日志關(guān)聯(lián)審計

1、實驗等級：中級 實驗?zāi)康模?#160;預(yù)備知識：        隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)信息的安全越來越引起世界各國的重視，防病毒產(chǎn)品、防火墻、入侵檢測、漏洞掃描等安全產(chǎn)品都得到了廣泛的應(yīng)用，但是這些信息安全產(chǎn)品都是為了防御外部的入侵和竊取。隨著對網(wǎng)絡(luò)安全的認識和技術(shù)的發(fā)展，發(fā)現(xiàn)由于內(nèi)部人員造成的泄密或入侵事件占了很大的比例，所以防止內(nèi)部的非法違規(guī)行為應(yīng)該與抵御外部的入侵同樣地受到要做到這點就需要在網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)資源的使用進行審計。       

2、國內(nèi)通常對計算機信息安全的認識是要保證計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱“五性”安全審計是這“五性”的重要保障之一，它對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備等)進 行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。 安全審計作為一門新的信息安全技術(shù)，能夠?qū)φ麄€計算機信息系統(tǒng)進行監(jiān)控，如實記錄 系統(tǒng)內(nèi)發(fā)生的任何事件，一個完善的安全審計系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史 操作事件及數(shù)據(jù)，有效的記錄攻擊事件的發(fā)生，提供有效改進系統(tǒng)性能和的安全性能的依據(jù)。 了解日志關(guān)聯(lián)的基本概念和原理，同

3、時還要掌握在安全審計教學(xué)實驗系統(tǒng)中制定日志關(guān)聯(lián)策略的配置方法，能對歷史記錄進行查詢，學(xué)會判斷所設(shè)置的策略是否成功。 實驗內(nèi)容：l     了解常用的事件的 IDl     掌握判斷所設(shè)置的策略方法。l     掌握關(guān)聯(lián)審計的查看方法。 實驗原理： 實驗環(huán)境描述：虛擬機： Windows     2003，LogFusion實驗步驟：對于一個日志審計

4、系統(tǒng)，從功能組成上至少應(yīng)該包括信息采集、信息分析、信息存儲、 信息展示四個基本功能：1)信息采集功能：系統(tǒng)能夠通過某種技術(shù)手段獲取需要審計的日志信息。對于該功能，關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。2)信息分析功能：是指對于采集上來的信息進行分析、審計。這是日志審計系統(tǒng)的核心，審計效果好壞直接由此體現(xiàn)出來。在實現(xiàn)信息分析的技術(shù)上，簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較；復(fù)雜的技術(shù)則包括實時關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計、基于統(tǒng)計的審計、基于時序的審計，以及基于人工智能的審計算法，等等。3)信息存儲功能：對于采集到原始信息，以及審計后的信息都要進行保存，備查，并可以作為取證的依據(jù)。在該功能的實現(xiàn)上，關(guān)鍵點包括海量信息存儲技術(shù)、以及審計信息安全保護技術(shù)。4)信息展示功能：包括審計結(jié)果展示界面、統(tǒng)計分析報表功能、告警響應(yīng)功能、設(shè)備聯(lián) 動功能，等等。這部分功能是審計效果的最直接體現(xiàn)，審計結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。對此，本實驗采用 LogFusion 軟件來進行日志的分析與審計。啟動虛擬機，并設(shè)置虛擬機的 IP 地址，以虛擬機為目標(biāo)主機進行試驗。1.  下載LogFusion點擊日志關(guān)聯(lián)審計實驗，選擇實驗實施如下圖所示：2、打開事件日志選項，這里可以看到