（计算机系统结构专业论文）基于网络日志的安全审计系统的研究与实现.pdf

申请上海变通丈学硕士学位 基于同络日志的安全审计系统的研究与实现 基于网络日志的安全审计系统的研究与实现 摘要 ， 伍几年来，随着开放系统i n t e m e t 的飞速发展和电子商务的日益普及 网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。 而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及入 侵检狈0 技术更是成为大家关注的焦点。但是这两者都有自己的局限性。 在这种情况下，基于网络日志的安全审计系统孕育而生。网络上的安全 审计系统刚刚起步，尚处在探索阶段，其审计重点也在网络的访问行为 和网络中的各种数据。 安全审计系统作为一个完整安全框架中的一个必要环节，一般处在入 侵检测系统之后，作为对防火墙系统和入侵检测系统的一个补充，它一 般有如下几个功能：首先它能够检测出某些特殊的入侵检测无法检测的 入侵行为( 比如时间跨度很大的长期的攻击特征) ；其次它可以对入侵行 为进行记录并可以在任何时间对其进行再现以达到取证的目的；最后它 可以用来提取一些未知的或者未被发现的入侵行为模式等。根据通用安 全评估c c 国际准则，安全审计功能需求包括安全审计自动响应、安全审 计数据产生、安全审计分析、安全审计浏览、安全审计事件选择和安全 申请上海交通大学硕士学位 基于网络臼志的安全审计系统的研究与实现 审计事件存储等六大部分。于吖 ， 本文以安全审计的理论知识为基础，设计并开发了基于网络日志的安 全审计系统。系统主要包括数据采集、分析引擎、信息发布三大部分。 数据采集部分基于分布式设计，可同时收集多个采集点数据，通过采集 防火墙日志作为审计数据。为了提高审计数据的完备性、扩展性和兼容 性，提出了网络日志的标准格式的建议，并且根据此建议修改防火墙内 核以便其日志可以为分析引擎提供完备信息。分析引擎部分基于规则库 和数理统计的方法，按照规则语言对规则库中的规则进行解释，对原始 审计数据进行匹配和分析，检测出各类入侵安全事件，得到安全审计跟 踪记录。信息发布以三种不同的用户角色( 普通用户、安全管理员、系 统管理员) 基于w e b 方式对审计数据和审计跟踪记录进行发布，提供了 各个层次的安全报告( 表格、图示数据和趋势分析) ，并且实现对规则库 和发布系统各种参数的管理。 关键宇：安全审计，审计跟踪，防火墙，入侵检测，日志，规则库 申请上海交通大学硕士学位基于网络日志的安全审计系统的研究与实现 t h er e s e a r c ha n di m p l e m e n t a t l 0 n0 fs e c u r i t y a u d i ts y s t e mb a s e do nn e t w o r kl o g lnf o r m a t i o n a b s t r a c t w i t ht h ed e v e l o p m e n to f c o m p u t e rn e t w o r k ，e s p e c i a l l yt h er a p i dp r o g r e s s o fi n t e m e ta n d p o p u l a r i t yo fe c o m m e r s e ，t h e r ea r em o r e a n dm o r en e t w o r k s e c u r i yp r o b l e m s ，a t t a c k e v e n t so c c u ri ne n d l e s s l y a st r a d i t i o n a lm e t h o d so f n e t w o r ks e c u r i t y , f u ：e w a l lt e c h n o l o g ya n d i n t r u s i o nd e t e c t i o nt e c h n o l o g yb o t h h a v es h o r t c o m i n ga n dl i m i t a t i o n i nt h ec a s e ，s e c u r i t ya u d i ts y s t e m b a s e do n n e t w o r kl o gi n f o r m a t i o nc o m e so u t s e c u r i t ya u d i ts y s t e mi s o ni t si n i t i a l s t a g e s ，a n d h a sa l o n gw a y t od e v e l o p ，t h ea u d i te m p h a s e sa r en e t w o r ka c c e s s a c t i o n sa n dc r o s s e dd a t ai nt h en e t w o r k a sa n i m p o r t a n tp a r t o ft h ew h o l es e c u r i t yf r a m e w o r k , s e c i r i t ya u d i t s y s t e mi sa l w a y ss e tb e h i n di n t