【摘要】:入侵检测的一个基本工具是审计记录。用户活动的记录应作为入侵检测系统的输入。其缺点是审计记录可能没有包含所需的信息,或者信息没有以方便的形式保存。缺点是一台机器要运行两个审计包管理软件,需要额外的开销。每个审计记录可以包含以下几个域:主体:行为的发起者。例如,数据库行为的审计可以以数据库整体或记录为粒度进行审计。
入侵检测的一个基本工具是审计记录。用户活动的记录应作为入侵检测系统的输入。一般采用下面两种方法。
原始审计记录:几乎所有的多用户操作系统都有收集用户活动信息的审计软件。使用这些信息的好处是不需要额外使用收集软件。其缺点是审计记录可能没有包含所需的信息,或者信息没有以方便的形式保存。
专用审计记录:使用的收集工具可以只记录入侵检测系统所需要的审计记录。此方法的优点在于提供商的软件可适用于不同的系统。缺点是一台机器要运行两个审计包管理软件,需要额外的开销。
每个审计记录可以包含以下几个域:
主体:行为的发起者。主体通常是终端用户,也可以是充当用户或用户组的进程。所有的活动来自主体发出的命令。主语分为不同的访问类别,类别之间可以重叠。
动作:主体对一个对象的操作或联合一个对象完成的操作。例如,登录、读、I/O操作和执行。(www.daowen.com)
客体:行为的接收者。客体包括文件、程序、消息、记录、终端、打印机、用户或程序创建的结构。当主体是活动的接收者时,则主体也可看成客体,如Email。客体可根据类型分类。客体的粒度可根据客体类型和环境发生变化。例如,数据库行为的审计可以以数据库整体或记录为粒度进行审计。
异常条件:若返回时有异常,则标志出该异常情况。
资源使用:指大量元素的列表。每个元素都给出某些资源使用的数量(例如,打印或显示的行数、读写记录的次数、处理器时钟、使用的I/O单元、会话占用的时间)。
时间戳:用来表示动作发生时间的唯一标志。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
有关信息安全基础的文章