（计算机应用技术专业论文）责任认定数据分析系统的研究与实现.pdf

摘要 摘要：国办2 0 0 6 1 1 号文关于网络信任体系建设的若干意见中明确提出了 加强我国网络信任体系研究和建设工作的要求，责任认定作为网络信任体系的重 要组成部分，是实现网络行为可核查、网络事件责任可追究和打击网络犯罪的重 要途径。 然而要有效实现责任认定，审计机制就不能够单纯的停留在数据的采集、查 询和统计等功能上，重要的是要对审计数据进行深度挖掘分析，能够从海量的数 据中提取出尽可能多的有用信息，从而为责任认定机制的高效运行提供强有力保 障。责任认定数据分析系统的研究就是在这样的需求下提出的，目标是构建一个 数据综合分析平台，能够把网络中位置各异、格式不一的日志和审计数据集中起 来进行关联性分析，从而提供更加完备的责任认定依据，以满足责、权、利相统 一的安全网络环境要求。 随着网络信任体系建设进程的推进，计算机监控和取证的对象由原来单一的 主机系统转变为由各种服务器、路由交换设备和安全设备等组成的网络系统，有 用的证据往往分散在多种不同的日志中。由于日志种类繁多，格式不一，彼此之 间的联系难以直接体现，传统手工分析模式面临极大困难。同时，激增的日志数 据背后隐藏了许多重要信息，为了使分散的日志能够有效辅助取证工作，往往需 要进行更高层次的分析事件场景关联。 我们在研究和分析了责任认定相关数据分析技术的基础上，提出了一种融合 多源同志的基于事件“前提结果”的事件场景关联方法，即p c e c f ，从而使本 系统很好的解决了多源同志辅助取证进行自动分析的问题。 通过基于r 志融合技术的审计数据预处理方案的设计，本系统很好的实现了 海量审计数据的约简，从而将原始数据量保持在关联分析工作可以处理的范围内。 本文的另外一个工作重点是设计和实现了扩展i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g e e x c h a n g ef o r m a t ) 格式标准后用于表示安全事件的e v e n t 数据模型，解决了兼容性 和互操作性问题，为标准化服务提供了标准接口，从而使得多种来源的审计数据 可以进行集中关联分析。 关键字：责任认定；日志融合；事件场景；p c e c f ；i d m e f ；e v e n t 分类号： a b s t r a c t a b s t r a c t ：n o t i c eo fn o 11 【2 0 0 6 o ft h eg e n e r a lo f f i c eo ft h es t a t ec o u n c i lo i l s e v e r a li s s u e sa b o u tc o n s t r u c t i o no ft h en e t w o r kt r u s ti n f r a s t r u c t u r e ，t h eg o v e r n m e n t h a sd e a r l yp o i n t e do u tt h er e q u i r et os t r e n g t h e nt h er e s e a r c ha n dc o n s t r u c t i o nw o r ko f t h en e t w o r kt r u s t e ds y s t e m a st h em o s ti m p o r t a n tc o m p o n e n to fn e t w o r kt r u s t i n f r a s t r u c t u r e ，a c c o u n t a b i l i t yi sac r u c i a la p p r o a c ht or e a l i z et h ev e r i f i c a t i o no fn e t w o r k b e h a v i o r sa n da c c o u n t a b i l i t yo f n e t w o r ke v e n t s ，a sw e l la st h ef i g h ta g a i n s tc r i m e s h o w e v e r , t h ea u d i tm e c h a n i s mc a n tj l a s ts e t t l ei nt h ec o l l e c t i n g , q u e r ya n ds t a t i s t i c o fd a t ai fw ew a n tt or e a l i z et h ea c c o u n t a b i l i t ye f f e c t i v e l y i t si m p o r t a n tt ot a k ed e e p m i n i n go ft h ea u d i td a t aa n dp i c k - u pu s e f u lm e s s a g e sa sm a n y 鹊p o s s i b l e , s oa st o p r o v i d eac o g e n