一种基于数据仓库的信息安全审计方法,其特征在于,采用Syslog标准协议及基于正则表达式的模式匹配方法实时收集日志信息,借助于数据仓库将综合分析处理环境与操作处理环境分离开来,使数据库专注于各种审计日志的收集,而数据仓库则对各种源日志进行集成、提取,并按审计分析的主题域综合组织数据,同时采用信息安全多维模型的建模方法,对各个审计分析主题通过共同的分析维进行关联,形成了面向整个信息安全领域的多维星座,再通过数据仓库中的多维模型,采用联机在线分析处理方法进行多维分析,同时在数据仓库的基础之上采用数据挖掘方法及关联分析方法进行数据挖掘,发现各种审计源审计日志之间大量的内在联系,从而发现网络中潜在的安全漏洞和问题,最后根据分析结果生成审计分析报表。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及的是一种计算机信息安全审计方法,特别是一种。属于计算机和信息安全
技术介绍
安全审计是评判一个系统是否真正安全的重要尺码。安全审计是一个安全的网络必须支持的功能特性。安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在的现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析。目前安全审计讨论的内容主要有以下几点1、系统审计2、网络审计3、安全应用审计。系统审计将用户对操作系统以及主机中重要审计资源的访问记录下来。网络审计记录了每个用户的网络详细使用情况,如果有人对网络进行了攻击、窃密或是其他破坏活动,可以通过对审计文件的查询和预警,了解其使用网络的情况,据此对这样的人进行法律制裁或是抵制他的再次攻击。安全应用审计接收各种安全应用(包括防火墙、入侵检测、防病毒等)产生的日志信息。管理员不仅仅可以根据这些日志信息实时的跟踪用户在全网络中的活动,而且可以在此基础上进行事后的综合分析。经文献检索,发现在互联网上的产品报道,如捷普网络科技公司的Jump安全审计系统(参见http//www.jump.net.cn/product/supervise.asp),它是西安交大捷普公司自主开发的基于内容的Internet访问审计系统,该系统能够对所有的网络流进行审计,可以依据“关键字”、“关键字组合”、服务所对应的端口及电子邮件的内容进行监视,对可疑的数据包进行记录,将审计结果存入数据库,该系统具有以下缺陷和不足(1)将注意力集中于网络通信和传输层次,而对应用层面的关注较少。无法获取各个应用之间的内在联系。(2)该系统通过在相应的网络节点设置敏感器,对网络中多个子网信息访问情况进行审计。这里的敏感器相当于日志代理,当敏感器发生故障时,尤其是当需要跨越Internet网管理敏感器时,大大增加了维护代价及网络管理的复杂性。(3)该系统借助于Access数据库存储日志信息。由于Access数据库的容量有限(大约1G),而网络产生的数据有可能几天甚至几个小时就写满数据库。(4)在系统运行时,一方面系统需要不断的向数据库中增加信息,另一方面中心控制台软件又经常进行大量复杂的统计分析,这两种操作造成了系统资源冲突,严重影响了系统的性能。
技术实现思路
本专利技术的目的在于克服现有技术中的不足,提供一种,使其解决了
技术介绍
中存在的不足和缺陷,大大提高了审计系统的扩展性、开放性以及审计分析的效率。本专利技术是通过以下技术方案实现的,本专利技术方法采用Syslog标准协议及基于正则表达式的模式匹配方法实时收集日志信息,借助于数据仓库将综合分析处理环境与操作处理环境分离开来,使数据库专注于各种审计日志的收集,而数据仓库则对各种源日志进行集成、提取,并按审计分析的主题域综合组织数据,同时采用信息安全多维模型的建模方法,对各个审计分析主题通过共同的分析维进行关联,形成了面向整个信息安全领域的多维星座;通过数据仓库中的多维模型,采用联机在线分析处理方法进行多维分析,同时在数据仓库的基础之上采用数据挖掘方法及关联分析方法进行数据挖掘,发现各种审计源审计日志之间大量的内在联系,从而发现网络中潜在的安全漏洞和问题;最后根据分析结果生成可用的审计分析报表。