專利名稱:基于映射表的通用安全審計策略定制方法
技術領域:
本發(fā)明涉及的是一種安全審計策略定制方法��,具體是一種基于映射表的通用安全審計策略定制方法���。屬于計算機技術領域。
背景技術:
互聯(lián)網(wǎng)的迅速發(fā)展為企業(yè)之間����、行業(yè)之間乃至全世界的溝通都變得更加便利。與此同時����,黑客正在利用網(wǎng)絡技術的脆弱性展開越來越猛烈的攻擊�,并且隨著各國對互聯(lián)網(wǎng)與信息化依賴程度的不斷加深���,這種攻擊所造成的后果將更為嚴重�����。然而���,要想使各種網(wǎng)絡安全設備有效的發(fā)揮作用,不能單純依靠網(wǎng)絡安全設備的部署�����,安全策略是指導系統(tǒng)有效運行的一個重要因素�����,安全策略制定的是否全面����、符合實際應用情況將直接關系著網(wǎng)絡系統(tǒng)防護作用的發(fā)揮。
安全審計系統(tǒng)作為網(wǎng)絡安全防護體系中的一個重要組成部分���,能夠記錄和分析在被監(jiān)控對象中進行的各種活動�,根據(jù)一定的安全策略識別已發(fā)生的和潛在的違規(guī)事件。通常的安全審計系統(tǒng)的處理方法主要包括三個處理環(huán)節(jié)規(guī)則配置����、數(shù)據(jù)采集、規(guī)則匹配��。規(guī)則配置是根據(jù)系統(tǒng)包含的規(guī)則模板設置審計規(guī)則�,形成規(guī)則庫;數(shù)據(jù)采集是根據(jù)規(guī)則采集相應的審計數(shù)據(jù)����;規(guī)則匹配是將采集的審計數(shù)據(jù)與規(guī)則庫中的審計規(guī)則進行匹配���,如果發(fā)現(xiàn)某個數(shù)據(jù)與某條規(guī)則吻合����,則根據(jù)該條規(guī)則設定的響應機制采取相應的處理措施�����。經(jīng)檢索發(fā)現(xiàn)���,美國CA公司于2001年推出的一款安全審計工具eTrust Audit V1.5�����,(從發(fā)布至今一直在作改進�����,但基本原理不變)首先由用戶根據(jù)系統(tǒng)提供的模式識別配置模板�����,預先定制和配置一系列的安全標準���,系統(tǒng)將收集上來的系統(tǒng)審計信息存放于一個單獨的數(shù)據(jù)庫中��,并將這些審計信息與預先設置的安全策略進行模式匹配��,如果檢測到與某種模式相匹配的事件�����,將會根據(jù)配置自動觸發(fā)相應的一系列操作�,由此實現(xiàn)對各類安全事件的監(jiān)控與管理���。
但該技術方案采用的基于固定模板配置出的安全策略千篇一律����,很難滿足的新的安全需求,導致這類產品適用范圍較小����,擴展性較差。而且�,目前用戶對于審計系統(tǒng)的需求是要實現(xiàn)跨平臺、多層次的審計系統(tǒng)�����,審計數(shù)據(jù)的獲取需要采用多種方式,通過多種渠道來獲取審計數(shù)據(jù),采用不同的方式獲取審計數(shù)據(jù)所需要的安全審計策略的結構和內容都不同的�,采用傳統(tǒng)的固定模板來定制安全審計策略往往不能實現(xiàn)通用性要求���,因此也造成了多種審計產品各自為戰(zhàn)、分別采用獨立的安全策略定義界面�����。
發(fā)明內容
本發(fā)明主要針對現(xiàn)有安全審計產品在安全策略配置上過于局限的這一缺陷���,提供一種基于映射表的通用安全審計策略定制方法�����,使其建立一套嚴密合理的安全策略���,保障安全審計系統(tǒng)有效發(fā)揮作用��。
本發(fā)明是通過以下技術方案實現(xiàn)的�,本發(fā)明方法如下當出現(xiàn)新類型的審計事件時��,首先根據(jù)該類審計事件的屬性�����,定義審計事件的基本信息和參數(shù)項�����。然后為這些審計事件定義相應的審計策略�,其中包括定義審計策略的基本信息、定義審計策略的參數(shù)項、定義審計策略與審計事件之間的映射關系�,為審計策略參數(shù)項賦值��,形成“審計策略數(shù)據(jù)表”�����。審計事件和審計策略的參數(shù)項定義既包括通用參數(shù)項的定義����,還可以針對每類安全策略和安全事件的特性分別定義特殊的參數(shù)項���。