（电子科学与技术专业论文）基于日志代理的安全审计系统.pdf

d a l i a nm a r i t i m eu n i v e r s i t y i np a r t i a lf u l f i l l m e n to ft h e r e q u i r e m e n t sf o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g b y l i ul u ( e l e c t r o n i cs c i e n c ea n dt e c h n o l o g y ) t h e s i ss u p e r v i s o r ：p r o f e s s o r d o n g h u i j u n e2 0 1 1 大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文= = 基王旦查岱理的塞全室让丕统：。除论文中已经注明引 用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本论文中不包含任何未加明确注明的其他个人或集体已经公开发表或未公 开发表的成果。本声明的法律责任由本人承担。 学位论文作者签名： 学位论文版权使用授权书 本学位论文作者及指导教师完全了解大连海事大学有关保留、使用研究生学 位论文的规定，即：大连海事大学有权保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。同意将本学位论文收录到中国优秀博硕士 学位论文全文数据库( 中国学术期刊( 光盘版) 电子杂志社) 、中国学位论文全 文数据库( 中国科学技术信息研究所) 等数据库中，并以电子出版物形式出版发 行和提供信息服务。保密的论文在解密后遵守此规定。 本学位论文属于：保密口在年解密后适用本授权书。 不保密口( 请在以上方框内打“、”) 敝作者签名引秸导师签名青咩 日期：却，f 年6 月趵 ，t 中文摘要 摘要 随着信息化进程和计算机技术的不断发展，信息技术在企业的业务中起着越 来越重要的作用，越来越多的业务依赖信息技术。与此同时，计算机的安全问题 逐渐突出和复杂，信息系统所面临的威胁和风险也越来越大。 目前最大的问题是缺乏有效的审计手段，即“服务在网内，监管在网外 。 数据在信息系统内每秒会被进行上千次的自动化处理，而审计却只能依靠人工进 行检查，检查的范围和深度等都非常有限，这就使得审计监管的力度和深度难以 保证，同时很多违规或犯罪事件都是在发生很长时间后才被发现的。所以，必须 要通过部署安全审计产品，对数据在信息系统内的操作进行实时监测，发现违规 操作立即报警，并通过保存记录操作过程以便将来查询取证，从而进一步完善信 息科技内控体系。 本课题通过搭建一个基于日志代理的安全审计平台，把来自不同设备不同格 式的各种日志和审核数据集中起来进行统一管理和安全审计，通过对指定设备和 系统日志的审计来提高计算机网络的安全性。论文详细地介绍了基于日志代理的 安全审计系统的分析和实现过程。在传统日志管理和安全审计系统所存在问题的 基础上，提出了一种客户端服务器( c s ) 的日志审计系统结构。主要的研究内容 包括：针对传统的安全审计系统的弊端，科学地对日志审计系统的整体架构进行 分析和设计；重点对日志数据采集技术进行了深入的研究与实现；针对复杂的日 志数据分布和类型，采用s y s l o g 技术进行采集；对不同结构的日志进行“日志格 式归一化”，较好地解决了多种日志的融合问题；提出了一种基于w i n d o w s 平台的 日志提取和分析的系统；最后通过一系列的测试对系统功能和性能进行了验证， 表明该系统能够有效地对日志数据进行实时审计。 关键词：数据采集技术；s y s l o g 技术；日志审计 英文摘要 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o na n dc o m p u t e rt e c h n o l o g y , i n f o r m a t i o n t e c h n o l o g yi nb u s i n e s so p e r a t i o n sp l a y sa ni n c r e a s i n g l yi m p o r t a n tr o l e ，m o r ea n dm o r e b u s i n e s sr e l i e so nt h ei n f o r m a t i o nt e c h n o l o g y a tt h es a m et i m e , s e c u r i t yi s s u e so f c o m p u t e r sb e c o m em o r ea p p a r e n ta n dc o m p l e x 1 1 1 et h r e a t sa n dr i