tg u a r a n t e ef o rt h ee f f e c t u a lr u n n i n go ft h ea c c o u n t a b i l i t ym e c h a n i s m i n t h i st h e s i s ，t h ep r o p o s a lo ft h er e s e a r c ho na c c o u n t a b i l i t yd a t aa n a l y s i ss y s t e mi sb a s e d o ns u c hab a c k g r o u n d ，t h ea i mo fw h i c hi st ob u i l dap l a t f o r mf o rt h ei n t e g r a t e da n a l y s i s o fd a t a t h ep l a t f o r mc a l lg i v ec o r r e l a t i o na n a l y s i st oa l ll o g sa n da u d i td a t aw i t h d i f f e r e n tf o r m a t sa n dl o c a t i o n si nn e t w o r k , s oa st op r o v i d em o r es e l f - c o n t a i n e d e v i d e n c ef o ra c c o u n t a b i l i t ya n dm e e tt h en e e do ft h eu n i t yo f r e s p o n s i b i l i t i e s ，r i g h t sa n d b e n e f i t so ft h es e c u r en e t w o r ke n v i r o n m e n t w i t ht h ea d v a n c i n gi nc o n s t r u c t i o no f t h en e t w o r kt r u s ti n f r a s t r u c t u r e ，t h eo b j e c to f c o m p u t e rs u r v e i l l a n c ea n df o r e n s i c sc h a n g e sf r o mas i n g l em a i n f r a m es y s t e mt oa n e t w o r ks y s t e mc o n s i s t so fv a r i o u ss e r v e r s ，r o u t e r sa n do t h e rs a f e t i e s b e s i d e s ，u s e f u l e v i d e n c e sa l w a y ss p r e a da r o u n dv a r i o u sl o g s b u tl o g sc a nh a r d l ys h o wt h er e l a t i o n s b e t w e e ne a c ho t h e rb e c a u s eo ft h ev a r i e t ya n dm u l t i f o r m a t ，w h i c hb r i n g si n f i n i t e d i f f i c u l t yt ot h et r a d i t i o n a lm a n u a la n a l y s i sm o d e m e a n w h i l e , t h ep r o l i f e r a t e da m o u n t o fl o g sw r a p sm u c hi m p o r t a n ti n f o r m a t i o n i no r d e rt om a k eg o o du s eo ft h ed i s t r i b u t e d l o g si na i d i n gc o m p u t e rf o r e n s i c s ，w en e e dt op r o c e s s t h ea n a l y s i sw i t hh i g h e r l e v e i 喇e n ts c e n a r i o sc o r r e l a t i o n w i n lt h er e s e a r c ha n da n a l y s i so fr e l a t i v et e c h n o l o g yo fd a t aa n a l y s i si n a c c o u n t a b i l i t y , w ep r o p o s ea na p p r o a c hf o re v e n tc o r r e l a t i o nb a s e do n p r e r e q u i s i t e s c o n s e q u