審計事件/策略的通用參數(shù)項的定義和賦值都記錄在審計事件/策略數(shù)據(jù)表中�����,特殊參數(shù)項獨立定義在審計/事件策略特定參數(shù)定義表中��,通過設置預留字段在審計事件/策略數(shù)據(jù)表中為審計策略和審計事件的特殊參數(shù)項提供必需的存儲空間。審計事件和審計策略定義完成后�����,形成自定義的XML格式的審計策略配置文件��,將審計策略下發(fā)到相應的審計代理�����。對于從監(jiān)控環(huán)境中接收到的安全事件,審計代理要將這些安全事件與審計策略進行匹配,然后審計代理將各個審計事件的具體信息記錄在審計事件數(shù)據(jù)表中���,作為日后取證的依據(jù)����。
采用本發(fā)明可以實現(xiàn)以下目標(1)可以用于構建統(tǒng)一的安全審計平臺�����,集成各類安全審計產品�,可以通過統(tǒng)一的界面為不同的安全審計產品定制安全審計策略�。(2)可以兼容將來出現(xiàn)的新的安全審計產品和技術所需要的安全審計策略。(3)根據(jù)本發(fā)明定義的標準格式設計的安全審計產品和模塊可以直接集成到統(tǒng)一安全審計平臺�����,實現(xiàn)新的安全審計功能�����。(4)用戶可以根據(jù)自身應用的需求定制與應用相關的安全審計策略,實現(xiàn)應用層審計功能�。
以下對本發(fā)明方法作進一步的說明,本發(fā)明方法的具體流程如下1.定義審計事件的基本信息和特征參數(shù)項(1)定義審計事件類型的基本信息由于不同安全事件的審計策略側重點千差萬別�,因此審計策略的制定首先應明確具體是針對何種事件類型,這種事件包括哪些可能的正常操作和違規(guī)操作行為�����,以及由這些行為產生的結果�。這部分信息定義在審計事件類型表中����,該表格具體格式定義如下審計事件類型表
其中“事件處理優(yōu)先級”字段,用數(shù)字由小到大表示處理的優(yōu)先級由高到低��。
審計事件類型表中的“特定參數(shù)個數(shù)”字段可以由用戶根據(jù)實際需要定義每個安全事件所需特殊定義的配置參數(shù)項個數(shù)���。
在每類審計事件中���,通常會由于各種不同的行為層層派生出很多事件,比如網(wǎng)絡傳輸監(jiān)控安全事件包括來自外部的非法網(wǎng)絡連接事件和主機發(fā)起的非法網(wǎng)絡連接事件兩大類�����,來自外部的非法網(wǎng)絡連接事件包括對標準端口的違規(guī)訪問、對非標準端口的違規(guī)訪問���、來自外部的正常網(wǎng)絡訪問事件����;主機發(fā)起的非法網(wǎng)絡連接事件包括訪問被禁站點�、使用被禁協(xié)議、非法進程發(fā)起的對外連接�、主機發(fā)起的正常訪問連接事件等。
本發(fā)明方法中將所有審計事件分為四個層次等級表示�����。審計事件類型表中的“事件類型級別”字段描述了每個事件樹狀結構中所屬的級別����,“事件類型所屬的n級類別”字段中描述了每個事件在其所屬級別中的標識序號或者是該事件的上級事件在對應所屬級別中的標識序號。
(2)定義審計事件具體的參數(shù)項對于每類審計事件���,在本發(fā)明的技術方案中預先為其設定一些通用的參數(shù)項���,這些通用的參數(shù)項涵蓋了各類事件的基本信息,適用于所有安全事件��。審計事件通用參數(shù)項包括主體定義、客體定義���、時間定義和響應定義��。
其中主體指審計事件的發(fā)起端���,主體定義包括主體主機IP、主體主機名���、主體主機MAC���、主體用戶帳號�����、主體進程名����、主體源端口?���?腕w指審計事件的目的端�����,客體定義包括客體主機IP�、客體主機名���、客體主機MAC����、客體服務名稱�、客體進程名稱、客體文件/目錄名稱���、客體目的端口����。時間定義包括審計事件上報時間��、審計事件的開始時間���、審計事件的結束時間�。響應定義描述的是各種響應類型�。審計事件的通用參數(shù)項設置在“審計事件數(shù)據(jù)表”中����,“審計事件數(shù)據(jù)表”的格式在下面將具體描述��。
此外����,如果系統(tǒng)默認的通用參數(shù)項無法滿足對新類別審計事件描述的要求,在本發(fā)明中還可以為每類審計事件定制特殊參數(shù)項����。審計事件特殊參數(shù)項的信息定義在“審計事件特定參數(shù)定義表”中,該表的具體格式如下審計事件特定參數(shù)定義表
