[发明专利]基于动态审计域模型的协同安全强审计及态势评估系统

权利要求书

1.基于动态审计域模型的协同安全强审计及态势评估系统，针对原有的审计模型很容易因为网络的逻辑拓扑遭到攻击而使审计的准确率降低，甚至审计失败。此系统提出了审计域的动态规划模型。其特征：从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。当某一审计域中出现攻击事件的情况下，只需将与其相连的审计域边界(即割点)进行封闭，即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。

2.基于动态审计域模型的协同安全强审计及态势评估系统，其特征在于：对主机用户登陆审计：针对主机用户的登陆时间进行审计，对主机用户的登陆时间进行了限制，当发现用户在非正常时间段内登陆则进行记录；关键文件监控实现对重要文件修改的监控，保证了重要文件的完整性，对关键文件的监控有助于我们对入侵的目的有更加清楚的了解，我们对于关键文件的监控是有别于一般监控措施的，我们只对文件内容的删除、修改以及非尾部的添加进行监控，这样的原因是在于能更好的对日志类文件进行监控，减少不必要误报，关键文件的监控同时也为协同事故恢复提供必要的特征激励，同时对主机用户登陆和关键文件进行监控是非常有必要的。

3.基于动态审计域模型的协同安全强审计及态势评估系统，其特征在于：IDS数据审计：IDS数据审计主要是流审计以及为安全状态评估和电子取证提供必要的数据和特征激励，IDS的数据是从Mysql数据库中提取的，提取后对其进行必要的预处理过程，然后将能够用于电子取证的数字特征发给电子取证代理，当预处理过程结束后保留必要的特征值函数，然后将特征值函数作为安全状态评估模型的输入发送给评估函数，预处理的最终结果将作为流审计的状态值进入审计过程。

4.基于动态审计域模型的协同安全强审计及态势评估系统，其特征在于：联动技术--审计单元与IDS、FireWall和Honeypot之间的相互联动、协同工作，主要目的是为审计提供必要的信息。IDS、Firewall和Honeypot向审计单元提供个自的日志信息，经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励，以保证其功能的正常运行。