r u s i o nd e t e t i o ns y s t e m ，a sac o m p l e m e n to f f i r e w a l ls y s t e ma n di n t r u s i o nd e t e c t i o ns y s t e m s e c u r i t y a u d i ts y s t e mc a r l d e t e c ts o m es p e c i a lp o t e n t i a ls e c u r i t yv i o l a t i o nt h a ti n t r u s i o nd e t e t i o ns y s t e m c a n n o tf i n do u t ( e g p r o f i l e b a s e do nl o n gp e r i o da n o m a l yd e t e c t i o n ) 4 s e c u r i t ya u d i ts y s t e mm a y r e c o r dt h ei n t r u s i o na c t i o n s a l l dc a i lr e c u ra t t a c k e v e n t st og e tn e t w 0 1 ki n t r u s i o ne v i d e n c e a ta n yt i m e a c c o r d i n gt oc o m m o n s e c u d t 、，e v a l u a t i o nc r i t e r i a ，a s af i m c i o nc l a s s ，s e c u r i t y a u d i ta l w a y si n c l u d e s i x 甑i l i e s ，t h o s ea r es e c u r i t y a u d i ta u t o m a t i cr e s p o n s e 、s e c u r i t ya u d i t d a t a g e n e r a t i o n 、s e c u r i t ya u d i ta n a l y s i s 、s e c u r i t y a u d i tr e v i e w 、s e c u r i t y a u d i t 。v 肌t s e l e c t i o n 、s e c u r i t ya u d i t e v e n ts t o r a g e 。 a c c o r d i l l gt os e c 谢t y a u d i tt h e o r y , w ed e s i g na n dd e v e l o p as e c u r i t ya u d l t s y s t e m b a s e do nn e t w o r kl o gi n f o r m t i o n t h e r ea r em a i n l y t em o d u l 。3m t h es y s t e m ：d a t ac o l l e c t i o nm o d u l e ，a n a l y s i se n g i n em o d u l ea n d i n f 0 1 瑚a u o n d u b l i c a t i o n m o d u l e d a t a c o l l e c t i o nm o d u l e i s d e s i g n e d f o rd i s t r i b u t 。d n e 储o r km o d e l ，i tm a yh a v e s e r v e r a ld i s t r i b u t e d a u d i tc o l l e c t o 。，g a t h e r f i r e w a l l l o g s a s o r i g i n a l a u d i td a t a i n o r d e rt o i m p r o v e t h 。i n t e g n 吼 e x p a n s i b i l i t y a n dc o m p a t i b i l i t yo fo r i g i n a l a u d i td a t a ，an e t w 0 t kf i r e w a u s t a i l d a r d1 0 9f o m l a t i sd e f i n e d a n a l y s i se n g i n em o d u l ei s b a s e do nr u l e 1 i b r a r i e st od e t e c tp o t e n t i a ls e c u r i t yv i o l a t i o n a n a l y s i se n g i n eu s e s i t so 硼 m l el a n g u a g emi n t e r p r e te v e r y r u l ei nt h er u l el i b r a r i e s ，f r e d o u tm em a t 。