e n c e s ”i d e a , w h i c hi sc a l l e dp c e c ei th e l p st h es y s t e mw ed e s i g n e dt os o l v e t h ep r o b l e mo f a u t o a n a l y s i si na i d i n gf o r e n s i c sw i t hh e t e r o g e n e o u se v e n tl o g s v i at h ed e s i g no ft h ep r e t r e a t m e n ts c h e m eo fa u d i td a t ab a s e do nf u s i n gt e c h n o l o g y o fe v e n tl o g s ，o u rs y s t e mw e l lr e a l i z e st h er e d u c t i o no ft h eh u g ea m o u n to fa u d i td a t a i t h e l p st ok e e pt h eo r i g i n a la m o u n to fd a t ai nar a n g ew h i c ht h ec o r r e l a t i o na n a l y s i sw o r k c a l ld e a lw i t l l a n o t h e rk e y s t o n eo ft h i st h e s i si st oh a v ed e s i g n e da n dr e a l i z e dt h ee v e n t d a t am o d e lu s e df o re x p r e s s i n gt h es e c u r ee v e n t s ，w h i c hi sb a s e do nt h ee x t e n s i o no ft h e s t a n d a r df o r m a t i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ) i ts e t t l e st h e p r o b l e m so fc o m p a t i b i l i t ya n dm u t u a lo p e r a t i o na n dp r o v i d e st h es t a n d a r di n t e r f a c ef o r s t a n d a r d i z a t i o ns e r v i c e , w h i c hm a k e si t p o s s i b l ef o rt h eh e t e r o g e n e o u sa u d i td a t at o p r o c e s sc e n t r a l i z e dc o r r e l a t i o na n a l y s i s k e y w o r d s ：a c c o u n t a b i l i t y ；, l o gf u s i n g ；e v e n ts c e n a r i o s ；p c e c f ；i d m e f ；e v e n t c l a s s n o ： 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：羡与以 签字日期：叩年6 月( 7 日 名：杰专 签字日期2 叶年6 刖t 日 独立性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文储繇乏易以签字嗍。岬年月 5 7 致谢 在我的课程和硕士论文完成之际，谨向在我攻读硕士学位过程中曾经指导过 我的老师、关心过我的朋友、关怀过我的领导和所有帮助过我的人们表示深深的 感谢! 本论文的工作是在我的导师韩臻教授的悉心指导下完成的，韩臻教授严谨的 治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来韩老 师对我的关心与指导。 韩臻教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此再次向韩老师表示诚挚谢意。 刘吉强副教授、何永忠老师和袁中兰老师对我的科研工作和论文都提出了许 多宝贵意见，在此表示衷心感谢。 另外也感谢母亲古会金、父亲吴广保，他们的理解和支持使我能够在学校专 心完成学业。 第一章绪论 1 1 研究背景 随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济 和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益加强， 信息安全已经成为国家安全的重要组成部分。 网络信任体系是国家信息安全保障体系的重要组成部分，是实施国家信息化 战略的重要保障，是建设诚信和谐社会的必然要求，是信息化和信息安全的重要 基础设施。