安全審計(jì)分析是指對(duì)系統(tǒng)行為和審計(jì)數(shù)據(jù)進(jìn)行自動(dòng)分析,發(fā)現(xiàn)潛在的或者實(shí)際發(fā)生的安全違規(guī)。
安全審計(jì)分析的能力直接關(guān)系到能否識(shí)別真正的安全違規(guī)。它包括四個(gè)組件的定義:潛在違規(guī)分析、基于異常檢測(cè)的描述、簡(jiǎn)單攻擊試探法、復(fù)雜攻擊試探法。
1) 潛在違規(guī)分析:建立一個(gè)固定的、由特征信息構(gòu)成的規(guī)則集合并對(duì)其進(jìn)行維護(hù)(添加、修改、刪除規(guī)則),以監(jiān)視審計(jì)出的事件,通過(guò)累積或者合并已知的可審計(jì)事件來(lái)顯示潛在的安全違規(guī)。
2) 基于異常檢測(cè)的描述:每個(gè)特征描述代表特定目的組成員使用的某個(gè)歷史模式。每個(gè)特定目的組的成員分配相應(yīng)的閥值,來(lái)表明此用戶當(dāng)前行為是否符合己建立的該用戶的使用模式。這種分析可以在實(shí)時(shí)或者批處理模式分析下實(shí)現(xiàn)。每個(gè)用戶相關(guān)的閥值表示用戶當(dāng)前行為是否符合已建立的該用戶的使用模式,當(dāng)用戶的閥值已經(jīng)超過(guò)臨界條件時(shí),要能夠表明即將來(lái)臨的違規(guī)。
3) 簡(jiǎn)單攻擊試探法:該功能應(yīng)檢測(cè)出代表重大威脅的特征事件的發(fā)生。對(duì)特征事件的搜索可以在實(shí)時(shí)或者批處理模式下分析實(shí)現(xiàn)。該功能應(yīng)當(dāng)能夠維護(hù)特征事件(系統(tǒng)事件子集)的內(nèi)部表示,可以表明違規(guī)事件,在對(duì)用于確定系統(tǒng)行為的信息檢測(cè)中,能夠從可辨認(rèn)的系統(tǒng)行為記錄中區(qū)別出特征事件,當(dāng)系統(tǒng)事件匹配特征事件表明潛在違規(guī)時(shí),能夠表明即將發(fā)生的違規(guī)。
4) 復(fù)雜攻擊試探法:該功能能夠描繪和檢測(cè)出多步驟的入侵攻擊方案,能夠?qū)?比系統(tǒng)事件(可能是多個(gè)個(gè)體實(shí)現(xiàn))和事件序列來(lái)描繪出整個(gè)攻擊方案,當(dāng)發(fā)現(xiàn)某個(gè)特征事件序列時(shí),能夠表明發(fā)生了潛在的違規(guī)。在管理上應(yīng)當(dāng)做好對(duì)系統(tǒng)事件子集的維護(hù)(刪除、修改、添加)和對(duì)系統(tǒng)事件序列集合的維護(hù)。在細(xì)節(jié)上能夠維護(hù)己知攻擊方案的事件序列(系統(tǒng)事件的序列表,表示已經(jīng)發(fā)生了已知的滲透事件)和特征事件(系統(tǒng)事件的子集)的內(nèi)部表示,能夠表明發(fā)生了潛在的違規(guī),在對(duì)用于確定系統(tǒng)行為的信息的檢測(cè)中,能夠從可辨認(rèn)的系統(tǒng)行為記錄中區(qū)別出特征事件和事件序列,當(dāng)系統(tǒng)事件匹配特征事件或者事件序列表明潛在違規(guī)時(shí),能夠表明即將發(fā)生的違規(guī)。