g 口a t t e 珈，d e t e c t t h e s e c u r i t y e v e n t s ，a n d r e c o r dt h e s e c u r i t y a u d l t t r a i l 1 1 1 f o n m i t o np u b l i c 撕0 nm o d u l es u p p l i e sr e v i e wa n d q u e r yo fo r i g i n a la u d l t d a t aa 1 1 da u d i ta l e n 廿a i lt ot h o s ea u t h o r i z e d u s e r t h e r ea r et h r e eu s e rr o l e s , i n c l u d ec o m m o nu s 盯，s e c u r i t ya d m i n i s t r a t o ra n ds y s t e ma d m i n i s t r a t o r w i 血 d i r e n t 口r i o r i t y i n f o r m a i t o np u b l i c a t i o ni sb a s e d o i lw o r l dw i d ew e b , w i t h 5 申请上海交通大学硕士学位基于网络日志的安全审计系统的研究与实现 d i f f e r e n tk i n d o f s e c u r i t yr e p o r t ，a n d t h e c o n f i g u r e i n t e r f a c eo ft h o s e p a r a m e t e rm a n a g e m e n t i nr u l el i b r a r i e sa n d p u b l i c a t i o ns y s t e m k e yw o r d s ：s e c u r i t ya u d i t ，a u d i tt r a i l ，f i r e w a l l ，i d s ，l o g ，r u l e l i b r a r i e s 6 1 1 研究背景 1 1 1 项目背景和研究意义 第一章绪论 本课题的项目背景为 2 0 0 0 】国家信息化工作领导小组计算机网络与信息安全管理 工作办公室于2 0 0 0 年下达的计算机网络系统安全技术研究项目。专题名称是审 计技术，课题名称为“基于防火墙网络日志的安全审计系统”，由上海交通大学网络 中心承担，于2 0 0 1 年7 月通过验收。 利用系统日志进行安全审计分析的思想，最早是在1 9 8 0 年a n d e r s o n 的论文中提 出，参考文献 1 】中正式指出，至今研究经历了2 0 余年的研究和发展，已经形成了较 为完备的理论和实际应用系统，包括针对各种安全策略的具体审计策略的确定 2 】、 安全审计标准，安全审计等级划分、安全相关事件的确定等方面：而目前主流的操作 系统，均有自己较为完善的安全审计机制，包括各种u n l y l i n u x 的s y s l o g 机制、 w i n d o w sn t 符合c 2 安全等级的s c e ( s e c u r i t yc o n f i g u r a t i o ne d i t o r ) 机制等。 国内外对于网络安全审计系统的研究起步是比较晚的，直到1 9 9 5 年才发布了第 一个具有实用性的网络安全漏洞审计软件s a t a n 3 ，但是s a t a n 的技术要求高，难于使 用。虽然这几年来出现了许多这方面的工具，但大多数是基于系统用户的审计，如 u n i x 下自带的审计工具，对于整个网络的安全事件审计不是十分强有力。而其他的 一些产品是某些防火墙自带的，用来对防火墙里的数据包等进行审计，往往是通过口 来进行，而且不同防火墙有自己的日志格式、审计标准，互相之间不能兼容。总之， 国内外现在对安全审计的研究还未象防火墙或者入侵检测系统那样进行的如此深入， 而安全审计往往不是作为一个独立的产品，而是作为其他安全软件的某一项功能。 此外，一般的审计软件，对数据的采集有一定的限制。审计的基础就是要有数据， 数据的如何采集在很大一部分上决定了这个软件的适用程度，但是由于数据采集往往 做为防火墙的一部分，它获得的数据是从经过这个放火墙的所有数据包，对这些数据 包进行处理，很显然这样会降低了处理速度，而且有些防火墙为了不降低速度，而不 是选择所有的数据包，而是选择其中某一部分，这样就有会失去一部分重要的数据包， 使得审计后得出不正确的结果，从一定程度上降低了结果的可靠性。 第三方面，在对采集的数据包进行审计后，得出的结果一般没有相应的安全保密 措施往往是“赤裸裸”地呈现在黑客们的面前，因此很容易发生被篡改或者非法获 取的可能，这样完全失去了我们进行审计工作的要求和初衷。普通的审计软件都设有 考虑到这方面的问题，因此存在着很大缺陷。 从上面可以看出，未来的安全审计系统变得更加独立，会成为一个独立的安全软 件，其地位将等同于现在的防火墙或者入侵检测系统。 申请上海交通大学硕士学位基于网络日志的安全审计系统的研究与实现 1 1 2 传统审计系统的局限性 本篇重点研究的是网络环境下的安全审计系统，其理论、设计和实现与传统操作 系统中的安全审计系统既相互联系，又有所区别。