CN102915420A - 基于动态审计域模型的协同安全强审计及态势评估系统 - Google Patents
基于动态审计域模型的协同安全强审计及态势评估系统 Download PDFInfo
- Publication number
- CN102915420A CN102915420A CN2011102217052A CN201110221705A CN102915420A CN 102915420 A CN102915420 A CN 102915420A CN 2011102217052 A CN2011102217052 A CN 2011102217052A CN 201110221705 A CN201110221705 A CN 201110221705A CN 102915420 A CN102915420 A CN 102915420A
- Authority
- CN
- China
- Prior art keywords
- audit
- security
- network
- situation
- ids
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
基于动态审计域模型的协同安全强审计及态势评估系统,是对于透过防火墙进入网络系统的各种访问,建立快速准确的审计机制,通过日常分析审计、实时分析审计、审计单元与IDS、Firewall和Honeypot间的联动技术,对整个系统安全态势进行分析和评估,为后面的入侵检测和电子取证提供基础。基于动态审计域模型的协同安全强审计及态势评估系统告别了以往每天的海量的、重复的、误报率高的告警信息,可以系统化、自动化地对网络运行情况进行安全态势量化评估,实现对网络安全信息智能、精确分析,使得网络管理员对主机及网络的安全态势有宏观的了解,及时调整系统安全策略,提高系统安全性能。
Description
技术领域
本发明专利属于信息应用技术领域,尤其是涉及一种对全网络审计及安全态势评估的系统。
背景技术
随着网络逐渐深入社会生活的各个层面,它已经成为国家、社会正常运行的重要基础设施,如何保证网络的运行安全是一个重要研究方向。从审计及安全态势评估的角度来看,确定网络当前及未来的安全状况,不仅可以在日常网络维护中帮助网络管理人员有效地发现网络中存在的各种问题、瓶颈,更能在关键时刻为网络安全管理人员做出正确决策提供重要的依据。因此,在网络安全领域开展审计及安全态势评估研究具有十分重要的意义。
发明专利内容
本发明专利所要解决的技术问题在于对于透过防火墙进入网络系统的各种访问,建立快速准确的审计机制,并对整个系统的安全态势进行分析和评估,为预警定位和电子取证提供基础。
为解决上述问题,本发明专利采用的技术方案是:审计单元与IDS、Firewall和Honeypot间的联动技术、日常分析审计、实时分析审计。
上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是:联动技术,IDS、FireWall和Honeypot相互联动、协同工作,为审计提供必要的信息;IDS、Firewall和Honeypot向审计单元提供个自的日志信息,经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励,以保证其功能的正常运行。
日常分析审计:审计各种日志文件、关键文件的签名、HoneyPot、IDS的记录信息等;
实时分析审计:审计HoneyPot、IDS的实时记录信息,登陆用户信息及其启动进程运行情况、系统调用情况、操作命令等信息,建立日志。
上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是:审计域的动态规划模型:审计域(安全域)是指审计单元所能覆盖网络拓扑的最小单元,系统被定义为一系列审计域的组合,各个域之间具有边界。安全审计域规划模型可以从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。审计域分布图的作用不仅在于对审计节点的分布做出规划,对于防御节点的布局也具有同样的指导作用。当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。
上述基于动态审计域模型的协同安全强审计及态势评估系统,其特征是:安全状态评估模型:在有大量噪声的审计结果中准确的对网络安全状态进行评估,我们提出了基于模糊推理的综合审计模型。该模型建立在现有任何一种检测器之上,对多个检测器的输出进行综合审计从而对网络的安全状态做出评估。
本发明专利与现有技术相比具有以下优点:
审计域的动态规划模型,当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。提高审计的准确率。
附图说明
[0008]图1为事件协同审计体系结构
[0009]图2为对登录及文件的完整性进行监控结构
[0010]图3为IDS数据审计结构流程
[0011]图4-1为安全状态评估模型布局图
图4-2为安全状态评估模型中模糊处理过程
图4-3为安全状态评估模型中论域的模糊划分
具体实施方式
如图3所示,IDS的数据是从Mysql数据库中提取的,提取后对其进行必要的预处理过程,然后将能够用于电子取证的数字特征发给电子取证代理。当预处理过程结束后保留必要的特征值函数,然后将特征值函数作为安全状态评估模型的输入发送给评估函数。预处理的最终结果将作为流审计的状态值进入审计过程。
如图4-1所示,安全状态评估模型模型为分布式运行,通过多个检测器对网络数据进行初步的审计,然后将审计结果传递给推理器进行进一步审计过程,最后将审计结果保存并输出。模型中的检测器可以是现在使用的任何一种检测器。它们采集网络数据并使用其本身自己的匹配规则对网络数据进行处理。当产生警报信息时,将报警信息作为输入传递给预处理器。预处理器对报警信息进行必要的预处理。在本模型中主要是将收集到的报警信息模糊化为推理器的输入。规则库中保存预先设定好的模糊规则。当有模糊数据输入时推理器从规则库中提取规则对输入数据进行处理。当计算结果为合理结果时将推理结果输出到用户界面,并保存到结论库中。