推进网络信任体系的建设，对于加快各种信息系统和网络的应用进程， 维护网络活动中有关各方的合法权益，促迸电子政务、电子商务的发展，为信息 化建设提供安全保障，具有现实和长远的意义。 国办2 0 0 6 1 1 1 】号文件中明确提出“网络信任体系是以密码技术为基础，以法律 法规、技术标准和基础设施为主要内容，来解决网络应用中身份认证、授权管理 和责任认定等为目的的完整体系。 其中责任认定是建立在身份认证和授权管理 的基础上的审计机制，在网络系统安全中发挥着重要作用。 完备的审计数据分析系统是有效推进责任认定工作的前提，是实现网络行为 可核查、网络事件责任可追究和打击网络犯罪的基础。加强责任认定数据分析系 统的研究，有利于保障和推进网络信任体系建设；有利于切实维护网络活动中有 关各方面的合法利益；有利于加强网络与信息系统安全保护工作；有利于强化网 络与信息安全管理和预警防范；有利于提高网络违法犯罪的防范和打击能力。 1 2 责任认定简介 责任认定是建立在身份认证和授权管理基础上的审计机制，是网络信任体系 建设的重要组成部分，通过记录、保留、审计安全相关事件来确定行为主体的责 任，从而实现网络行为可核查、网络事件责任可追究和打击网络犯罪的目标。 1 2 1责任认定的内容 责任认定的内容包括有三个层次，反映了认定的不同程度，分别是行为核查、 责任追究以及打击违法犯罪。其中，行为核查是责任追究和打击违法犯罪的前提 和基础，而责任追究又是打击违法犯罪的前提和基础，三者是逐级递进的关系。 虽然行为核查、责任追究和打击违法犯罪的认定方法和认定要求各不相同，但三 者在认定内容上存在很多共性，即系统、网络与信息的完整性、可用性、保密性、 不可抵赖性和可审查性。 l 、行为可核查 需要核查的行为是发生在主机或者网络中所有的操作，既包括违法、非法的 行为，也包括正常、合法的行为。行为的可核查需要做到所有的行为都可以被追 踪、审查、核实并且不可否认，即是满足不可抵赖性和可审查性。 2 、事件责任可追究 事件责任可追究是针对那些由于人为因素对信息系统造成危害的事件。做到 事件可核查、行为人的安全责任可追究；人为安全事件责任追究的结果是相关部 门根据本单位、本系统治定的相关管理制度、规范，追究安全事件直接责任人以 及直接负责的主管人员由于故意或者过失违规操作而承担的信息安全保护责任和 管理责任。 3 、违法犯罪可打击 违法犯罪可打击是做到违法犯罪行为可核查，违法犯罪人员的法律责任可追 究。打击违法犯罪的结果是查明违法犯罪事实，发现并抓获违法犯罪行为人，依 法追究违法犯罪行为人的法律责任，包括行政责任、民事责任和刑事责任。 1 2 2 责任认定的对象 安全审计的应用对象大致可以分为三类：硬件设备、软件应用以及信息资源。 对责任认定对象的安全审计包括对象被谁使用、如何使用、以及何时使用。 责任认定需要将事件同相关责任人相对应，所以首先应该明确要进行审计的 事件对象，从而进行相应责任的认定。根据责任认定内容的不同层次，责任认定 2 的对象有以下几种分类方式： 从“行为可核查”的层面上划分，责任认定的对象可以分为认证用户行为 ( 内部用户) 和未经认证用户行为( 黑客、外部用户) 。其中认证用户行为包括合 法操作和滥用权限的行为；未经认证用户行为主要指非法入侵行为。 从“事件责任可追究”出发，责任认定的对象可以分为主机安全事件、网 络安全事件、数据库安全事件。 1 、主机安全事件 主机安全事件是指发生在主机操作系统或者是信息应用系统中任何可被观察 到与系统安全相关的负面事件。主机安全事件可以分为主机非法登录、主机资源 非授权访问、系统破坏事件。 ( 1 ) 主机非法登录是指非授权用户使用某种技术手段( 添加自己为合法用户、 绕过身份认证等) 登录系统，或者授权用户登录系统后实施权限更改，提升用户 权限从而得到系统的控制权。 ( 2 ) 主机资源非授权访问是指在未经授权的情况下使用主机软硬件资源或者 访问存贮在主机内存中的信息资源，包括未授权的读、未授权的拷贝等。 ( 3 ) 系统破坏事件是指登录主机后，利用主机系统本身的安全缺陷，利用技术 手段破坏系统的可用性使得主机不能够正常运行。 2 、网络安全事件 网络安全事件是指发生在互联网、自治域、局域网等网络环境中与网络安全 相关的负面事件，包括数据保密性丧失、数据或系统完整性破坏、可用性被破坏 或拒绝。网络安全事件可以分成网络资源盗用、网络攻击事件、有害程序事件。 ( 1 ) 网络资源盗用是指在未授权情况下使用一定的技术手段访问网络资源。 ( 2 ) 网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、 协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常 或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服 务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、 干扰事件和其他网络攻击事件等。 ( 3 ) 有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、 应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。 有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合 攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7 个分类。有害程 序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息 安全事件。 3 、数据库安全事件 数据库安全事件包括信息泄露事件、信息破坏事件。 ( 1 ) 信息泄露事件是指存储在数据库中的信息资源的内容被泄露给未授权的 访问实体，包括信息窃取、数据保密性丧失等。 ( 2 ) 信息破坏事件是指在未授权的情况下，通过技术或其他手段造成数据库中 的信息被篡改、假冒、等而导致的信息安全事件。包括信息篡改事件、信息假冒 事件、信息丢失事件、数据完整性丧失事件和其他信息破坏事件。 从“违法犯罪可打击 出发，责任认定的对象是利用计算机实施的各种违 法犯罪活动，即包括对主机和网络的入侵，也包括利用一切计算机资源实施的犯 罪。 1 3系统开发的目的和意义 随着网络技术和网络应用的高速发展，互联网安全面临的威胁也在同益加剧。 计算机病毒数量大幅增长，网络攻击事件的不断发生及其呈现出的非法趋势，安 全漏洞的频繁爆出，网络违法犯罪案件的高发态势等，都对实现责、权、利相统 一的网络信任体系建设提出了迫切需求。 而一旦发生安全事件，如何核查行为、追究事件责任，进而打击违法犯罪， 也成为亟待解决的问题。因此，在网络信任体系建设的范畴内加强责任认定工作 显得尤为重要。但如何从海量的审计数据中挖掘出有效的责任认定依据，则有赖 于审计数据分析技术的研究和开发。 加强审计数据分析系统的研究，有利于保障和推进网络信任体系建设；有利 于切实维护网络中有关各方面的合法利益；有利于加强网络信息系统安全保护工 作；有利于强化网络信息安全管理和预警防范；有利于提高网络违法犯罪的防范 和打击能力。 4 为此我们预期构建一个责任认定数据分析系统，能够把网络中位置各异、格 式不一的日志和审计数据集中起来进行关联性分析，从而提供更加完备的责任认 定依据，以满足责、权、利相统一的安全网络环境需求。 1 4 研究内容及结构安排 1 4 1 论文的研究内容 本文首先根据网络信任体系建设的需求并结合责任认定工作特点，确立了责 任认定数据分析系统的内容和对象；其次针对责任认定数据分析系统的伸缩性和 可扩展性问题，提出了挖掘层次分析结构框架；最后重点针对责任认定数据分析 系统的关联分析算法进行了研究与设计。 所做的工作主要集中在： 1 、充分考虑了责任认定数据分析系统需要的审计数据来源，提出基于日志融 合技术的审计数据预处理方案，可以对多种日志进行融合，从而可以约简海量原 始审计数据。 2 、在对现有基于日志的安全审计类产品以及已提出的审计格式和内容标准的 调研和研究基础上，设计并构建了扩展i d m e f 格式标准的e v e n t 审计数据模型， 能够处理多来源同志的格式标准化。 3 、提出了一种针对多源日志辅助取证进行自动分析的手段，设计并实现了一 种融合多源日志的基于事件“前提结果”的关联方法( p c e c f ) ，从而可以支持 多来源日志的关联分析。 1 4 2 论文的组织结构 本论文结构基本是按照责任认定数据分析系统设计流程组织的。 第一章绪论 对系统设计所涉及的背景知识以及开发的目的和意义作了简单介绍。 第二章责任认定数据分析系统相关技术 对系统在设计与实现过程中的相关技术进行简单介绍。 第三章责任认定数据分析系统总体规划 从系统需求分析入手，简要介绍了系统的基本原理和体系结构，并对系 统整体框架进行了设计，同时对系统实现的软硬件环境配置进行了归纳。 第四章责任认定数据分析系统功能模块的设计与实现 简要介绍了系统总体功能，并对各功能模块进行了构架、设计与实现，同 时分析了系统运行流程并对系统功能进行了测试。 第五章结束语 对系统进行了总结分析，并提出了不足之处以及将来改进的方向。 6 第二章责任认定数据分析系统相关技术 2 1 安全审计技术 2 1 1安全审计的概念 安全审计是指由专业的1 1 r 安全技术审计人员根据有关法律法规、财产所有者 的委托和管理当局的授权，对计算机网络环境下的有关活动和行为进行系统的、 独立的检查验证，并做出相应评价。 关于安全审计，很多国家、国际标准都给出了定义。在c c 通用标准中，安全 审计的定义是对与安全相关的事件的信息进行识别、记录、存储和分析；审计结 果用于检查、确定发生了哪些与安全相关的事件，以及谁需要对这个事件负责。 在美国国家标准可信计算机系统评估标准( ”t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c r i t e r i a ) 中定义，安全审计可以理解为：一个安全的系统中的安全审计系统，是 对系统中任一个或所有安全相关事件进行记录、分析和再现的处理系统。