第九講信息安全審計(jì)

1、信息安全審計(jì)信息安全審計(jì)1 概述概述2 安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)3 安全審計(jì)的一般流程安全審計(jì)的一般流程4 安全審計(jì)的分析方法安全審計(jì)的分析方法5 安全審計(jì)的數(shù)據(jù)源安全審計(jì)的數(shù)據(jù)源6 信息安全審計(jì)與標(biāo)準(zhǔn)信息安全審計(jì)與標(biāo)準(zhǔn)7 計(jì)算機(jī)取證計(jì)算機(jī)取證信息安全審計(jì)信息安全審計(jì)1 概述概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)概述天融信天融信TA為用戶(hù)提供的價(jià)值為用戶(hù)提供的價(jià)值信息安全審計(jì)概述信息安全審計(jì)

2、概述信息安全審計(jì)概述信息安全審計(jì)概述信息安全審計(jì)的一般步驟信息安全審計(jì)的一般步驟信息安全審計(jì)概述信息安全審計(jì)概述確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任確認(rèn)重建事件的發(fā)生 評(píng)估損失監(jiān)測(cè)系統(tǒng)問(wèn)題區(qū)提供有效的災(zāi)難恢復(fù)依據(jù)提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)提供案件偵破證據(jù)信息安全審計(jì)概述信息安全審計(jì)概述 安全審計(jì)是對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信安全審計(jì)是對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)響應(yīng)動(dòng)作。網(wǎng)息采集、分析并針對(duì)特定事件及行為采取相應(yīng)響應(yīng)動(dòng)作。網(wǎng)絡(luò)安全審計(jì)是指對(duì)與網(wǎng)絡(luò)安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)絡(luò)安全審計(jì)是指對(duì)與網(wǎng)絡(luò)安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別、記

3、錄、存儲(chǔ)和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有別、記錄、存儲(chǔ)和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動(dòng)以及誰(shuí)對(duì)這個(gè)活動(dòng)負(fù)責(zé)。關(guān)的活動(dòng)以及誰(shuí)對(duì)這個(gè)活動(dòng)負(fù)責(zé)。信息系統(tǒng)安全審計(jì)的概念信息系統(tǒng)安全審計(jì)的概念信息安全審計(jì)概述信息安全審計(jì)概述 信息安全審計(jì)的有多方面的作用與功能，包括取證、威信息安全審計(jì)的有多方面的作用與功能，包括取證、威懾、發(fā)現(xiàn)系統(tǒng)漏洞、發(fā)現(xiàn)系統(tǒng)運(yùn)行異常等。懾、發(fā)現(xiàn)系統(tǒng)漏洞、發(fā)現(xiàn)系統(tǒng)運(yùn)行異常等。(1)取證取證：利用審計(jì)工具，監(jiān)視和記錄系統(tǒng)的活動(dòng)情況。：利用審計(jì)工具，監(jiān)視和記錄系統(tǒng)的活動(dòng)情況。(2)威懾威懾：通過(guò)審計(jì)跟蹤，并配合相應(yīng)的責(zé)任追究機(jī)制，對(duì)外：通過(guò)審計(jì)跟蹤，并配合相應(yīng)的責(zé)任追

4、究機(jī)制，對(duì)外部的入侵者以及內(nèi)部人員的惡意行為具有威懾和警告作用。部的入侵者以及內(nèi)部人員的惡意行為具有威懾和警告作用。(3)發(fā)現(xiàn)系統(tǒng)漏洞發(fā)現(xiàn)系統(tǒng)漏洞：安全審計(jì)為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)：安全審計(jì)為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛使用日志，從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。在的系統(tǒng)漏洞。(4)發(fā)現(xiàn)系統(tǒng)運(yùn)行異常發(fā)現(xiàn)系統(tǒng)運(yùn)行異常：通過(guò)安全審計(jì)，為系統(tǒng)管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，管通過(guò)安全審計(jì)，為系統(tǒng)管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，管理員可根據(jù)日志數(shù)據(jù)庫(kù)記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的理員可根據(jù)日志數(shù)據(jù)庫(kù)記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)

5、的安全性，輸出安全性分析報(bào)告，因而能夠及時(shí)發(fā)現(xiàn)系統(tǒng)的異安全性，輸出安全性分析報(bào)告，因而能夠及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為，并采取相應(yīng)的處理措施。常行為，并采取相應(yīng)的處理措施。信息系統(tǒng)安全審計(jì)的功能信息系統(tǒng)安全審計(jì)的功能信息安全審計(jì)概述信息安全審計(jì)概述 安全審計(jì)，按照不同的分類(lèi)標(biāo)準(zhǔn)，具有不同的分類(lèi)特性。安全審計(jì)，按照不同的分類(lèi)標(biāo)準(zhǔn)，具有不同的分類(lèi)特性。 按照審計(jì)分析的對(duì)象按照審計(jì)分析的對(duì)象，安全審計(jì)可分為，安全審計(jì)可分為針對(duì)主機(jī)的審計(jì)針對(duì)主機(jī)的審計(jì)和和針對(duì)網(wǎng)絡(luò)的審計(jì)針對(duì)網(wǎng)絡(luò)的審計(jì)。前者對(duì)系統(tǒng)資源如系統(tǒng)文件、注冊(cè)表等。前者對(duì)系統(tǒng)資源如系統(tǒng)文件、注冊(cè)表等文件的操作進(jìn)行事前控制和事后取證，并形成日志文件；后文

6、件的操作進(jìn)行事前控制和事后取證，并形成日志文件；后者主要是針對(duì)網(wǎng)絡(luò)的信息內(nèi)容和協(xié)議分析。者主要是針對(duì)網(wǎng)絡(luò)的信息內(nèi)容和協(xié)議分析。 按照按照審計(jì)的工作方式審計(jì)的工作方式，安全審計(jì)可分為，安全審計(jì)可分為集中式安全審計(jì)集中式安全審計(jì)和和分布式安全審計(jì)分布式安全審計(jì)。集中式體系結(jié)構(gòu)采用集中的方法，收集。集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源（網(wǎng)絡(luò)各主機(jī)的原始審計(jì)記錄），所有的數(shù)據(jù)并分析數(shù)據(jù)源（網(wǎng)絡(luò)各主機(jī)的原始審計(jì)記錄），所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計(jì)處理。分布式安全審計(jì)包含兩都要交給中央處理機(jī)進(jìn)行審計(jì)處理。分布式安全審計(jì)包含兩層涵義，一是對(duì)分布式網(wǎng)絡(luò)的安全審計(jì)，其二是采用分布式層涵義，一是

7、對(duì)分布式網(wǎng)絡(luò)的安全審計(jì)，其二是采用分布式計(jì)算的方法，對(duì)數(shù)據(jù)源進(jìn)行安全審計(jì)。計(jì)算的方法，對(duì)數(shù)據(jù)源進(jìn)行安全審計(jì)。信息系統(tǒng)安全審計(jì)的分類(lèi)信息系統(tǒng)安全審計(jì)的分類(lèi)信息安全審計(jì)信息安全審計(jì)2 安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)一般而言，一個(gè)完整的安全審計(jì)系統(tǒng)圖一般而言，一個(gè)完整的安全審計(jì)系統(tǒng)圖5-1所示，包括事件探測(cè)及數(shù)據(jù)所示，包括事件探測(cè)及數(shù)據(jù)采集引擎、數(shù)據(jù)管理引擎和審計(jì)引擎等重要組成部分，每一部分實(shí)現(xiàn)不采集引擎、數(shù)據(jù)管理引擎和審計(jì)引擎等重要組成部分，每一部分實(shí)現(xiàn)不同的功能。

