技術領域

本發明專利屬于信息應用技術領域，尤其是涉及一種對全網絡審計及安全態勢評估的系統。

背景技術

隨著網絡逐漸深入社會生活的各個層面，它已經成為國家、社會正常運行的重要基礎設施，如何保證網絡的運行安全是一個重要研究方向。從審計及安全態勢評估的角度來看，確定網絡當前及未來的安全狀況，不僅可以在日常網絡維護中幫助網絡管理人員有效地發現網絡中存在的各種問題、瓶頸，更能在關鍵時刻為網絡安全管理人員做出正確決策提供重要的依據。因此，在網絡安全領域開展審計及安全態勢評估研究具有十分重要的意義。

發明專利內容

本發明專利所要解決的技術問題在于對于透過防火墻進入網絡系統的各種訪問，建立快速準確的審計機制，并對整個系統的安全態勢進行分析和評估，為預警定位和電子取證提供基礎。

為解決上述問題，本發明專利采用的技術方案是：審計單元與IDS、Firewall和Honeypot間的聯動技術、日常分析審計、實時分析審計。

上述基于動態審計域模型的協同安全強審計及態勢評估系統，其特征是：聯動技術，IDS、FireWall和Honeypot相互聯動、協同工作，為審計提供必要的信息；IDS、Firewall和Honeypot向審計單元提供個自的日志信息，經審計單元審計后將審計結果向電子取證代理和協同事故恢復代理提供特征激勵，以保證其功能的正常運行。

日常分析審計：審計各種日志文件、關鍵文件的簽名、HoneyPot、IDS的記錄信息等；

實時分析審計：審計HoneyPot、IDS的實時記錄信息，登陸用戶信息及其啟動進程運行情況、系統調用情況、操作命令等信息，建立日志。

上述基于動態審計域模型的協同安全強審計及態勢評估系統，其特征是：審計域的動態規劃模型：審計域(安全域)是指審計單元所能覆蓋網絡拓撲的最小單元，系統被定義為一系列審計域的組合，各個域之間具有邊界。安全審計域規劃模型可以從網絡邏輯拓撲中得到安全審計域的規劃分布及關鍵節點分布情況。審計域分布圖的作用不僅在于對審計節點的分布做出規劃，對于防御節點的布局也具有同樣的指導作用。當某一審計域中出現攻擊事件的情況下，只需將與其相連的審計域邊界(即割點)進行封閉，即可將攻擊行為限制在一個相對較小的范圍之內。從而阻止大規模蠕蟲病毒的傳播。

上述基于動態審計域模型的協同安全強審計及態勢評估系統，其特征是：安全狀態評估模型：在有大量噪聲的審計結果中準確的對網絡安全狀態進行評估，我們提出了基于模糊推理的綜合審計模型。該模型建立在現有任何一種檢測器之上，對多個檢測器的輸出進行綜合審計從而對網絡的安全狀態做出評估。

本發明專利與現有技術相比具有以下優點：

審計域的動態規劃模型，當某一審計域中出現攻擊事件的情況下，只需將與其相連的審計域邊界(即割點)進行封閉，即可將攻擊行為限制在一個相對較小的范圍之內。從而阻止大規模蠕蟲病毒的傳播。提高審計的準確率。

附圖說明

[0008]圖1為事件協同審計體系結構

[0009]圖2為對登錄及文件的完整性進行監控結構

[0010]圖3為IDS數據審計結構流程

[0011]圖4-1為安全狀態評估模型布局圖

圖4-2為安全狀態評估模型中模糊處理過程

圖4-3為安全狀態評估模型中論域的模糊劃分

具體實施方式

如圖3所示，IDS的數據是從Mysql數據庫中提取的，提取后對其進行必要的預處理過程，然后將能夠用于電子取證的數字特征發給電子取證代理。當預處理過程結束后保留必要的特征值函數，然后將特征值函數作為安全狀態評估模型的輸入發送給評估函數。預處理的最終結果將作為流審計的狀態值進入審計過程。

如圖4-1所示，安全狀態評估模型模型為分布式運行，通過多個檢測器對網絡數據進行初步的審計，然后將審計結果傳遞給推理器進行進一步審計過程，最后將審計結果保存并輸出。模型中的檢測器可以是現在使用的任何一種檢測器。它們采集網絡數據并使用其本身自己的匹配規則對網絡數據進行處理。當產生警報信息時，將報警信息作為輸入傳遞給預處理器。預處理器對報警信息進行必要的預處理。在本模型中主要是將收集到的報警信息模糊化為推理器的輸入。規則庫中保存預先設定好的模糊規則。當有模糊數據輸入時推理器從規則庫中提取規則對輸入數據進行處理。當計算結果為合理結果時將推理結果輸出到用戶界面，并保存到結論庫中。