內(nèi)網(wǎng)安全審計(jì)系統(tǒng)及審計(jì)數(shù)據(jù)挖掘研究.pdf

1、近年來，網(wǎng)絡(luò)安全問題日益嚴(yán)重，而在眾多的安全問題中，由內(nèi)部產(chǎn)生的安全隱患占很大的比例，包括內(nèi)部人員的惡意破壞，機(jī)密信息竊取，以及內(nèi)部入侵等。因?yàn)樵诰W(wǎng)絡(luò)內(nèi)部更容易獲得計(jì)算機(jī)系統(tǒng)的權(quán)限，而且管理人員對(duì)內(nèi)部的攻擊往往也疏于防范。因此，解決內(nèi)部網(wǎng)絡(luò)的安全問題，越來越引起很多安全機(jī)構(gòu)、科研機(jī)構(gòu)及政府部們的關(guān)注。 目前解決網(wǎng)絡(luò)安全主要采取的技術(shù)手段有防火墻、入侵檢測(cè)等。它們對(duì)防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對(duì)于內(nèi)

2、部安全問題的防范比較薄弱。 在這種情況下，內(nèi)網(wǎng)安全審計(jì)系統(tǒng)應(yīng)運(yùn)而生。本文主要依照TCSEC和CC制定的標(biāo)準(zhǔn)對(duì)構(gòu)建一個(gè)內(nèi)網(wǎng)安全審計(jì)系統(tǒng)展開了研究。首先研究了安全審計(jì)的理論，包括審計(jì)機(jī)制的提出，安全審計(jì)的諸多國內(nèi)外標(biāo)準(zhǔn)等，對(duì)審計(jì)理論進(jìn)行了比較全面的總結(jié)。接著對(duì)Windows下內(nèi)網(wǎng)安全審計(jì)系統(tǒng)進(jìn)行了詳細(xì)的設(shè)計(jì)，設(shè)計(jì)了一種適合記錄用戶行為的審計(jì)數(shù)據(jù)格式和審計(jì)點(diǎn)集，以及一個(gè)適合內(nèi)網(wǎng)行為審計(jì)的總體框架。然后對(duì)內(nèi)網(wǎng)安全審計(jì)系統(tǒng)的關(guān)鍵功能的實(shí)現(xiàn)

3、進(jìn)行了討論，采用了API鉤子和GINA等技術(shù)實(shí)現(xiàn)了Windows下的審計(jì)數(shù)據(jù)獲取。 數(shù)據(jù)挖掘是一種知識(shí)發(fā)現(xiàn)技術(shù)，可以在大量的歷史數(shù)據(jù)中發(fā)掘出有意義的模式，再通過分類算法判別當(dāng)前模式和歷史模式的異同。本文把數(shù)據(jù)挖掘應(yīng)用于內(nèi)網(wǎng)行為審計(jì)，提出一種基于用戶行為分析的異常行為檢測(cè)模型。該模式首先用關(guān)聯(lián)規(guī)則和序列模式挖掘等算法建立正常的用戶行為模式庫，然后用相似度算法(全序列算法和相關(guān)函數(shù)算法)區(qū)分當(dāng)前模式與正常模式的相似度，從而判斷出當(dāng)前