8、同的功能。 (1)事件探測(cè)及數(shù)據(jù)采集引擎事件探測(cè)及數(shù)據(jù)采集引擎事件探測(cè)及數(shù)據(jù)采集引擎主要全面?zhèn)陕?tīng)主機(jī)及網(wǎng)絡(luò)上的信息流，動(dòng)態(tài)監(jiān)事件探測(cè)及數(shù)據(jù)采集引擎主要全面?zhèn)陕?tīng)主機(jī)及網(wǎng)絡(luò)上的信息流，動(dòng)態(tài)監(jiān)視主機(jī)的運(yùn)行情況以及及網(wǎng)絡(luò)上流過(guò)的數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和實(shí)視主機(jī)的運(yùn)行情況以及及網(wǎng)絡(luò)上流過(guò)的數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和實(shí)時(shí)分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)管理中心進(jìn)行保存。時(shí)分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)管理中心進(jìn)行保存。(2)數(shù)據(jù)管理引擎數(shù)據(jù)管理引擎 數(shù)據(jù)管理引擎一方面負(fù)責(zé)對(duì)事件探測(cè)及數(shù)據(jù)采集引擎?zhèn)骰氐臄?shù)據(jù)以及數(shù)據(jù)管理引擎一方面負(fù)責(zé)對(duì)事件探測(cè)及數(shù)據(jù)采集引擎?zhèn)骰氐臄?shù)據(jù)以及安全審計(jì)的輸出數(shù)據(jù)進(jìn)行管理，另

9、一方面，數(shù)據(jù)管理引擎還負(fù)責(zé)對(duì)事件安全審計(jì)的輸出數(shù)據(jù)進(jìn)行管理，另一方面，數(shù)據(jù)管理引擎還負(fù)責(zé)對(duì)事件探測(cè)及數(shù)據(jù)采集引擎的設(shè)置、用戶(hù)對(duì)安全審計(jì)的自定義、系統(tǒng)配置信息探測(cè)及數(shù)據(jù)采集引擎的設(shè)置、用戶(hù)對(duì)安全審計(jì)的自定義、系統(tǒng)配置信息的管理。它一般包括三個(gè)模塊的管理。它一般包括三個(gè)模塊:數(shù)據(jù)庫(kù)管理、引擎管理、配置管理。數(shù)據(jù)庫(kù)管理、引擎管理、配置管理。(3)審計(jì)引擎審計(jì)引擎審計(jì)引擎包括兩個(gè)應(yīng)用程序?qū)徲?jì)引擎包括兩個(gè)應(yīng)用程序:審計(jì)控制臺(tái)和用戶(hù)管理。審計(jì)控制臺(tái)和用戶(hù)管理。 審計(jì)控制臺(tái)可以審計(jì)控制臺(tái)可以實(shí)時(shí)顯示網(wǎng)絡(luò)審計(jì)信息，流量統(tǒng)計(jì)信息，并可以查詢(xún)審計(jì)信息歷史數(shù)據(jù)，實(shí)時(shí)顯示網(wǎng)絡(luò)審計(jì)信息，流量統(tǒng)計(jì)信息，并可以查詢(xún)審計(jì)信息

10、歷史數(shù)據(jù)，并且對(duì)審計(jì)事件進(jìn)行回放。用戶(hù)管理程序可以對(duì)用戶(hù)進(jìn)行權(quán)限設(shè)定，限并且對(duì)審計(jì)事件進(jìn)行回放。用戶(hù)管理程序可以對(duì)用戶(hù)進(jìn)行權(quán)限設(shè)定，限制不同級(jí)別的用戶(hù)查看不同的審計(jì)內(nèi)容。制不同級(jí)別的用戶(hù)查看不同的審計(jì)內(nèi)容。信息安全審計(jì)系統(tǒng)的一般組成信息安全審計(jì)系統(tǒng)的一般組成信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu) 集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源，所有的數(shù)集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源，所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計(jì)處理。中央處理機(jī)承擔(dān)數(shù)據(jù)管理引擎據(jù)都要交給中央處理機(jī)進(jìn)行審計(jì)處理。中央處理機(jī)承擔(dān)數(shù)據(jù)管理引擎及安全審計(jì)引擎的工作，而部署在各受監(jiān)視系統(tǒng)上的外圍設(shè)備只是簡(jiǎn)及安全審

11、計(jì)引擎的工作，而部署在各受監(jiān)視系統(tǒng)上的外圍設(shè)備只是簡(jiǎn)單的數(shù)據(jù)采集設(shè)備，承擔(dān)事件檢測(cè)及數(shù)據(jù)采集引擎的作用。單的數(shù)據(jù)采集設(shè)備，承擔(dān)事件檢測(cè)及數(shù)據(jù)采集引擎的作用。隨著分布式網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，集中式的審計(jì)體系結(jié)構(gòu)越來(lái)越顯示隨著分布式網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，集中式的審計(jì)體系結(jié)構(gòu)越來(lái)越顯示出其出其缺陷缺陷，主要表現(xiàn)在，主要表現(xiàn)在:(1)由于事件信息的分析全部由中央處理機(jī)承擔(dān)，勢(shì)必造成由于事件信息的分析全部由中央處理機(jī)承擔(dān)，勢(shì)必造成CPU、I/O以以及網(wǎng)絡(luò)通信的負(fù)擔(dān)，而且中心計(jì)算機(jī)往往容易發(fā)生單點(diǎn)故障（如針對(duì)及網(wǎng)絡(luò)通信的負(fù)擔(dān)，而且中心計(jì)算機(jī)往往容易發(fā)生單點(diǎn)故障（如針對(duì)中心分析系統(tǒng)的攻擊）。另外，對(duì)現(xiàn)有的系統(tǒng)進(jìn)

12、行用戶(hù)的增容（如網(wǎng)中心分析系統(tǒng)的攻擊）。另外，對(duì)現(xiàn)有的系統(tǒng)進(jìn)行用戶(hù)的增容（如網(wǎng)絡(luò)的擴(kuò)展，通信數(shù)據(jù)量的加大）是很困難的。絡(luò)的擴(kuò)展，通信數(shù)據(jù)量的加大）是很困難的。(2)由于數(shù)據(jù)的集中存儲(chǔ)，在大規(guī)模的分布式網(wǎng)絡(luò)中，有可能因?yàn)閱蝹€(gè)由于數(shù)據(jù)的集中存儲(chǔ)，在大規(guī)模的分布式網(wǎng)絡(luò)中，有可能因?yàn)閱蝹€(gè)點(diǎn)的失敗造成整個(gè)審計(jì)數(shù)據(jù)的不可用。點(diǎn)的失敗造成整個(gè)審計(jì)數(shù)據(jù)的不可用。(3)集中式的體系結(jié)構(gòu)，自適應(yīng)能力差，不能根據(jù)環(huán)境變化自動(dòng)更改配集中式的體系結(jié)構(gòu)，自適應(yīng)能力差，不能根據(jù)環(huán)境變化自動(dòng)更改配置。通常，配置的改變和增加是通過(guò)編輯配置文件來(lái)實(shí)現(xiàn)的，往往需置。通常，配置的改變和增加是通過(guò)編輯配置文件來(lái)實(shí)現(xiàn)的，往往需要重新啟動(dòng)

13、系統(tǒng)以使配置生效。要重新啟動(dòng)系統(tǒng)以使配置生效。因此，集中式的體系結(jié)構(gòu)已不能適應(yīng)高度分布的網(wǎng)絡(luò)環(huán)境。因此，集中式的體系結(jié)構(gòu)已不能適應(yīng)高度分布的網(wǎng)絡(luò)環(huán)境。集中式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)集中式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)信息安全審計(jì)體系結(jié)構(gòu)分布式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)分布式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)分布式安全審計(jì)系統(tǒng)實(shí)際上包含兩層涵義：一是對(duì)分布式網(wǎng)絡(luò)的安全審計(jì)，分布式安全審計(jì)系統(tǒng)實(shí)際上包含兩層涵義：一是對(duì)分布式網(wǎng)絡(luò)的安全審計(jì)，其二是采用分布式計(jì)算的方法，對(duì)數(shù)據(jù)源進(jìn)行安全審計(jì)。其二是采用分布式計(jì)算的方法，對(duì)數(shù)據(jù)源進(jìn)行安全審計(jì)。的通信信息，并根據(jù)需要將結(jié)果報(bào)告給中央管理者。的通信信息，并根據(jù)需要將結(jié)果

