CN1561035A - 基于映射表的通用安全审计策略定制方法 - Google Patents
基于映射表的通用安全审计策略定制方法 Download PDFInfo
- Publication number
- CN1561035A CN1561035A CNA2004100164224A CN200410016422A CN1561035A CN 1561035 A CN1561035 A CN 1561035A CN A2004100164224 A CNA2004100164224 A CN A2004100164224A CN 200410016422 A CN200410016422 A CN 200410016422A CN 1561035 A CN1561035 A CN 1561035A
- Authority
- CN
- China
- Prior art keywords
- audit
- strategy
- event
- definition
- special parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
一种基于映射表的通用安全审计策略定制方法。属于计算机技术领域。方法如下:当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项,然后为这些审计事件定义相应的审计策略,为审计策略参数项赋值,形成审计策略数据表;审计事件和审计策略的参数项定义包括通用参数项的定义,还针对每类安全策略和安全事件的特性分别定义特殊的参数项;审计事件和审计策略定义完成后,形成自定义的XML格式审计策略配置文件,将审计策略下发到相应的审计代理,对于从监控环境中接收到的安全事件,审计代理将其与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
Description
技术领域
本发明涉及的是一种安全审计策略定制方法,具体是一种基于映射表的通用安全审计策略定制方法。属于计算机技术领域。
背景技术
互联网的迅速发展为企业之间、行业之间乃至全世界的沟通都变得更加便利。与此同时,黑客正在利用网络技术的脆弱性展开越来越猛烈的攻击,并且随着各国对互联网与信息化依赖程度的不断加深,这种攻击所造成的后果将更为严重。然而,要想使各种网络安全设备有效的发挥作用,不能单纯依靠网络安全设备的部署,安全策略是指导系统有效运行的一个重要因素,安全策略制定的是否全面、符合实际应用情况将直接关系着网络系统防护作用的发挥。
安全审计系统作为网络安全防护体系中的一个重要组成部分,能够记录和分析在被监控对象中进行的各种活动,根据一定的安全策略识别已发生的和潜在的违规事件。通常的安全审计系统的处理方法主要包括三个处理环节:规则配置、数据采集、规则匹配。规则配置是根据系统包含的规则模板设置审计规则,形成规则库;数据采集是根据规则采集相应的审计数据;规则匹配是将采集的审计数据与规则库中的审计规则进行匹配,如果发现某个数据与某条规则吻合,则根据该条规则设定的响应机制采取相应的处理措施。经检索发现,美国CA公司于2001年推出的一款安全审计工具eTrust Audit V1.5,(从发布至今一直在作改进,但基本原理不变)首先由用户根据系统提供的模式识别配置模板,预先定制和配置一系列的安全标准,系统将收集上来的系统审计信息存放于一个单独的数据库中,并将这些审计信息与预先设置的安全策略进行模式匹配,如果检测到与某种模式相匹配的事件,将会根据配置自动触发相应的一系列操作,由此实现对各类安全事件的监控与管理。
但该技术方案采用的基于固定模板配置出的安全策略千篇一律,很难满足的新的安全需求,导致这类产品适用范围较小,扩展性较差。而且,目前用户对于审计系统的需求是要实现跨平台、多层次的审计系统,审计数据的获取需要采用多种方式,通过多种渠道来获取审计数据,采用不同的方式获取审计数据所需要的安全审计策略的结构和内容都不同的,采用传统的固定模板来定制安全审计策略往往不能实现通用性要求,因此也造成了多种审计产品各自为战、分别采用独立的安全策略定义界面。
发明内容
本发明主要针对现有安全审计产品在安全策略配置上过于局限的这一缺陷,提供一种基于映射表的通用安全审计策略定制方法,使其建立一套严密合理的安全策略,保障安全审计系统有效发挥作用。
本发明是通过以下技术方案实现的,本发明方法如下:
当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项。然后为这些审计事件定义相应的审计策略,其中包括定义审计策略的基本信息、定义审计策略的参数项、定义审计策略与审计事件之间的映射关系,为审计策略参数项赋值,形成“审计策略数据表”。审计事件和审计策略的参数项定义既包括通用参数项的定义,还可以针对每类安全策略和安全事件的特性分别定义特殊的参数项。审计事件/策略的通用参数项的定义和赋值都记录在审计事件/策略数据表中,特殊参数项独立定义在审计/事件策略特定参数定义表中,通过设置预留字段在审计事件/策略数据表中为审计策略和审计事件的特殊参数项提供必需的存储空间。审计事件和审计策略定义完成后,形成自定义的XML格式的审计策略配置文件,将审计策略下发到相应的审计代理。对于从监控环境中接收到的安全事件,审计代理要将这些安全事件与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
采用本发明可以实现以下目标:(1)可以用于构建统一的安全审计平台,集成各类安全审计产品,可以通过统一的界面为不同的安全审计产品定制安全审计策略。(2)可以兼容将来出现的新的安全审计产品和技术所需要的安全审计策略。(3)根据本发明定义的标准格式设计的安全审计产品和模块可以直接集成到统一安全审计平台,实现新的安全审计功能。(4)用户可以根据自身应用的需求定制与应用相关的安全审计策略,实现应用层审计功能。
以下对本发明方法作进一步的说明,本发明方法的具体流程如下:
1.定义审计事件的基本信息和特征参数项
(1)定义审计事件类型的基本信息
