安全审计分析是指对系统行为和审计数据进行自动分析,发现潜在的或者实际发生的安全违规。
安全审计分析的能力直接关系到能否识别真正的安全违规。它包括四个组件的定义:潜在违规分析、基于异常检测的描述、简单攻击试探法、复杂攻击试探法。
1) 潜在违规分析:建立一个固定的、由特征信息构成的规则集合并对其进行维护(添加、修改、删除规则),以监视审计出的事件,通过累积或者合并已知的可审计事件来显示潜在的安全违规。
2) 基于异常检测的描述:每个特征描述代表特定目的组成员使用的某个历史模式。每个特定目的组的成员分配相应的阀值,来表明此用户当前行为是否符合己建立的该用户的使用模式。这种分析可以在实时或者批处理模式分析下实现。每个用户相关的阀值表示用户当前行为是否符合已建立的该用户的使用模式,当用户的阀值已经超过临界条件时,要能够表明即将来临的违规。
3) 简单攻击试探法:该功能应检测出代表重大威胁的特征事件的发生。对特征事件的搜索可以在实时或者批处理模式下分析实现。该功能应当能够维护特征事件(系统事件子集)的内部表示,可以表明违规事件,在对用于确定系统行为的信息检测中,能够从可辨认的系统行为记录中区别出特征事件,当系统事件匹配特征事件表明潜在违规时,能够表明即将发生的违规。
4) 复杂攻击试探法:该功能能够描绘和检测出多步骤的入侵攻击方案,能够对 比系统事件(可能是多个个体实现)和事件序列来描绘出整个攻击方案,当发现某个特征事件序列时,能够表明发生了潜在的违规。在管理上应当做好对系统事件子集的维护(删除、修改、添加)和对系统事件序列集合的维护。在细节上能够维护己知攻击方案的事件序列(系统事件的序列表,表示已经发生了已知的渗透事件)和特征事件(系统事件的子集)的内部表示,能够表明发生了潜在的违规,在对用于确定系统行为的信息的检测中,能够从可辨认的系统行为记录中区别出特征事件和事件序列,当系统事件匹配特征事件或者事件序列表明潜在违规时,能够表明即将发生的违规。