s k st h a ti n f o r m a t i o n s y s t e m sf a c e da r ea l s og r o w i n g n o w a d a y s ，t h eb i g g e s tp r o b l e mi st h el a c ko fe f f e c t i v ea u d i tm e a l l 8m a ti s “s e r v e r i nt h en e t ，a n dt h er e g u l a t i o no u to ft h en e t d a t ai nt h ei n f o r m a t i o ns y s t e mw i l lb e a u t o m a t i c l yh a n d l e db yt h o u s a n d so ft i m e sp e rs e c o n d b u tt h ea u d i to n l yr e l i e so n m a n u a li n s p e c t i o n ，t h es c o p ea n dt h ed e p t ho fc h e c k sa r el i m i t e d ，i ti sd i f f i c u l tt oe n s u r e t h es t r e n g t ho fa u d i tr e g u l a t i o n s m e a n w h i l e ，m a n yi l l e g a la n dc r i m i n a li n c i d e n t sw e r e d i s c o v e r e da f t e ral o n gt i m e t h e r e f o r e ，w em u s tm a k et h er e a l t i m em o n i t o r i n gi n i n f o r m a t i o ns y s t e m sa n df o u n dt h ev i o l a t i o no p e r a t i o nb yd e p l o y i n gt h es e c u r i t ya u d i t p r o d u c t t h r o u g hi t ，w ec a nc o l l e c tt h eo p e r a t i o nr e c o r d st oa u d i ta n df u r t h e r m o r et o i m p r o v ei n f o r m a t i o ns y s t e m s 砸s p r o j e c tb u i l d sas e c u r i t ya u d i tp l a t f o r mb yl o g - b a s e da g e n t t h r o u g hi t ，l o g so f d i f f e r e n tf o r m a t sf r o md i f f e r e n td e v i c e sw e r ec o l l e c t e df o ru n i f i e dm a n a g e m e n ta n d s a f e t ya u d i t s t h ep a p e rd e s c r i b e sa n a l y s i sa n di m p l e m e n t a t i o np r o c e s so ft h es e c u r i t y a u d i ts y s t e mb a s e dl o ga g e n t w ep r o p o s eac l i e n t s e r v e rl o ga u d i ts y s t e mo nt h eb a s i s o fs o m ep r o b l e m so ft r a d i t i o n a ll o gm a n a g e m e n ta n ds e c u r i t ya u d i t i n gs y s t e m t h e m a i nc o n t e n t si n c l u d e ，i na c c o r d a n c e 、) l r i t l lt h es h o r t c o m i n g so ft r a d i t i o n a la u d i ts y s t e m ， w ea n a l y z ea n dd e s i g nas c i e n t i f i cs y s t e mo fa u d i tl o g s ；s t u d yo nt h ed a t aa c q u i s i t i o n t e c h n o l o g ya c c o r d i n