杜克大 学的y u m e r e f e n d i 和c h a s e 将可审计性( a c c o u n t a b i l i t y ) 作为可信网络系统设计的 核心目标，认为可审计系统的行为、状态和动作应该是不可否认的( u n d e n i a b l e ) 、 可确认的( c e r t i f i a b l e ) 和防篡改的( t a m p e r - e v i d e n t ) 【1 1 。 关于安全审计的目标，在t c s e c 系列中有一份关于审计的文档理解可信系 统中的审计指南，其中提出了安全审计机制的5 个安全目标： l 、基于每个目标或每个用户，审查访问模式，并使用系统的保护机制。 2 、发现试图绕过保护机制的外部人员和内部人员。 3 、发现用户从低等级到高等级的访问权限转移。 4 、制止用户企图绕过系统保护机制的尝试。 5 、作为另一种机制确保记录并发现用户企图绕过保护的尝试，为损失控制提 供足够的信息。 7 2 1 2 审计数据来源 审计数据源是实现安全审计的基础，如果没有完整、正确的日志记录，就不 可能进行有效的责任认定数据分析。但是在网络中不同的操作系统、应用软件、 网络设备和服务器产生着不同的日志文件，即使相同的服务如i i s 也可以采用不同 格式的日志文件记录日志信息。目前国际上还没有形成标准的日志格式，各种系 统开发商和网络设备生产商往往根据各自的需要制定自己的日志的格式。现有的 日志文件大致分为主机日志文件和网络服务器日志文件。 服务器、工作站、网络设备的操作系统通常都会记录不同种类与安全事件相 关的日志。系统同志有利于确定或者调查发生在特定主机上的可疑行为。最常见 的安全相关的操作系统日志主要有两类： l 、系统事件。系统事件是由操作系统组件运行的行为，比如说关闭系统或者 是启动服务。通常情况下，失败事件和最重要的成功事件是会被记录的，不过许 多系统允许管理员自己制定记录事件的类型。对于事件，不同的操作系统记录的 具体内容也有很大的差异，内容可以包容事件、状态、错误编号、服务名以及与 事件对应的用户或者是服务器说明等等。 2 、审计记录。审计记录包含有安全事件信息，例如文件访问、安全策略的更 改以及特权使用。一般操作系统都允许系统管理员指定什么类型的事件应该被审 计以及执行某种操作的成功或者失败的尝试是否应该被记录。 另一方面，网络中的安全事件同志也是安全审计数据的重要来源。网络服务 器是网络日志数据的重要来源，常见的网络服务器同志主要有w w w 日志、f t p 日志和邮件服务器日志。m i c r o s o f ti i s ，l i n u x 等类u n i x 系统下的a p a c h e 是主要的 网络服务器，都有相应的服务器日志【2 1 。 典型的日志来源包括： w i n d o w s n t 2 0 0 0 x p 系统日志 w i n d o w s 系统日志文件有应用程序日志( a p p e v e n t e v t ) 、安全日志 ( s e c e v e n t e v t ) 、系统日志( s y s e v e n t e v t ) 等。 1 、应用程序日志：记录由应用程序产生的事件。应用程序同志中记录的事件 类型由应用程序的开发者决定，并提供相应的系统工具帮助用户使用应用程序日 志。 2 、安全日志：记录与安全事件相关的事件，包括成功与不成功的登录或退出、 系统资源使用事件( 系统文件的创建、删除、更改) 等。与系统日志和应用程序 日志不同，安全日志只有管理员才可以访问。 3 、系统日志：记录由操作系统组件产生的事件，主要包括驱动程序、系统组 件和应用软件的崩溃以及数据丢失错误等。系统日志记录的事件类型由操作系统 预先定义。 w i n d o w s 系统日志由事件记录组成。每个事件记录为一个功能区，由记录头 区、事件描述区和附加数据区组成。事件记录的结构如表2 1 【3 】： 表2 1w i n d o w s 事件记录结构 t a b 2 1r e g i s t e rf r a n l eo f w i n d o w se v e n t 日期时间主体标识计算机名 记录头 事件标号事件来源事件等级事件类别 事件描述的内容取决于具体的事件，可以是事件的名称、详 事件描述 细说明、产生该事件的原因、建议的解决方案等信息 附加数据可选数据区 w i n d o w s 系统日志的一个实例如图： 图2 - 2w i n d o w s 系统日志项 f i g 2 2l o gi t e mo fw i n d o w ss y s t e m 9 l i n u x 系统日志 在l i n u x 系统中有三个主要的日志子系统： l 、连接时间日志：把记录a d v a r l o g w t m p 和v a r r u n u t m p 1 0 9 i n 等程序更 新w t m p 和u t m p 文件，使系统管理员能够跟踪谁住何时登录到系统。 2 、进程统计：由系统内核执行。当一个进程终止时，为每个进程往进程统计 文件( p a c c t 或a c c t ) 中写一个记录。进程统计的目的是为系统中的基本服务提供 命令使用统计。 3 、错误日志：由s y s l o g 执行。