由于不同安全事件的审计策略侧重点千差万别,因此审计策略的制定首先应明确具体是针对何种事件类型,这种事件包括哪些可能的正常操作和违规操作行为,以及由这些行为产生的结果。这部分信息定义在审计事件类型表中,该表格具体格式定义如下:
审计事件类型表
| 事件类型标识号 | 事件类型名称 | 事件处理优先级 | 事件特定参数个数 | 事件类型级别 | 事件类型所属的1级类别 | 事件类型所属的2级类别 | 事件类型所属的3级类别 | 事件类型所属的4级类别 |
其中:“事件处理优先级”字段,用数字由小到大表示处理的优先级由高到低。
审计事件类型表中的“特定参数个数”字段可以由用户根据实际需要定义每个安全事件所需特殊定义的配置参数项个数。
在每类审计事件中,通常会由于各种不同的行为层层派生出很多事件,比如网络传输监控安全事件包括来自外部的非法网络连接事件和主机发起的非法网络连接事件两大类,来自外部的非法网络连接事件包括对标准端口的违规访问、对非标准端口的违规访问、来自外部的正常网络访问事件;主机发起的非法网络连接事件包括访问被禁站点、使用被禁协议、非法进程发起的对外连接、主机发起的正常访问连接事件等。
本发明方法中将所有审计事件分为四个层次等级表示。审计事件类型表中的“事件类型级别”字段描述了每个事件树状结构中所属的级别,“事件类型所属的n级类别”字段中描述了每个事件在其所属级别中的标识序号或者是该事件的上级事件在对应所属级别中的标识序号。
(2)定义审计事件具体的参数项
对于每类审计事件,在本发明的技术方案中预先为其设定一些通用的参数项,这些通用的参数项涵盖了各类事件的基本信息,适用于所有安全事件。审计事件通用参数项包括:主体定义、客体定义、时间定义和响应定义。
其中:主体指审计事件的发起端,主体定义包括主体主机IP、主体主机名、主体主机MAC、主体用户帐号、主体进程名、主体源端口。客体指审计事件的目的端,客体定义包括客体主机IP、客体主机名、客体主机MAC、客体服务名称、客体进程名称、客体文件/目录名称、客体目的端口。时间定义包括审计事件上报时间、审计事件的开始时间、审计事件的结束时间。响应定义描述的是各种响应类型。审计事件的通用参数项设置在“审计事件数据表”中,“审计事件数据表”的格式在下面将具体描述。
此外,如果系统默认的通用参数项无法满足对新类别审计事件描述的要求,在本发明中还可以为每类审计事件定制特殊参数项。审计事件特殊参数项的信息定义在“审计事件特定参数定义表”中,该表的具体格式如下:
审计事件特定参数定义表
| 事件类型标识号 | 事件特定参数标识号 | 事件特定参数名称 | 事件特定参数类型 |
2.为新增的审计事件定义相应的审计策略
(1)定义审计策略的基本信息
审计事件确定之后,要为其定制相应的审计策略。审计策略的基本信息定义在“审计策略类型表”中,具体格式如下:
审计策略类型表
| 审计代理标识号 | 策略类型标识号 | 策略类型名称 | 策略特定参数个数 |
由于每种审计代理对应不同类别的安全事件,因此对每种审计代理实施的审计策略也不相同。在“审计策略类型表”中,定义了审计代理与策略类型之间的对应关系。其中“策略特定参数个数”字段标识了每类审计策略需要特殊定义的参数项个数。
(2)定义审计策略具体的参数项
对每类审计策略,在本发明的技术方案中预先为其设定一些通用的参数项,这些通用的参数项主要描述的是每条策略生效的具体时间段、策略的授权用户以及该策略的状态,如是否启用、是否删除等信息。审计策略的通用参数项设置在“审计策略数据表”中,具体格式见“审计策略数据表”。
此外,与审计事件的特定参数相对应,对于每类审计策略,本发明也可以为每类审计策略定制特殊参数,以满足不同审计策略的特殊需求。审计策略的特殊参数定义在“审计策略特定参数定义表”中,具体格式如下:
审计策略特定参数定义表
| 策略类型标识号 | 策略特定参数标识号 | 策略特定参数名称 | 策略特定参数类型 |
(3)定义审计策略与审计事件之间的映射关系
每类审计策略可能会对应多个审计事件,因此在审计事件与审计策略信息建立好后,需要在“审计策略-审计事件映射表”中标识出二者之间的关联映射关系。具体格式如下:
审计策略-审计事件映射表
| 策略类型标识号 | 事件类型标识号 |
(4)为设置审计策略参数项赋值,形成“审计策略数据表”
根据上述审计策略参数项的定义,对每类策略各个参数项赋予不同的参数值,即可形成多条具体的审计策略。审计策略的具体数值记录在“审计策略数据表”中,格式如下:
审计策略数据表
| 策略标识号 | 策略类型标识号 | 审计代理标识号 | 事件类型标识号 | 策略类型优先级 | 策略生效时间 | 响应类型 | 策略特定参数1 | 策略特定参数2 | …… | 策略特定参数N | 策略授权用户 | 策略是否启动 | 策略是否删除 |
3.形成审计策略配置文件,下发审计策略
当新的审计策略定制完成之后,本发明将审计策略数据表和审计策略特定参数定义表中各个代表审计策略基本特征的字段作为审计策略配置文件的标签和属性,形成XML文件格式的审计策略配置文件,下发给部署在各处的审计代理。
审计策略配置文件的具体格式如下:
<?xml version=″1.0″?>
<审计代理策略>
<审计代理类型 审计代理标识号=″″>
<审计策略 策略标识号=″″策略类型标识号=″″事件类型标识号=″″
策略类型优先级=″″策略生效时间=″″响应类型=″″策略授权用户=″
″>
<策略特定参数 策略特定参数标识号=″″策略特定参数值=″″/>
……
<策略特定参数 策略特定参数标识号=″″策略特定参数值=″″/>
</审计策略>
</审计代理类型>
……
</审计代理策略>
其中,根元素命名为“审计代理策略”,它包括一个子元素“审计代理类型”,“审计代理类型”的属性为“审计代理”。“审计代理类型”又包括一个子元素“审计策略”,“审计策略”包括七个属性,分别是“策略标识号”、“策略类型标识号”、“事件类型标识号”、“策略类型优先级”、“策略生效时间”、“响应类型”、“策略授权用户”。“审计策略”又包括一个子元素“策略特定参数”,“策略特定参数”包括两个属性,分别是“策略特定参数标识号”和“策略特定参数值”。这些属性分别取自审计策略数据表和审计策略特定参数定义表中的各个字段,代表了审计策略的基本特征。
