1 传统安全审计系统的历史

　　传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。

　　2 常用安全措施的不足和基于网络的安全审计系统的出现

　　近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。

　　2.1防火墙技术的不足

　　防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。

　　包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。

　　而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意

　　2.2入侵检测技术的不足

　　人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。

　　目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。

　　基于主机的IDS来源于系统的审计日志，它和传统基于主机的审计系统一样一 般只能检测发生在本主机上面的人侵行为。

　　基于网络的IDS系统对网络中的数据包进行监测，对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性‘准实时性)，它能在出现攻击的时候发出警告，让管理人员在在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大多数人侵检测系统只是对单个数据包或者一小段时间内的数据包进行简单分析，从而作出判断，这样势必会产生较高的误报率和漏报率，一般只有20%攻击行为被IDS发现也就不足为奇了。虽然国内外普遍对人侵检测技术都有很高的评价，但是随着黑客技术的发展，一些人侵检测系统本身的缺陷也为人们所了解。一些黑客利用某些分布式技术，在同一时刻向某个人侵检测系统发送大量垃圾数据包，使得人侵检测系统来不及处理而过载，直到发生丢包现象。黑客在此时发动攻击，人侵相关的网络活动被淹没在大量的嘈声之中，使得人侵检测无法检测出包含人侵模式的网络信息，这样一来黑客就达到了逃避人侵检测的目的。

　　2.3基于网络的安全审计系统

　　在这种情况下，基于网络安全审计系统孕育而生。基于网络的安全审计系统在近几年刚刚起步，尚处在探索阶段，其审计重点也在网络的访问行为和网络中的各种数据。对此有比较深人研究的也只是少数几个高校或者科研机构，其中以Purdue大学的NASHIS系统较为著名。

　　一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节，一般处在人侵检测系统之后，作为对防火墙系统和人侵检测系统的一个补充，其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。

　　与传统的人侵检测系统相比，安全审计系统并没有实时性的要求，因此可以对海量的历史数据进行分析，并且采用的分析方法也可以更加复杂和精细。一般来说，网络安全审计系统能够发现的攻击种类大大高于人侵检测系统，而且误报率也没有人侵检测系统那样的高。

　　3 基于网络的安全审计系统的常用实现方法

　　3.1基于规则库的方法

　　基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放人规则库中，当进行安全审计时，将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。

　　这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的网络数据信息，对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包，一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如。 . cert.