內網安全審計系統(tǒng)及審計數據挖掘研究.pdf

1、近年來，網絡安全問題日益嚴重，而在眾多的安全問題中，由內部產生的安全隱患占很大的比例，包括內部人員的惡意破壞，機密信息竊取，以及內部入侵等。因為在網絡內部更容易獲得計算機系統(tǒng)的權限，而且管理人員對內部的攻擊往往也疏于防范。因此，解決內部網絡的安全問題，越來越引起很多安全機構、科研機構及政府部們的關注。 目前解決網絡安全主要采取的技術手段有防火墻、入侵檢測等。它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內

2、部安全問題的防范比較薄弱。 在這種情況下，內網安全審計系統(tǒng)應運而生。本文主要依照TCSEC和CC制定的標準對構建一個內網安全審計系統(tǒng)展開了研究。首先研究了安全審計的理論，包括審計機制的提出，安全審計的諸多國內外標準等，對審計理論進行了比較全面的總結。接著對Windows下內網安全審計系統(tǒng)進行了詳細的設計，設計了一種適合記錄用戶行為的審計數據格式和審計點集，以及一個適合內網行為審計的總體框架。然后對內網安全審計系統(tǒng)的關鍵功能的實現(xiàn)

3、進行了討論，采用了API鉤子和GINA等技術實現(xiàn)了Windows下的審計數據獲取。 數據挖掘是一種知識發(fā)現(xiàn)技術，可以在大量的歷史數據中發(fā)掘出有意義的模式，再通過分類算法判別當前模式和歷史模式的異同。本文把數據挖掘應用于內網行為審計，提出一種基于用戶行為分析的異常行為檢測模型。該模式首先用關聯(lián)規(guī)則和序列模式挖掘等算法建立正常的用戶行為模式庫，然后用相似度算法(全序列算法和相關函數算法)區(qū)分當前模式與正常模式的相似度，從而判斷出當前