,通过多个检测器对网络数据进行初歩的审计,然后将审计结果传递给推理器进行进一歩审计过程,最后将审计结果保存并输出。模型中的检测器可以是现在使用的任何一种检测器。它们采集网络数据并使用其本身自己的匹配规则对网络数据进行处理。当产生警报信息吋,将报警信息作为输入传递给预处理器。预处理器对报警信息进行必要的预处理。在本模型中主要是将收集到的报警信息模糊化为推理器的输入。规则库中保存预先设定好的模糊规则。当有模糊数据输入时推理器从规则库中提取规则对输入数据进行处理。当计算结果为合理结果时将推理结果输出到用户界面,并保存到结论库中。如图4-2所示,模糊化过程指的是将输入的输入空间的值映射为输入论域上的模糊集合,当输入參考数据时,系统自动模糊化并且从规则库中提取规则对输入数据进行处理,再将合理清晰的结果输出。如图4-3所示,论域划分为五部分小SM(Small);较小MS(Medium Small);中等ME(Medium);较大MB (Medium Big)和大BI (Big)。当模糊化结束后,输入的值就被处理为形如A(al, a2, a3, a4, a5)的模糊集。根椐上述定义了如下的模糊规则(I)如果入侵的范围中等且内部入侵较多且外部入侵较少则网络的安全状态较低;(2)如果入侵的范围较大且内部入侵较少且外部入侵较多则网络的安全状态较低;(3)如果入侵的范围中等且内部入侵较少且外部入侵较少则网络的安全状态中等;当上述这些规则定义出之后,应用前面介绍的复合模糊蕴含规则合成原理可以将
4上述规则和成为ー个5X5的模糊关系矩阵。而且模糊推理的运算过程可以直接得到结论不需要查找等步骤,大大缩减了规则存放空间,降低了计算开销。综上所述,实际工作过程中,图2图3图4-1图4-2图4_3在发挥每个模块的作用的同时,每个模块协同工作,形成了图I-一套网络审计及安全态势评估的系统系统。以上所述,仅是本发明专利的较佳实施例,并非对本发明专利作任何限制,凡是根据本发明专利技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明专利技术方案的保护范围内。
权利要求
1.基于动态审计域模型的协同安全强审计及态势评估系统,针对原有的审计模型很容易因为网络的逻辑拓扑遭到攻击而使审计的准确率降低,甚至审计失败。此系统提出了审计域的动态规划模型。其特征从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大規模蠕虫病毒的传播。
2.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于对主机用户登陆审计针对主机用户的登陆时间进行审计,对主机用户的登陆时间进行了限制,当发现用户在非正常时间段内登陆则进行记录;关键文件监控实现对重要文件修改的监控,保证了重要文件的完整性,对关键文件的监控有助于我们对入侵的目的有更加清楚的了解,我们对于关键文件的监控是有别于一般监控措施的,我们只对文件内容的删除、修改以及非尾部的添加进行监控,这样的原因是在于能更好的对日志类文件进行监控,減少不必要误报,关键文件的监控同时也为协同事故恢复提供必要的特征激励,同时对主机用户登陆和关键文件进行监控是非常有必要的。
3.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于IDS数据审计=IDS数据审计主要是流审计以及为安全状态评估和电子取证提供必要的数据和特征激励,IDS的数据是从Mysql数据库中提取的,提取后对其进行必要的预处理过程,然后将能够用于电子取证的数字特征发给电子取证代理,当预处理过程结束后保留必要的特征值函数,然后将特征值函数作为安全状态评估模型的输入发送给评估函数,预处理的最終結果将作为流审计的状态值进入审计过程。
4.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于联动技术一审计单元与IDS、Fireffall和Honeypot之间的相互联动、协同工作,主要目的是为审计提供必要的信息。IDS、Firewall和Honeypot向审计单元提供个自的日志信息,经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励,以保证其功能的正常运行。全文摘要
基于动态审计域模型的协同安全强审计及态势评估系统,是对于透过防火墙进入网络系统的各种访问,建立快速准确的审计机制,通过日常分析审计、实时分析审计、审计单元与IDS、Firewall和Honeypot间的联动技术,对整个系统安全态势进行分析和评估,为后面的入侵检测和电子取证提供基础。基于动态审计域模型的协同安全强审计及态势评估系统告别了以往每天的海量的、重复的、误报率高的告警信息,可以系统化、自动化地对网络运行情况进行安全态势量化评估,实现对网络安全信息智能、精确分析,使得网络管理员对主机及网络的安全态势有宏观的了解,及时调整系统安全策略,提高系统安全性能。
文档编号G06F21/56GK102915420SQ20111022170
公开日2013年2月6日 申请日期2011年8月3日 优先权日2011年8月3日
发明者郑玉山, 邓正宏, 夏杰 申请人:西安秦码软件科技有限公司