gt ot h ec o m p l e xd i s t r i b u t i o na n dt y p e so fl o gd a t a , a n dc o l l e c td a t a b yu s i n gs y s l o gt e c h n o l o g y ；m a k et h e l o gf o r m a tt on o r m a l i z e d f o rt h ed i f f e r e n t s t r u c t u r e s ，a n ds o l v e dt h ep r o b l e mo ft h ei n t e g r a t i o no fv a r i e t i e so fl o g s ；m o r e o v e r , t h e t h e s i sp r e s e n t sas y s t e mb a s e do nw i n d o w sp l a t f o r mt oe x t r a c ta n da n a l y z el o g s f i n a l l y , t h r o u g has e r i e so ft e s t so nt h es y s t e mf o rf u n c t i o n a l i t ya n dp e r f o r m a n c e ，i tw a sv e r i f i e d t l l a tt h es y s t e mc a na u d i tt h e l o gd a t a i nr e a l - t i m e e f f e c t i v e l y k e yw o r d s ：d a t aa c q u i s i t i o nt e c h n o l o g y ；s y s i o gt e c h n o l o g y ；l o ga u d i t 一且一 录 第l 章绪论l 1 1 背景1 1 1 1 为什么需要审计系统二南二一1 1 1 2 传统审计系统的不足2 1 1 3 日志审计系统的意义3 1 2 国内外研究现状4 一i 2 1 联想网御安全管理系统：二一4 1 2 2x l o g 网络日志审计系统4 1 2 3l o g b a s e 运维安全审计系统一4 1 2 4s e c u r i t ya u d i tl o g 系统4 1 3 课题的来源6 1 4 本文的研究内容一8 第2 章日志管理分析9 2 1 日志概述9 2 1 1 日志的概念蒜9 2 1 2 日志特点9 2 1 3 安全审计系统中需要日志管理的原因1 0 2 1 4 日志管理对象和内容1 1 2 2 日志分类1 1 2 2 1w i n d o w s 操作系统日志( n t 2 k x p l 1 1 2 2 2l i n u x u n i x 系统日志1 3 2 3 日志数据采集技术1 4 2 3 1 基于s n m pt r a p 的日志采集技术1 5 2 3 2 基于文本方式的日志采集15 2 3 3 基于s y s l o g 的日志采集技术15 2 4 本章小结2 2 第3 章审核策略的设置2 3 3 1 开启w i n d o w s 审核的策略2 3 3 2w i n d o w s 审核策略的配置2 9 3 3l i n u x 审核配置：3 0 3 3 1s y s l o g 日志服务器安装3 1 3 3 2 配置文件介绍：3 3 3 3 3s y s l o g 日志服务器系统配置3 5 3 3 4 采集日志数据的服务器端配置3 6 3 4 本章小结3 7 第4 章系统总体框架分析与实现3 8 4 1 日志审计系统的功能分析。3 8 4 2 日志审计系统设计3 8 目录 4 2 1 客户端代理3 9 4 2 2 审计服务器：。4 0 4 3w i n d o w s 日志数据采集的实现4 6 4 3 1 读取配置文件的实现4 6 4 3 2 过滤功能的实现4 8 4 3 3 日志提取功能的代码实现4 8 4 3 4 日志信息统一格式化的实现4 9 4 4 本章小结5 0 第5 章总结。5 1 5 1 论文工作总结5 1 5 2 下一阶段的工作5 1 参考文献5 3 致谢5 5 基于日志代理的安全审计系统 第1 章绪论一 1 1 背景 。随着信息化进程和计算机技术的不断发展，信息技术在企业的业务中起着越 来越重要的作用，越来越多的业务依赖信息技术。现代企业在组织结构、业务流 程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。但 随着信息系统在业务运营中的作用越来越重要，计算机的安全问题逐渐突出和复 杂，信息系统所面临的威胁和风险也越来越大。 