（计算机软件与理论专业论文）内网分布式用户行为审计及异常检测系统的研究与实现.pdf

浙江工业大学硕士学位论文 内网分布式用户行为审计及异常检测系统的研究与实现 摘要 随着网络规模日益扩大，网络结构复杂化，信息安全问题越来越严重。如何保护敏感 信息的安全已经成为社会、政治、经济、军事等领域的重要问题。近年来，网络攻击已经 逐渐从外部攻击转向内部攻击。内部攻击具有一般性、特异性弱、隐蔽性强等特点，可以 轻易绕过防火墙及入侵检测系统的监控，比外网病毒、黑客攻击等外部攻击更难防范，而 且造成的损失也更大。防火墙，i d s 已经不能满足这些安全需求。安全审计技术的出现极 大地弥补了前两者的不足，已经成为网络安全系统中重要的环节。 论文归纳了内网用户行为存在的一些特点，总结了异常行为的表现形式，针对用户行 为事件相关性展开研究，得出行为事件的两种关联性，即内容关联和时序关联，并针对这 两种关联性设计分析方法。论文依据t c s e c 、c c 及g b l 7 8 5 9 1 9 9 9 安全标准，设计并实 现了一含基于分布式体系结构的内网行为审计系统，该系统主要由分布式数据采集模块、 过滤器模块、数据实时分析模块、报警模块组成。系统采用h 0 0 k 机制，从驱动层捕获内 网用户的各种操作数据( 包括程序运行、文件读写、网页访问等) ；审计数据通过网络传 输到审计中心，分析检测模块采用聚类及时序关联方法对数据进行实时分析，检测异常行 为( 或攻击行为) 数据，并给出报警。 本系统在操作系统及具体应用系统( 本文采用e i 冲系统) 的访问控制模块中进行了测 试，结果表明本系统能有效监控并记录用户各种操作，实时分析模块能有效发现用户违规 异常行为及恶意攻击行为。 关键词：内网安全，行为审计，异常检测，事件关联，模式匹配 浙江工业大学硕七学位论文 r es e a r c ha n di m p l e m e n t a t i o no f i n t e r n a l n e t w o r kd i s tb u t e du s e r sb e 姒v i o ra u d i t a n da b n o r m a ld e t e c t i o ns y s t e m a b s t r a c t a sm en e t v 旧r ke x p e n d i n ga n dt h es 仃i j c t u r eo ft l l en e t 、v o r kb e c o r n j n gc o m p l i c a t e dd a ya r e r d a 弘t h ei 1 1 f o m a t i o ns e c 嘶妙p r o b l e m sk l v eb e c 锄em o r es e r i o u s h o wt ok e e ps e l l s i t i v e i n f o 加a t i o ns e c u r eh a sb e e nt h ei m p o r t a n ti s s u eo fs o c i a l ，p o l i t i c a l ，e c o n o 耐c ，m j l i t a r ya 1 1 do t l l e r 6 e l d s 1 1 1r e c e n ty e a r s ，t l l en e “o r ka 化l c m gh a s 饥m s f o m e d 自3 mo u t s i d ea t t a c l d l l gt oi l l s i d e 撇k i l l g 伊a d u a l l y t h em t e n l a la t t a c kt l a st h ec k 盯a c t 耐s t i c ss u c h2 l sg e n e r a l ，、v e e ks p e c i f i c ， s 仃o n g1 1 i d d 9 n ，a i l di tc a l lp a s st h ef i r e w a l l 卸di n t m s i o nd e t e c t i o ns y s t e me a s i l y ，a n di ti sm o r e d i m c u l tt op r e v e n tt h a nt l l ea n a c ko fe x t e m a jn e 饥r o r kv i m s 锄dh a c k e r s 1 1 1 ef i r e 、 ，甜l ，i d sc a n n o tm e e tt l l e s es e c 谢够r e q u i r e m e m sa n y m o r e t h es e c 嘣t ya u d tt e c l l i l o l o g yh a sm a d eu pt 1 1 e l a c ko fb e f o r e 伯，og 陀a t l y ，a n dh a sb e e nt h ei i l l p o i r t a n tm e a s u r eo ft l l en e t w o r ks e c u 矗吼 t l l i s2 u r t i c l es u m m a r i z e d l cf - ca 1 c u r e so f l ei n t e m a ln e l r ku s e r sb e h a v i o ra i l dt h e a b n o n n a lb e l l a 们o r s ，r e s e a r c h e dt t l ec o r r e l a t i o no fi l s e r sb e h a v i o re v e n t s ，a n ds u l l = l i i l e du p 铆o k i n d so fc o r r