2.為新增的審計事件定義相應的審計策略(1)定義審計策略的基本信息審計事件確定之后����,要為其定制相應的審計策略。審計策略的基本信息定義在“審計策略類型表”中��,具體格式如下審計策略類型表
由于每種審計代理對應不同類別的安全事件��,因此對每種審計代理實施的審計策略也不相同����。在“審計策略類型表”中���,定義了審計代理與策略類型之間的對應關系�。其中“策略特定參數(shù)個數(shù)”字段標識了每類審計策略需要特殊定義的參數(shù)項個數(shù)。
(2)定義審計策略具體的參數(shù)項對每類審計策略�,在本發(fā)明的技術方案中預先為其設定一些通用的參數(shù)項,這些通用的參數(shù)項主要描述的是每條策略生效的具體時間段�����、策略的授權用戶以及該策略的狀態(tài)�,如是否啟用、是否刪除等信息�����。審計策略的通用參數(shù)項設置在“審計策略數(shù)據(jù)表”中����,具體格式見“審計策略數(shù)據(jù)表”。
此外�,與審計事件的特定參數(shù)相對應,對于每類審計策略�,本發(fā)明也可以為每類審計策略定制特殊參數(shù),以滿足不同審計策略的特殊需求��。審計策略的特殊參數(shù)定義在“審計策略特定參數(shù)定義表”中���,具體格式如下審計策略特定參數(shù)定義表
(3)定義審計策略與審計事件之間的映射關系每類審計策略可能會對應多個審計事件���,因此在審計事件與審計策略信息建立好后��,需要在“審計策略-審計事件映射表”中標識出二者之間的關聯(lián)映射關系��。具體格式如下審計策略-審計事件映射表
(4)為設置審計策略參數(shù)項賦值��,形成“審計策略數(shù)據(jù)表”根據(jù)上述審計策略參數(shù)項的定義�����,對每類策略各個參數(shù)項賦予不同的參數(shù)值��,即可形成多條具體的審計策略����。審計策略的具體數(shù)值記錄在“審計策略數(shù)據(jù)表”中�����,格式如下審計策略數(shù)據(jù)表
3.形成審計策略配置文件���,下發(fā)審計策略當新的審計策略定制完成之后���,本發(fā)明將審計策略數(shù)據(jù)表和審計策略特定參數(shù)定義表中各個代表審計策略基本特征的字段作為審計策略配置文件的標簽和屬性,形成XML文件格式的審計策略配置文件����,下發(fā)給部署在各處的審計代理。
審計策略配置文件的具體格式如下<�����?xml version=″1.0″�?>
<審計代理策略>
<審計代理類型 審計代理標識號=″″>
<審計策略 策略標識號=″″策略類型標識號=″″事件類型標識號=″″策略類型優(yōu)先級=″″策略生效時間=″″響應類型=″″策略授權用戶=″″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″″策略特定參數(shù)值=″″/>
……<策略特定參數(shù) 策略特定參數(shù)標識號=″″策略特定參數(shù)值=″″/>
</審計策略>
</審計代理類型>
……</審計代理策略>
其中,根元素命名為“審計代理策略”�,它包括一個子元素“審計代理類型”,“審計代理類型”的屬性為“審計代理”����。“審計代理類型”又包括一個子元素“審計策略”�,“審計策略”包括七個屬性,分別是“策略標識號”����、“策略類型標識號”、“事件類型標識號”、“策略類型優(yōu)先級”�����、“策略生效時間”���、“響應類型”����、“策略授權用戶”�����?���!皩徲嫴呗浴庇职ㄒ粋€子元素“策略特定參數(shù)”,“策略特定參數(shù)”包括兩個屬性�����,分別是“策略特定參數(shù)標識號”和“策略特定參數(shù)值”��。這些屬性分別取自審計策略數(shù)據(jù)表和審計策略特定參數(shù)定義表中的各個字段���,代表了審計策略的基本特征�����。
4.策略匹配��,形成審計事件數(shù)據(jù)表審計代理在接收到新的審計策略之后���,審計代理將收集到的審計數(shù)據(jù)與新定制的策略進行匹配,上報對應新規(guī)則產生的安全事件�,由審計事件數(shù)據(jù)表記錄審計代理上報上來的各個審計事件的具體信息,作為日后取證的依據(jù)�����。審計事件數(shù)據(jù)表的格式如下審計事件數(shù)據(jù)表