4.策略匹配,形成审计事件数据表
审计代理在接收到新的审计策略之后,审计代理将收集到的审计数据与新定制的策略进行匹配,上报对应新规则产生的安全事件,由审计事件数据表记录审计代理上报上来的各个审计事件的具体信息,作为日后取证的依据。审计事件数据表的格式如下:
审计事件数据表
| 审计事件记录标识号 | 事件类型标识号 | 策略标识号 | 审计代理标识号 | 事件处理优先级 | 事件进行状态 | 主体定义 | 客体定义 | 时间定义 | 响应类型 | 事件特定参数1 | 事件特定参数2 | …… | 事件特定参数N |
本发明具有实质性特点和显著进步,利用通用参数项与特殊参数项定义与赋值相分离的结构设计,以及扩展性强、并具有自解释特性的XML格式的审计策略配置文件,提供了一种数据格式可自定义的策略配置方法,能够在不改变原有系统的条件下为不同种类的安全事件定制审计策略,满足了多样化的安全需求,具有较好的可扩展性。
具体实施方式
假定为原审计系统新增两种类型的安全审计事件,一种是“文件操作类审计事件”,另一种是“重要进程监控类审计事件”。下面以这两种新类型安全事件的审计策略配置为例,本发明方法对不同种类安全事件策略定制的具体实施方式如下:
(1)定义“审计事件类型表”信息
首先应分析文件操作类审计事件和重要进程监控类审计事件分别包含哪些具体的审计事件,分析结果如下:
文件操作类审计事件包括本地违规访问、通过网络的违规访问和正常文件访问三大类事件。本地违规访问事件包括对系统文件/目录的违规访问、对业务文件/目录的违规访问、重要的本地文件操作;通过网络的违规访问事件包括对系统文件/目录的违规远程访问、对业务文件/目录的违规远程访问、对重要文件的违规远程访问。
重要进程监控类审计事件包括重要进程异常退出、重要进程正常运行、正常的进程启动、其它进程监控信息等四种事件。
由上述分析结果,确定“审计事件类型表”的数据(假设原系统共包含事件N-1个,其中一级事件N1-1个):
| 事件类型标识号 | 事件类型名称 | 事件处理优先级 | 事件特定参数个数 | 事件类型级别 | 事件类型所属的1级类别 | 事件类型所属的2级类别 | 事件类型所属的3级类别 | 事件类型所属的4级类别 |
| N | 文件操作类审计事件 | H | 2 | 1 | N1 | 0 | 0 | 0 |
| N+1 | 本地违规访问 | H | 2 | 2 | N1 | 1 | 0 | 0 |
| N+2 | 对系统文件/目录的 | H | 2 | 3 | N1 | 1 | 1 | 0 |
| 违规访问 | ||||||||
| N+3 | 对业务文件/目录的违规访问 | H | 2 | 3 | N1 | 1 | 2 | 0 |
| N+4 | 重要的本地文件操作 | H | 2 | 3 | N1 | 1 | 3 | 0 |
| N+5 | 通过网络的违规访问 | H | 2 | 2 | N1 | 2 | 0 | 0 |
| N+6 | 对系统文件/目录的违规远程访问 | H | 2 | 3 | N1 | 2 | 1 | 0 |
| N+7 | 对业务文件/目录的违规远程访问 | H | 2 | 3 | N1 | 2 | 2 | 0 |
| N+8 | 对重要文件的违规远程访问 | H | 2 | 3 | N1 | 2 | 3 | 0 |
| N+9 | 正常文件访问 | L | 2 | 2 | N1 | 3 | 0 | 0 |
| N+10 | 重要进程监控类审计事件 | H | 3 | 1 | N1+1 | 0 | 0 | 0 |
| N+11 | 重要进程异常退出 | H | 3 | 2 | N1+1 | 1 | 0 | 0 |
| N+12 | 重要进程正常运行 | H | 3 | 2 | N1+1 | 2 | 0 | 0 |
| N+13 | 正常的进程启动 | L | 3 | 2 | N1+1 | 3 | 0 | 0 |
| N+14 | 其它进程监控信息 | H | 3 | 2 | N1+1 | 4 | 0 | 0 |
(2)定义“审计事件特定参数定义表”信息
| 事件类型标识号 | 事件特定参数标识号 | 事件特定参数名称 | 事件特定参数类型 |
| N | 1 | 文件操作类型 | 整型 |
| N | 2 | 文件操作描述 | 字符型 |
| N+10 | 1 | 进程名 | 字符型 |
| N+10 | 2 | 进程ID | 整型 |
| N+10 | 3 | 进程状态 | 整型 |
注:属于同一类别的审计事件包含的特定参数是一样的,因此仅在“审计事件特定参数定义表”中标注出每类事件的一级事件所包含的特定参数,通过“审计事件类型表”中“事件类型所属的1级类别”字段与审计事件特定参数定义表”中“事件类型标识号”字段的映射,即可得到所有事件的特定参数信息。
(3)定义“审计策略类型表”信息
根据审计事件类型特征,制定对应的审计策略。(假设原系统共包含M-1种类型的审计代理,共包含R-1种类型的审计策略,假设这两类新增的审计事件需要两类不同的审计代理实现。)
| 审计代理标识号 | 策略类型标识号 | 策略类型名称 | 策略特定参数个数 |
| M | R | 文件操作类审计策略 | 4 |
| M+1 | R+1 | 重要进程监控类审计策略 | 3 |
(4)定义“审计策略特定参数定义表”信息
| 策略类型标识号 | 策略特定参数标识号 | 策略特定参数名称 | 策略特定参数类型 |
| R | 1 | 文件名/目录的绝对路径 | 字符型 |
| R | 2 | 用户 | 字符型 |
| R | 3 | 相关进程 | 字符型 |
| R | 4 | 操作(读/写等) | 字符型 |
| R+1 | 1 | 用户 | 字符型 |
| R+1 | 2 | 进程 | 字符型 |
| R+1 | 3 | 进程行为 | 字符型 |