如下表1 一l 中的总结：【4 】 5 】 表1 - 1 安全审计系统比较 传统安全审计系统网络安全审计系统 研究历史2 0 余年近几年 理论状况较完备处于探索阶段 实际系统已经被普遍应用相对较少 审计重点系统中的用户及进程行为网络访问行为及网络中的数据包 系统举例w i n d o w sn t 、l i n u x 、s u no si n s p e c t 、n a s h i d 系统安全审计是要充分利用操作系统和应用平台的审计系统，对操作系统和应用 服务器( 如w e b 、n 甲、邮件等) 以及数据库平台上的操作进行详细的审计跟踪；对 系统级的安全漏洞、安全攻击、危险操作以及病毒和病毒事件进行检查分析，并做出 详细的记录，及时封堵安全漏洞和确认安全责任。 目前，国外对系统日志文件进行审计的工具包括：剑桥大学统计实验室的a n a l o g ， 得克萨斯a m 大学开发的n e t l o g 以及s c a n d i n a v i a ns e c u r i t yc e n t e r 的n e s t w a t c h 等。 其中n e s t w a t c h 运行于w i n d o w $ n t 系统，它能从所有主w e b 服务器和许多防火墙 中导八日志文件，以h t m l 格式输出报告。n e t l o g 能够记录所有t c f 和u d p 流量， 也支持记录i c m p 消息。a n a l o g 可运行在多种操作系统上，内嵌对多语言的支持， 支持多种w e b 服务器的日志格式。 这种系统安全审计一般是基于主机日志信息，每一种主机服务都需要开发不同的 日志分析程序。比如f t p 和h t t p 两种服务，服务器的日志数据完全参照r f c 关于 郎协议和h t t p 协议的定义，根本不能融合为一种日志格式。如果要做一个比较完备 的基于主机的系统安全审计，这就类似于应用级防火墙，需要针对不同的服务做不同 的分析程序。目前，国外s a w m i l l 产品已经能支持a p a c h e h t t p f o r a r n t 、s 4o r i i s5l o g f o r m a t 、c i s c ol o gf o r m a t 、i m a i ll o gf o r m a t 、s e r v - uf t pl o gf o r m a t 、w u - f 1 限l o g f o r m a t 等多种服务器日志。 网络安全审计系统是近几年网络安全领域的研究重点之一，其不能直接利用传统 安全审计理论和审计系统的原因在于两者所面对的计算环境和审计重点不同。传统的 安全审计系统没有记录足够的进行网络入侵检测所需要的信息，传统安全审计系统主 要针对系统中已登录用户的行为及系统中进程的行为进行记录和审计，从网络协议的 观点来看，这些均属于高层( 应用层) 信息。在p r i c e 6 的综述中，只有种传统的 安全审计系统记录了少量栈的相关信息，这就是s u n 公司的b s m ( b a s i cs e c u r i t y m o d u l e ) 系统，这可以认为是该模型在网络安全审计方面的探索。 目前真正成熟的网络安全审计系统基本上没有，而国内外的学者和厂商正加紧进 行这方面的研究，德国的i n s p e c t 分布式网络安全审计系统 7 、p u r d u e 大学的n a s h i d 系统f 8 等是这方面的试验性系统。 1 2 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 1 2 计算机安全和网络安全 1 2 1 概念及特点 目前对于计算机安全尚无一个统一的定义，综合若干文献，可以将其概括为：计 算机安全就是在全面分析计算机系统安全威胁的基础上，依据一定的安全策略，运用 特定的安全机制与相应的安全技术手段，并合理地采取配套的安全措施，以保障计算 机系统( 包括网络) 物理实体的安全与逻辑信息的安全及保密；保证系统功能的正常 发挥，以维护系统的安全运行。 计算机网络安全作为计算机安全的分支，有其自身的特殊陛。这主要是因为网络 以计算机通信为手段来共享分布资源，由于大量通信部件的加入，更广泛资源的共享， 以及种种新机制的引入或机制、结构的变化，使计算机网络安全的脆弱性和复杂性急 剧增加，从而呈现出以下特点： 网络系统中具有更多的不安全因素：通信线路是网络系统安全的薄弱环节，线 路干扰、窃听截取等渗透攻击方式对系统的安全防护能力提出了新的要求： 网络安全问题更具广度和深度：一方面，网络安全威胁的隐蔽性和潜在性增加 了安全防范与抵抗的难度，防范对象广泛而不易明确；另一方面，系统面临的 侵害手段多样而“高超”，并具有越来越复杂化的趋势； 网络系统安全更具有相对性：不存在绝对安全的计算机系统，任何系统的安全 都是相对的，而计算机网络需要综合考虑更多的因素，其安全具有更大的相对 性； 网络系统安全具有更重要的作用和意义：一旦网络系统遭到安全侵害，往往会 导致非常严重的后果，甚至造成整个网络的瘫痪。 1 2 2 安全威胁与安全目标 计算机系统面临的安全威胁和攻击多种多样，诸如假冒窃取、篡改伪造、计算机 病毒、意外事故损害等，不一而足。它们或来自系统外部，或来自系统内部；或是系 统软硬件及数据被破坏，或是涉密信息遭窃取：或是针对物理实体，或是针对逻辑信 息。 