[发明专利]基于动态审计域模型的协同安全强审计及态势评估系统

说明书

技术领域

本发明专利属于信息应用技术领域，尤其是涉及一种对全网络审计及安全态势评估的系统。

背景技术

随着网络逐渐深入社会生活的各个层面，它已经成为国家、社会正常运行的重要基础设施，如何保证网络的运行安全是一个重要研究方向。从审计及安全态势评估的角度来看，确定网络当前及未来的安全状况，不仅可以在日常网络维护中帮助网络管理人员有效地发现网络中存在的各种问题、瓶颈，更能在关键时刻为网络安全管理人员做出正确决策提供重要的依据。因此，在网络安全领域开展审计及安全态势评估研究具有十分重要的意义。

发明专利内容

本发明专利所要解决的技术问题在于对于透过防火墙进入网络系统的各种访问，建立快速准确的审计机制，并对整个系统的安全态势进行分析和评估，为预警定位和电子取证提供基础。

为解决上述问题，本发明专利采用的技术方案是：审计单元与IDS、Firewall和Honeypot间的联动技术、日常分析审计、实时分析审计。

上述基于动态审计域模型的协同安全强审计及态势评估系统，其特征是：联动技术，IDS、FireWall和Honeypot相互联动、协同工作，为审计提供必要的信息；IDS、Firewall和Honeypot向审计单元提供个自的日志信息，经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励，以保证其功能的正常运行。

日常分析审计：审计各种日志文件、关键文件的签名、HoneyPot、IDS的记录信息等；

实时分析审计：审计HoneyPot、IDS的实时记录信息，登陆用户信息及其启动进程运行情况、系统调用情况、操作命令等信息，建立日志。

上述基于动态审计域模型的协同安全强审计及态势评估系统，其特征是：审计域的动态规划模型：审计域(安全域)是指审计单元所能覆盖网络拓扑的最小单元，系统被定义为一系列审计域的组合，各个域之间具有边界。安全审计域规划模型可以从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。审计域分布图的作用不仅在于对审计节点的分布做出规划，对于防御节点的布局也具有同样的指导作用。当某一审计域中出现攻击事件的情况下，只需将与其相连的审计域边界(即割点)进行封闭，即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。

上述基于动态审计域模型的协同安全强审计及态势评估系统，其特征是：安全状态评估模型：在有大量噪声的审计结果中准确的对网络安全状态进行评估，我们提出了基于模糊推理的综合审计模型。该模型建立在现有任何一种检测器之上，对多个检测器的输出进行综合审计从而对网络的安全状态做出评估。

本发明专利与现有技术相比具有以下优点：

审计域的动态规划模型，当某一审计域中出现攻击事件的情况下，只需将与其相连的审计域边界(即割点)进行封闭，即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。提高审计的准确率。

附图说明

[0008]图1为事件协同审计体系结构

[0009]图2为对登录及文件的完整性进行监控结构

[0010]图3为IDS数据审计结构流程

[0011]图4-1为安全状态评估模型布局图

图4-2为安全状态评估模型中模糊处理过程

图4-3为安全状态评估模型中论域的模糊划分

具体实施方式

如图3所示，IDS的数据是从Mysql数据库中提取的，提取后对其进行必要的预处理过程，然后将能够用于电子取证的数字特征发给电子取证代理。当预处理过程结束后保留必要的特征值函数，然后将特征值函数作为安全状态评估模型的输入发送给评估函数。预处理的最终结果将作为流审计的状态值进入审计过程。

如图4-1所示，安全状态评估模型模型为分布式运行，通过多个检测器对网络数据进行初步的审计，然后将审计结果传递给推理器进行进一步审计过程，最后将审计结果保存并输出。模型中的检测器可以是现在使用的任何一种检测器。它们采集网络数据并使用其本身自己的匹配规则对网络数据进行处理。当产生警报信息时，将报警信息作为输入传递给预处理器。预处理器对报警信息进行必要的预处理。在本模型中主要是将收集到的报警信息模糊化为推理器的输入。规则库中保存预先设定好的模糊规则。当有模糊数据输入时推理器从规则库中提取规则对输入数据进行处理。当计算结果为合理结果时将推理结果输出到用户界面，并保存到结论库中。