分布式安全审计系统体系结构

5.2.3　分布式安全审计系统体系结构

分布式安全审计系统实际上包含两层含义：一是对分布式网络的安全审计；二是采用分布式计算的方法，对数据源进行安全审计。典型的分布式安全审计系统结构如图5－3所示。

图5－3　分布式安全审计系统体系结构

它由三部分组成。

（1）主机代理模块

主机代理模块是部署在受监视主机上，并作为后台进程运行的审计信息收集模块。主要目的是收集主机上与安全相关的事件信息，并将数据传送给中央管理者。它同时承担了数据采集以及部分的安全审计工作。

（2）局域网监视器代理模块

局域网监视器代理模块是部署在受监视的局域网上，用以收集并对局域网上的行为进行审计的模块，主要分析局域网上的通信信息，并根据需要将结果报告给中央管理者。

（3）中央管理者模块

中央管理者模块接收包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通信信息，对接收到的数据进行分析。

在分布式系统结构中，代理截获审计收集系统生成的审计记录，应用过滤器去掉与安全无关的记录，然后将这些记录转化成一种标准格式以实现互操作。然后，代理中的分析模块分析记录，并与该用户的历史映像相比较，当检测出异常时，向中央管理者报警。局域网监视器代理审计主机与主机之间的连接以及使用的服务和通信量的大小，以查找出显著的事件，如网络负载的突然改变、安全相关服务的使用等。

分布式系统结构可以从单独的安全审计系统扩展成能够关联许多站点和网络行为的审计系统。相对于集中式结构，它有以下优点：

（1）扩展能力强：通过扩展审计单元来实现网络安全范围的扩张。

（2）容错能力强：分布式的独立结构解决了单点失效问题。

（3）兼容性强：既可包含基于主机的审计，又可含有基于网络的审计，超越了传统审计模型的界限。

（4）适应性强：当网络和主机状态改变时，如升级或重构，分布式审计系统可以容易地作相应修改。