目前信息科技监管所面临的最大问题是缺乏有效的审计手段，“服务在网内， 监管在网外”，数据在信息系统内每秒会被进行上千次的自动化处理，而审计却 只能依靠人工进行检查，检查的范围和深度等利 常有限，这就使得审计监管的 一 力度和深度难以保证，同时很多违规或犯罪事件都是在发生很长时间后才被发现 的。所以，必须要通过部署安全审计产品，对数据在信息系统内的操作进行实时 监测，发现违规操作立即报警，并通过保存记录操作过程以便将来查询取证，实 现“服务在网内，监管在网内 的目标，从而进一步完善信息科技内控体系。 作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损 失中，有7 5 以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作 等。一个针对大型运营商的高级i t 经理进行的调查问卷显示，6 6 的经理认为内 部滥用和误用、经营数据泄漏，以及病毒是最严重的安全威胁，作为对比，认为 黑客入侵是最严重威胁的只有1 3 【1 1 。 一 分析这些内部安全威胁没有得到有效控制的根源，我们可以发现下列主要因 素i 审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备 完善的职责分离机制，人员安全意识和技能方面的不足等。其中，第一点是缺少 可信的、完备的审计系统是目前普遍存在、首当其冲的最重要的根源因素，必须 严肃研究对待。 1 1 1 为什么需要审计系统 审计系统帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络 第1 章绪论 中的、主机操作系统中，也包括应用系统中的【2 1 。 这些审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层 和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略；另一 方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，就像航空器的“黑 盒子 一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的 分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。 风险管理和内控等是现代企业不遗余力地投入资源进行建设的目标，而完备 的、健全的、有效的审计系统就是通往这一目标的重要途径和手段。 所以，当前的许多安全标准和规范都要求组织建设并保证审计系统的可靠性。 例如： ( 1 ) 普遍接受的安全管理业界标准i s 0 2 7 0 0 1 ：2 0 0 5 3 1 ，条款a 1 5 1 3 明确要求必 须保护组织的运行记录，条款a 1 5 2 1 则要求信息系统经理必须确保所有负责的安 全过程都在正确执行，符合安全策略和标准的要求。 ( 2 ) 美国公众上市公司需要遵循的撒班斯( s a r b a n e so x l e y ) 法案 4 】，其合规性 要求建立严肃的、完备的企业内控体系，而信息系统的安全审计又是内控体系的 重中之重。 ( 3 ) 国家颁布的安全等级保护技术要求，在确立为第二级( 指导保护级) 以及 以上级的信息系统中必须建立并保存下面的各种访问日志：网络安全审计、主机 安全审计、应用安全审计。 1 1 2 传统审计系统的不足 根据审计信息的收集方式，审计系统主要分为基于主机的审计( 耶a ) 和基 于网络的审计( n b a ) 两大判5 1 。 基于主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计 的方式【6 】。事件( e v e n t ) 是h b a 系统发生在主机和应用系统中的行为的基本单元， 一般来说，它会包含日期和时间、主体用户或应用、访问对象、成功与失败以及 事件摘要等信息。h b a 的特点是收集的信息比较深入，比较完整，不受加密协议 的影响，其缺点是部署过程较为复杂，通常需要手动在主机系统上进行配置，这 基于日志代理的安全审计系统 样不容易保证审计代理工作实时地进行。审计的内容也容易被篡改或删除。 基于网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据 ( t r a f f i c ) 和行为中提取审计信息【| 7 1 。会话( s e s s i o n ) 是n b a 的基本审计单元，其 主要内容有：会话标识、源目的地址和端口、协议、日期和时间、成功与失败、 摘要。n ：b a 的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过， 不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、 防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢 失了网络会话的绝大部分内容，无法提供事件分析所需的完整的网络行为回放 ( r e p l a y ) 。