安全審計分析是指對系統行為和審計數據進行自動分析,發現潛在的或者實際發生的安全違規。
安全審計分析的能力直接關系到能否識別真正的安全違規。它包括四個組件的定義:潛在違規分析、基于異常檢測的描述、簡單攻擊試探法、復雜攻擊試探法。
1) 潛在違規分析:建立一個固定的、由特征信息構成的規則集合并對其進行維護(添加、修改、刪除規則),以監視審計出的事件,通過累積或者合并已知的可審計事件來顯示潛在的安全違規。
2) 基于異常檢測的描述:每個特征描述代表特定目的組成員使用的某個歷史模式。每個特定目的組的成員分配相應的閥值,來表明此用戶當前行為是否符合己建立的該用戶的使用模式。這種分析可以在實時或者批處理模式分析下實現。每個用戶相關的閥值表示用戶當前行為是否符合已建立的該用戶的使用模式,當用戶的閥值已經超過臨界條件時,要能夠表明即將來臨的違規。
3) 簡單攻擊試探法:該功能應檢測出代表重大威脅的特征事件的發生。對特征事件的搜索可以在實時或者批處理模式下分析實現。該功能應當能夠維護特征事件(系統事件子集)的內部表示,可以表明違規事件,在對用于確定系統行為的信息檢測中,能夠從可辨認的系統行為記錄中區別出特征事件,當系統事件匹配特征事件表明潛在違規時,能夠表明即將發生的違規。
4) 復雜攻擊試探法:該功能能夠描繪和檢測出多步驟的入侵攻擊方案,能夠對 比系統事件(可能是多個個體實現)和事件序列來描繪出整個攻擊方案,當發現某個特征事件序列時,能夠表明發生了潛在的違規。在管理上應當做好對系統事件子集的維護(刪除、修改、添加)和對系統事件序列集合的維護。在細節上能夠維護己知攻擊方案的事件序列(系統事件的序列表,表示已經發生了已知的滲透事件)和特征事件(系統事件的子集)的內部表示,能夠表明發生了潛在的違規,在對用于確定系統行為的信息的檢測中,能夠從可辨認的系統行為記錄中區別出特征事件和事件序列,當系統事件匹配特征事件或者事件序列表明潛在違規時,能夠表明即將發生的違規。
