內(nèi)網(wǎng)分布式用戶行為審計(jì)及異常檢測系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，信息安全問題越來越嚴(yán)重。如何保護(hù)敏感信息的安全已經(jīng)成為社會、政治、經(jīng)濟(jì)、軍事等領(lǐng)域的重要問題。近年來，網(wǎng)絡(luò)攻擊已經(jīng)逐漸從外部攻擊轉(zhuǎn)向內(nèi)部攻擊。內(nèi)部攻擊具有一般性、特異性弱、隱蔽性強(qiáng)等特點(diǎn)，可以輕易繞過防火墻及入侵檢測系統(tǒng)的監(jiān)控，比外網(wǎng)病毒、黑客攻擊等外部攻擊更難防范，而且造成的損失也更大。防火墻，IDS已經(jīng)不能滿足這些安全需求。安全審計(jì)技術(shù)的出現(xiàn)極大地彌補(bǔ)了前兩者的不足，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)中重要的

2、環(huán)節(jié)。 論文歸納了內(nèi)網(wǎng)用戶行為存在的一些特點(diǎn)，總結(jié)了異常行為的表現(xiàn)形式，針對用戶行為事件相關(guān)性展開研究，得出行為事件的兩種關(guān)聯(lián)性，即內(nèi)容關(guān)聯(lián)和時序關(guān)聯(lián)，并針對這兩種關(guān)聯(lián)性設(shè)計(jì)分析方法。論文依據(jù)TCSEC、CC及GB17859—1999安全標(biāo)準(zhǔn)，設(shè)計(jì)并實(shí)現(xiàn)了一個基于分布式體系結(jié)構(gòu)的內(nèi)網(wǎng)行為審計(jì)系統(tǒng)，該系統(tǒng)主要由分布式數(shù)據(jù)采集模塊、過濾器模塊、數(shù)據(jù)實(shí)時分析模塊、報(bào)警模塊組成。系統(tǒng)采用HOOK機(jī)制，從驅(qū)動層捕獲內(nèi)網(wǎng)用戶的各種操作數(shù)據(jù)（