而回放却是安全事件分析中最为重要的技术手段之一。我们也知道， 防火墙、入侵检测系统和网络设备在运行过程中，都会产生大量的日志和告警， - 这些日志和告警都是重要的审计信息。也是普通的基于网络的审计系统的重要支+ 柱。但是，受艰于其工作方式和设计目标，它们都不可能细致的分析高层应用协一 议并进行详细的记录，当前也都不能分析加密协议内部的应用信息。 综上所述，除去性能和稳定性代价之外，单纯依赖主机日志建立的审计系统 是不完善的，没有足够的可信度。而普通的基于网络的审计系统又无法解决承担 大部分运维工作的r d p s s h 等加密通信协议的问题。上面两种类型传统审计技术 实现的审计系统存在的缺陷是显而易见的。我们需要一种既能快速部署、全面覆 盖，又能全面记录、理解加密协议、帮助深入挖掘的审计系统，它需要同时具备 两种类型审计系统的综合优势。 1 1 3 日志审计系统的意义 ( 1 ) 满足合规性要求，顺利通过i t 审计 安全审计系统有助于完善企业组织的i t 内控与审计体系，从而满足各种合规 性要求，并且使组织能够顺利通过i t 审计a ，( 2 ) 有效减少核心信息资产的破坏和泄漏 对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键 系统上( 如数据库服务器、应用服务器等) ，通过使用安全审计系统，能够加强 对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。 第1 章绪论 ( 3 ) 追踪溯源，便于事后追查原因与界定责任 审计监控体系能够完整的诠释责任认定体系。通过稳定而成熟的审计技术， 可以建立起一个圣动不可抵赖、数据可靠，完整并且强有力的责任认定体系【引。 通过从不同层面对支付系统中各种设备的操作和管理行为，包括本地操作和 远程操作的综合审计，可以很好的将上述行为记录下来，并且长时间保存，可以 达到很好的达到审计监控目的，从而有效进行责任认定。 1 2 国内外研究现状 1 2 1 联想网御安全管理系统 联想网御安全管理系统是一个集中的日志审计分析平台，通过收集各种主机 系统、网络设备和安全设备的日志信息，并对其进行统一的管理和分析，可以帮 助用户实时地监控网络中发生的安全攻击，从而维护整个用户网络的安全【9 】。 一 1 2 2x l _ d g 网络日志审计系统 x l o g n 络日志审计系统( n e t w o r kl o g a u d i ts y s t e m ，x l o g ) 是华为3 c o m 公司推 出的日志审计系统，可以与路由器、交换机、b a s 等网络设备共同组网，根据用 户要求采集不同类型的网络流量信息，经过整合后对其分析，为管理员提供流量 异常监控、用户行为审计和网络部署优化的评判标准【1 0 】。 1 2 3l o g b a s e 运维安全审计系统 l o g b a s e 运维安全审计系统，是由杭州思福迪信息技术有限公司自主研发的新 一代软硬件一体化审计系统，该系统支持对运维人员维护过程的全面跟踪、控制、 记录；能够控制运维人员的访问权限，阻止违规、越权访问行为，同时提供详细 的维护过程记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为 审计系统中的审计盲点，是企事业单位i ，r 内部控制有效的支持工具之一【l l 】。 1 2 4s e c u r i t ya u d i tl o g 系统 s e c u r i t ya u d i tl o g 系统是s a pa g 公司设计的安全审计系统，它可以在设计 。 好的过滤器中记录s a p 系统里和安全审计相关的行为。包括r f c 是否登录成功的 信息、r f c 对功能模块的调用以及主机和审计配置信息【1 2 】。 目前公司内部日常运维的安全现状如下【1 3 】： l ( 1 ) 运维操作复杂度提高 随着网络威胁日益增多，单纯来自外界的威胁已变得有限，更多的，更严重 的威胁来自于内部，或是由内外勾结所产生的破坏。企业生产数据面临被内部人 员篡改、删除、窃取，主机被关机，设备配置被修改，导致企业生产停顿、商业 资料泄露，：给企业造成巨大的损失。尤其随着企业系统、网络规模的扩大，设备 的增多，设备管理人员也相应的增多；由于运维人员角色及设备功能的不同，会 存在同一个运维人员同时管理多台设备，也会存在同一台设备被多个运维人员共 同管理；由于多个运维人员需要登录同台设备，因此该设备的账号密码是共用 的，无法对账号密码进行有效管理；同时这样的交叉管理会造成运维人员可能的 违规操作和越权访问，并且无法实现有效的监管； ( 2 ) 操作不透明导致的运维风险越来越大 一 由于r r 运维操作的复杂度，致使我们无法知道管理员在过去和现在都对设备 进行了哪些操作，这些操作是否会对设备及业务造成影响；而一旦出现问题，企 业1 1 r 部门也无法追溯到是谁在什么时候以及做了哪些操作导致的问题；其实企业 都有一定的制度来控制设备账号以及管理员权限，但由于没有技术保障，很难做 到完全的执行。 ( 3 ) 误操作、设备宕机、信息邪路给企业带来严重的损失 运维操作的复杂难免会造成管理员的误操作，这些误操作一旦涉及到敏感的 操作命令，就有可能造成设备的宕机从而影响企业业务运行，也有可能导致企业 核心数据的删除；另外多个管理员使用同一系统账号，一旦该账号从某个管理员 处流失，都有可能造成企业敏感信息及核心数据的泄露。 ( 4 ) i t 运维外包给企业带来管理风险 随着信息化建设的不断深入，企业业务对r r 的依赖不断增强，一方面，企业 不断投资购建各种硬件、系统软件和网络，另_ 方面不断开发实施e r p 、s c m 、 c r m 、决策支持和知识管理等各种各样的。在这种情况下，企业不仅要求i t 服务 持续不间断地支持业务运营，而且要求i t 服务能够创造更多的机会，使得业务部 门能够更好地达到业务目标。因此引入了i t 运维的外包，虽然i t 运维外包带来了 第1 章绪论 一定效率的提高，但企业无法直接有效管理外包人员，无法对外包人员的操作行 为做到有效的控制和监管，甚至无法确保外包人员不会破坏或窃取企业设备、数 据。 ( 5 ) 法律法规的要求 、 i t 系统审计是控制内部风险的一个重要手段，但r r 系统构成复杂，操作人员 众多，如何有效地对其进行审计，是长期困扰各组织的信息科技和风险稽核部门 的一个重大课题。而由于信息系统的脆弱性、技术的复杂性、操作的人为因素， 企业目前无法实现对各类系统及网络设备的管理员操作记录的实时监控和审计； 同时虽然企业能定期修改设备的密码，但由于设备的交叉管理，无法确保设备密 码的安全性，也就无法有效的保护企业的信息安全。 一( 6 ) i t 人员流动性给企业带来未知风险 企业r r 人员的流动性会给企业i t 运维的延续性带来一定影响，每次r r 员工 的离开，都需要立即更改该员工所管理的设备的账户密码，否则会给企业信息全 会带来风险，而由于设备的交叉管理，这样的变更操作会非常的麻烦。 1 3 课题的来源 本论文所选的课题来自企业项目的u s p 4 0 统一安全管理解决方案。针对1 2 中存在的这些问题，它提出了一种4 a 平台解决方案，即统一身份( a c c o u n t ) 管 理、统一认证( a u t h e n t i c a t i o n ) 管理、统一访问控制( a c c e s s ) 管理和统一安全审 计( a u d i t ) 四个要素。解决了运营商在账号口令管理、访问控制及审计措施方面 所面临的主要问题。通过对所有用户在主机上的操作行为进行监控与记录，实时 了解用户的操作行为，发现风险及时终止用户的操作，并记录下用户的操作行为， 便于进行事后的审计和取证。通过如图1 1 所示的管理方式，实现了以下几点： 图1 1u s p 4 0 系统部署 f i g 1 1u s p 4 0s y s t e md e p l o y m e n t ( 1 ) w e b 方式访问资源 用户通过登录堡垒主机后可以看到所有的授权资源列表，访问资源时不用再 输入账号和密码，做到了真正的单点登录。 ，( 2 ) 对网络及安全设备运行状态跟踪 对各设备、操作系统、应用的运行状态日志进行实时监测，及时发现设备运 行的异常情况，并在第一时间通知管理员，为排查故障争取时间。 ( 3 ) 对服务器运行状态跟踪 对各种操作系统( 如m i c r o s o f tw i n d o w sn t 9 8 2 k x p 、u n i x l i n u x 、s o l a r i s 、， f r e e b s d 、u n i x w a r e 、a i x 、h p u x 、o p e n s e r v e r 等) 的运行状态进行7 * 2 4 实时 监控，通过日志分析及时发现潜在安全隐患，为管理员排查故障提供客观数据。 ( 4 ) 海量日志集中审计 管理员希望能够通过u s p 4 0 对操作系统、应用平台、网络及安全设备的海量 日志进行集中审计与管理，并实现有效的关联分析，发现其中的安全故障和隐患， 第1 章绪论 减少安全事故响应时间。 ( 5 ) 提高安全事件分析能力 通过u s p 4 0 统一安全管理方案，能够有效避免黑客入侵后删除主机上的入侵 痕迹的情况，在发生安全事件后，随时都能够为管理员提供完整的日志数据，有 利于管理员对安全事件进行深入分析，为安全事件责任定位提供客观证据。 本论文研究的主要是u s p 4 0 解决方案中日志审计系统的部分，其中包括 w i n d o w s 操作系统和l i n u x 操作系统的日志审计。 1 4 本文的研究内容 本文介绍了基于日志代理的安全审计系统分析和设计实现过程。在传统的日 志管理和审计所存在的问题基础上，提出了一种基于c s 系统原型的分布式体系 结构。