工控系统安全审计的方法主要有哪些
工控系统安全审计的方法主要有以下四种:
基于规则库的安全审计方法:基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放入规则库中,当进行安全审计时,将收集到的审核数据与这些规则进行某种比较和匹配操(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为,规则库就很难用完全满足要求了。
基于数理统计的安全审计方法:数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。但是,数理统计的最大问题在于如何设定统计量“阀值也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免产生误报和漏报。
基于日志数据挖掘的安全审计方法:与传统的网络安全审计系统相比,基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。带有学习能力的数据挖掘方法已经在一一些安全审计系统中得到了应用,它的主要思想是从系统使用或网络通信“正常数据中发现系统“正常运行模式,并和常规的一些攻击规则库进行关联分析,并用以检测系统攻击行为。
其它安全审计方法:安全审计是根据收集到的关于已发生事件的各种数据来发现系统漏洞和入侵行为,能为追究造成系统危害的人员责任提供证据,是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中,利用观测到的数据,发现攻击行为。两者的目的都是发现系统入侵行为,只是入侵检测要求有更高的实时性,因而安全审计与入侵检测两者在分析方法上有很大的相似之处,入侵检测分析方法多能应用与安全审计。