14、報(bào)告給中央管理者。(3)中央管理者模塊。中央管理者模塊。接收包括來(lái)自局域網(wǎng)監(jiān)視器和主機(jī)代理的數(shù)據(jù)和報(bào)告，接收包括來(lái)自局域網(wǎng)監(jiān)視器和主機(jī)代理的數(shù)據(jù)和報(bào)告，控制整個(gè)系統(tǒng)的通信信息，對(duì)接收到的數(shù)據(jù)進(jìn)行分析?？刂普麄€(gè)系統(tǒng)的通信信息，對(duì)接收到的數(shù)據(jù)進(jìn)行分析。相對(duì)于集中式結(jié)構(gòu)，它有以下優(yōu)點(diǎn)相對(duì)于集中式結(jié)構(gòu)，它有以下優(yōu)點(diǎn):(1) 擴(kuò)展能力強(qiáng)；擴(kuò)展能力強(qiáng)；(2) 容錯(cuò)能力強(qiáng)容錯(cuò)能力強(qiáng) (3) 兼容性強(qiáng)兼容性強(qiáng) (4) 適應(yīng)性強(qiáng)。適應(yīng)性強(qiáng)。它由三部分組成：它由三部分組成：（1）主機(jī)代理模塊主機(jī)代理模塊。主機(jī)代理模塊是部。主機(jī)代理模塊是部署在受監(jiān)視主機(jī)上，并作為后臺(tái)進(jìn)程運(yùn)行署在受監(jiān)視主機(jī)上，并作為后臺(tái)進(jìn)程運(yùn)行的審

15、計(jì)信息收集模塊。的審計(jì)信息收集模塊。2）局域網(wǎng)監(jiān)視器代理模塊局域網(wǎng)監(jiān)視器代理模塊局域網(wǎng)監(jiān)視器代理模塊是部署在受監(jiān)視的局域網(wǎng)監(jiān)視器代理模塊是部署在受監(jiān)視的局域網(wǎng)上，用以收集并對(duì)局域網(wǎng)上的行為局域網(wǎng)上，用以收集并對(duì)局域網(wǎng)上的行為進(jìn)行審計(jì)的模塊，主要分析局域網(wǎng)網(wǎng)上的進(jìn)行審計(jì)的模塊，主要分析局域網(wǎng)網(wǎng)上的信息安全審計(jì)信息安全審計(jì)3 安全審計(jì)的一般流程安全審計(jì)的一般流程信息安全審計(jì)流程信息安全審計(jì)流程 事件采集設(shè)備通過(guò)硬件或軟件代理對(duì)客體進(jìn)行事件采集，并事件采集設(shè)備通過(guò)硬件或軟件代理對(duì)客體進(jìn)行事件采集，并將采集到的事件發(fā)送至事件辨別與分析器進(jìn)行事件辨別與分析，將采集到的事件發(fā)送至事件辨別與分析器進(jìn)行事件辨

16、別與分析，策略定義的危險(xiǎn)事件，發(fā)送至報(bào)警處理部件，進(jìn)行報(bào)警或響應(yīng)。策略定義的危險(xiǎn)事件，發(fā)送至報(bào)警處理部件，進(jìn)行報(bào)警或響應(yīng)。對(duì)所有需產(chǎn)生審計(jì)信息的事件，產(chǎn)生審計(jì)信息，并發(fā)送至結(jié)果匯對(duì)所有需產(chǎn)生審計(jì)信息的事件，產(chǎn)生審計(jì)信息，并發(fā)送至結(jié)果匯總，進(jìn)行數(shù)據(jù)備份或報(bào)告生成?？?，進(jìn)行數(shù)據(jù)備份或報(bào)告生成。信息安全審計(jì)流程信息安全審計(jì)流程 1 策略定義策略定義安全審計(jì)應(yīng)在一定的審計(jì)策略下進(jìn)行，審計(jì)策略規(guī)定哪些信息需要采集、哪安全審計(jì)應(yīng)在一定的審計(jì)策略下進(jìn)行，審計(jì)策略規(guī)定哪些信息需要采集、哪些事件是危險(xiǎn)事件、以及對(duì)這些事件應(yīng)如何處理等。因而審計(jì)前應(yīng)制定一定些事件是危險(xiǎn)事件、以及對(duì)這些事件應(yīng)如何處理等。因而審計(jì)前應(yīng)

17、制定一定的審計(jì)策略，并下發(fā)到各審計(jì)單元。在事件處理結(jié)束后，應(yīng)根據(jù)對(duì)事件的分的審計(jì)策略，并下發(fā)到各審計(jì)單元。在事件處理結(jié)束后，應(yīng)根據(jù)對(duì)事件的分析處理結(jié)果來(lái)檢查策略的合理性，必要時(shí)應(yīng)調(diào)整審計(jì)策略。析處理結(jié)果來(lái)檢查策略的合理性，必要時(shí)應(yīng)調(diào)整審計(jì)策略。2 事件采集事件采集包含以下行為：包含以下行為：a)按照預(yù)定的審計(jì)策略對(duì)客體進(jìn)行相關(guān)審計(jì)事件采集。形成的結(jié)果交由事件按照預(yù)定的審計(jì)策略對(duì)客體進(jìn)行相關(guān)審計(jì)事件采集。形成的結(jié)果交由事件后續(xù)的各階段來(lái)處理；后續(xù)的各階段來(lái)處理；b)將事件其他各階段提交的審計(jì)策略分發(fā)至各審計(jì)代理，審計(jì)代理依據(jù)策略將事件其他各階段提交的審計(jì)策略分發(fā)至各審計(jì)代理，審計(jì)代理依據(jù)策略進(jìn)行

18、客體事件采集。進(jìn)行客體事件采集。信息安全審計(jì)流程信息安全審計(jì)流程3 事件分析事件分析包含以下行為：包含以下行為： a）按照預(yù)定策略，對(duì)采集到事件進(jìn)行事件辨析，決定：）按照預(yù)定策略，對(duì)采集到事件進(jìn)行事件辨析，決定：1)忽略該事件；忽略該事件；2)產(chǎn)生產(chǎn)生審計(jì)信息；審計(jì)信息；3)產(chǎn)生審計(jì)信息并報(bào)警；產(chǎn)生審計(jì)信息并報(bào)警；4)產(chǎn)生審計(jì)信息且進(jìn)行響應(yīng)聯(lián)動(dòng)。產(chǎn)生審計(jì)信息且進(jìn)行響應(yīng)聯(lián)動(dòng)。b）按照用戶(hù)定義與預(yù)定策略，將事件分析結(jié)果生成審計(jì)記錄，并形成審計(jì)報(bào)告；）按照用戶(hù)定義與預(yù)定策略，將事件分析結(jié)果生成審計(jì)記錄，并形成審計(jì)報(bào)告；4 事件響應(yīng)事件響應(yīng)包含以下行為：包含以下行為：a)對(duì)事件分析階段產(chǎn)生的報(bào)警信息、

19、響應(yīng)請(qǐng)求進(jìn)行報(bào)警與響應(yīng)；對(duì)事件分析階段產(chǎn)生的報(bào)警信息、響應(yīng)請(qǐng)求進(jìn)行報(bào)警與響應(yīng)；b)按照預(yù)定策略，生成審計(jì)記錄，寫(xiě)入審計(jì)數(shù)據(jù)庫(kù)，并將各類(lèi)審計(jì)分析報(bào)告發(fā)按照預(yù)定策略，生成審計(jì)記錄，寫(xiě)入審計(jì)數(shù)據(jù)庫(kù)，并將各類(lèi)審計(jì)分析報(bào)告發(fā)送到指定的對(duì)象；送到指定的對(duì)象；c)照預(yù)定策略對(duì)審計(jì)記錄進(jìn)行備份；照預(yù)定策略對(duì)審計(jì)記錄進(jìn)行備份；5 結(jié)果匯總結(jié)果匯總主要包含以下行為：主要包含以下行為：a)將各類(lèi)審計(jì)報(bào)告進(jìn)行分類(lèi)匯總；將各類(lèi)審計(jì)報(bào)告進(jìn)行分類(lèi)匯總；b)對(duì)審計(jì)結(jié)果進(jìn)行適當(dāng)?shù)慕y(tǒng)計(jì)分析，形成分析報(bào)告；對(duì)審計(jì)結(jié)果進(jìn)行適當(dāng)?shù)慕y(tǒng)計(jì)分析，形成分析報(bào)告；c)根據(jù)用戶(hù)需求和事件分析處理結(jié)果形成審計(jì)策略修改意見(jiàn)。根據(jù)用戶(hù)需求和事件分析處理