本發(fā)明具有實質性特點和顯著進步��,利用通用參數(shù)項與特殊參數(shù)項定義與賦值相分離的結構設計��,以及擴展性強�����、并具有自解釋特性的XML格式的審計策略配置文件���,提供了一種數(shù)據(jù)格式可自定義的策略配置方法����,能夠在不改變原有系統(tǒng)的條件下為不同種類的安全事件定制審計策略,滿足了多樣化的安全需求����,具有較好的可擴展性。
具體實施例方式
假定為原審計系統(tǒng)新增兩種類型的安全審計事件�,一種是“文件操作類審計事件”,另一種是“重要進程監(jiān)控類審計事件”�����。下面以這兩種新類型安全事件的審計策略配置為例����,本發(fā)明方法對不同種類安全事件策略定制的具體實施方式
如下(1)定義“審計事件類型表”信息首先應分析文件操作類審計事件和重要進程監(jiān)控類審計事件分別包含哪些具體的審計事件,分析結果如下文件操作類審計事件包括本地違規(guī)訪問�、通過網(wǎng)絡的違規(guī)訪問和正常文件訪問三大類事件。本地違規(guī)訪問事件包括對系統(tǒng)文件/目錄的違規(guī)訪問��、對業(yè)務文件/目錄的違規(guī)訪問���、重要的本地文件操作����;通過網(wǎng)絡的違規(guī)訪問事件包括對系統(tǒng)文件/目錄的違規(guī)遠程訪問、對業(yè)務文件/目錄的違規(guī)遠程訪問����、對重要文件的違規(guī)遠程訪問����。
重要進程監(jiān)控類審計事件包括重要進程異常退出、重要進程正常運行�、正常的進程啟動、其它進程監(jiān)控信息等四種事件�����。
由上述分析結果�����,確定“審計事件類型表”的數(shù)據(jù)(假設原系統(tǒng)共包含事件N-1個����,其中一級事件N1-1個)
(2)定義“審計事件特定參數(shù)定義表”信息
注屬于同一類別的審計事件包含的特定參數(shù)是一樣的,因此僅在“審計事件特定參數(shù)定義表”中標注出每類事件的一級事件所包含的特定參數(shù)��,通過“審計事件類型表”中“事件類型所屬的1級類別”字段與審計事件特定參數(shù)定義表”中“事件類型標識號”字段的映射,即可得到所有事件的特定參數(shù)信息�。
(3)定義“審計策略類型表”信息根據(jù)審計事件類型特征,制定對應的審計策略�����。(假設原系統(tǒng)共包含M-1種類型的審計代理�����,共包含R-1種類型的審計策略���,假設這兩類新增的審計事件需要兩類不同的審計代理實現(xiàn)���。)
(4)定義“審計策略特定參數(shù)定義表”信息
(5)定義“審計策略—審計事件映射表”確定審計策略類型與審計事件類型之間的對應關系。
(6)為每類策略的各個參數(shù)項賦值�����,將具體的審計策略(假設原系統(tǒng)共有r-1條具體的審計策略)填入“審計策略數(shù)據(jù)表”假設我們?yōu)椤拔募僮黝悓徲嬍录倍ㄖ苾蓷l策略■當User1在周一至周五之間�����,如果對“D\Program Files\app1”這個業(yè)務進行讀寫操作時���,系統(tǒng)報警■當User1在周一至周五之間��,如果通過網(wǎng)絡遠程對“C\WINNT”下的任何文件進行讀寫操作時�����,系統(tǒng)阻斷同樣���,對“重要進程監(jiān)控類審計事件”也定制兩條策略
■當用戶Guest在周一至周五之間,將系統(tǒng)進程“Services.exe”退出時���,系統(tǒng)報警■當用戶Administrator在周一至周五之間���,將系統(tǒng)進程“Services.exe”正常啟動時,系統(tǒng)忽略
(7)形成審計策略配置文件����,下發(fā)審計策略將“審計策略數(shù)據(jù)表”中對應字段的數(shù)據(jù)作為標簽值填寫到審計策略配置文件的各個對應標簽中。
<���?xml version=″1.0″��?>
<審計代理策略>
<審計代理類型 審計代理標識號=″M″>
<審計策略 策略標識號=″r″策略類型標識號=″R″事件類型標識號=″N+3″策略類型優(yōu)先級=″H″策略生效時間=″12345″響應類型=″1″策略授權用戶=″User2″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″1″策略特定參數(shù)值=″D\Program Files\app1″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″2″策略特定參數(shù)值=″User1″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″3″策略特定參數(shù)值=″test.exe″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″4″策略特定參數(shù)值=″R&W″/>
