(1)主机代理模块。在受监视系统中,作 为后台进程运行的审计信息收集模块 主要目的是收集主机上与安全相关的事 件信息,并将数据传送给中央管理者。 LAN监视器 主机 主机 代理模块 中央管理者 LAN监视器 LAN/局域网 主机 主机 信息安全导论09 12
信息安全导论09 12 (1)主机代理模块。在受监视系统中,作 为后台进程运行的审计信息收集模块。 主要目的是收集主机上与安全相关的事 件信息,并将数据传送给中央管理者
(2)局域网监视器代理模块。主要分析局 域网上的通信信息,并根据需要将结果 报告给中央管理者。 LAN监视器 王机 主机 代理模块 中央管理者 LAN监视器 LAN/局域网 主机 主机 信息安全导论09 13
信息安全导论09 13 (2)局域网监视器代理模块。主要分析局 域网上的通信信息,并根据需要将结果 报告给中央管理者
(3)中央管理者模块。接收包括来自局域 网监视器和主机代理的数据和报告,控 制整个系统的通信信息,对接收到的数 据进行分析。 LAN监视器 主机 代理模块 中央管理者 LAN监视器 LAN/局域网 主机 主机 信息安全导论09 14
信息安全导论09 14 (3)中央管理者模块。接收包括来自局域 网监视器和主机代理的数据和报告,控 制整个系统的通信信息,对接收到的数 据进行分析
分布式系统结构的工作过程 在分布式系统结构中,主机代理模块截获审计收 集系统生成的审计记录,应用过滤器去掉与安全 无关的记录,然后将这些记录转化成一种标准格 式以实现互操作。然后,代理中的分析模块分析 记录,并与该用户的历史映像相比较,当检测出 异常时,向中央管理者报警。局域网监视器代理 审计主机与主机之间的连接以及使用的服务和通 信量的大小,以查出显著的事件,如网络负载的 突然改变、安全相关服务的使用等。 分布式系统结构可以从单独的安全审计系统扩展 成能够关联许多站点和网络行为的审计系统。 信息安全导论09 15
分布式系统结构的工作过程 • 在分布式系统结构中,主机代理模块截获审计收 集系统生成的审计记录,应用过滤器去掉与安全 无关的记录,然后将这些记录转化成一种标准格 式以实现互操作。然后,代理中的分析模块分析 记录,并与该用户的历史映像相比较,当检测出 异常时,向中央管理者报警。局域网监视器代理 审计主机与主机之间的连接以及使用的服务和通 信量的大小,以查出显著的事件,如网络负载的 突然改变、安全相关服务的使用等。 • 分布式系统结构可以从单独的安全审计系统扩展 成能够关联许多站点和网络行为的审计系统。 信息安全导论09 15
分布式系统结构的优点 ()扩展能力强。通过扩展审计单元来实现网络 安全范围的扩张。 ·(2)容错能力强。分布式的独立结构解决了单点 失效问题: ·(3)兼容性强。既可包含基于主机的审计,又可 含有基于网络的审计,超越了传统审计模型的界 限。 ·(4)适应性强。当网络和主机状态改变时,如升 级或重构,分布式审计系统可以容易地作相应修 改。 信息安全导论09 16
分布式系统结构的优点 • (1)扩展能力强。通过扩展审计单元来实现网络 安全范围的扩张。 • (2)容错能力强。分布式的独立结构解决了单点 失效问题: • (3)兼容性强。既可包含基于主机的审计,又可 含有基于网络的审计,超越了传统审计模型的界 限。 • (4)适应性强。当网络和主机状态改变时,如升 级或重构,分布式审计系统可以容易地作相应修 改。 信息安全导论09 16