內(nèi)網(wǎng)安全審計系統(tǒng)及審計數(shù)據(jù)挖掘研究.pdf

1、近年來，網(wǎng)絡(luò)安全問題日益嚴(yán)重，而在眾多的安全問題中，由內(nèi)部產(chǎn)生的安全隱患占很大的比例，包括內(nèi)部人員的惡意破壞，機(jī)密信息竊取，以及內(nèi)部入侵等。因為在網(wǎng)絡(luò)內(nèi)部更容易獲得計算機(jī)系統(tǒng)的權(quán)限，而且管理人員對內(nèi)部的攻擊往往也疏于防范。因此，解決內(nèi)部網(wǎng)絡(luò)的安全問題，越來越引起很多安全機(jī)構(gòu)、科研機(jī)構(gòu)及政府部們的關(guān)注。 目前解決網(wǎng)絡(luò)安全主要采取的技術(shù)手段有防火墻、入侵檢測等。它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內(nèi)

2、部安全問題的防范比較薄弱。 在這種情況下，內(nèi)網(wǎng)安全審計系統(tǒng)應(yīng)運而生。本文主要依照TCSEC和CC制定的標(biāo)準(zhǔn)對構(gòu)建一個內(nèi)網(wǎng)安全審計系統(tǒng)展開了研究。首先研究了安全審計的理論，包括審計機(jī)制的提出，安全審計的諸多國內(nèi)外標(biāo)準(zhǔn)等，對審計理論進(jìn)行了比較全面的總結(jié)。接著對Windows下內(nèi)網(wǎng)安全審計系統(tǒng)進(jìn)行了詳細(xì)的設(shè)計，設(shè)計了一種適合記錄用戶行為的審計數(shù)據(jù)格式和審計點集，以及一個適合內(nèi)網(wǎng)行為審計的總體框架。然后對內(nèi)網(wǎng)安全審計系統(tǒng)的關(guān)鍵功能的實現(xiàn)

3、進(jìn)行了討論，采用了API鉤子和GINA等技術(shù)實現(xiàn)了Windows下的審計數(shù)據(jù)獲取。 數(shù)據(jù)挖掘是一種知識發(fā)現(xiàn)技術(shù)，可以在大量的歷史數(shù)據(jù)中發(fā)掘出有意義的模式，再通過分類算法判別當(dāng)前模式和歷史模式的異同。本文把數(shù)據(jù)挖掘應(yīng)用于內(nèi)網(wǎng)行為審計，提出一種基于用戶行為分析的異常行為檢測模型。該模式首先用關(guān)聯(lián)規(guī)則和序列模式挖掘等算法建立正常的用戶行為模式庫，然后用相似度算法(全序列算法和相關(guān)函數(shù)算法)區(qū)分當(dāng)前模式與正常模式的相似度，從而判斷出當(dāng)前