| 【中文题名】 | 内网安全审计系统及审计数据挖掘研究 |
| 【英文题名】 | Research on Security Audit System of Intranet and Audit Data Mining |
| 【学科专业】 | 计算机软件与理论 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2007-11-6 |
| 【中关键词】 | 内网,安全审计,CC标准,API钩子,数据挖掘, |
| 【英关键词】 | intranet,security audit,CC standard,API hook,data mining, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>局域网(LAN)、城域网(MAN) |
| 【论文摘要】 |
近年来,网络安全问题日益严重,而在众多的安全问题中,由内部产生的安全隐患占很大的比例,包括内部人员的恶意破坏,机密信息窃取,以及内部入侵等。因为在网络内部更容易获得计算机系统的权限,而且管理人员对内部的攻击往往也疏于防范。因此,解决内部网络的安全问题,越来越引起很多安全机构、科研机构及政府部们的关注。
目前解决网络安全主要采取的技术手段有防火墙、入侵检测等。它们对防止外部入侵有一定的效果,但并不能完全阻止入侵者的攻击,特别对于内部安全问题的防范比较薄弱。
在这种情况下,内网安全审计系统应运而生。本文主要依照TCSEC和CC制定的标准对构建一个内网安全审计系统展开了研究。首先研究了安全审计的理论,包括审计机制的提出,安全审计的诸多国内外标准等,对审计理论进行了比较全面的总结。接着对Windows下内网安全审计系统进行了详细的设计,设计了一种适合记录用户行为的审计数据格式和审计点集,以及一个适合内网行为审计的总体框架。然后对内网安全审计系统的关键功能的实现进行了讨论,采用了API钩子和GINA等技术实现了Windows下的审计数据获取。
数据挖掘是一种知识发现技术,可以在大量的历... |
| 【论文题纲】 |
|
摘要 |
5-6 |
|
ABSTRACT |
6-8 |
|
目录 |
8-11 |
|
第一章 绪论 |
11-19 |
|
1.1 研究背景 |
11-17 |
|
1.1.1 内网安全问题的严重性 |
11-12 |
|
1.1.2 内网安全问题的特点 |
12 |
|
1.1.3 内网安全审计系统的提出 |
12-13 |
|
1.1.4 国内外安全审计研究现状 |
13-16 |
|
1.1.4.1 防火墙技术的不足 |
13-14 |
|
1.1.4.2 入侵检测技术的不足 |
14 |
|
1.1.4.3 目前的安全审计系统 |
14-16 |
|
1.1.4.4 目前安全审计系统存在的问题 |
16 |
|
1.1.5 数据挖掘在安全审计中的应用现状 |
16-17 |
|
1.2 研究内容 |
17 |
|
1.3 论文的组织 |
17-19 |
|
第二章 安全审计理论与概述 |
19-27 |
|
2.1 安全审计概述 |
19-20 |
|
2.2 安全审计相关标准比较 |
20-23 |
|
2.2.1 TCSEC 标准 |
20-21 |
|
2.2.2 TNI 标准 |
21 |
|
2.2.3 CC 标准 |
21-23 |
|
2.2.4 国标 GB17859-1999 |
23 |
|
2.3 审计系统可以完成的目标 |
23 |
|
2.4 审计系统主要功能 |
23-27 |
|
2.4.1 安全审计自动响应 |
24 |
|
2.4.2 安全审计数据产生 |
24 |
|
2.4.3 安全审计分析 |
24-25 |
|
2.4.4 安全审计浏览 |
25 |
|
2.4.5 安全审计事件选择 |
25-26 |
|
2.4.6 安全审计事件存储 |
26-27 |
|
第三章 数据挖掘技术概述 |
27-31 |
|
3.1 数据挖掘的概念 |
27 |
|
3.2 数据挖掘的一般过程 |
27-28 |
|
3.3 数据挖掘的常用方法 |
28-31 |
|
第四章 内网安全审计系统设计 |
31-39 |
|
4.1 审计点(审计事件)的选择 |
31-32 |
|
4.2 审计数据的格式 |
32-34 |
|
4.3 系统结构设计 |
34-39 |
|
4.3.1 审计数据采集 Agent |
34-35 |
|
4.3.2 审计数据存储中心 |
35-37 |
|
4.3.2.1 存储负荷 |
35-36 |
|
4.3.2.2 存储方式 |
36-37 |
|
4.3.3 审计数据浏览 |
37-38 |
|
4.3.4 审计数据分析 |
38 |
|
4.3.5 安全告警 |
38-39 |
|
第五章 内网安全审计系统实现 |
39-51 |
|
5.1 系统实现框架 |
39-40 |
|
5.2 采集模块的实现 |
40-49 |
|
5.2.1 用户登录行为审计的实现 |
40-43 |
|
5.2.2 强制审计的实现 |
43-44 |
|
5.2.3 审计事件点数据获取的实现 |
44-49 |
|
5.2.3.1 钩子技术概述 |
44-46 |
|
5.2.3.2 API 钩子 |
46-47 |
|
5.2.3.3 API 钩子在审计数据获取中的应用 |
47-49 |
|
5.3 数据通信模块的实现 |
49-51 |
|
第六章 审计数据挖掘 |
51-71 |
|
6.1 审计数据挖掘过程 |
51-52 |
|
6.2 用户正常行为模式的建立 |
52-64 |
|
6.2.1 审计数据关联规则挖掘 |
52-60 |
|
6.2.1.1 关联规则挖掘的基本思想 |
52-54 |
|
6.2.1.2 Apriori 算法 |
54-56 |
|
6.2.1.3 Apriori 算法的应用和改进 |
56-60 |
|
6.2.2 审计数据序列模式挖掘 |
60-64 |
|
6.2.2.1 序列挖掘的基本思想 |
60 |
|
6.2.2.2 间隔序列挖掘思想 |
60-61 |
|
6.2.2.3 序列挖掘算法 |
61-62 |
|
6.2.2.4 序列挖掘算法的应用 |
62-64 |
|
6.3 用户异常行为的判别 |
64-66 |
|
6.3.1 相似度算法 |
64-65 |
|
6.3.2 相似度算法的应用和改进 |
65-66 |
|
6.4 审计数据挖掘实验 |
66-71 |
|
6.4.1 正常用户环境的搭建 |
67 |
|
6.4.2 正常用户行为库的建立 |
67-69 |
|
6.4.3 异常用户行为的判别 |
69-71 |
|
第七章 总结与展望 |
71-73 |
|
7.1 总结 |
71-72 |
|
7.2 展望 |
72-73 |
|
参考文献 |
73-76 |
|
致谢 |
76-77 |
|
攻读学位期间发表的学术论文目录 |
77 |
|
| 【DOI】 | LunWen.ID:2.2008.362673 |
