安全审计的分析方法

5.4　安全审计的分析方法

1.基于规则库的安全审计方法

基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作（关键字、正则表达式、模糊近似度等），从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的无效审核数据信息，对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有OOB标志的数据包，一般肯定是Winnuke攻击数据包。而且规则库可以从互联网上下载和升级（如www.cert.org等站点都可以提供各种最新攻击数据库），使得系统的可扩充性非常好。但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件，当出现新的攻击软件或者攻击软件进行升级之后，就容易产生漏报。例如，著名的Back Orifice后门软件在20世纪90年代末非常流行，当时人们会发现攻击的端口是31337，因此31337这个古怪的端口便和Back Orifice联系在了一起。但不久之后，聪明的Back Orifice作者把这个源端口换成了80这个常用的Web服务器端口，这样就逃避了很多安全系统的检查。

基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为，该技术的效果非常之好，但是对于其他一些非常容易产生变种的网络攻击行为，规则库就很难完全满足要求了。

2.基于数理统计的安全审计方法

数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。典型的如著名syn flooding攻击来说，攻击者的目的是不想完成正常的TCP三次握手所建立起来的连接，从而让等待建立这一特定服务的连接数量超过系统所限制的数量，这样就可以使被攻击系统无法建立关于该服务的新连接。很显然，要填满一个队列，一般要在一段时间内不停地发送SYN连接请求，根据各个系统的不同，一般在每分钟10～20个，或者更多。显然，在一分钟从同一个源地址发送来20个以上的SYN连接请求是非常不正常的，我们完全可以通过设置每分钟同一源地址的SYN连接数量这个统计量来判别攻击行为的发生。但是，数理统计的最大问题在于如何设定统计量的“阈值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，因此不可避免地会产生误报和漏报。

3.基于日志数据挖掘的安全审计方法

基于规则库和数理统计的安全审计方法已经得到了广泛的应用，而且也获得了比较大的成功，但是它最大的缺陷在于已知的入侵模式必须被手工编码，不能动态地进行规则更新。因此最近人们开始越来越关注带有学习能力的数据挖掘方法，目前该方法已经在一些安全审计系统中得到了应用，它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式，并和常规的一些攻击规则库进行关联分析，并用以检测系统攻击行为。

数据挖掘本身是一项通用的知识发现技术，其目的是要从海量数据中提取出我们所感兴趣的数据信息（知识）。这恰好与当前网络安全审计的现实相吻合。目前，操作系统的日益复杂化和网络数据流量的急剧膨胀，导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息，人们希望能够对其进行更高抽象层次的分析，以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息，抽象出有利于进行判断和比较的特征模型。根据这些特征向量模型和行为描述模型，可以由计算机利用相应的算法判断出当前网络行为的性质。与传统的网络安全审计系统相比，基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。

4.其他安全审计方法

安全审计根据收集到的关于已发生事件的各种数据来发现系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中，利用观测到的数据，发现攻击行为。两者的目的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，因而安全审计与入侵检测两者在分析方法上有很大的相似之处，入侵检测分析方法多能应用于安全审计，如神经网络、遗传算法等。信息技术的高速发展，攻击者的攻击手段日新月异，安全审计应根据实际应用背景，不断推出新的方法，比如：

（1）神经网络：神经网络的基本思想是用一系列信息单元序列来训练神经单元，在神经网络的输入中包括当前的信息单元序列和过去的信息单元序列集合，神经网络由此可进行判断，并能预测输出。与概率统计方法相比，神经网络方法更好地表达了变量之间的非线性关系，并且能自动学习和更新。

（2）遗传算法：一个遗传算法是一类进化算法的一个实例，这些算法在多维优化问题处理方面的能力已经得到认可，并且遗传算法在对异常检测的准确率和速度上有较大优势。主要不足在于不能在审计跟踪中精确定位攻击，这一点和神经网络面临的问题相似。