我们知道，防火墙、入侵检测系统和网络设备在运行过程中，都会产生大量的日志和告警，这些日志和告警都是重要的审计信息，也是普通的基于网络的审计系统的重要支柱。但是，受限于其工作方式和设计目标，它们只记录事件以及事件的结果，但是都不可能细致的分析高层应用协议并记录详细的过程和细节，当前也都不能分析加密协议内部的应用信息。这样，防火墙等安全设备关注解决的对象是以攻击、入侵、病毒等外部威胁，而对于属于正常访问范围的网络会话则无能为力。

基于网络的审计系统和基于主机的审计系统

根据审计信息的收集方式，审计系统主要分为基于主机的审计（HBA）和基于网络的审计（NBA）两大类。

基于主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。事件（Event）是HBA系统发生在主机和应用系统中的行为的基本单元，一般来说，它会包含日期和时间、主体用户或应用、访问对象、成功与失败以及事件摘要等信息。

HBA的特点是收集的信息比较深入，比较完整，不受加密协议的影响，其缺点是部署过程较为复杂，通常需要在主机系统上安装代理，这样不容易保持审计策略的一致，不容易保证审计代理工作的正常和健壮，安装在审计对象主机上面的代理可能会被卸载或者停止运行，这样审计代理产生的审计信息的可信性也会大打折扣。审计代理对于应用系统的性能和稳定性影响也是不容忽视的一个问题。

基于网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据（traffic）和行为中提取审计信息。会话（Session）是NBA的基本审计单元，其主要内容包括会话标识、源目的地址和端口、协议、日期和时间、成功与失败、摘要

NBA的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过，不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢失了网络会话的绝大部分内容，无法提供事件分析所需的完整的网络行为回放（Replay）。而回放却是安全事件分析中最为重要的技术手段之一。

当前也出现了一些通过交换机镜像方式工作的网络审计系统，它们能够完整的记录网络中流经的数据，但是却不容易深入到敏感数据和应用、不容易定位到用户。另外，最为致命的缺陷是它们不能有效地审计那些使用了加密协议的会话。

综上所述，除去性能和稳定性代价之外，单纯依赖主机日志建立的审计系统是不完善的，没有足够的可信度。而普通的基于网络的审计系统又无法解决承担大部分运维工作的远程桌面RDP/SSH等加密通信协议的问题。上面两种类型传统审计技术实现的审计系统存在的缺陷是显而易见的。我们需要一种既能快速部署、全面覆盖，又能全面记录、理解加密协议、帮助深入挖掘的审计系统，它需要同时具备两种类型审计系统的综合优势。