20、結(jié)果形成審計(jì)策略修改意見(jiàn)。信息安全審計(jì)信息安全審計(jì)4 安全審計(jì)的分析方法安全審計(jì)的分析方法信息安全審計(jì)分析方法信息安全審計(jì)分析方法 基于規(guī)則庫(kù)的安全審計(jì)方法基于規(guī)則庫(kù)的安全審計(jì)方法 基于規(guī)則庫(kù)的安全審計(jì)方法就是將已知的攻擊行為進(jìn)行特基于規(guī)則庫(kù)的安全審計(jì)方法就是將已知的攻擊行為進(jìn)行特征提取，把這些特征用腳本語(yǔ)言等方法進(jìn)行描述后放入規(guī)則征提取，把這些特征用腳本語(yǔ)言等方法進(jìn)行描述后放入規(guī)則庫(kù)中，當(dāng)進(jìn)行安全審計(jì)時(shí)，將收集到的審核數(shù)據(jù)與這些規(guī)則庫(kù)中，當(dāng)進(jìn)行安全審計(jì)時(shí)，將收集到的審核數(shù)據(jù)與這些規(guī)則進(jìn)行某種比較和匹配操作進(jìn)行某種比較和匹配操作(關(guān)鍵字、正則表達(dá)式、模糊近似度關(guān)鍵字、正則表達(dá)式、模糊近似度等等

21、)，從而發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊行為。，從而發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊行為。 基于規(guī)則庫(kù)的安全審計(jì)方法有其自身的局限性。對(duì)于某些基于規(guī)則庫(kù)的安全審計(jì)方法有其自身的局限性。對(duì)于某些特征十分明顯的網(wǎng)絡(luò)攻擊行為，該技術(shù)的效果非常之好特征十分明顯的網(wǎng)絡(luò)攻擊行為，該技術(shù)的效果非常之好;但是但是對(duì)于其他一些非常容易產(chǎn)生變種的網(wǎng)絡(luò)攻擊行為，規(guī)則庫(kù)就對(duì)于其他一些非常容易產(chǎn)生變種的網(wǎng)絡(luò)攻擊行為，規(guī)則庫(kù)就很難用完全滿(mǎn)足要求了。很難用完全滿(mǎn)足要求了。信息安全審計(jì)分析方法信息安全審計(jì)分析方法2. 基于數(shù)理統(tǒng)計(jì)的安全審計(jì)方法基于數(shù)理統(tǒng)計(jì)的安全審計(jì)方法 數(shù)理統(tǒng)計(jì)方法就是首先給對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)量的描述，比如數(shù)理統(tǒng)計(jì)方法就是首先給對(duì)象創(chuàng)建

22、一個(gè)統(tǒng)計(jì)量的描述，比如一個(gè)網(wǎng)絡(luò)流量的平均值、方差等等，統(tǒng)計(jì)出正常情況下這些特征一個(gè)網(wǎng)絡(luò)流量的平均值、方差等等，統(tǒng)計(jì)出正常情況下這些特征量的數(shù)值，然后用來(lái)對(duì)實(shí)際網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)行比較，當(dāng)發(fā)現(xiàn)量的數(shù)值，然后用來(lái)對(duì)實(shí)際網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)行比較，當(dāng)發(fā)現(xiàn)實(shí)際值遠(yuǎn)離正常數(shù)值時(shí)，就可以認(rèn)為是潛在的攻擊發(fā)生。實(shí)際值遠(yuǎn)離正常數(shù)值時(shí)，就可以認(rèn)為是潛在的攻擊發(fā)生。 但是，數(shù)理統(tǒng)計(jì)的最大問(wèn)題在于如何設(shè)定統(tǒng)計(jì)量的但是，數(shù)理統(tǒng)計(jì)的最大問(wèn)題在于如何設(shè)定統(tǒng)計(jì)量的“閥值閥值”，也就是正常數(shù)值和非正常數(shù)值的分界點(diǎn)，這往往取決于管理員的也就是正常數(shù)值和非正常數(shù)值的分界點(diǎn)，這往往取決于管理員的經(jīng)驗(yàn)，不可避免產(chǎn)生誤報(bào)和漏報(bào)。經(jīng)驗(yàn)，不

23、可避免產(chǎn)生誤報(bào)和漏報(bào)。信息安全審計(jì)分析方法信息安全審計(jì)分析方法3 基于日志數(shù)據(jù)挖掘的安全審計(jì)方法基于日志數(shù)據(jù)挖掘的安全審計(jì)方法 與傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)相比，基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全與傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)相比，基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)有檢測(cè)準(zhǔn)確率高、速度快、自適應(yīng)能力強(qiáng)等優(yōu)點(diǎn)。審計(jì)系統(tǒng)有檢測(cè)準(zhǔn)確率高、速度快、自適應(yīng)能力強(qiáng)等優(yōu)點(diǎn)。 帶有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法己經(jīng)在一些安全審計(jì)系統(tǒng)中得帶有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法己經(jīng)在一些安全審計(jì)系統(tǒng)中得到了應(yīng)用，它的主要思想是從系統(tǒng)使用或網(wǎng)絡(luò)通信的到了應(yīng)用，它的主要思想是從系統(tǒng)使用或網(wǎng)絡(luò)通信的“正常正?！睌?shù)數(shù)據(jù)中發(fā)現(xiàn)系統(tǒng)的據(jù)中發(fā)現(xiàn)系統(tǒng)的“正常正?！边\(yùn)行模式，

24、并和常規(guī)的一些攻擊規(guī)則庫(kù)運(yùn)行模式，并和常規(guī)的一些攻擊規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析，并用以檢測(cè)系統(tǒng)攻擊行為。進(jìn)行關(guān)聯(lián)分析，并用以檢測(cè)系統(tǒng)攻擊行為。信息安全審計(jì)分析方法信息安全審計(jì)分析方法4 其它安全審計(jì)方法其它安全審計(jì)方法 安全審計(jì)是根據(jù)收集到的關(guān)于己發(fā)生事件的各種數(shù)據(jù)來(lái)發(fā)現(xiàn)安全審計(jì)是根據(jù)收集到的關(guān)于己發(fā)生事件的各種數(shù)據(jù)來(lái)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為，能為追究造成系統(tǒng)危害的人員責(zé)任提供證系統(tǒng)漏洞和入侵行為，能為追究造成系統(tǒng)危害的人員責(zé)任提供證據(jù)，是一種事后監(jiān)督行為。入侵檢測(cè)是在事件發(fā)生前或攻擊事件據(jù)，是一種事后監(jiān)督行為。入侵檢測(cè)是在事件發(fā)生前或攻擊事件正在發(fā)生過(guò)程中，利用觀(guān)測(cè)到的數(shù)據(jù)，發(fā)現(xiàn)攻擊行為。兩者的目正在