(5)定义“审计策略—审计事件映射表”
确定审计策略类型与审计事件类型之间的对应关系。
| 策略类型标识号 | 事件类型标识号 |
| R | N |
| R | N+1 |
| R | N+2 |
| R | N+3 |
| R | N+4 |
| R | N+5 |
| R | N+6 |
| R | N+7 |
| R | N+8 |
| R | N+9 |
| R+1 | N+10 |
| R+1 | N+11 |
| R+1 | N+12 |
| R+1 | N+13 |
| R+1 | N+14 |
(6)为每类策略的各个参数项赋值,将具体的审计策略(假设原系统共有r-1条具体的审计策略)填入“审计策略数据表”
假设我们为“文件操作类审计事件”定制两条策略:
■当User1在周一至周五之间,如果对“D:\Program Files\app1”这个业务进行读写操作时,系统报警
■当User1在周一至周五之间,如果通过网络远程对“C:\WINNT”下的任何文件进行读写操作时,系统阻断
同样,对“重要进程监控类审计事件”也定制两条策略:
■当用户Guest在周一至周五之间,将系统进程“Services.exe”退出时,系统报警
■当用户Administrator在周一至周五之间,将系统进程“Services.exe”正常启动时,系统忽略
| 策略标识号 | 策略类型标识号 | 审计代理标识号 | 事件类型标识号 | 策略类型优先级 | 策略生效时间 | 响应类型(1-报警;2-阻断;3-忽略) | 策略特定参数1 | 策略特定参数2 | 策略特定参数3 | 策略特定参数4 | … | 策略特定参数N | 策略授权用户 | 策略是否启动 | 策略是否删除 |
| r | R | M | N+3 | H | 12345 | 1 | D:ProgramFilesapp1 | User1 | Test.exe | R&W | / | / | User2 | Y | N |
| r+1 | R | M | N+6 | H | 12345 | 2 | C:WINNT | User1 | test.exe | R&W | / | / | User2 | Y | N |
| r+2 | R+1 | M+1 | N+11 | H | 12345 | 1 | Guest | Services.exe | Exit | / | / | / | User2 | Y | N |
| r+3 | R+1 | M+1 | N+13 | L | 12345 | 3 | Admin-istrator | Services.exe | Start | / | / | / | User2 | Y | N |
(7)形成审计策略配置文件,下发审计策略
将“审计策略数据表”中对应字段的数据作为标签值填写到审计策略配置文件的各个对应标签中。
<?xml version=″1.0″?>
<审计代理策略>
<审计代理类型 审计代理标识号=″M″>
<审计策略 策略标识号=″r″策略类型标识号=″R″事件类型标识号=″N+3″策
略类型优先级=″H″策略生效时间=″12345″响应类型=″1″策略授权用户=″
User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″D:\Program Files\app1
″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″User1″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″test.exe″/>
<策略特定参数 策略特定参数标识号=″4″策略特定参数值=″R&W″/>
</审计策略>
<审计策略 策略标识号=″r+1″策略类型标识号=″R″事件类型标识号=″N+6″
策略类型优先级=″H″策略生效时间=″12345″响应类型=″2″策略授权用户=″
User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″C:\WINNT″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″User1″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″test.exe″>
<策略特定参数 策略特定参数标识号=″4″策略特定参数值=″R&W″/>
</审计策略>
</审计代理类型>
<审计代理类型 审计代理标识号=″M+1″>
<审计策略 策略标识号=″r+2″策略类型标识号=″R+1″事件类型标识号=″N+11
″策略类型优先级=″H″策略生效时间=″12345″响应类型=″1″策略授权用户
=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″Guest″/>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″Services.exe″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″Exit″/>
</审计策略>
<审计策略 策略标识号=″r+3″策略类型标识号=″R+1″事件类型标识号=″N+13
″策略类型优先级=″L″策略生效时间=″12345″响应类型=″3″策略授权用户
=″User2″>
<策略特定参数 策略特定参数标识号=″1″策略特定参数值=″Administrator″>
<策略特定参数 策略特定参数标识号=″2″策略特定参数值=″Services.exe″/>
<策略特定参数 策略特定参数标识号=″3″策略特定参数值=″Start″/>
</审计策略>
</审计代理类型>
</审计代理策略>
(8)策略匹配,形成“审计事件数据表”(假设原系统已包含A-1条审计数据)
根据策略配置文件的设置规则,审计代理对收集到的数据进行规则匹配,将匹配结果记录在“审计事件数据表”中。假设在采集到的审计数据中发现:
■用户User1对D:\Program Files\app1文件进行了读操作
■用户Guest在周一将Services.exe进程非法退出
| 审计事件记录标识号 | 事件类型标识号 | 策略标识号 | 审计代理标识号 | 事件处理优先级 | 事件进行状态 | 主体定义 | 客体定义 | 时间定义 | 响应类型 | 事件特定参数1 | 事件特定参数2 | 事件特定参数3 | 事件特定参数4 | … | 事件特定参数N |
| A | N+3 | r | M | H | 结束 | Host_1 | Host_1 | yy:mm:dd | 1 | D:ProgramFilesapp1 | User1 | Test.exe | R | / | / |
| A+1 | N+11 | r+2 | M+1 | H | 结束 | Host_1 | Host_1 | yy:mm:dd | 1 | Services.exe | 212 | exit | / | / | / |
由上述两类审计事件的策略配置过程可以看出,对于不同安全需求、策略配置参数定义结构完全不相同的两类审计事件,应用本发明中提出的策略配置方法,都可以灵活的完成相应的策略配置。
Claims (8)
1、一种基于映射表的通用安全审计策略定制方法,其特征在于,具体方法如下:
当出现新类型的审计事件时,首先根据该类审计事件的属性,定义审计事件的基本信息和参数项,然后为这些审计事件定义相应的审计策略,其中包括定义审计策略的基本信息、定义审计策略的参数项、定义审计策略与审计事件之间的映射关系,为审计策略参数项赋值,形成审计策略数据表;审计事件和审计策略的参数项定义既包括通用参数项的定义,还针对每类安全策略和安全事件的特性分别定义特殊的参数项,审计事件和审计策略的通用参数项的定义和赋值都分别记录在审计事件数据表和审计策略数据表中,特殊参数项分别独立定义在审计事件特定参数定义表和审计策略特定参数定义表中,通过设置预留字段在审计事件数据表和审计策略数据表中为审计策略和审计事件的特殊参数项提供必需的存储空间;审计事件和审计策略定义完成后,形成自定义的XML格式的审计策略配置文件,将审计策略下发到相应的审计代理,对于从监控环境中接收到的安全事件,审计代理将这些安全事件与审计策略进行匹配,然后审计代理将各个审计事件的具体信息记录在审计事件数据表中,作为日后取证的依据。
2、根据权利要求1所述的基于映射表的通用安全审计策略定制方法,其特征是,方法的流程如下:
(1)定义审计事件的基本信息和特征参数项
①定义审计事件类型的基本信息
审计策略的制定首先应明确具体是针对何种事件类型,这种事件包括哪些可能的正常操作和违规操作行为,以及由这些行为产生的结果,这部分信息定义在审计事件类型表中;
②定义审计事件具体的参数项
对于每类审计事件,预先为其设定一些通用的参数项,这些通用的参数项涵盖了各类事件的基本信息,适用于所有安全事件;审计事件通用参数项包括:主体定义、客体定义、时间定义和响应定义;其中,主体指审计事件的发起端,主体定义包括主体主机IP、主体主机名、主体主机MAC、主体用户帐号、主体进程名、主体源端口,客体指审计事件的目的端,客体定义包括客体主机IP、客体主机名、客体主机MAC、客体服务名称、客体进程名称、客体文件/目录名称、客体目的端口,时间定义包括审计事件上报时间、审计事件的开始时间、审计事件的结束时间,响应定义描述的是各种响应类型,审计事件的通用参数项设置在“审计事件数据表”中;
或者为每类审计事件定制特殊参数项,审计事件特殊参数项的信息定义在“审计事件特定参数定义表”中;
(2)为新增的审计事件定义相应的审计策略
①定义审计策略的基本信息
审计事件确定之后,要为其定制相应的审计策略,审计策略的基本信息定义在“审计策略类型表”中;
②定义审计策略具体的参数项
对每类审计策略,预先为其设定一些通用的参数项,这些通用的参数项主要描述的是每条策略生效的具体时间段、策略的授权用户以及该策略的状态,审计策略的通用参数项设置在“审计策略数据表”中;与审计事件的特定参数相对应,对于每类审计策略,也为每类审计策略定制特殊参数,审计策略的特殊参数定义在“审计策略特定参数定义表”中;
③定义审计策略与审计事件之间的映射关系,二者之间的关联映射关系,具体格式如下:
审计策略—审计事件映射表:策略类型标识号、事件类型标识号,
④为设置审计策略参数项赋值,形成“审计策略数据表”,
根据上述审计策略参数项的定义,对每类策略各个参数项赋予不同的参数值,即形成多条具体的审计策略,审计策略的具体数值记录在“审计策略数据表”中;
(3)形成审计策略配置文件,下发审计策略
当新的审计策略定制完成之后,将审计策略数据表和审计策略特定参数定义表中各个代表审计策略基本特征的字段作为审计策略配置文件的标签和属性,形成XML文件格式的审计策略配置文件,下发给部署在各处的审计代理;
(4)策略匹配,形成审计事件数据表
审计代理在接收到新的审计策略之后,审计代理将收集到的审计数据与新定制的策略进行匹配,上报对应新规则产生的安全事件,由审计事件数据表记录审计代理上报上来的各个审计事件的具体信息,作为日后取证的依据。
3、根据权利要求1或2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件类型表,具体格式定义如下:
审计事件类型表为:事件类型标识号、事件类型名称、事件处理优先级、事件特定参数个数、事件类型级别、事件类型所属的1级类别、事件类型所属的2级类别、事件类型所属的3级类别、事件类型所属的4级类别,
其中:“事件处理优先级”字段,用数字由小到大表示处理的优先级由高到低;
审计事件类型表中的“特定参数个数”字段由用户根据实际需要定义每个安全事件所需特殊定义的配置参数项个数;
所有审计事件分为四个层次等级表示,审计事件类型中的“事件类型级别”字段描述了每个事件树状结构中所属的级别,“事件类型所属的n级类别”字段中描述了每个事件在其所属级别中的标识序号或者是该事件的上级事件在对应所属级别中的标识序号。