如图4-2所示,模糊化过程指的是将输入的输入空间的值映射为输入论域上的模糊集合,当输入参考数据时,系统自动模糊化并且从规则库中提取规则对输入数据进行处理,再将合理清晰的结果输出。
如图4-3所示,论域划分为五部分:小SM(Small);较小MS(Medium Small);中等ME(Medium);较大MB(Medium Big)和大BI(Big)。当模糊化结束后,输入的值就被处理为形如A(a1,a2,a3,a4,a5)的模糊集。
根椐上述定义了如下的模糊规则:
(1)如果入侵的范围中等且内部入侵较多且外部入侵较少则网络的安全状态较低;
(2)如果入侵的范围较大且内部入侵较少且外部入侵较多则网络的安全状态较低;
(3)如果入侵的范围中等且内部入侵较少且外部入侵较少则网络的安全状态中等;
当上述这些规则定义出之后,应用前面介绍的复合模糊蕴含规则合成原理可以将上述规则和成为一个5×5的模糊关系矩阵。而且模糊推理的运算过程可以直接得到结论不需要查找等步骤,大大缩减了规则存放空间,降低了计算开销。
综上所述,实际工作过程中,图2图3图4-1图4-2图4-3在发挥每个模块的作用的同时,每个模块协同工作,形成了图1-一套网络审计及安全态势评估的系统系统。
以上所述,仅是本发明专利的较佳实施例,并非对本发明专利作任何限制,凡是根据本发明专利技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明专利技术方案的保护范围内。
Claims (4)
1.基于动态审计域模型的协同安全强审计及态势评估系统,针对原有的审计模型很容易因为网络的逻辑拓扑遭到攻击而使审计的准确率降低,甚至审计失败。此系统提出了审计域的动态规划模型。其特征:从网络逻辑拓扑中得到安全审计域的规划分布及关键节点分布情况。当某一审计域中出现攻击事件的情况下,只需将与其相连的审计域边界(即割点)进行封闭,即可将攻击行为限制在一个相对较小的范围之内。从而阻止大规模蠕虫病毒的传播。
2.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于:对主机用户登陆审计:针对主机用户的登陆时间进行审计,对主机用户的登陆时间进行了限制,当发现用户在非正常时间段内登陆则进行记录;关键文件监控实现对重要文件修改的监控,保证了重要文件的完整性,对关键文件的监控有助于我们对入侵的目的有更加清楚的了解,我们对于关键文件的监控是有别于一般监控措施的,我们只对文件内容的删除、修改以及非尾部的添加进行监控,这样的原因是在于能更好的对日志类文件进行监控,减少不必要误报,关键文件的监控同时也为协同事故恢复提供必要的特征激励,同时对主机用户登陆和关键文件进行监控是非常有必要的。
3.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于:IDS数据审计:IDS数据审计主要是流审计以及为安全状态评估和电子取证提供必要的数据和特征激励,IDS的数据是从Mysql数据库中提取的,提取后对其进行必要的预处理过程,然后将能够用于电子取证的数字特征发给电子取证代理,当预处理过程结束后保留必要的特征值函数,然后将特征值函数作为安全状态评估模型的输入发送给评估函数,预处理的最终结果将作为流审计的状态值进入审计过程。
4.基于动态审计域模型的协同安全强审计及态势评估系统,其特征在于:联动技术--审计单元与IDS、FireWall和Honeypot之间的相互联动、协同工作,主要目的是为审计提供必要的信息。IDS、Firewall和Honeypot向审计单元提供个自的日志信息,经审计单元审计后将审计结果向电子取证代理和协同事故恢复代理提供特征激励,以保证其功能的正常运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102217052A CN102915420A (zh) | 2011-08-03 | 2011-08-03 | 基于动态审计域模型的协同安全强审计及态势评估系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102217052A CN102915420A (zh) | 2011-08-03 | 2011-08-03 | 基于动态审计域模型的协同安全强审计及态势评估系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102915420A true CN102915420A (zh) | 2013-02-06 |
Family
ID=47613783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102217052A Pending CN102915420A (zh) | 2011-08-03 | 2011-08-03 | 基于动态审计域模型的协同安全强审计及态势评估系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102915420A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580090A (zh) * | 2013-10-18 | 2015-04-29 | 华为技术有限公司 | 安全策略运维评估的方法及装置 |
| US10778645B2 (en) | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
