支持审计与取证联动的日志系统设计

目前国内外缺乏综合数据提炼能力的日志搜索和分析系统,也还没有专门同时为安全审计与计算机取证目的设计的日志保护和分析工具,针对这一现状,分析并提出了一种日志综合分析平台,以支持网络审计与计算机取证.描述了这种安全日志文件系统的构建,采集、管理和保护,可以做到审计与取证的联动分析,形成了一个高可信审计与取证能力的基本通用模型.最后给出了系统实现的界面和系统的性能分析.     

Windows下基于主机的安全日志服务器

越来越多的计算机犯罪需要进行电子取证,安全日志服务器在针对电子犯罪的监控、审计以及取证活动中发挥了重要作用。主机日志在电子取证以及入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为并记录下来作为日后的电子证据或进行实时的入侵检测分析。该文简要介绍了安全日志服务器系统的发展背景,分析了主机日志的构成,主机日志在计算机安全领域中的应用,详述了对主机日志信息的处理并给出了基于主机日志的安全系统的结构搭建。     

日志分析在计算机取证中的应用

日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情．用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态．监测和追踪侵入者。本文从操作系统和网络两方面对日志分析在计算机取证中的应用作简单阐述．意在抛砖引玉使大家能重视日志分析的作用。     

一种基于污点追踪的系统审计日志压缩方法

近十年来,高级持续性威胁（APT,advanced persistent threat）越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。     

网络环境下的日志监控与安全审计系统设计与实现

在拥有大量节点的网络环境中,迫切需要一个能够针对整个网络系统日志,进行统一监控与安全审计的平台。本文分析了日志监控与安全审计平台应当具备的功能,在此基础上提出了网络环境下日志监控与安全审计系统的结构模型,并给出了一种基于Web管理的实现方案。     

基于PDR2A模型的电力信息内网安全监控系统设计

分析动态自适应网络安全模型PDR2的缺陷,针对模型的不足提出了改进的PDR2A模型,并基于该模型设计了电力信息内网安全监控系统,该系统不仅实现了信息内网终端防护、网络行为监控、网络维护等功能,而且能够利用数据挖掘算法对日志信息进行审计分析,使内网管理员准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,便于事后追查取证。该系统的应用为电力企业内网采取进一步的安全措施提供了依据。     

基于信息融合的安全审计系统

网络安全审计是确保网络安全的重要防护方法,而信息融合是一种有效的信息处理和分析技术。文中介绍了信息融合的概念和功能模型,以及安全审计系统的组成和功能。由于网络安全审计系统需要处理大量的日志信息,笔者针对现有审计系统的不足,提出在安全审计系统中采用信息融合技术。采用信息融合技术的安全审计系统能够提高对日志信息的综合处理能力,准确地分析出系统的安全状况和发展趋势。     

基于日志挖掘的计算机取证系统的分析与设计

本文主要讨论基于日志的计算机取证分析系统的分析与设计，给出了基于计算机日志的取证分析系统的总体结构和计算机日志分析取证系统日志处理、挖掘与分析子系统结构，并着重讨论了日志数据的预处理、挖掘与分析模块的主要功能与设计思想，并对挖掘模式进行了评估和分析。     

Android手机安全登录系统

针对Android手机应用软件登录中存在的设计缺陷和漏洞,梳理并分析了目前手机登录系统技术和不足之处,采用多因子（账号、密码、验证码、登录位置、登录次数、人脸数据）方案,构建手机安全登录系统. 该登录系统由登录、注册、日志审计、微信提醒、找回密码等功能构成. 详细介绍了设计思想、技术路线、安全验证逻辑和日志审计功能,实现了用户身份识别和登录行为审计,为用户提供了一个安全性高、易用性强、成本低的解决方案.     

基于信息融合的安全审计系统

网络安全审计是确保网络安全的重要防护方法,而信息融合是一种有效的信息处理和分析技术.文中介绍了信息融合的概念和功能模型,以及安全审计系统的组成和功能.由于网络安全审计系统需要处理大量的日志信息,笔者针对现有审计系统的不足,提出在安全审计系统中采用信息融合技术.采用信息融合技术的安全审计系统能够提高对日志信息的综合处理能力,准确地分析出系统的安全状况和发展趋势.     

