審計和監(jiān)控技術(shù)介紹

一個審計系統(tǒng)通常由日志記錄器、分析器和通告器三部分組成，分別用于收集數(shù)據(jù)，分析數(shù)據(jù)和通報結(jié)果，內(nèi)網(wǎng)終端安全隨時隨刻地都威脅企業(yè)網(wǎng)絡(luò)的安全運行，對維護和管理造成極大的不便。

1. 日志記錄器，日志記錄器可以把信息記錄成二進制形式或可讀的形式，，然后由系統(tǒng)來提供日志瀏覽工具，用戶可以使用工具來檢查原始數(shù)據(jù)和使用文本處理工具來編輯數(shù)據(jù)

   對于日志的內(nèi)容，日志應(yīng)該記錄每一個可能的事件，但是這樣做是不現(xiàn)實的，原因是產(chǎn)生的日志文件存儲量將遠遠大于業(yè)務(wù)系統(tǒng)，而且會嚴(yán)重影響系統(tǒng)的性能。所以在一般的情況下，日志應(yīng)當(dāng)記錄任何必要的事件，來檢測已知的攻擊模式和異常的攻擊模式，日志還應(yīng)當(dāng)記錄下關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息，通常情況下，日志包含，時間、引發(fā)事件的用戶、事件源的位置、事件類型和事件成敗等

2. 分析器，分析器用戶分析日志數(shù)據(jù)，分析的結(jié)果可能會改變正在記錄的數(shù)據(jù)，也可能只檢測一些事件或問題

通過對日志的分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計的根本目的

日志分析就是在日志中尋找模式，主要分析的內(nèi)容有：1. 潛在的侵害分析 2. 基于異常檢測的輪廓，日志分析應(yīng)當(dāng)確定用戶正常行為的輪廓，當(dāng)日志中的事件違反正常訪問的輪廓時，日志分析就應(yīng)該指出將要發(fā)生的威脅3. 簡單攻擊探測和復(fù)雜攻擊探測

3. 通告器，分析器把分析的結(jié)果傳送給通告器，通告器把審計的結(jié)果通告給系統(tǒng)管理員來執(zhí)行一些操作來響應(yīng)通告的結(jié)果