本文所做的工作主要集中在以下两点： ( 1 ) 针对传统的安全审计系统的弊端，对日志审计系统的整体架构进行了科学 的分析和设计。 ( 2 ) 对日志数据采集技术进行了重点研究与实现。对于复杂的日志数据分布和 类型，采用s y s l o g 技术进行采集。 ( 3 ) 对现有的安全审计产品进行了深入分析，提出了将各种不同结构的日志进 行归一化的方法，较好地解决了多种日志的融合问题。 ( 4 ) 提出了一种基于w i n d o w s 平台的日志提取和分析的系统。通过过滤分析， 有效地采集所需的日志信息。 计系统 第2 章日志管理分析 2 1 日志概述 、为了方便管理员了解计算机系统的运行情况，计算机系统通常采用一定的机 制来描述其行为，日志文件就是其中的重要方法之一。 2 1 1 日志的概念 日志( 1 0 9 ) 一词最早源于航海日志：用来记录船速、航程以及船上发生的所 有对航海有意义的事件【1 4 1 。后来被应用于生活中的许多领域，记录过去发生的事 件。本文讨论的日志是指描述计算机系统行为的记录，就是指系统所指定对象的 某些操作和其操作结果按事件有序的集合。每个日志文件由日志记录组成，每条 日志记录描述了一次单独的系统事件。一般系统日志是可以直接查阅的文本文件， 其中包含一个时间戳和一个消息。 日志管理就是对日志数据进行采集、汇聚、存储、分析和报警、监控、自动 化的手段。计算机的系统日志通常包括三个部分：主体( s u b j e c t ) ，客体( o b j e c t ) 和 行为( a c t i o n ) 。在日志中，每一个事件都可以描述为主体对客体的操作1 5 】。 在计算机的安全领域中，日志主要有以下几方面的应用： 监控用户行为：通过系统中用户的使用情况，防止用户越权使用权限。 诊断异常事件：通过观察日志并对异常行为进行评估，从而得出事件发生的 时间和原因等。 监控系统问题：监测系统资源或者网络流量的使用情况，检测问题的发生。 2 1 2 日志特点 从网络安全的角度分析，日志文件具有以下几个特剧1 6 1 ： ( 1 ) 没有统一的标准 虽然现在绝大多数的操作系统和网络设备都以文本的格式记录日志，但是目 前并没有统一的日志标准。每个系统日志的格式都是厂商自己定义的，如果不熟 悉每种系统的日志格式将会很难获得有用的信息。同时，一部分的系统和网络设 备不采用文本格式记录日志信息，所以只能用专业的日志分析工具来读取和解析， 第2 章日志管理分析 否则无法理解日志意义。 ( 2 ) 数据量大 例如防火墙日志、w e b 服务日志、i d s 日志等的数据量非常大，通常一天就可 以产生几十甚至几百兆的数据，在大型的网络环境中，还有可能达到几个g ，因 此，如何从海量的数据中获取和分析有用的信息将显得尤为重要。 ( 3 ) 不易获取 因为网络环境下不同的操作系统、网络设备和服务产生的日志文件不同，使 得每种日志数据源的字段属性、日志格式、存储格式、获取方式都不相同，所以 针对不同的日志系统需要单独设计相应的日志获取方式。 ( 4 ) 不同日志之间的联系 一种数据设备的日志只能反映这种设备设计的运行状态，不能完全反映整个 网络的运行状态和用户活动情况。 ( 5 ) 容易被修改、破坏甚至伪造 由于日志能够有效记录入侵者的痕迹，所以在计算机取证中起着非常重要的 作用，但是目前大多数的日志都是以文本文件的方式存储在未经保护的目录中， 没有加密和校验处理，没有提供保护机制用来防止入侵者篡改，所以入侵者通常 在获取系统权限、破坏重要数据或者窃取机密信息后会修改或者删除日志文件， 甚至还会伪造日志信息，用来迷惑管理员的事后审计。 2 1 3 安全审计系统中需要日志管理的原因 ( 1 ) 通过记录日志数据，可以帮助管理员尽早发现运行异常的问题和潜在问 题，从而及时进行故障排除，保证网络可以正常运行1 7 1 。 ( 2 ) 日志数据可以通过提供病毒和蠕虫攻击的行为特征，确定网络攻击源，能 为恶意代码的入侵提供对应的信息线索，从而及时预防或补救。 ( 3 ) 日志可以记录用户所访问的所有资源和访问的过程，管理员利用它可以判 断终端的用户是否访问了非法网站、是否传送了保密文件以及是否进行了违规操 作。 ( 4 ) 目前大多数的日志数据必须采用手工采集，耗时且成本高。利用日志审计 系统可以解决这些问题。 2 1 4 日志管理对象和内容 随着网络的不断发展，日志的管理对象也不断增加。具体的管理对象如下【1 8 1 ： 表3 1 日志管理对象和内容 t a b 2 1o b j e c ta n dc o n t e n to fl o gm a n a g e m e n t 紧急事件警报 提示信息 主机死机、宕机 系统故障访问用户文件记录 存储 数据丢失磁盘错误平时维护 程序死机、重启、未授权错误 应用 日常操作行为记录 非法操作 操作错误 网络网络中断 网络异常网络流量、路由信息 系统损坏病毒感染 。 非法操作。 安全 病毒发作黑客入侵 误操作 其他设备中止 设备故障设备使用记录 2 2 日志分类 通常日志的来源分为三类：工作在网络层的安全设备日志和工作在数据链路 层的网络设备日志、工作在应用层的操作系统日志。