1 傳統(tǒng)安全審計系統(tǒng)的歷史

傳統(tǒng)的安全審計系統(tǒng)早在70年代末、80年代初就已經(jīng)出現(xiàn)在某些UNDO系統(tǒng)當中，其審計的重點也是本主機的用戶行為和系統(tǒng)調(diào)用。在隨后的20年間，其他的各個操作系統(tǒng)也有了自己的安全審計工具，如符合C2安全級別的Windows NT, Nnux的syslog機制以及SUN 13SM等。

2 常用安全措施的不足和基于網(wǎng)絡的安全審計系統(tǒng)的出現(xiàn)

近幾年來，隨著開放系統(tǒng)Internet的飛速發(fā)展和電子商務的口益普及，網(wǎng)絡安全和信息安全問題日益突出，各類黑客攻擊事件更是層出不窮。而相應發(fā)展起來的安全防護措施也日益增多，特別是防火墻技術以及IDS(人侵檢測技術)更是成為大家關注的焦點。但是這兩者都有自己的局限性。

2.1防火墻技術的不足

防火墻技術是發(fā)展時間最長，也是當今防止網(wǎng)絡人侵行為的最主要手段之一，主要有包過濾型防火墻和代理網(wǎng)關型防火墻兩類。其主要思想是在內(nèi)外部網(wǎng)絡之間建立起一定的隔離，控制外部對受保護網(wǎng)絡的訪問，它通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡的敏感信息以及阻擋來自外部的威脅。雖然防火墻技術是當今公認發(fā)展最為成熟的一種技術，但是由于防火墻技術自身存在的一些缺陷，使其越來越難以完全滿足當前網(wǎng)絡安全防護的要求。

包過濾型防火墻如只實現(xiàn)了粗粒度的訪問控制，一般只是基于IP地址和服務端口，對網(wǎng)絡數(shù)據(jù)包中其他內(nèi)容的檢查極少，再加上其規(guī)則的配置和管理極其復雜，要求管理員對網(wǎng)絡安全攻擊有較深人的了解，因此在黑客猖撅的開放Internet系統(tǒng)中顯得越來越難以使用。

而代理網(wǎng)關防火墻雖然可以將內(nèi)部用戶和外界隔離開來，從外部只能看到代理服務器而看不到內(nèi)部任何資源，但它沒有從根本上改變包過濾技術的缺陷，而且在對應用的支持和速度方面也不能令人滿意

2.2入侵檢測技術的不足

人侵檢測技術是防火墻技術的合理補充，能夠對各種黑客人侵行為進行識別，擴展了網(wǎng)絡管理員的安全管理能力。一般來說，人侵檢測系統(tǒng)(IDS)是防火墻之后的第二層網(wǎng)絡安全防護機制。

目前較為成熟的IDS系統(tǒng)可分為基十主機的IDS和基于網(wǎng)絡的IDS兩種。

基于主機的IDS來源于系統(tǒng)的審計日志，它和傳統(tǒng)基于主機的審計系統(tǒng)一樣一 般只能檢測發(fā)生在本主機上面的人侵行為。

基于網(wǎng)絡的IDS系統(tǒng)對網(wǎng)絡中的數(shù)據(jù)包進行監(jiān)測，對一些有人侵嫌疑的包作出報警。人侵檢測的最大特色就是它的實時性‘準實時性)，它能在出現(xiàn)攻擊的時候發(fā)出警告，讓管理人員在在第一時間了解到攻擊行為的發(fā)生，并作出相應措施，以防止進一步的危害產(chǎn)生。實時性的要求使得人侵檢測的速度性能至關重要，因此決定了其采用的數(shù)據(jù)分析算法不能過于復雜，也不可能采用長時間窗分析或把歷史數(shù)據(jù)與實時數(shù)據(jù)結合起來進行分析，所以現(xiàn)在大多數(shù)人侵檢測系統(tǒng)只是對單個數(shù)據(jù)包或者一小段時間內(nèi)的數(shù)據(jù)包進行簡單分析，從而作出判斷，這樣勢必會產(chǎn)生較高的誤報率和漏報率，一般只有20%攻擊行為被IDS發(fā)現(xiàn)也就不足為奇了。雖然國內(nèi)外普遍對人侵檢測技術都有很高的評價，但是隨著黑客技術的發(fā)展，一些人侵檢測系統(tǒng)本身的缺陷也為人們所了解。一些黑客利用某些分布式技術，在同一時刻向某個人侵檢測系統(tǒng)發(fā)送大量垃圾數(shù)據(jù)包，使得人侵檢測系統(tǒng)來不及處理而過載，直到發(fā)生丟包現(xiàn)象。黑客在此時發(fā)動攻擊，人侵相關的網(wǎng)絡活動被淹沒在大量的嘈聲之中，使得人侵檢測無法檢測出包含人侵模式的網(wǎng)絡信息，這樣一來黑客就達到了逃避人侵檢測的目的。

2.3基于網(wǎng)絡的安全審計系統(tǒng)

在這種情況下，基于網(wǎng)絡安全審計系統(tǒng)孕育而生。基于網(wǎng)絡的安全審計系統(tǒng)在近幾年剛剛起步，尚處在探索階段，其審計重點也在網(wǎng)絡的訪問行為和網(wǎng)絡中的各種數(shù)據(jù)。對此有比較深人研究的也只是少數(shù)幾個高校或者科研機構，其中以Purdue大學的NASHIS系統(tǒng)較為著名。

一般的基于網(wǎng)絡的安全審計系統(tǒng)作為一個完整安全框架中的一個必要環(huán)節(jié)，一般處在人侵檢測系統(tǒng)之后，作為對防火墻系統(tǒng)和人侵檢測系統(tǒng)的一個補充，其功能:首先它能夠檢測出某些特殊的IDS無法檢測的人侵行為(比如時間跨度很大的長期的攻擊特征);其次它可以對人侵行為進行記錄并可以在任何時間對其進行再現(xiàn)以達到取證的目的;最后它可以用來提取一些未知的或者未被發(fā)現(xiàn)的人侵行為模式等。

圖1安全審計在整個安全體系中的位置

與傳統(tǒng)的人侵檢測系統(tǒng)相比，安全審計系統(tǒng)并沒有實時性的要求，因此可以對海量的歷史數(shù)據(jù)進行分析，并且采用的分析方法也可以更加復雜和精細。一般來說，網(wǎng)絡安全審計系統(tǒng)能夠發(fā)現(xiàn)的攻擊種類大大高于人侵檢測系統(tǒng)，而且誤報率也沒有人侵檢測系統(tǒng)那樣的高。