各种系统守护进程、用户程序和内核通过s y s l o g x j 牛v a r l o g m e s s a g e s 报告值得注意的事件。另外有许多u n i x 程序创建日志【4 】。 应用系统日志 应用系统日志包含由应用程序或系统程序纪录的事件，典型的有a p a c h e 日志 和i i s 日志，它们记录所有访问服务程序的信息，对于系统管理员检测故障和安全 审计都有非常重要的意义。 入侵监测系统 入侵检测系统会记录大量的与检测事件相关的日志数据，日志数据通常包括 事件数据、事件类型、事件结果等。通常这类系统都支持日志文件的本地存储和 发送副本到集中日志服务器。 a n t i m a l w a r e 软件 最常见的a n t i m a l w a r e 软件形式是杀毒软件，它通常都会记录所有检测到的恶 意实例，文件和系统的杀毒记录以及文件隔离信息。另外，杀毒软件还可以各种 不安全事件发生的时间等等信息。 远程访问软件 远程访问软件通常通过虚拟专用网络( v p n ) 来保证其安全性，而v p n 系统 通常都会记录成功和失败的登陆尝试，以及每一个用户连接和断开连接的r 期和 时间，同时还会记录用户会话发送和接收的数据总数。有的v p n 还提供资源使用 的详细信息，比如所安全套接层( s s l ) v p n s 。 认证服务器 认证服务器包括目录服务器和单点登录服务器，典型的认证服务器日志会记 录每次认证，包括来源、用户名、成功或失败以及日期和时间。这些对于实现责 1 0 任认定都是非常有价值的信息。 路由器交换机 路由器交换机是两种连接多个网络、网段或终端设备的网络设备，它能将不 同网络或网段之间的数据信息进行“翻译 ，以使它们能够相互“读懂对方的 数据，从而构成一个更大的网络。在路由器运行过程中路由器会向日志主机发送 日志，日志包括链路建立失败信息包过滤日志信息等等。通过登录到日志主机， 系统管理员可以了解日志事件，对日志进行分析。日志可以帮助管理员进行故障 定位、故障排除，还可以帮助管理员对网络安全进行管理。 下面是c i s c oc a t a l y s t5 0 0 0 交换机为例，系统日志消息以“”开始，可以 包含8 0 个字符，日志格式见表2 2 ： 表2 2c i s c oc a t a l y s t5 0 0 0 交换机日志格式 t a b 2 2l o gf o r m a to f c i s c o c a m l ) ，s t5 0 0 0s w i t c h “m r n d d y y ：h h m m s s ：f a c i l i t y - s e v e r i t y - m n e m o n i c ：d e s c r i p t i o m 日志域 描述 m m d d y y ：h h m m s s指明事件( 消息) 产生的时间 f a c i l i t y指明产生这个事件( 消息) 的设备 s e v e r i t yo 7 整数来标明消息的重要性 m n e m o n i c 描述( 唯一) 错误消息的文本字符串 d e s c r i p t i o m文本字符串，包含事件的具体细节信息 防火墙 防火墙( 作为阻塞点、控制点) 能极大地提高一个内部网络的安全性，并通 过过滤不安全的服务而降低风险。所有的访问都经过防火墙，那么，防火墙就能 记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发 生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详 细信息。各种安全软件日志实例如图2 - 3 5 】： i n t r u s i o nd e t e - f t i o ns y s t e m 【”】1 1 1 1 4 0 7 ：9 lg 嘲pt r a pu a p 【j c l a s s i f i c a t l o n , a t t e m p t e di n f o r m e ri l 的_ l c l p r i o r i t y , 2 】 0 3 0 6 8 1 1 4 ：0 9 0 8 2 1 1 91 9 2 1 6 8 i 1 6 7 1 1 0 5 2 一1 7 2 3 0 1 2 8 2 7 ；1 6 2 o d pt t l , 1 1 8t o g ：0 x 0 功1 2 9 1 0 1i p l e n 2 0 延岫；8 7 3 6 2 0 0 68 1 1 4 0 7 硝。r u z e 。b i o 瞪cw l n d o w sp i l es h a r i l 垮b l o c y 嘣lt 1 9 2 ，1 6 8 1 5 4 ， n e t b i o s b 8 n f l 3 9 ) j 。，r u l e 。b l o c kw i n d o w sf i l eg h a r i n q 。b , l o c k e d 1 9 2 1 6 8 1 5 4 u e r 山l o s b 8 n ( 1 3 9 ) ) i n b o u n dt c po 。