</審計策略>
<審計策略 策略標識號=″r+1″策略類型標識號=″R″事件類型標識號=″N+6″策略類型優(yōu)先級=″H″策略生效時間=″12345″響應類型=″2″策略授權用戶=″User2″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″1″策略特定參數(shù)值=″C\WINNT″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″2″策略特定參數(shù)值=″User1″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″3″策略特定參數(shù)值=″test.exe″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″4″策略特定參數(shù)值=″R&W″/>
</審計策略>
</審計代理類型>
<審計代理類型 審計代理標識號=″M+1″>
<審計策略 策略標識號=″r+2″策略類型標識號=″R+1″事件類型標識號=″N+11″策略類型優(yōu)先級=″H″策略生效時間=″12345″響應類型=″1″策略授權用戶=″User2″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″1″策略特定參數(shù)值=″Guest″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″2″策略特定參數(shù)值=″Services.exe″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″3″策略特定參數(shù)值=″Exit″/>
</審計策略>
<審計策略 策略標識號=″r+3″策略類型標識號=″R+1″事件類型標識號=″N+13
″策略類型優(yōu)先級=″L″策略生效時間=″12345″響應類型=″3″策略授權用戶=″User2″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″1″策略特定參數(shù)值=″Administrator″>
<策略特定參數(shù) 策略特定參數(shù)標識號=″2″策略特定參數(shù)值=″Services.exe″/>
<策略特定參數(shù) 策略特定參數(shù)標識號=″3″策略特定參數(shù)值=″Start″/>
</審計策略>
</審計代理類型>
</審計代理策略>
(8)策略匹配���,形成“審計事件數(shù)據(jù)表”(假設原系統(tǒng)已包含A-1條審計數(shù)據(jù))根據(jù)策略配置文件的設置規(guī)則�����,審計代理對收集到的數(shù)據(jù)進行規(guī)則匹配����,將匹配結果記錄在“審計事件數(shù)據(jù)表”中���。假設在采集到的審計數(shù)據(jù)中發(fā)現(xiàn)■用戶User1對D\Program Files\app1文件進行了讀操作■用戶Guest在周一將Services.exe進程非法退出
由上述兩類審計事件的策略配置過程可以看出����,對于不同安全需求����、策略配置參數(shù)定義結構完全不相同的兩類審計事件,應用本發(fā)明中提出的策略配置方法�����,都可以靈活的完成相應的策略配置����。
權利要求