4、根据权利要求1所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件特定参数定义表,具体格式如下:
审计事件特定参数定义表:事件类型标识号、事件特定参数标识号、事件特定参数名称、事件特定参数类型。
5、根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略类型,其具体格式如下:
审计策略类型:审计代理标识号、策略类型标识号、策略类型名称、策略特定参数个数,
其中,定义了审计代理与策略类型之间的对应关系,其中“策略特定参数个数”字段标识了每类审计策略需要特殊定义的参数项个数。
6、根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略特定参数定义表,具体格式如下:
审计策略特定参数定义表:策略类型标识号、策略特定参数标识号、策略特定参数名称、策略特定参数类型。
7、根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计策略数据表,其具体格式如下:
审计策略数据表:策略标识号、策略类型标识号、审计代理标识号、事件类型标识号、策略类型优先级、策略生效时间、响应类型、策略特定参数1、策略特定参数2、……、策略特定参数N、策略授权用户、策略是否启动、策略是否删除。
8、根据权利要求2所述的基于映射表的通用安全审计策略定制方法,其特征是,所述的审计事件数据表,其具体格式如下:
审计事件数据表:审计事件记录标识号、事件类型标识号、策略标识号、审计代理标识号、事件处理优先级、事件进行状态、主体定义、客体定义、时间定义、响应类型、事件特定参数1、事件特定参数2、……、事件特定参数N。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100164224A CN1321509C (zh) | 2004-02-19 | 2004-02-19 | 基于映射表的通用安全审计策略定制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100164224A CN1321509C (zh) | 2004-02-19 | 2004-02-19 | 基于映射表的通用安全审计策略定制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1561035A true CN1561035A (zh) | 2005-01-05 |
| CN1321509C CN1321509C (zh) | 2007-06-13 |
Family
ID=34440468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100164224A Expired - Fee Related CN1321509C (zh) | 2004-02-19 | 2004-02-19 | 基于映射表的通用安全审计策略定制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1321509C (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100367216C (zh) * | 2005-06-20 | 2008-02-06 | 南京大学 | 事件模型中的快速事件匹配方法 |
| CN101110813B (zh) * | 2006-07-17 | 2010-09-08 | 深圳市艾派应用系统有限公司 | 一种保持兼容的移动数据同步方法 |
| CN101931557A (zh) * | 2010-08-13 | 2010-12-29 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| WO2011007365A3 (en) * | 2009-07-13 | 2011-03-24 | Hewlett-Packard Development Company, L.P. | Method and system for verifying data accuracy |
| CN102104546A (zh) * | 2011-02-23 | 2011-06-22 | 中兴通讯股份有限公司 | 一种转发表的同步方法及系统 |
| CN101401061B (zh) * | 2005-05-09 | 2011-08-03 | 普罗维拉公司 | 级联安全体系结构 |
| CN102799627A (zh) * | 2012-06-26 | 2012-11-28 | 哈尔滨工程大学 | 一种基于一阶逻辑和神经网络的数据对应方法 |
| CN104239478A (zh) * | 2014-09-04 | 2014-12-24 | 上海帝联信息科技股份有限公司 | 文件监控方法及装置 |
| CN105337958A (zh) * | 2015-09-24 | 2016-02-17 | 陈鸣 | 一种基于OpenFlow流的网络安全审计、接入系统和方法 |
| CN107480188A (zh) * | 2017-07-11 | 2017-12-15 | 中国建设银行股份有限公司 | 一种审计业务数据处理方法和计算机设备 |
| CN107547498A (zh) * | 2017-05-10 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种审计方法及装置 |
| CN109040089A (zh) * | 2018-08-15 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 网络策略审计方法、设备及计算机可读存储介质 |
| CN110222032A (zh) * | 2019-05-22 | 2019-09-10 | 武汉掌游科技有限公司 | 一种基于软件数据分析的通用事件模型 |