Windows平台下安全审计技术的探讨与实现

简述了安全审计技术对计算机安全的重要性，通过对Windows日志的分析并利用系统API函数替换法和状态转移分析法提出了基于用户行为的审计技术和基于状态转移法的日志审计技术。最后。在状态转移法的理论指导下实现安全日志的轻型审计系统。     

审计跟踪与入侵检测

大多数操作系统、数据库系统及应用系统都提供了某种审计机制,但由于缺乏对于系统审计信息进行实时处理的技术和能力,往往只是在通过其他途径发现入侵或犯罪迹象之后才来分析系统的审计信息,使审计信息仅仅作为一种事后的证据。这样便浪费了这些对于保障信息系统安全具有重大意义的宝贵资源。因此,将审计跟踪与实时预警结合起来,实现实时的入侵检测是非常有意义的。该文分析了当前根据审计跟踪进行入侵检测的方法和特点,提出利用神经网络进行入侵检测的优势所在。     

网络文化信息监控与取证的核心技术研究

网络信息监控与取证的核心技术是目前保障网络安全最有效的应用技术。针对网络文化信息监控的需要和监控的特点,在现有监控技术基础上,对监控与取证技术的新内涵进行了简要介绍,对几种监控与取证的核心技术进行了仿真分析,采用原理推论的方法,得出了5种监控应用技术的应用范围、适用性及其特点,以及监控与取证的最终目的在于信息审计与证据留存的结论,提出了在线监控网络文化信息系统建设的新的建议。     

一种增强的Linux系统安全审计机制

提出了一个增强Linux系统安全审计功能的机制。该机制以可装载内核模块技术为基础,提供系统层和应用层两个层次的审计功能。系统审计为每个安全相关的系统调用生成审计记录。应用层审计改变了传统的完全依赖于应用程序在用户空间写日志文件的方式,由应用程序和内核共同产生审计记录。最后给出用该审计机制进行入侵检测的例子。     

信息安全审计技术在财政行业的应用

简述了我国现阶段的财政业务系统安全审计状况,提出了用计算机的审计技术和财政系统相结合的安全审计方案,采用基于日志的确定有穷自动机(DFA)的模型、按功能触发的形式,以及对数据库采用审计要素的方法进行审计,实现对操作系统和财政系统的审计.这不仅有利于提高财政系统的审计工作效率,而且提高了操作系统和财政系统的安全性.     

面向真实云存储环境的数据持有性证明系统

对数据动态更新和第三方审计的支持的实现方式是影响现有数据持有性证明（provable data possession,简称PDP）方案实用性的重要因素.提出面向真实云存储环境的安全、高效的PDP系统IDPA-MF-PDP.通过基于云存储数据更新模式的多文件持有性证明算法MF-PDP,显著减少审计多个文件的开销.通过隐式第三方审计架构和显篡改审计日志,最大限度地减少了对用户在线的需求.用户、云服务器和隐式审计者的三方交互协议,将MF-PDP和隐式第三方审计架构结合.理论分析和实验结果表明：IDPA-MF-PDP具有与单文件PDP方案等同的安全性,且审计日志提供了可信的审计结果历史记录;IDPA-MF-PDP将持有性审计的计算和通信开销由与文件数线性相关减少到接近常数.     

Auditing Causal Relationships of Group Multicast Communications in Group-Oriented Distributed Systems

Auditability is a crucial aspect of distributed computing security. In a distributed computation environment, we may therefore want to prevent corrupt processes from denying or forging causal relationships between events. The audit of causal relationships of group multicast communications is an important component in achieving a solution to the problem of group-oriented distributed computing security. In this paper, a new approach to audit causal relationships of group multicast communications in group-oriented distributed systems is proposed. The goal of the auditing service is to collect, maintain, make available, and validate irrefutable evidence regarding causal relationships in group-oriented distributed systems. We affirm that the denial of existing causal relationships and the forgery of nonexistent causal relationships in group-oriented distributed systems can be correctly audited by our proposed approach. Also, auditing the causal delivery ordering for group multicast communications can actually be achieved. Moreover, we have validated the proposed auditing scheme to a moderately complex example. Experience indicates that the proposed scheme is indeed very useful.     

一种基于IPSec隧道的网络安全审计系统模型

网络安全审计系统对网络进行监控,发现有违安全的网络事件。阐述网络安全审计系统的实现方法以及当前存在的一些审计系统模型,并分析其存在的缺陷。在此基础上,提出一种基于IPSec隧道的网络安全审计系统模型,该系统能够实时的对非法用户进行阻塞,有效地实现审计日志的真实性。该系统还可以提供身份认证、访问控制、流量限制等功能,以实现网络性能的稳定。