責(zé)任認定數(shù)據(jù)分析系統(tǒng)的研究與實現(xiàn).pdf

1、國辦2006[11]號文《關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見》中明確提出了加強我國網(wǎng)絡(luò)信任體系研究和建設(shè)工作的要求，責(zé)任認定作為網(wǎng)絡(luò)信任體系的重要組成部分，是實現(xiàn)網(wǎng)絡(luò)行為可核查、網(wǎng)絡(luò)事件責(zé)任可追究和打擊網(wǎng)絡(luò)犯罪的重要途徑。 然而要有效實現(xiàn)責(zé)任認定，審計機制就不能夠單純的停留在數(shù)據(jù)的采集、查詢和統(tǒng)計等功能上，重要的是要對審計數(shù)據(jù)進行深度挖掘分析，能夠從海量的數(shù)據(jù)中提取出盡可能多的有用信息，從而為責(zé)任認定機制的高效運行提供強有力保障。責(zé)

2、任認定數(shù)據(jù)分析系統(tǒng)的研究就是在這樣的需求下提出的，目標(biāo)是構(gòu)建一個數(shù)據(jù)綜合分析平臺，能夠把網(wǎng)絡(luò)中位置各異、格式不一的日志和審計數(shù)據(jù)集中起來進行關(guān)聯(lián)性分析，從而提供更加完備的責(zé)任認定依據(jù)，以滿足責(zé)、權(quán)、利相統(tǒng)一的安全網(wǎng)絡(luò)環(huán)境要求。 隨著網(wǎng)絡(luò)信任體系建設(shè)進程的推進，計算機監(jiān)控和取證的對象由原來單一的主機系統(tǒng)轉(zhuǎn)變?yōu)橛筛鞣N服務(wù)器、路由交換設(shè)備和安全設(shè)備等組成的網(wǎng)絡(luò)系統(tǒng)，有用的證據(jù)往往分散在多種不同的日志中。由于日志種類繁多，格式不一，彼此

3、之間的聯(lián)系難以直接體現(xiàn)，傳統(tǒng)手工分析模式面臨極大困難。同時，激增的日志數(shù)據(jù)背后隱藏了許多重要信息，為了使分散的日志能夠有效輔助取證工作，往往需要進行更高層次的分析——事件場景關(guān)聯(lián)。 本文在研究和分析了責(zé)任認定相關(guān)數(shù)據(jù)分析技術(shù)的基礎(chǔ)上，提出了一種融合多源日志的基于事件“前提／結(jié)果”的事件場景關(guān)聯(lián)方法，即PC-ECF，從而使本系統(tǒng)很好的解決了多源日志輔助取證進行自動分析的問題。 通過基于日志融合技術(shù)的審計數(shù)據(jù)預(yù)處理方案的設(shè)計