| CN110381088A (zh) * | 2019-08-21 | 2019-10-25 | 牡丹江师范学院 | 一种基于物联网的数据安全保障方法 |
| CN113268553A (zh) * | 2021-07-21 | 2021-08-17 | 国网汇通金财(北京)信息科技有限公司 | 一种数据审计方法、系统、电子设备及存储介质 |
| CN113505367A (zh) * | 2021-06-29 | 2021-10-15 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114462373A (zh) * | 2022-02-09 | 2022-05-10 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
| CN114818640A (zh) * | 2022-04-27 | 2022-07-29 | 华迪计算机集团有限公司 | 审计数据采集分析方法、系统、电子设备及介质 |
| CN117034259A (zh) * | 2023-08-15 | 2023-11-10 | 上海沄熹科技有限公司 | 一种数据库审计方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10171863A (ja) * | 1996-12-05 | 1998-06-26 | Hitachi Ltd | セキュリティ監査システム |
| CN1175350C (zh) * | 2001-12-04 | 2004-11-10 | 上海复旦光华信息科技股份有限公司 | 主机性能监测及自动反应系统 |
| AU2003228541A1 (en) * | 2002-04-15 | 2003-11-03 | Core Sdi, Incorporated | Secure auditing of information systems |
| CN1417690A (zh) * | 2002-12-03 | 2003-05-14 | 南京金鹰国际集团软件系统有限公司 | 基于构件的应用过程审计平台系统 |
| CN1447263A (zh) * | 2003-03-17 | 2003-10-08 | 上海金诺网络安全技术发展股份有限公司 | 计算机网络信息安全事件处理方法 |
-
2004
- 2004-02-19 CN CNB2004100164224A patent/CN1321509C/zh not_active Expired - Fee Related
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101401061B (zh) * | 2005-05-09 | 2011-08-03 | 普罗维拉公司 | 级联安全体系结构 |
| CN100367216C (zh) * | 2005-06-20 | 2008-02-06 | 南京大学 | 事件模型中的快速事件匹配方法 |
| CN101110813B (zh) * | 2006-07-17 | 2010-09-08 | 深圳市艾派应用系统有限公司 | 一种保持兼容的移动数据同步方法 |
| WO2011007365A3 (en) * | 2009-07-13 | 2011-03-24 | Hewlett-Packard Development Company, L.P. | Method and system for verifying data accuracy |
| CN101931557A (zh) * | 2010-08-13 | 2010-12-29 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| CN101931557B (zh) * | 2010-08-13 | 2013-01-30 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| CN102104546B (zh) * | 2011-02-23 | 2015-06-10 | 中兴通讯股份有限公司 | 一种转发表的同步方法及系统 |
| CN102104546A (zh) * | 2011-02-23 | 2011-06-22 | 中兴通讯股份有限公司 | 一种转发表的同步方法及系统 |
| CN102799627A (zh) * | 2012-06-26 | 2012-11-28 | 哈尔滨工程大学 | 一种基于一阶逻辑和神经网络的数据对应方法 |
| CN102799627B (zh) * | 2012-06-26 | 2014-10-22 | 哈尔滨工程大学 | 一种基于一阶逻辑和神经网络的数据对应方法 |
| CN104239478B (zh) * | 2014-09-04 | 2018-07-27 | 上海帝联信息科技股份有限公司 | 文件监控方法及装置 |
| CN104239478A (zh) * | 2014-09-04 | 2014-12-24 | 上海帝联信息科技股份有限公司 | 文件监控方法及装置 |
| CN105337958A (zh) * | 2015-09-24 | 2016-02-17 | 陈鸣 | 一种基于OpenFlow流的网络安全审计、接入系统和方法 |
| CN107547498A (zh) * | 2017-05-10 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种审计方法及装置 |
| CN107480188A (zh) * | 2017-07-11 | 2017-12-15 | 中国建设银行股份有限公司 | 一种审计业务数据处理方法和计算机设备 |
| CN109040089A (zh) * | 2018-08-15 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 网络策略审计方法、设备及计算机可读存储介质 |