但就技术角度而言，主要的、且较难防范的是对系统逻辑信息的侵害( 包括对系 统软件和数据的侵害) ，针对网络安全的威胁主要有三： 人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强， 用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网 络安全带来威胁。 人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯 罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种 方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响 网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的， 然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻 入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦 果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的， 一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。 从系统的角度出发，这些安全威胁可归结为以下三类： 对数据及程序完整性的威胁，即信息被修改或破坏； 对信息保密性的威胁，即涉密信息或非共享信息被泄露或窃取； 对信息及系统可用性的威胁，即数据或系统拒绝提供服务。 从而，计算机安全系统总的任务就是维护完整性( 信息未经授权不得修改，并隐 含真实性，正确性和一致性) 、保密性( 包括信息的分级和授权存取) 与可用性( 合 法用户的正常请求应保证及时、正确、安全地得到服务) 。 在实际应用中，通常会提出下列一些基本安全目标：防止数据篡改；防止数据遗 漏或重复；防止信息泄露：防抵赖，防否认；确保对数据访问的授权控制；确保数据 的接收发送正确无误；确保数据交换者、数据交换量对第三方不可见；确保提供可 用于安全审计的网络通信记录等。 1 2 3 常用安全技术的不足 防火墙技术的不足 防火墙技术是发展时间最长，也是当今防止网络入侵行为的最主要手段之一，主 要有包过滤防火墙和应用级防火墙两类。其主要思想是在内外部网络之间建立起一定 的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部 网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟 的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当 前网络安全防护的要求 9 1 0 1 。防火墙不能防范不经由防火墙的攻击。例如，如果允 许从受保护网内部不受限制的向外拨号，一些用户可以形成与i n t e m c t 的直接的连接， 从而绕过防火墙，造成一个潜在的后门攻击渠道。防火墙不能防止感染了病毒的软件 或文件的传输。防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄 或复制到 n t c r n c t 主机上并被执行而发起攻击时，就会发生数据驱动攻击。 包过滤防火墙是根据站点的安全策略，在内部网络和外部网络之间选择性地过滤 包。起过滤规则主要是根据源地址、目的地址、协议、源端口、目的端口以及包到达 或者发出的接口而定。只实现了粗粒度的访问控制对网络数据包中其他内容的检查 极少，再加上其规则的配置和管理极其复杂，以及用户级身份认证的缺乏，要求管理 员对网络安全攻击有较深入的了解，因此在黑客猖獗的开放i n t e r a c t 系统中显得越来 越难以使用。 应用级防火墙的作用是仲裁不同网络上客户和服务器之间的通信业务流，一般雇 用代理服务器筛选数据包。应用级防火墙虽然可以将内部用户和外界隔离开来，从外 d 申请上海交通大学硕士学位基于网络日志的安全审计系统的研究与实现 部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的 缺陷。应用级防火墙最大的缺点就是速度比包过滤防火墙慢很多而且对于不同的网 络服务，需要提供不同的代理，才能提供全面的安全保证。 入侵检测技术的不足 入侵检测技术是防火墙技术的合理补充， 展了网络管理员的安全管理能力。一般来说， 第二层网络安全防护机制。 能够对各种黑客入侵行为进行识别，扩 入侵检测系统( i d s ) 是防火墙之后的 目前较为成熟的d s 系统可分为基于主机的i d s 和基于网络的i d s 两种。 基于主机的i d s 来源于系统的审计日志，它和传统基于主机的审计系统一样一般只 能检测发生在本主机上面的入侵行为。 基于网络的i d s 系统对网络中的数据包进行监测，对一些有入侵嫌疑的包作出报 警。入侵检测的最大特色就是它的实时性( 准实时性) ，它能在出现攻击的时候发出警 告，让管理人员在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步 的危害产生。实时性的要求使得入侵检测的速度性能至关重要，因此决定了其采用的 数据分析算法不能过于复杂，也不可能采用较长的时间窗进行分析或把历史数据与实 时数据结合起来进行分析，所以现在大多数入侵检测系统只是对单个数据包或者一小 段时间内的数据包进行简单分析，从而作出判断。