本专利技术采用“数据驱动”的方法,不是面向应用需求,而是利用已有安全应用的审计日志、操作系统日志等进行审计,从已有安全应用及相关数据出发,按照审计分析领域对审计数据及数据之间的联系重新考察,组织数据仓库中的审计分析主题,根据分析结果,创建数据仓库中的多维模型。本专利技术采用Syslog标准协议及基于正则表达式的模式匹配方法实时收集日志信息,通过数据仓库中的多维模型,大大提高了审计系统的扩展性及开放性;采用联机在线分析处理方法进行多维分析,大大提高了审计分析的效率;另外,数据仓库中的数据是冗余的,且不可修改的,所以为调查取证提供了有效可信的追纠证据。以下对本专利技术方法作进一步的说明,方法步骤如下(1)分析网络中的审计源,确定需要审计的数据及审计分析主题。当前信息安全审计分析主题主要包括防火墙事件分析主题、入侵检测事件分析主题、防病毒事件分析主题、SSLServer事件分析主题。(2)根据审计分析主题及分析的角度,创建多维模型,以多维方式组织数据。由于关系型数据库的成熟及广泛使用,使用星型模型模拟多维模型的表示和存储。在星型模型中将多维模型的多维结构划分为两类表一类是事实表,用来存放审计分析所需要的度量值及各个分析维度的码值,另一类是维表,它分布在事实表的周围,是审计分析和特定角度。事实表通过每一个维的值和维表联系起来。根据信息审计分析主题,各个多维模型如下●防火墙多维模型事实表中的度量数据包括持续访问时间、发送流量、接收流量。分析的维度包括时间维、防火墙动作维(拒绝、通过等)、访问协议维(http、ftp、telnet、smtp、pop3等)、源地址维、目标地址维。●入侵检测多维模型事实表中的度量数据包括报警事件细节数据、报警事件的处理建议。审计分析的维度包括时间维、报警事件等级维(高、中、低)、报警探测器维、源地址维、目标地址维、服务端口维。●防病毒多维模型事实表中的度量数据包括病毒发作位置(路径)。审计分析的维度包括病毒感染时间维、病毒感染机器维、系统用户维、病毒名称维、病毒类型维(文件病毒、邮件病毒、宏病毒等)、扫描类型维(自动扫描、手动扫描)、病毒操作结果维(清除、隔离、删除等)。●SSLServer多维模型事实表中的度量数据包括访问资源次数。审计分析的维度包括访问资源时间维、源地址维、资源名称维、用户维、资源维。(3)关联多维模型。以上的各个多维模型还只是互相独立的审计实体,无法将各个审计分析主题相关联。为了进行关联的审计分析,必须在各个多个维型之间有共同的审计维度。在以上的多维模型中,每个多维模型都具有时间维,而且每个多维模型都具有地址维或与用户信息相关的维度,如防火墙多维模型、入侵检测多维模型及SSLServer多维模型都具有地址维,而防病毒多维模型具有感染机器维。将这些维度抽象并根据网络中实际用户信息创建用户维,每个用户都具有其基本信息,包括IP地址、机器名等。通过该用户维及时间维,连接各个多维模型,构成信息安全的星座。(4)完成数据仓库的创建后,启动日志服务器,监听UDP514端口,接收网络安全应用发送的日志。(5)网络安全应用配置了Syslog服务后,当产生日志信息时实时的通过标准的Syslog协议向日志服务器发送日志信息。Syslog是多数linux/Unix平台上都有的内置服务,最近在其他平台(如Windows)上也有类似的产品,而且多数安全应用设备中都使用Syslog方式发送日志,因此使用Syslog协议可以将所有系统日志及安全设备日志发送到一台受保护的集中控制的服务器中,从而提供一种伸缩性比较好的方案,而且由于将日志实时的通过网络传输出来,避免了日志保存在本地被篡改、删除的危险。(6)日志服务器接收日志信息后,通过管理员预先配置好的正则表达式对日志格式的模式进行匹配解析,从中提取审计所需要的信息,并对数据进行统一集成及转换工作,统一审计日志中的不一致数据。通过这种技术使得系统可以解析任何格式的设备日志,保证了系统的开放性和扩展性,是本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:徐骥,庄昱垚,高鹏,
申请(专利权)人:上海格尔软件股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。