審計和監控技術介紹

審計和監控技術介紹

一個審計系統通常由日志記錄器、分析器和通告器三部分組成，分別用于收集數據，分析數據和通報結果，內網終端安全隨時隨刻地都威脅企業網絡的安全運行，對維護和管理造成極大的不便。

1. 日志記錄器，日志記錄器可以把信息記錄成二進制形式或可讀的形式，，然后由系統來提供日志瀏覽工具，用戶可以使用工具來檢查原始數據和使用文本處理工具來編輯數據

   對于日志的內容，日志應該記錄每一個可能的事件，但是這樣做是不現實的，原因是產生的日志文件存儲量將遠遠大于業務系統，而且會嚴重影響系統的性能。所以在一般的情況下，日志應當記錄任何必要的事件，來檢測已知的攻擊模式和異常的攻擊模式，日志還應當記錄下關于記錄系統連續可靠工作的信息，通常情況下，日志包含，時間、引發事件的用戶、事件源的位置、事件類型和事件成敗等

2. 分析器，分析器用戶分析日志數據，分析的結果可能會改變正在記錄的數據，也可能只檢測一些事件或問題

通過對日志的分析，發現所需事件信息和規律是安全審計的根本目的

日志分析就是在日志中尋找模式，主要分析的內容有：1. 潛在的侵害分析 2. 基于異常檢測的輪廓，日志分析應當確定用戶正常行為的輪廓，當日志中的事件違反正常訪問的輪廓時，日志分析就應該指出將要發生的威脅3. 簡單攻擊探測和復雜攻擊探測

3. 通告器，分析器把分析的結果傳送給通告器，通告器把審計的結果通告給系統管理員來執行一些操作來響應通告的結果