| CN101951329A (zh) * | 2010-09-27 | 2011-01-19 | 北京系统工程研究所 | 一种网络安全态势评估方法及系统 |
-
2011
- 2011-08-03 CN CN2011102217052A patent/CN102915420A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
| CN101951329A (zh) * | 2010-09-27 | 2011-01-19 | 北京系统工程研究所 | 一种网络安全态势评估方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 史兴键: "《安全审计域的规划模型》", 《计算机应用》 * |
| 史兴键: "《安全强审计模型研究》", 《中国博士学位论文全文数据库》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580090A (zh) * | 2013-10-18 | 2015-04-29 | 华为技术有限公司 | 安全策略运维评估的方法及装置 |
| CN104580090B (zh) * | 2013-10-18 | 2018-03-13 | 华为技术有限公司 | 安全策略运维评估的方法及装置 |
| US10778645B2 (en) | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mohammad et al. | A novel intrusion detection system by using intelligent data mining in weka environment | |
| CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
| CN101557327A (zh) | 基于支持向量机的入侵检测方法 | |
| CN107239707A (zh) | 一种用于信息系统的威胁数据处理方法 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| Jia et al. | Big-data analysis of multi-source logs for anomaly detection on network-based system | |
| CN103036745A (zh) | 云计算中一种基于神经网络的异常检测系统 | |
| CN110866642A (zh) | 安全监控方法、装置、电子设备和计算机可读存储介质 | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| CN101459537A (zh) | 基于多层次多角度分析的网络安全态势感知系统及方法 | |
| CN106534212A (zh) | 基于用户行为和数据状态的自适应安全防护方法及系统 | |
| CN112087445A (zh) | 一种融合业务安全的电力物联网安全脆弱性评估方法 | |
| CN110162968A (zh) | 一种基于机器学习的网络入侵检测系统 | |
| CN106951776A (zh) | 一种主机异常检测方法和系统 | |
| CN101668012A (zh) | 安全事件检测方法及装置 | |
| CN109214658A (zh) | 一种动态称重地磅及地磅管理系统 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN113554330A (zh) | 水文信息平台的安全态势感知模型的训练方法及应用方法 | |
| CN111726351B (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
| CN105867347B (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
| CN112165470A (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
| CN109995722A (zh) | 面向apt防护的海量检测数据分析系统 | |
| CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
| CN118071297A (zh) | 一种基于多源数据分析的水利工程建设管理综合系统 | |
| CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Xi'an Qinma Software Technology Co., Ltd. Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 710077, block 13, building A, Jiayu building, No. 58, Kam Yip Road, Xi'an hi tech Zone, Shaanxi, China Applicant after: Xi'an Qinma Software Technology Co., Ltd. Address before: 710077 Shaanxi city of Xi'an province high tech Zone Jinye Road No. 69 C District No. 1 gazelle Valley E Room 501 Applicant before: Xi'an Qinma Software Technology Co., Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130206 |