这样势必会产生较高的误报率和漏 报率，一般只有2 0 攻击行为被i d s 发现也就不足为奇了。虽然国内外普遍对入侵 检测技术都有很高的评价，但是随着黑客技术的发展，一般入侵检测系统本身的缺陷 也为人们所了解。一些黑客利用某些分布式技术，在同一时刻向某个入侵检测系统发 送大量垃圾数据包，使得入侵检测系统来不及处理而过载，直到发生丢包现象。黑客 在此时发动攻击，入侵相关的网络活动被淹没在大量的噪声之中，使得入侵检测无法 检测出包含入侵模式的网络信息，这样以来黑客就达到了逃避入侵检测的目的。 f i g u r e1 - 1e n 血- es e c u r i t yf r a m e w o r k 图l - l 完备的安全框架图 在这种情况下，网络安全审计系统孕育而生。基于网络日志的安全审计系统在近 几年刚刚起步，尚处在探索阶段，其审计重点也在网络的访问行为和网络中的各种数 据。如图1 - 1 所示，基于网络日志的安全审计系统作为一个完整安全框架中的一个必 申请上海交通大学硕士学位基于网络日志的安全审计系统的研究与实现 要环节，一般处在入侵检测系统之后作为对防火墙系统和入侵检测系统的一个补充， 它一般有如下几个功能：首先它能够检测出某些特殊的i d s 无法检测的入侵行为( 比 如时间跨度很大的长期的攻击特征) ；其次它可以对入侵行为进行记录并可以在任何 时间对其进行再现以达到取证的目的；最后它可以用来提取一些未知的或者未被发现 的入侵行为模式等。 1 3 安全审计 1 3 1 安全审计及其作用 安全审计是安全系统中必要的一项安全机制，它与系统的其它安全措施相辅相 成、互为补充。但由于安全审计是在传统审计学、信息管理学、计算机安全、行为科 学、人工智能等学科相互交叉基础上发展的一门新学科，涉及到多方面的知识所以 一方面安全审计问题广泛而复杂，另一方面安全审计技术的发展又极不充分。 安全审计就是对系统安全的审核、稽查与计算。概括地讲，安全审计，就是在记 录一切( 或部分) 与系统安全有关活动的基础上，对其进行分析处理、评价审查，发 现系统中的安全隐患，或追查出造成安全事故的原因，并作出进一步的处理。可见， 安全审计过程主要分为物证收集和物证评价两大部分。通常，安全审计还与系统实时 告警功能相结合，这样就可做到：每当有违反系统安全规则的事件发生或危及系统安 全的重要操作进行时，可以向安全管理员终端发送相应的告警信息，以便及时采取适 当的防范、抵制措施。 安全审计既作为安全系统的一个有机组成部分，又具有一定的独立性。一方面， 安全审计作为系统其它安全防范及侵害抵制措施的有力补充，检测并调查那些试图或 业已突破系统安全屏障的非法事件，为系统安全服务；另一方面，系统安全成为它审 计的对象，包括对系统安全管理的审计，这就决定了它必须具有相当的独立性和某种 独特的地位，甚至与系统安全的某种对立性。事实上，安全审计本身就其作用而言， 具有两层含义：一是指在某一阶段，对系统安全防护能力的测试、评估与审核，旨在 对系统的安全性能状况作出客观合理的评价，看其安全控制、管理是否恰当，保证与 既定安全策略及策略的调整协调一致，有助于作出侵害评估，并尽可能地找出潜藏的 安全漏洞，寻求安全系统的改进完善；二是指贯穿于整个系统的生命周期之中，致力 于系统安全的一种持续的审计跟踪监控过程，其主要目的是及时发现、记录妨害系统 安全的事故、事件，并查明原因，进而据此追究相关责任。 1 3 2 安全审计系统的一般要求 按照美国国家标准可信计算机系统评估标准( “t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ”) 1 1 中的定义，安全审计可以理解为：一个安全的系统中的安全 审计系统，是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 因此，对于安全审计系统的一般要求主要包括： 记录与再现：要求审计系统能够记录系统中所有的安全相关事件，同时，如果 6 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 有必要，应该能够再现产生某一系统状态的主要行为； 入侵检测：审计系统应该能够检查出大多数常见的系统入侵的企图，同时，经 过适当的设计，应该能够阻止这些八侵行为； 记录入侵行为：审计系统应该记录所有的入侵企图，即使某次入侵已经成功， 这是进行事后调查取证和系统恢复所必不可少的； 威慑作用：应该对系统中具有的安全审计系统及其性能进行恰当地宣传，这样 可以对企图入侵者起到威慑作用，又可以减少合法用户在无意中违反系统的安 全策略： 系统本身的安全性：安全审计系统本身的安全性必须保证。其中，一方面包括 基础操作系统和软件的安全性，另一方面包括审计数据的安全性；一般来说， 要保证审计系统本身的安全，必须与系统中其他安全措施( 例如认证、授权、加 密措施等) 相配合： 1 3 4 安全审计系统的常用实现方法 基于规则库的方法 基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用 脚本语言等方法进行描述后放入规则库中，当进行安全审记时，将收集到的网络数据 与这些规则进行某种比较和匹配操作( 关键字、正则表达式、模糊近似度等) ，从而发 现可能的网络攻击行为。 