1.一種基于映射表的通用安全審計策略定制方法����,其特征在于��,具體方法如下當出現(xiàn)新類型的審計事件時��,首先根據(jù)該類審計事件的屬性�����,定義審計事件的基本信息和參數(shù)項���,然后為這些審計事件定義相應的審計策略�����,其中包括定義審計策略的基本信息、定義審計策略的參數(shù)項����、定義審計策略與審計事件之間的映射關系,為審計策略參數(shù)項賦值��,形成審計策略數(shù)據(jù)表;審計事件和審計策略的參數(shù)項定義既包括通用參數(shù)項的定義��,還針對每類安全策略和安全事件的特性分別定義特殊的參數(shù)項���,審計事件和審計策略的通用參數(shù)項的定義和賦值都分別記錄在審計事件數(shù)據(jù)表和審計策略數(shù)據(jù)表中���,特殊參數(shù)項分別獨立定義在審計事件特定參數(shù)定義表和審計策略特定參數(shù)定義表中,通過設置預留字段在審計事件數(shù)據(jù)表和審計策略數(shù)據(jù)表中為審計策略和審計事件的特殊參數(shù)項提供必需的存儲空間����;審計事件和審計策略定義完成后,形成自定義的XML格式的審計策略配置文件���,將審計策略下發(fā)到相應的審計代理���,對于從監(jiān)控環(huán)境中接收到的安全事件,審計代理將這些安全事件與審計策略進行匹配���,然后審計代理將各個審計事件的具體信息記錄在審計事件數(shù)據(jù)表中�,作為日后取證的依據(jù)�����。
2.根據(jù)權利要求1所述的基于映射表的通用安全審計策略定制方法,其特征是�,方法的流程如下(1)定義審計事件的基本信息和特征參數(shù)項①定義審計事件類型的基本信息審計策略的制定首先應明確具體是針對何種事件類型,這種事件包括哪些可能的正常操作和違規(guī)操作行為�,以及由這些行為產生的結果,這部分信息定義在審計事件類型表中�;②定義審計事件具體的參數(shù)項對于每類審計事件,預先為其設定一些通用的參數(shù)項��,這些通用的參數(shù)項涵蓋了各類事件的基本信息��,適用于所有安全事件�;審計事件通用參數(shù)項包括主體定義、客體定義�����、時間定義和響應定義��;其中��,主體指審計事件的發(fā)起端�����,主體定義包括主體主機IP��、主體主機名���、主體主機MAC����、主體用戶帳號����、主體進程名、主體源端口��,客體指審計事件的目的端��,客體定義包括客體主機IP��、客體主機名����、客體主機MAC、客體服務名稱����、客體進程名稱、客體文件/目錄名稱����、客體目的端口���,時間定義包括審計事件上報時間、審計事件的開始時間���、審計事件的結束時間���,響應定義描述的是各種響應類型,審計事件的通用參數(shù)項設置在“審計事件數(shù)據(jù)表”中��;或者為每類審計事件定制特殊參數(shù)項����,審計事件特殊參數(shù)項的信息定義在“審計事件特定參數(shù)定義表”中;(2)為新增的審計事件定義相應的審計策略①定義審計策略的基本信息審計事件確定之后�,要為其定制相應的審計策略,審計策略的基本信息定義在“審計策略類型表”中�;②定義審計策略具體的參數(shù)項對每類審計策略,預先為其設定一些通用的參數(shù)項��,這些通用的參數(shù)項主要描述的是每條策略生效的具體時間段�����、策略的授權用戶以及該策略的狀態(tài)��,審計策略的通用參數(shù)項設置在“審計策略數(shù)據(jù)表”中�;與審計事件的特定參數(shù)相對應,對于每類審計策略���,也為每類審計策略定制特殊參數(shù)�����,審計策略的特殊參數(shù)定義在“審計策略特定參數(shù)定義表”中�;③定義審計策略與審計事件之間的映射關系�,二者之間的關聯(lián)映射關系,具體格式如下審計策略—審計事件映射表策略類型標識號����、事件類型標識號,④為設置審計策略參數(shù)項賦值���,形成“審計策略數(shù)據(jù)表”�����,根據(jù)上述審計策略參數(shù)項的定義�,對每類策略各個參數(shù)項賦予不同的參數(shù)值,即形成多條具體的審計策略��,審計策略的具體數(shù)值記錄在“審計策略數(shù)據(jù)表”中��;(3)形成審計策略配置文件�,下發(fā)審計策略當新的審計策略定制完成之后,將審計策略數(shù)據(jù)表和審計策略特定參數(shù)定義表中各個代表審計策略基本特征的字段作為審計策略配置文件的標簽和屬性��,形成XML文件格式的審計策略配置文件�,下發(fā)給部署在各處的審計代理;(4)策略匹配��,形成審計事件數(shù)據(jù)表審計代理在接收到新的審計策略之后����,審計代理將收集到的審計數(shù)據(jù)與新定制的策略進行匹配,上報對應新規(guī)則產生的安全事件���,由審計事件數(shù)據(jù)表記錄審計代理上報上來的各個審計事件的具體信息�,作為日后取證的依據(jù)���。
