审计和监控技术介绍
一个审计系统通常由日志记录器、分析器和通告器三部分组成,分别用于收集数据,分析数据和通报结果,内网终端安全随时随刻地都威胁企业网络的安全运行,对维护和管理 造成极大的不便。
1. 日志记录器,日志记录器可以把信息记录成二进制形式或可读的形式,,然后由系统来提供日志浏览工具,用户可以使用工具来检查原始数据和使用文本处理工具来编辑数据 对于日志的内容,日志应该记录每一个可能的事件,但是这样做是不现实的,原因是产生的日志文件存储量将远远大于业务系统,而且会严重影响系统的性能。所以在一般的情况 下,日志应当记录任何必要的事件,来检测已知的攻击模式和异常的攻击模式,日志还应当记录下关于记录系统连续可靠工作的信息,通常情况下,日志包含,时间、引发事件 的用户、事件源的位置、事件类型和事件成败等
2. 分析器,分析器用户分析日志数据,分析的结果可能会改变正在记录的数据,也可能只检测一些事件或问题 通过对日志的分析,发现所需事件信息和规律是安全审计的根本目的 日志分析就是在日志中寻找模式,主要分析的内容有:1. 潜在的侵害分析 2. 基于异常检测的轮廓,日志分析应当确定用户正常行为的轮廓,当日志中的事件违反正常访问的轮廓 时,日志分析就应该指出将要发生的威胁3. 简单攻击探测和复杂攻击探测
3. 通告器,分析器把分析的结果传送给通告器,通告器把审计的结果通告给系统管理员来执行一些操作来响应通告的结果 审计和监控技术介绍,