| CN110222032A (zh) * | 2019-05-22 | 2019-09-10 | 武汉掌游科技有限公司 | 一种基于软件数据分析的通用事件模型 |
| CN110381088A (zh) * | 2019-08-21 | 2019-10-25 | 牡丹江师范学院 | 一种基于物联网的数据安全保障方法 |
| CN110381088B (zh) * | 2019-08-21 | 2021-11-12 | 牡丹江师范学院 | 一种基于物联网的数据安全保障方法 |
| CN113505367A (zh) * | 2021-06-29 | 2021-10-15 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
| CN113505367B (zh) * | 2021-06-29 | 2024-05-28 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
| CN113268553A (zh) * | 2021-07-21 | 2021-08-17 | 国网汇通金财(北京)信息科技有限公司 | 一种数据审计方法、系统、电子设备及存储介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691561B (zh) * | 2021-09-07 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114462373A (zh) * | 2022-02-09 | 2022-05-10 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
| CN114462373B (zh) * | 2022-02-09 | 2022-11-15 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
| CN114818640A (zh) * | 2022-04-27 | 2022-07-29 | 华迪计算机集团有限公司 | 审计数据采集分析方法、系统、电子设备及介质 |
| CN117034259A (zh) * | 2023-08-15 | 2023-11-10 | 上海沄熹科技有限公司 | 一种数据库审计方法及装置 |
| CN117034259B (zh) * | 2023-08-15 | 2024-05-07 | 上海沄熹科技有限公司 | 一种数据库审计方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1321509C (zh) | 2007-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1561035A (zh) | 基于映射表的通用安全审计策略定制方法 | |
| CN1146178C (zh) | 用于数据处理的方法和装置 | |
| CN1215415C (zh) | 文件管理方法和存储信息记录重放装置 | |
| CN1278266C (zh) | 工作流挖掘系统和方法 | |
| US7716530B2 (en) | Thread interception and analysis | |
| CN1573753A (zh) | 数据库对象脚本生成方法和系统 | |
| JP5057640B2 (ja) | アプリケーションファイルの監視・制御システム及び監視・制御方法 | |
| CN1534461A (zh) | 用于动态增加软件部件以便扩展系统过程功能的系统结构和相关方法 | |
| US20120297063A1 (en) | Method and apparatus for populating a software catalogue with software knowledge gathering | |
| CN1770169A (zh) | 向用户/组授予访问控制列表所有权的访问控制系统和方法 | |
| US20190377764A1 (en) | Illegal content search system and method thereof | |
| CN1551000A (zh) | 方便计算设备和多种媒体设备之间的通信的方法和系统 | |
| CN1229944A (zh) | 用于减少预装类的脚印的系统和方法 | |
| CN1156285A (zh) | 从一个主登记向多个外部登记传播明码口令 | |
| CN101853302A (zh) | 可扩展文件系统 | |
| CN1836195A (zh) | 使用个人标识信息标签和目的服务功能集合的pii数据访问控制工具的实现和使用 | |
| CN1874218A (zh) | 一种许可证管理方法、系统及装置 | |
| CN111190603B (zh) | 一种隐私数据检测方法、装置和计算机可读存储介质 | |
| CN1900940A (zh) | 计算机安全启动的方法 | |
| CN1687916A (zh) | 通用串行总线数据传输方法及其设备 | |
| CN1866283A (zh) | 实现规则系统触发的系统及方法 | |
| JP2011192238A (ja) | 機器管理装置、機器管理システム、情報管理方法、情報管理プログラム、及びそのプログラムを記録した記録媒体 | |
| CN1304914C (zh) | 用于数据存储库的数字水印的系统和方法 | |
| CN1975772A (zh) | 整合多个系统中的信息的方法和装置 | |
| CN1680900A (zh) | 许可创建装置、许可创建方法和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070613 Termination date: 20130219 |