3.根據(jù)權利要求1或2所述的基于映射表的通用安全審計策略定制方法�,其特征是��,所述的審計事件類型表,具體格式定義如下審計事件類型表為事件類型標識號����、事件類型名稱����、事件處理優(yōu)先級、事件特定參數(shù)個數(shù)��、事件類型級別�、事件類型所屬的1級類別、事件類型所屬的2級類別�����、事件類型所屬的3級類別�、事件類型所屬的4級類別,其中“事件處理優(yōu)先級”字段��,用數(shù)字由小到大表示處理的優(yōu)先級由高到低����;審計事件類型表中的“特定參數(shù)個數(shù)”字段由用戶根據(jù)實際需要定義每個安全事件所需特殊定義的配置參數(shù)項個數(shù);所有審計事件分為四個層次等級表示���,審計事件類型中的“事件類型級別”字段描述了每個事件樹狀結構中所屬的級別�,“事件類型所屬的n級類別”字段中描述了每個事件在其所屬級別中的標識序號或者是該事件的上級事件在對應所屬級別中的標識序號。
4.根據(jù)權利要求1所述的基于映射表的通用安全審計策略定制方法���,其特征是���,所述的審計事件特定參數(shù)定義表,具體格式如下審計事件特定參數(shù)定義表事件類型標識號�、事件特定參數(shù)標識號、事件特定參數(shù)名稱����、事件特定參數(shù)類型。
5.根據(jù)權利要求2所述的基于映射表的通用安全審計策略定制方法�����,其特征是����,所述的審計策略類型,其具體格式如下審計策略類型審計代理標識號���、策略類型標識號����、策略類型名稱、策略特定參數(shù)個數(shù)����,其中�,定義了審計代理與策略類型之間的對應關系,其中“策略特定參數(shù)個數(shù)”字段標識了每類審計策略需要特殊定義的參數(shù)項個數(shù)���。
6.根據(jù)權利要求2所述的基于映射表的通用安全審計策略定制方法�����,其特征是�,所述的審計策略特定參數(shù)定義表�����,具體格式如下審計策略特定參數(shù)定義表策略類型標識號���、策略特定參數(shù)標識號��、策略特定參數(shù)名稱����、策略特定參數(shù)類型。
7.根據(jù)權利要求2所述的基于映射表的通用安全審計策略定制方法�,其特征是,所述的審計策略數(shù)據(jù)表�����,其具體格式如下審計策略數(shù)據(jù)表策略標識號��、策略類型標識號�、審計代理標識號、事件類型標識號���、策略類型優(yōu)先級��、策略生效時間�、響應類型��、策略特定參數(shù)1�����、策略特定參數(shù)2、……��、策略特定參數(shù)N��、策略授權用戶��、策略是否啟動�、策略是否刪除。
8.根據(jù)權利要求2所述的基于映射表的通用安全審計策略定制方法�,其特征是,所述的審計事件數(shù)據(jù)表����,其具體格式如下審計事件數(shù)據(jù)表審計事件記錄標識號����、事件類型標識號、策略標識號���、審計代理標識號�����、事件處理優(yōu)先級��、事件進行狀態(tài)�����、主體定義���、客體定義�����、時間定義��、響應類型���、事件特定參數(shù)1、事件特定參數(shù)2�����、……�、事件特定參數(shù)N。
全文摘要
一種基于映射表的通用安全審計策略定制方法�。屬于計算機技術領域。方法如下當出現(xiàn)新類型的審計事件時���,首先根據(jù)該類審計事件的屬性���,定義審計事件的基本信息和參數(shù)項����,然后為這些審計事件定義相應的審計策略���,為審計策略參數(shù)項賦值��,形成審計策略數(shù)據(jù)表���;審計事件和審計策略的參數(shù)項定義包括通用參數(shù)項的定義,還針對每類安全策略和安全事件的特性分別定義特殊的參數(shù)項�����;審計事件和審計策略定義完成后���,形成自定義的XML格式審計策略配置文件,將審計策略下發(fā)到相應的審計代理�����,對于從監(jiān)控環(huán)境中接收到的安全事件,審計代理將其與審計策略進行匹配����,然后審計代理將各個審計事件的具體信息記錄在審計事件數(shù)據(jù)表中,作為日后取證的依據(jù)�����。
文檔編號G06F17/30GK1561035SQ20041001642
公開日2005年1月5日 申請日期2004年2月19日 優(yōu)先權日2004年2月19日
發(fā)明者張世遠, 吳珺, 郭巍, 廖健, 廖志成 申請人:上海復旦光華信息科技股份有限公司