r m e c t i o n l o c a la d d r e s s ，s e r v i c ei 毒 i ( 髓t 1 1 7 2 3 0 1 2 8 2 7 ，n e 七b i 一s e n 1 3 9 j j r e m o t ea ( k l r e e e t s e r v i c ei s f 1 9 2 1 0 1 5 4 ，3 9 9 2 2 ) p r o c e 目gn a m e 土掌s y s t e m o _ 3 3 2 0 0 69 0 47 0 4 硝f i r e w a l l 础i g u r a t l o nu l x l a t d , 3 9 8r i f l e s 。f i r e w a l lc o a f i g u z a t l o u 曲t e d , 3 9 8r u l e s a n t o i n es q n w t ”, l 哩1 3 4 2 0 0 69 3 3 ：s 0 埘d e f i n l t i o nf i l ed o w n l o a d ，k e n t ，u s e r k ，d e f l y , l t i o ad o w n l o a d e r 3 4 2 0 0 69 1 3 3 ：0 9 删，a n t i v i r u ss t a r t u p ，k e n t 。u s e r k ，s y 8 t 绷 3 1 3 2 0 0 63 l5 6 ：4 6 州，a n t i v l r u es h u t d o w n ，k e n t ，u s e r k ，s y 8 t 伯 a 丑f l v i n ms 目嗬霄| l o g2 4 0 2 0 3 0 7 1 2 3 4 ，1 6 3 ，7 聊，u 鼻e r 【，1 6 7 7 7 2 1 6 ，。v i r u sd e i n i t i o n sa r e c u r r e n t 。，o 。，o ，o 饥礤d ， 船墨船馐一羚c 一船温- 硇c 柏饿拍饯柏程塔 u e e z i i p - 1 9 2 1 6 8 ，1 1 2 1 ，g r o u p ，0 1 0 1 0 ；0 1 0 1 0 9 0 0 3 3 9 。 a n n s p 碍| 糟s o , w a r e d g oe x p l o i t ：d a t a8 0 t t r c eo b j e c te x p l o i t ( r t g i s t r yc n a n g e ，n o t h i n gd o n e ) 一u g e r s s l 5 1 9 g o 芏t w a 抛融c r o e o 七、髓d d o 譬e o 岫z e n v e r g i o n 、i n t e r n e ts e t t i n g s z o n e b 0 1 0 0 4l - w ：3 图2 - 3 安全软件日志项实例 f i g 2 - 3e x a m p l eo fs a f e t ys o f t w a r el o gi t e m 数据库系统日志 数据库日志记录数据库中所作的全部修改操作信息，每一个运行的数据库实 例相应的有一个日志，记录实例所作的全部修改信息。主流的数据库有o r a c l e 、 m ss q l s c r v 茁和m y s q l 。表2 3 是o r a c l e 8 i 的数据库日志文件： 表2 3o r a c l e s i 数据库日志文件 t a b 2 3l o gf i l eo fo r a c l e 8 id a t a b a s e 日志文件 系统默认存放位置日志文件功能 o r a c l e a l r t 1 0 9o r a d e a d m i n o r a d b b d u m p 警告日志文件 r e d 0 0 1 1 0 9 o r a c l e o r a d a t ；a o r a d b联机日志文件 o r a d b 2 t 0 0 1 s o l l o o a r co r a c l e o r & a t a o r a d b a r c h i e v e 归档日志文件 l i s t e n e r 1 0 9 o r a c l e o r a & 1k n e t w o r k l o g监听日志文件 o r a d i m 1 0 9 o r a c l e o r a & 1 d a t a b a s es v r m g r l 管理器出错日志 1 2 2 1 3 审计数据的格式和内容标准 在单机系统中，审计数据的格式相对自由，从数据采集系统向数据分析系统 传送审计数据通常是由一个文件来完成的。但是网络的发展使得局域网或者相连 的多个局域网成为一个整体，审计系统需要从不同的网络中采集审计数据，因而 需要采用统一的记录格式并且提供一个标准接口提供标准化服务，如图2 4 所示。 广泛认同的标准格式将有利于克服非兼容性和互操作性，因而也成为审计数据分 析系统的开发者所面临的重要问题。采用标准的格式也有利于不同审计系统交换 审计数据，并促进网络环境下对数据的协同分析。 审计数姑浆l