操作系统日志中，最常见的 两类是w i n d o w s 操作系统和l i n u x u n i x 类操作系统。 2 2 1w i n d o w s 操作系统日志( n t 2 k x p ) w i n d o w s 的系统日志文件有应用程序日志、安全日志、系统日志等【1 9 1 。 应用程序日志：记录由应用程序产生的事件。例如，某个数据库程序可能设 定为每次成功完成备份操作后都向应用程序日志发送事件记录信息。应用程序日 志中记录的时间类型由应用程序的开发者决定，并提供相应的系统工具帮助用户 使用应用程序日志。 系统日志：记录由w i n d o w s 操作系统组件产生的事件，主要包括驱动程序、 系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由 w i n d o w s 操作系统预先定义； 第2 章曰志管理分析 安全日志：记录与安全相关的事件。包括成功和失败的登录和退出、系统资 源使用事件( 系统文件或文件夹的创建、删除、更改) 等。与系统日志和应用程 序日志不同，安全日志只有系统管理员才可以访问。 表3 2 事件记录的结构 t a p 3 2s t r u c t u r eo f l o g o u t 记录头日期时间主体标识计算机名 事件标号事件来源事件等级事件类别 事件描述 事件描述区的内容取决于具体的事件，包括事件的名称、详细说明、产 生该事件的原因、建议的解决方案等信息。 附加数据可选数据区，通常包括可以以1 6 进制方式显示的二进制数据，具体内容 由产生该事件记录的应用程序决定。 表3 3 日志事件的结构 t a b 3 3s t r u c t u r eo fl o ge v e n t 用户事件发生时的登录用户名 计算机事件发生时的计算机名 日期事件发生的日期 事件事件发生的事件 事件i d事件的编号。利用事件i d 可以了解系统中发生的事情 来源事件的来源。( 包括系统组件、程序、或某程序的组件的名称) 类型事件的类型。( 错误、警告、信息、审核成功或失败) 类别按事件来源对事件进行分类。主要用于安全日志 日志文件默认位置在s y s t e m r o o t s s y s t e m 3 2 c o n f i g 目录下，默认文件大小 5 1 2 k b 。管理可以灵活设置文件大小及覆盖策略。其主要日志文件的位置为【2 0 】： 安全日志文件：s y s t e m r o o t k s y s t e m 3 2 c o n f i g s e c e v e n t ，e v t ； 系统日志文件：s y s t e m r o o t k s y s t e m 3 2 c o n f i g s y s e v e n t e v t ； 应用程序日志文件：s y s t e m r o o t s y s t e m 3 2 c o n f i g k a p p e v e n t e 通常情况下，日志以e v t 的格式保存，可以在服务器的事件查看器中打开它。 每一个日志文件都包含三个结构： e l f _ l o g f i l e h e a d e r 、e v e n t l o g r e c o r d 、e l f e o f r e c o r d 。其 中e l f _ _ l o g f i l e h e a d e r 和e v e n t l o g r e c o i 在日志文件创建的时候就写 入其中，并且可以实时更新。 当应用程序调用r e p o r t e v e n t 函数写一个事件日志条目时，系统为事件日志服 务传递参数。事件日志服务使用这些信息将e v e n t l o g r e c o l m 结构写到事件日 志中。图2 】【2 1 】说明了这个过程。 a p p l i c a t i o n e l fl o g f i l e 脏a d 既 e v e n t l o g r e c o r d 一 ： e v e n t l o g r e c o r d e l f _ e o f _ r e c o r d 图2 1w i n d o w s 系统日志文件格式 f i g 2 1l o gf o r m a to f w i n d o w ss y s t e m 2 2 2l i n u x u n i x 系统日志 在l i n u x 系统中，有三类主要的日志子系统【捌： 连接时间日志：由多个程序执行，把记录写入到v a 饥o 唧和v a r r 叨1 衄】p 中，l o # a 等程序会更新w t m p 和u t m p 文件，使系统管理员能够跟踪谁在何时登录 到系统。 进程统计：由系统内核执行，当一个进程终止时，为每个进程往进程统计文 件( p a c c t 或a c c t ) 中写一个记录。进程统