25、發(fā)生過(guò)程中，利用觀(guān)測(cè)到的數(shù)據(jù)，發(fā)現(xiàn)攻擊行為。兩者的目的都是發(fā)現(xiàn)系統(tǒng)入侵行為，只是入侵檢測(cè)要求有更高的實(shí)時(shí)性，的都是發(fā)現(xiàn)系統(tǒng)入侵行為，只是入侵檢測(cè)要求有更高的實(shí)時(shí)性，因而安全審計(jì)與入侵檢測(cè)兩者在分析方法上有很大的相似之處，因而安全審計(jì)與入侵檢測(cè)兩者在分析方法上有很大的相似之處，入侵檢測(cè)分析方法多能應(yīng)用與安全審計(jì)。入侵檢測(cè)分析方法多能應(yīng)用與安全審計(jì)。信息安全審計(jì)信息安全審計(jì)5 安全審計(jì)的數(shù)據(jù)源安全審計(jì)的數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源 對(duì)于安全審計(jì)系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先對(duì)于安全審計(jì)系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需要解決的問(wèn)題，而安全審計(jì)的數(shù)據(jù)源，可以分為三需要解決的問(wèn)題，而安全審

26、計(jì)的數(shù)據(jù)源，可以分為三類(lèi)：基于主機(jī)、基于網(wǎng)絡(luò)和其他途徑。類(lèi)：基于主機(jī)、基于網(wǎng)絡(luò)和其他途徑。信息安全審計(jì)數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源1 基于主機(jī)的數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源(1)操作系統(tǒng)的審計(jì)記錄操作系統(tǒng)的審計(jì)記錄操作系統(tǒng)的審計(jì)記錄是由操作系統(tǒng)軟件內(nèi)部的專(zhuān)門(mén)審計(jì)子系統(tǒng)所產(chǎn)生的，操作系統(tǒng)的審計(jì)記錄是由操作系統(tǒng)軟件內(nèi)部的專(zhuān)門(mén)審計(jì)子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動(dòng)信息，如用戶(hù)進(jìn)程所調(diào)用的系統(tǒng)調(diào)用類(lèi)型以其目的是記錄當(dāng)前系統(tǒng)的活動(dòng)信息，如用戶(hù)進(jìn)程所調(diào)用的系統(tǒng)調(diào)用類(lèi)型以及執(zhí)行的命令行等，并將這些信息按照時(shí)間順序組織為一個(gè)或多個(gè)審計(jì)文及執(zhí)行的命令行等，并將這些信息按照時(shí)間順序組織為一個(gè)或多個(gè)審計(jì)文件。件。(2

27、)系統(tǒng)日志系統(tǒng)日志日志分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志與主機(jī)的信日志分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志與主機(jī)的信息源相關(guān)，是使用操作系統(tǒng)日志機(jī)制生成的日志文件的總稱(chēng)；應(yīng)用程序日息源相關(guān)，是使用操作系統(tǒng)日志機(jī)制生成的日志文件的總稱(chēng)；應(yīng)用程序日志是有應(yīng)用程序自己生成并維護(hù)的日志文件的總稱(chēng)。志是有應(yīng)用程序自己生成并維護(hù)的日志文件的總稱(chēng)。(3)應(yīng)用程序日志信息應(yīng)用程序日志信息操作系統(tǒng)審計(jì)記錄和系統(tǒng)日志都屬于系統(tǒng)級(jí)別的數(shù)據(jù)源信息，通常由操作操作系統(tǒng)審計(jì)記錄和系統(tǒng)日志都屬于系統(tǒng)級(jí)別的數(shù)據(jù)源信息，通常由操作系統(tǒng)及其標(biāo)準(zhǔn)部件統(tǒng)一維護(hù)，是安全審計(jì)優(yōu)先選用的輸入數(shù)據(jù)源。隨著計(jì)系統(tǒng)

28、及其標(biāo)準(zhǔn)部件統(tǒng)一維護(hù)，是安全審計(jì)優(yōu)先選用的輸入數(shù)據(jù)源。隨著計(jì)算機(jī)網(wǎng)絡(luò)的分布式計(jì)算架構(gòu)的發(fā)展，對(duì)傳統(tǒng)的安全觀(guān)念提出了挑戰(zhàn)。一方算機(jī)網(wǎng)絡(luò)的分布式計(jì)算架構(gòu)的發(fā)展，對(duì)傳統(tǒng)的安全觀(guān)念提出了挑戰(zhàn)。一方面，系統(tǒng)設(shè)計(jì)的日益復(fù)雜，使管理者無(wú)法單純從內(nèi)核底層級(jí)別的數(shù)據(jù)源來(lái)面，系統(tǒng)設(shè)計(jì)的日益復(fù)雜，使管理者無(wú)法單純從內(nèi)核底層級(jí)別的數(shù)據(jù)源來(lái)分析判斷系統(tǒng)活動(dòng)的情況。另一方面，網(wǎng)絡(luò)化計(jì)算環(huán)境的普及，導(dǎo)致入侵分析判斷系統(tǒng)活動(dòng)的情況。另一方面，網(wǎng)絡(luò)化計(jì)算環(huán)境的普及，導(dǎo)致入侵攻擊行為的目標(biāo)日益集中于提供網(wǎng)絡(luò)服務(wù)的特定應(yīng)用程序，攻擊行為的目標(biāo)日益集中于提供網(wǎng)絡(luò)服務(wù)的特定應(yīng)用程序，信息安全審計(jì)數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源2 基于網(wǎng)絡(luò)的數(shù)

29、據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測(cè)的日益流行，基于網(wǎng)絡(luò)的安全審計(jì)也成為安全審計(jì)隨著基于網(wǎng)絡(luò)入侵檢測(cè)的日益流行，基于網(wǎng)絡(luò)的安全審計(jì)也成為安全審計(jì)發(fā)展的流行趨勢(shì)，而基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中發(fā)展的流行趨勢(shì)，而基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。傳輸?shù)臄?shù)據(jù)。采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢(shì)：采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢(shì)：(1)通過(guò)網(wǎng)絡(luò)被動(dòng)監(jiān)聽(tīng)的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為安全審計(jì)系統(tǒng)的輸入數(shù)通過(guò)網(wǎng)絡(luò)被動(dòng)監(jiān)聽(tīng)的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為安全審計(jì)系統(tǒng)的輸入數(shù)據(jù)，不會(huì)對(duì)目標(biāo)監(jiān)控系統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常無(wú)需改變?cè)瓝?jù)，不會(huì)對(duì)目標(biāo)監(jiān)控系統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常

30、無(wú)需改變?cè)械慕Y(jié)構(gòu)和工作方式。有的結(jié)構(gòu)和工作方式。(2)嗅探模塊在工作時(shí)，可以采用對(duì)網(wǎng)絡(luò)用戶(hù)透明的模式，降低了其本身受嗅探模塊在工作時(shí)，可以采用對(duì)網(wǎng)絡(luò)用戶(hù)透明的模式，降低了其本身受到攻擊的概率。到攻擊的概率。(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無(wú)法發(fā)現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無(wú)法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞發(fā)掘過(guò)程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞發(fā)掘過(guò)程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的包和大量誤用數(shù)據(jù)包的DOS攻擊等。攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)化程度，比主機(jī)數(shù)據(jù)源來(lái)說(shuō)要高得多，網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)

31、化程度，比主機(jī)數(shù)據(jù)源來(lái)說(shuō)要高得多，信息安全審計(jì)數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源5.5.2 基于網(wǎng)絡(luò)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測(cè)的日益流行，基于網(wǎng)絡(luò)的安全審計(jì)也成為安全審計(jì)發(fā)隨著基于網(wǎng)絡(luò)入侵檢測(cè)的日益流行，基于網(wǎng)絡(luò)的安全審計(jì)也成為安全審計(jì)發(fā)展的流行趨勢(shì)，而基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸展的流行趨勢(shì)，而基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。的數(shù)據(jù)。采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢(shì)：采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢(shì)：(1)通過(guò)網(wǎng)絡(luò)被動(dòng)監(jiān)聽(tīng)的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為安全審計(jì)系統(tǒng)的輸入數(shù)據(jù)，通過(guò)網(wǎng)絡(luò)被動(dòng)監(jiān)聽(tīng)的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為安全審計(jì)系統(tǒng)的輸入數(shù)據(jù)，不會(huì)對(duì)目標(biāo)監(jiān)控系

