题目：基于双中心的审计信息分析机制的研究与实现

随着信息化的发展与深入，计算机安全问题日益突出。为满足中央组织部组织干部信息管理集成系统高度安全性的需要，研发一种开放式多主体协同监控平台（OMCM，Open Multi-subject Cooperation Mointor Plarform）以保证系统的整体安全。本论文承担多系统情况下，违规事件检测机制的研究任务。本文分析了常用审计信息分析检测方法，针对存在仅以主体为中心视点进行分析检测的问题，提出了基于双中心的分析检测思想，即：分别以主体和客体为中心视点，同时进行检测。通过分析对比各种审计信息数据，采用聚类技术，对OMCM中双中心分析检测机制的实现做了深入的研究。论文所做的工作体现在以下四个方面：1.基于聚类的双中心分析机制根据双中心分析机制的研究设想，以基于密度的聚类算法为基础，提出了以RCAE（Real-time Cluster of Audit Event）聚类算法为核心的双中心分析机制，并通过实验对RCAE算法的有效性进行了验证和评估。2.审计信息的五信息域表示法针对审计信息记录的内容，为融合各种审计信息格式与内容上的差异，提出了以环境、主体、客体、行为、安全五个信息域对审计信息记录的各种属性进行划分的方法，并基于此方法给出了审计信息的类XML表示。3.通用监控Agent框架与安全通信协议分析了安全监控系统对监控Agent功能与性能上的要求，给出了通用监控Agent的框架设计，并详细阐述了Agent与监控服务器间安全通信协议的细节。4.综合检测规则描述语言分析对比了PMML规则、Snort检测规则、Window安全策略模板中对规则的定义和描述，定义了一种基于XML的综合检测规则描述语言DRDL（Detection Rule Description Language），详细阐述了基于该语言规则的检测算法的实现。