这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高， 可以通过最简单的匹配方法过滤掉大量的网络数据信息，对于使用特定黑客工具进行 的网络攻击特别有效。比如发现目的端口为1 3 9 以及含有0 0 b 标志的数据包，一般 肯定是w i n n u k e 攻击数据包。而且规则库可以从互连网上下载和升级( 如c e r t 等站点都可以提供了各种最新攻击数据库) ，使得系统的可扩充性非常好。 基于数理统计的方法 数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均 值、方差等等，统计出正常情况下这些特征量的数值然后用来对实际网络数据包的 情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。 对于著名s y nf l o o d i n g 攻击来说，攻击者的目的是不想完成正常的t c p 三次握手 所建立起来的连接从而让等待建立这一特定服务的连接数量超过系统所限制的数 量，这样就可以使被攻击系统无法建立关于该服务的新连接。很显然，要填满一个队 列，一般要在一段时间内不停地发送s y n 连接请求，根据各个系统的不同，一般在 每分钟1 0 2 0 ，或者更多。显然，在分钟从同一个源地址发送来2 0 个以上的s y n 连接请求是非常不正常的，我们完全可以通过设置每分钟同一源地址的s y n 连接数 量这个统计量来判别攻击行为的发生。 1 7 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 1 4 本章小结 本章开始描述了毕业设计的研究背景和课题意义，提出了安全审计的两大方面： 系统安全审计和网络安全审计。然后从基础理论出发，介绍计算机安全和网络安全， 通过描述防火墙、入侵检测等常用安全技术的不足，引出了安全审计技术，介绍了安 全审计的作用和一般要求。最后介绍了安全审计常用的两种实现方法，基于规则库的 方法和基于数理统计的方法。 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 第二章安全审计的基本理论 2 1 信息安全的国际标准 2 1 1 国际安全等级保护的发展历程 美国国防部早在8 0 年代就针对国防部门的计算机安全保密开展了一系列有影响 的工作，后来成立了所属的机构国家计算机安全中心n c s c ( n a t i o n a lc o m p u t e r s e e u r i t yc e n t e r ) 继续进行有关工作。1 9 8 3 年他们公布了可信计算机系统评估准则 t c s e c ( t r u s t e d c o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ，俗称桔皮书) 1 l 】，桔皮书中使 用了可信计算基础t c b ( t r u s t e dc o m p u t i n gb a s e ) 这一概念，即计算机硬件与支持 不可信应用及不可信用户的操作系统的组合体。在t c s e c 的评价准则中，从b 级开 始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操 作系统，为了使它的评判方法适用于网络，n c s c 于1 9 8 7 年出版了一系列有关可信 计算机数据库、可信计算机网络等的指南等( 俗称彩虹系列) 。该书从网络安全的角 度出发，解释了准则中的观点，从用户登录、授权管理、访问控制、审计跟踪、隐通 道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规 范性要求，并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安 全级别。将计算机系统的可信程度划分为d 、c l 、c 2 、b 1 、b 2 、b 3 和a 1 七个层次。 t c s e c 带动了国际计算机安全的评估研究，9 0 年代西欧四国( 英、法、荷、德) 联合提出了信息技术安全评估标准1 t s e c ( i n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n c r i t e r i a ，又称欧洲白皮书) ，i t s e c 除了吸收t c s e c 的成功经验外，首次提出了信 息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术 的高度上来认识。他们的工作成为致共体信息安全计划的基础，并对国际信息安全的 研究、实施带来深刻的影响。 美国为了保持他们在制定准则方面的优势，不甘心t c s e c 的影响被i t s e c 取代， 他们采取联合其他国家共同提出新评估准则的办法体现他们的领导作用。1 9 9 1 年1 月宣布了制定通用安全评估准则c c ( c o m m o nc r i t e r i a ) 【1 3 】的计划。1 9 9 6 年1 月出 版了1 0 版。它的基础是欧洲的i t s e c ，美国的包括t c s e c 在内的新的联邦评估标 准，加拿大的c t c p e c ，以及国际标准化组织i s o ：s c 2 7 w g 3 的安全评估标准。