32、統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常無(wú)需改變?cè)械慕Y(jié)不會(huì)對(duì)目標(biāo)監(jiān)控系統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常無(wú)需改變?cè)械慕Y(jié)構(gòu)和工作方式。構(gòu)和工作方式。(2)嗅探模塊在工作時(shí)，可以采用對(duì)網(wǎng)絡(luò)用戶(hù)透明的模式，降低了其本身受到嗅探模塊在工作時(shí)，可以采用對(duì)網(wǎng)絡(luò)用戶(hù)透明的模式，降低了其本身受到攻擊的概率。攻擊的概率。(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無(wú)法發(fā)現(xiàn)的基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無(wú)法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞發(fā)掘過(guò)程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞發(fā)掘過(guò)程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的大量誤用數(shù)據(jù)包的

33、DOS攻擊等。攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)化程度，比主機(jī)數(shù)據(jù)源來(lái)說(shuō)要高得多，網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)化程度，比主機(jī)數(shù)據(jù)源來(lái)說(shuō)要高得多，5.5.3 其它數(shù)據(jù)源其它數(shù)據(jù)源(1)來(lái)自其它安全產(chǎn)品的數(shù)據(jù)源來(lái)自其它安全產(chǎn)品的數(shù)據(jù)源(2)來(lái)自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源來(lái)自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外數(shù)據(jù)源帶外數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源信息安全審計(jì)數(shù)據(jù)源3 其它數(shù)據(jù)源其它數(shù)據(jù)源(1)來(lái)自其它安全產(chǎn)品的數(shù)據(jù)源來(lái)自其它安全產(chǎn)品的數(shù)據(jù)源(2)來(lái)自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源來(lái)自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外數(shù)據(jù)源帶外數(shù)據(jù)源信息安全審計(jì)信息安全審計(jì)6 信息安全審計(jì)與標(biāo)準(zhǔn)信息安全審計(jì)與標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)1 TCSES對(duì)于審計(jì)子系統(tǒng)的要求對(duì)于審

34、計(jì)子系統(tǒng)的要求 TCSEC 的的A1和和A1+兩個(gè)級(jí)別較兩個(gè)級(jí)別較B3級(jí)沒(méi)有增加任何安全審計(jì)級(jí)沒(méi)有增加任何安全審計(jì)特征，從特征，從C2級(jí)的各級(jí)別都要求具有審計(jì)功能，而級(jí)的各級(jí)別都要求具有審計(jì)功能，而B(niǎo)3級(jí)提出了關(guān)級(jí)提出了關(guān)于審計(jì)的全部功能要求。因此，于審計(jì)的全部功能要求。因此，TCSEC共定義了四個(gè)級(jí)別的審共定義了四個(gè)級(jí)別的審計(jì)要求計(jì)要求:C2、B1、B2、B3。 C2級(jí)級(jí)要求審計(jì)以下事件要求審計(jì)以下事件:用戶(hù)的身份標(biāo)識(shí)和鑒別、用戶(hù)地址用戶(hù)的身份標(biāo)識(shí)和鑒別、用戶(hù)地址空間中客體的引入和刪除、計(jì)算機(jī)操作員空間中客體的引入和刪除、計(jì)算機(jī)操作員/系統(tǒng)管理員系統(tǒng)管理員/安全管理安全管理員的行為、其它與安

35、全有關(guān)的事件。員的行為、其它與安全有關(guān)的事件。 B1級(jí)級(jí)相對(duì)于相對(duì)于C2級(jí)增加了以下需要審計(jì)的事件級(jí)增加了以下需要審計(jì)的事件:對(duì)于可以輸出對(duì)于可以輸出到硬拷貝設(shè)備上的人工可讀標(biāo)志的修改（包括敏感標(biāo)記的覆寫(xiě)和到硬拷貝設(shè)備上的人工可讀標(biāo)志的修改（包括敏感標(biāo)記的覆寫(xiě)和標(biāo)記功能的關(guān)閉）、對(duì)任何具有單一安全標(biāo)記的通訊通道或標(biāo)記功能的關(guān)閉）、對(duì)任何具有單一安全標(biāo)記的通訊通道或I/O設(shè)備的標(biāo)記指定、對(duì)具有多個(gè)安全標(biāo)記的通訊通道或設(shè)備的標(biāo)記指定、對(duì)具有多個(gè)安全標(biāo)記的通訊通道或I/O設(shè)備的設(shè)備的安全標(biāo)記范圍的修改。安全標(biāo)記范圍的修改。 B3級(jí)級(jí)在在B2級(jí)的功能基礎(chǔ)上，增加了對(duì)可能將要違背系統(tǒng)安級(jí)的功能基礎(chǔ)上，增

36、加了對(duì)可能將要違背系統(tǒng)安全政策這類(lèi)事件的審計(jì)，比如對(duì)于時(shí)間型隱蔽通道的利用。全政策這類(lèi)事件的審計(jì)，比如對(duì)于時(shí)間型隱蔽通道的利用。 B2級(jí)級(jí)的安全功能要求較之的安全功能要求較之B1級(jí)增加了可信路徑和隱蔽通道級(jí)增加了可信路徑和隱蔽通道分析等，因此，除了分析等，因此，除了B1級(jí)的審計(jì)要求外，對(duì)于可能被用于存儲(chǔ)級(jí)的審計(jì)要求外，對(duì)于可能被用于存儲(chǔ)型隱蔽通道的活動(dòng)，在型隱蔽通道的活動(dòng)，在B2級(jí)也要求被審計(jì)。級(jí)也要求被審計(jì)。信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)2 CC中的安全審計(jì)功能需求中的安全審計(jì)功能需求 CC是美國(guó)、加拿大、英國(guó)、法國(guó)、德國(guó)、荷蘭等國(guó)家聯(lián)合是美國(guó)、加拿大、英國(guó)、法國(guó)、德國(guó)、荷蘭等國(guó)家聯(lián)合提出的信息安

37、全評(píng)價(jià)標(biāo)準(zhǔn)，在提出的信息安全評(píng)價(jià)標(biāo)準(zhǔn)，在1999年通過(guò)國(guó)際標(biāo)準(zhǔn)化組織認(rèn)可，年通過(guò)國(guó)際標(biāo)準(zhǔn)化組織認(rèn)可，成為信息安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)。成為信息安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)基于安全功能與安全保證標(biāo)準(zhǔn)基于安全功能與安全保證措施相獨(dú)立的觀(guān)念，在組織上分為基本概念、安全功能需求和安措施相獨(dú)立的觀(guān)念，在組織上分為基本概念、安全功能需求和安全保證需求三大部分。全保證需求三大部分。CC中，安全需求都以類(lèi)、族、組件的層中，安全需求都以類(lèi)、族、組件的層次結(jié)構(gòu)形式進(jìn)行定義次結(jié)構(gòu)形式進(jìn)行定義.信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)3 17859對(duì)安全審計(jì)的要求對(duì)安全審計(jì)的要求 我國(guó)的信息安全國(guó)家標(biāo)準(zhǔn)我國(guó)的信息安全國(guó)家標(biāo)準(zhǔn)GB 17859-

38、1999計(jì)算機(jī)信息系統(tǒng)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則安全保護(hù)等級(jí)劃分準(zhǔn)則定義了五個(gè)安全等級(jí)，從第二級(jí)定義了五個(gè)安全等級(jí)，從第二級(jí)“系統(tǒng)系統(tǒng)審計(jì)保護(hù)級(jí)審計(jì)保護(hù)級(jí)”開(kāi)始有了對(duì)審計(jì)的要求，它規(guī)定計(jì)算機(jī)信息系統(tǒng)可開(kāi)始有了對(duì)審計(jì)的要求，它規(guī)定計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基（信計(jì)算基（TCB）可以記錄以下事件：使用身份鑒別機(jī)制；將客）可以記錄以下事件：使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實(shí)施的動(dòng)作，以及其它與

