|
安全审计(日志采集、分析、跟踪)技术
1 安全审计定义 计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。 2 安全审计的作用和目的 也是审查评估系统安全风险并采取相应措施的一个过程。在不至于混淆情况下,简称为安全审计,实际是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计,其主要作用和目的包括5个方面: (1)对可能存在的潜在攻击者起到威慑和警示作用,核心是风险评估。 (2)测试系统的控制情况,及时进行调整,保证与安全策略和操作规程协调一致。 (3)对已出现的破坏事件,做出评估并提供有效的灾难恢复和追究责任的依据。 (4)对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。 (5)协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。 3 安全审计主要内容 安全审计技术是维护系统安全的关键环节,涵盖日志采集、分析和跟踪三大核心。以下是对这些技术的系统梳理: 3.1 日志采集技术 日志采集技术包括数据源、采集方式和储存与治理三个方面。 (1) 数据源:数据源包括系统日志和应用日志。 (2)采集方式:采集方式包括主动推送、被动推送和传输协议, (3)存储与治理:存储与治理包括存储系统和存储策略。 3.2日志分析技术 日志分析包括三个方面: (1)预处理:通过正则或Grok解析异构日志;提取关键字段(IP、操作类型);过滤无关数据(如心跳日志)。 (2)分析方法:实时分析检测即时威胁;离线分析处理历史数据。 (3)检测技术:基于Snort、YARA的签名库匹配已知攻击;时序分析(LSTM)或聚类(K-means)发现异常;集成CVE、STIX/TAXII,结合外部黑名单。 3.3 跟踪与溯源技术 跟踪与溯源包括关键技术、可视化工具与解决方案。 (1)关键技术:通过唯一ID和时间戳追踪用户/实体行为;UEBA建立基线,检测偏离(如特权滥用);图数据库(Neo4j)挖掘事件关联,应用ATT&CK框架; 映射日志到杀伤链模型(如Lockheed Martin模型)。 (2)可视化工具:展示实时状态;绘制攻击路径。 (3)挑战与解决方案:分布式处理(Kafka+Spark)、边缘计算降低延迟;标准化(CEF)、匿名化(数据脱敏);SOAR工具联动防火墙/WAF阻断攻击。
| 
[信息未更新]
发表于 
发表于