c c 标准吸收了各先进国家对现代信息系统信息安全的经验与知识，将会对未来信息安全 的研究与应用带来重大影响。 2 1 2 c c 标准 c c 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上 公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求，是 申请上海交通大学硕士学位 基于网络日志的安全审计系统的研究与实现 目前系统安全认证方面最权威的标准。i s o i e c1 5 4 0 8 1 9 9 9 信息技术安全技术信息 技术安全性评估准则( 简称c c ) 1 3 】，作为评估信息技术产品和系统安全性的世界 性通用准则，是信息技术安全性评估结果国际互认的基础。目前已有美国、加拿大、 英国、法国、德国、荷兰等国加入了此互认协定，日本、韩国、以色列等也正在积极 准备加入此协定。 c c 是国际标准化组织统一现有多种评估准则努力的结果，是在美国和欧洲等国 分别自行推出并实践测评准则及标准的基础上通过相互间的总结和互补发展起来 的。c c 源于1 9 8 5 年修订的t c s e c ( 美国国防部公布可信计算机系统评估准则 即桔皮书) ，但完全改进了t c s e c 。t c s e c 主要是针对操作系统的评估，提出的是 安全功能要求。随着信息技术的发展，c c 全面地考虑了与信息技术安全性有关的所 有因素，以“安全功能要求”和“安全保证要求”的形式提出了这些因素。另外，在 c c 不断完善的过程中，还充分结合了欧洲信息技术安全评估准则( i t s e c ) ，加拿大 可信计算机产品评估准则( c t c p e c ) ，美国信息技术安全联邦标准( f c ) 。1 9 9 7 年， c c 测试版通过国际标准化组织采纳，两年后，i s o 组织正式确立c c 为国际信息安 全评估通用准则i s o1 5 4 0 8 ：1 9 9 9 。 c c 的内容共分为三大部分：第一部分是简介和一般模型，介绍了c c 中的有关 术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮 廓”和“安全目标”的基本内容；第二部分定义了十一个公认的安全功能要求类：安 全审计类、通信类、加密支持类、用户数据保护类、标识和鉴别类、安全管理类、隐 私类、安全功能保护类、资源利用类、评估对象访问类和可信路径通道类；第三部 分介绍了评估保证级别，定义了七个公认的安全保证要求类：构造管理类、发行与使 用类、开发类、指南文档类、生命周期支持类、测试类和脆弱性评估类。c c 中定义 了三种类型的用于描述产品或系统安全要求的组织结构：安全组织包、保护轮廓和安 全目标，安全要求组件可以在这三种类型的组织结构中得到使用。 c c 的特点表现在其结构的开放性、表达方式的通用性以及结构和表达方式的内 在完备性和实用性四个方面。c c 在结构上具有开放性的特点，即功能和保证要求都 可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展。这种开放式的结构 更适应信息技术和信息安全技术的发展。c c 除了提出科学的结构以外，还具有通用 性的特点，即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者 都使用c c 的语言，互相之间就更容易理解沟通。这种特点也是在经济全球化发展、 全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要。c c 的这种结 构和表达方式具有内在完备性和实用性的特点，具体体现在“保护轮廓”和“安全目 标”的编制上。“保护轮廓”主要用于表达一类产品或系统的用户需求，在标准化体 系中可以作为安全技术类标准对待。”安全目标”在“保护轮廓”的基础上，通过将安 全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安 全目标”对待。通过“保护轮廓”和“安全目标”这两种结构，就便于将c c 的安全 性要求具体应用到r r 产品的开发、生产、测试、评估和信息系统的集成、运行、评 估、管理中。但是，c c 标准因涉及面太广，很难被掌握和控制，它并不涉及管理细 节和信息安全的具体实现、算法、评估方法等，也不作为安全协议、安全鉴定等， c c 的目的是形成一个关于信息安全的单一国际标准，从而使信息安全产品的开发者 和信息安全产品能在全世界范围内发展。因此对此标准的应用细节方面还需加以完 申请上海交通大学硕士学位 基于网络日忐的安全审计系统的研究与实现 盖 2 1 3 开放系统安全框架 1 9 9 5 年制订的开放系统安全框架( s e c u r i t yf r a m e w o r k si no p e ns y s t e m s ) ，既是 国际标准化组织i s o ( i n t e m a t i o n a ls t a n d a r do r g a n i z a t i o n ) 和国际电工委员会i e c ( i n t e r n a t i o n a l e l e c t r o t e c h n i c a l c o m m i s s i o n ) 的i s o t i e c1 0 1 8 1 标准5 1 f 1 4 1 1 5 1 ，又是 国际电信同盟r r u