39、系統(tǒng)安全相關(guān)的事件。第三級(jí)以及其它與系統(tǒng)安全相關(guān)的事件。第三級(jí)“安全標(biāo)記保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)”在在第二級(jí)的基礎(chǔ)上，要求對(duì)于客體的增加和刪除這類(lèi)事件要在審計(jì)第二級(jí)的基礎(chǔ)上，要求對(duì)于客體的增加和刪除這類(lèi)事件要在審計(jì)記錄中增加對(duì)客體安全標(biāo)記的記錄。另外，記錄中增加對(duì)客體安全標(biāo)記的記錄。另外，TCB也要審計(jì)對(duì)可讀也要審計(jì)對(duì)可讀輸出記號(hào)（如輸出文件的安全標(biāo)記）的更改這類(lèi)事件。第四級(jí)輸出記號(hào)（如輸出文件的安全標(biāo)記）的更改這類(lèi)事件。第四級(jí)“結(jié)構(gòu)化保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)”的審計(jì)功能要求與第三級(jí)相比，增加了對(duì)可能的審計(jì)功能要求與第三級(jí)相比，增加了對(duì)可能利用存儲(chǔ)型隱蔽通道的事件進(jìn)行審計(jì)的要求。利用存儲(chǔ)型隱蔽通道的事件

40、進(jìn)行審計(jì)的要求。 第五級(jí)第五級(jí)“訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)”在第四級(jí)的基礎(chǔ)上，要求在第四級(jí)的基礎(chǔ)上，要求TCB能能夠監(jiān)控可審計(jì)安全事件的發(fā)生與積累，當(dāng)（這類(lèi)事件的發(fā)生或積夠監(jiān)控可審計(jì)安全事件的發(fā)生與積累，當(dāng)（這類(lèi)事件的發(fā)生或積累）超過(guò)預(yù)定閾值時(shí)，累）超過(guò)預(yù)定閾值時(shí)，TCB能夠立即向安全管理員發(fā)出警報(bào)。并能夠立即向安全管理員發(fā)出警報(bào)。并且，如果這些事件繼續(xù)發(fā)生，系統(tǒng)應(yīng)以最小的代價(jià)終止它們。且，如果這些事件繼續(xù)發(fā)生，系統(tǒng)應(yīng)以最小的代價(jià)終止它們。信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)4 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求1. 安全審計(jì)產(chǎn)品分類(lèi)安全審計(jì)產(chǎn)品分類(lèi)技術(shù)規(guī)范將安全審計(jì)產(chǎn)品分為專(zhuān)用型

41、和綜合型兩類(lèi)。專(zhuān)用型是指對(duì)主機(jī)、服務(wù)器、技術(shù)規(guī)范將安全審計(jì)產(chǎn)品分為專(zhuān)用型和綜合型兩類(lèi)。專(zhuān)用型是指對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)管理系統(tǒng)、其它應(yīng)用系統(tǒng)等客體采集對(duì)象其中一類(lèi)進(jìn)行審計(jì)，并對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)管理系統(tǒng)、其它應(yīng)用系統(tǒng)等客體采集對(duì)象其中一類(lèi)進(jìn)行審計(jì)，并對(duì)審計(jì)事件進(jìn)行分析和響應(yīng)的安全審計(jì)產(chǎn)品。審計(jì)事件進(jìn)行分析和響應(yīng)的安全審計(jì)產(chǎn)品。2.安全功能要求安全功能要求技術(shù)規(guī)范分為審計(jì)蹤跡、審計(jì)數(shù)據(jù)保護(hù)、安全管理、標(biāo)識(shí)和鑒別、產(chǎn)品升級(jí)、監(jiān)技術(shù)規(guī)范分為審計(jì)蹤跡、審計(jì)數(shù)據(jù)保護(hù)、安全管理、標(biāo)識(shí)和鑒別、產(chǎn)品升級(jí)、監(jiān)管要求等六個(gè)方面給出了詳細(xì)的安全功能要求，其中每個(gè)功能還有更細(xì)致、可測(cè)管要求等六個(gè)方面給出了詳細(xì)的安全功

42、能要求，其中每個(gè)功能還有更細(xì)致、可測(cè)試的安全子功能描述。試的安全子功能描述。3.自身安全要求自身安全要求 技術(shù)規(guī)范對(duì)安全審計(jì)產(chǎn)品自身安全也作出了明確的要求，分別包括：自身審計(jì)技術(shù)規(guī)范對(duì)安全審計(jì)產(chǎn)品自身安全也作出了明確的要求，分別包括：自身審計(jì)數(shù)據(jù)生成、自身安全審計(jì)記錄獨(dú)立存放、審計(jì)代理安全、產(chǎn)品卸載安全、系統(tǒng)時(shí)數(shù)據(jù)生成、自身安全審計(jì)記錄獨(dú)立存放、審計(jì)代理安全、產(chǎn)品卸載安全、系統(tǒng)時(shí)間同步、管理信息傳輸安全、系統(tǒng)部署安全、審計(jì)數(shù)據(jù)安全等。間同步、管理信息傳輸安全、系統(tǒng)部署安全、審計(jì)數(shù)據(jù)安全等。4.性能要求性能要求信息系統(tǒng)安全審計(jì)產(chǎn)品的性能要求是指信息系統(tǒng)安全審計(jì)產(chǎn)品的性能要求是指 (1)穩(wěn)定性穩(wěn)定

43、性;(2)資源占用：軟件代理的運(yùn)資源占用：軟件代理的運(yùn)行對(duì)宿主機(jī)資源（如行對(duì)宿主機(jī)資源（如CPU、內(nèi)存空間和存儲(chǔ)空間），不應(yīng)長(zhǎng)時(shí)間固定或無(wú)限制占、內(nèi)存空間和存儲(chǔ)空間），不應(yīng)長(zhǎng)時(shí)間固定或無(wú)限制占用用 (4)產(chǎn)品應(yīng)有足夠的吞吐量產(chǎn)品應(yīng)有足夠的吞吐量.5.保證要求保證要求技術(shù)規(guī)范還對(duì)產(chǎn)品及開(kāi)發(fā)者提出了若干產(chǎn)品保證方面的要求技術(shù)規(guī)范還對(duì)產(chǎn)品及開(kāi)發(fā)者提出了若干產(chǎn)品保證方面的要求.信息安全審計(jì)信息安全審計(jì)7 計(jì)算機(jī)取證計(jì)算機(jī)取證計(jì)算機(jī)取證計(jì)算機(jī)取證 計(jì)算機(jī)取證的發(fā)展歷程計(jì)算機(jī)取證的發(fā)展歷程 美國(guó)是開(kāi)展電子證據(jù)檢驗(yàn)和研究工作最早的國(guó)家之一。美國(guó)是開(kāi)展電子證據(jù)檢驗(yàn)和研究工作最早的國(guó)家之一。1989年年FBI實(shí)

44、驗(yàn)室開(kāi)始了電子證據(jù)檢驗(yàn)研究，并成立了專(zhuān)門(mén)從事實(shí)驗(yàn)室開(kāi)始了電子證據(jù)檢驗(yàn)研究，并成立了專(zhuān)門(mén)從事電子證據(jù)檢驗(yàn)的部門(mén)（電子證據(jù)檢驗(yàn)的部門(mén)（CART）。每名檢驗(yàn)人員除了具有專(zhuān)業(yè)基）。每名檢驗(yàn)人員除了具有專(zhuān)業(yè)基礎(chǔ)外，還必須經(jīng)過(guò)礎(chǔ)外，還必須經(jīng)過(guò)FBI 組織的七周以上的專(zhuān)門(mén)培訓(xùn)，包括刑事技組織的七周以上的專(zhuān)門(mén)培訓(xùn)，包括刑事技術(shù)檢驗(yàn)基礎(chǔ)、電子技術(shù)檢驗(yàn)技術(shù)和有關(guān)法律知識(shí)，每年還要對(duì)檢術(shù)檢驗(yàn)基礎(chǔ)、電子技術(shù)檢驗(yàn)技術(shù)和有關(guān)法律知識(shí)，每年還要對(duì)檢驗(yàn)人員進(jìn)行一定的新技術(shù)培訓(xùn)。美國(guó)的這種做法后來(lái)被許多其他驗(yàn)人員進(jìn)行一定的新技術(shù)培訓(xùn)。美國(guó)的這種做法后來(lái)被許多其他國(guó)家的執(zhí)法機(jī)構(gòu)效仿。國(guó)家的執(zhí)法機(jī)構(gòu)效仿。 為了適應(yīng)當(dāng)前形勢(shì)，推動(dòng)電

45、子證據(jù)鑒定工作的開(kāi)展，我國(guó)有為了適應(yīng)當(dāng)前形勢(shì)，推動(dòng)電子證據(jù)鑒定工作的開(kāi)展，我國(guó)有關(guān)機(jī)構(gòu)在充實(shí)計(jì)算機(jī)技術(shù)力量和設(shè)備的基礎(chǔ)上，適應(yīng)新時(shí)期公安關(guān)機(jī)構(gòu)在充實(shí)計(jì)算機(jī)技術(shù)力量和設(shè)備的基礎(chǔ)上，適應(yīng)新時(shí)期公安工作的實(shí)際需要，從工作的實(shí)際需要，從1999 年開(kāi)始對(duì)電子證據(jù)檢驗(yàn)技術(shù)進(jìn)行研究，年開(kāi)始對(duì)電子證據(jù)檢驗(yàn)技術(shù)進(jìn)行研究，2001 年開(kāi)始開(kāi)展電子證據(jù)檢驗(yàn)鑒定工作。年開(kāi)始開(kāi)展電子證據(jù)檢驗(yàn)鑒定工作。計(jì)算機(jī)取證計(jì)算機(jī)取證2 什么是計(jì)算機(jī)取證什么是計(jì)算機(jī)取證計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式

46、，進(jìn)行識(shí)別、保存、分析和提交數(shù)字證硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過(guò)程。據(jù)的過(guò)程。3 計(jì)算機(jī)取證流程計(jì)算機(jī)取證流程計(jì)算機(jī)取證的一般步驟應(yīng)由以下幾個(gè)部分組成。計(jì)算機(jī)取證的一般步驟應(yīng)由以下幾個(gè)部分組成。保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)電子證據(jù)的確定電子證據(jù)的確定電子證據(jù)的收集電子證據(jù)的收集電子證據(jù)的保護(hù)電子證據(jù)的保護(hù)電子證據(jù)的分析電子證據(jù)的分析歸檔歸檔 在處理電子證據(jù)的過(guò)程中，為保證數(shù)據(jù)的可信度，必須確保在處理電子證據(jù)的過(guò)程中，為保證數(shù)據(jù)的可信度，必須確?！白C據(jù)鏈證據(jù)鏈”的完整性即證據(jù)保全，對(duì)各個(gè)步驟的情況進(jìn)行歸檔，包括收集證據(jù)的地點(diǎn)、的完整性即證據(jù)保全，

47、對(duì)各個(gè)步驟的情況進(jìn)行歸檔，包括收集證據(jù)的地點(diǎn)、日期、時(shí)間和人員、方法及理由等，以使證據(jù)經(jīng)得起法庭的質(zhì)詢(xún)。日期、時(shí)間和人員、方法及理由等，以使證據(jù)經(jīng)得起法庭的質(zhì)詢(xún)。計(jì)算機(jī)取證計(jì)算機(jī)取證4 計(jì)算機(jī)取證相關(guān)技術(shù)計(jì)算機(jī)取證相關(guān)技術(shù)（1）電子證據(jù)監(jiān)測(cè)技術(shù)）電子證據(jù)監(jiān)測(cè)技術(shù)電于數(shù)據(jù)的監(jiān)測(cè)技術(shù)就是要監(jiān)測(cè)各類(lèi)系統(tǒng)設(shè)備以及存儲(chǔ)介質(zhì)中的電電于數(shù)據(jù)的監(jiān)測(cè)技術(shù)就是要監(jiān)測(cè)各類(lèi)系統(tǒng)設(shè)備以及存儲(chǔ)介質(zhì)中的電子數(shù)據(jù)，分析是否存在可作為證據(jù)的電子數(shù)據(jù)，涉及到的技術(shù)大體子數(shù)據(jù)，分析是否存在可作為證據(jù)的電子數(shù)據(jù)，涉及到的技術(shù)大體有事件犯罪監(jiān)測(cè)、異常監(jiān)測(cè)（有事件犯罪監(jiān)測(cè)、異常監(jiān)測(cè)（Anomalous Detection）、審計(jì)日）、審

48、計(jì)日志分析等。志分析等。（2）物理證據(jù)獲取技術(shù)）物理證據(jù)獲取技術(shù)依據(jù)電子證據(jù)監(jiān)測(cè)技術(shù)，當(dāng)計(jì)算機(jī)取證系統(tǒng)監(jiān)測(cè)到有入侵時(shí)，應(yīng)當(dāng)依據(jù)電子證據(jù)監(jiān)測(cè)技術(shù)，當(dāng)計(jì)算機(jī)取證系統(tǒng)監(jiān)測(cè)到有入侵時(shí)，應(yīng)當(dāng)立即獲取物理證據(jù)，它是全部取證工作的基礎(chǔ)，在獲取物理證據(jù)時(shí)立即獲取物理證據(jù)，它是全部取證工作的基礎(chǔ)，在獲取物理證據(jù)時(shí)最重要的工作是保證所保存的原始證據(jù)不受任何破壞。最重要的工作是保證所保存的原始證據(jù)不受任何破壞。（3）電子證據(jù)收集技術(shù)）電子證據(jù)收集技術(shù)電子數(shù)據(jù)收集技術(shù)是指遵照授權(quán)的方法，使用授權(quán)的軟硬件設(shè)備，電子數(shù)據(jù)收集技術(shù)是指遵照授權(quán)的方法，使用授權(quán)的軟硬件設(shè)備，將己收集的數(shù)據(jù)進(jìn)行保全，并對(duì)數(shù)據(jù)進(jìn)行一些預(yù)處理，然后

49、完整安將己收集的數(shù)據(jù)進(jìn)行保全，并對(duì)數(shù)據(jù)進(jìn)行一些預(yù)處理，然后完整安全的將數(shù)據(jù)從目標(biāo)機(jī)器轉(zhuǎn)移到取證設(shè)備上。全的將數(shù)據(jù)從目標(biāo)機(jī)器轉(zhuǎn)移到取證設(shè)備上。計(jì)算機(jī)取證計(jì)算機(jī)取證（4）電子證據(jù)保全技術(shù)。在取證過(guò)程中，應(yīng)對(duì)電子證據(jù)及）電子證據(jù)保全技術(shù)。在取證過(guò)程中，應(yīng)對(duì)電子證據(jù)及整套的取證機(jī)制進(jìn)行保護(hù)。整套的取證機(jī)制進(jìn)行保護(hù)。（5）電子證據(jù)處理及鑒定技術(shù)）電子證據(jù)處理及鑒定技術(shù) 指對(duì)己收集的電子數(shù)據(jù)證據(jù)進(jìn)行過(guò)濾、模式匹配、隱藏?cái)?shù)指對(duì)己收集的電子數(shù)據(jù)證據(jù)進(jìn)行過(guò)濾、模式匹配、隱藏?cái)?shù)據(jù)挖掘等的預(yù)處理工作，并在預(yù)處理的基礎(chǔ)上，對(duì)處理過(guò)的據(jù)挖掘等的預(yù)處理工作，并在預(yù)處理的基礎(chǔ)上，對(duì)處理過(guò)的數(shù)據(jù)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)挖掘等分析工作，試圖對(duì)攻擊者的數(shù)據(jù)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)挖掘等分析工作，試圖對(duì)攻擊者的攻擊時(shí)間、攻擊目標(biāo)、攻擊者身份、攻擊意圖、攻擊手段以攻擊時(shí)間、攻