e l a t i o nb e t 、v e e nb e h a v i o re v e m s ( c o n t e n tc o r r e l a t i o na 1 1 dt i m es e r i a jc o r r e l a t i o n ) ， t 1 1 e nd e s i 盟e da n 羽y s i s 撕t h m e t i co ft h et 、o “n d so fc o r r e l a t i o n t h e nt h ep a p e rd e s i 印e da n d i m p l e m e n t e da 访t e m a jn e t 、v o r kb e h a v i o ra u d i ts y s t e m 州c hi sc o n s i s to fd i s 仃i b u t e dd a t a c 印t u r em o d u l e ，f i l t e rm o d u l e ，r e a l t i i i l ed a 惚a n a j y s i sm o d u l e ，a j 锄m o d u l eb a s e do nd i s t r i b u t e d s t r u c t u r ef o l l o w i n gt 1 1 es 诅n d a r do ft h et c s e c ，c ca i l dg b17 8 5 9 19 9 9 t h es y s t e mc a n c 印t u r e a l m o s tl d n d so ft l l eo p e r a t i o nl o g ss u c ha sp r o g r a me x e c u t i o 玛f i l er e a d i n ga n d 、v r i t i n g ，p a g e a c c e s s i n g ，e t c o f t l l eu s e ra tt 1 1 e 埘v e rl a y e r b yh o o km e c h 砌s m t h ea u d i td a t ai s 仃a i l s f e 丌e d t ot h ea u d i tc e n t e rm r o u g l lt 1 1 en e 帆o r k ，a n dt h ea n a l y s i sm o d u l ea j l a l y z e dt l l e i i lr e a l t 油e b yc l u s t e 面g 锄dt i m es e r i a lc o r r e l a t i o nm e t h o dt od e t e c tt 1 1 ea b n o 咖a lb e h a v i o r ( o r 撒k b e h a v i o r ) d a t h e na l a 咖e d t h er e s m to ft 1 1 et e s te x p e r i m e n ti no p e r a t i o ns y s t e ma 1 1 dt l l ea c c e s sc o n t r o lm o d u l eo f a p p l i c a t i o ns y s t e m ( w eu s ee r ps y s t e m ) i i l d i c a t e dt 1 1 a tt l l es y s t e mc a i lm o l l i t o ra i l dr e c o r dt 1 1 e u s e r sb e h a v i o re 疏c t i v e l y t kr e a l t i m ea n a l y s i sm o d u l ec a i ld i s v e rt h ea b n o n n a lo p e r a t i o i l s e 丘e c t i v e l yt o o k e yw o r d s ：i i l t e m a ln e t w o r ks e c 研t y ，b e k i o ra u d i t i n a _ b n o n n a ld e t e c t i o i l ，e v e n tc o n e l a t i o n ， m o d em a t c l l i n g 浙江工业大学 学位论文原创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进行研究工作 所取得的研究成果。除文中已经加以标注引用的内容外，本论文不包含其他个人或 集体已经发表或撰写过的研究成果，也不含为获得浙江工业大学或其它教育机构的 学位证书而使用过的材料。对本文的研究作出重要贡献的个人和集体，均已在文中 以明确方式标明。本人承担本声明的法律责任。 作者签名： 蓓熊曼 日期：h 0 8 年ff 月，f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权浙江工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文，将本人的学位 论文委托研究生院向中国学术期刊( 光盘版) 电子杂志社的中国博士学位论文全 文数据库、中国优秀硕士学位论文全文数据库投稿，希望中国博士学位论文 全文数据库、中国优秀硕士学位论文全文数据库给予出版，并同意在中国博 硕士学位论文评价数据库和c n k i 系列数据库中使用，同意按章程规定享受相关 权益。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密影 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 日期：川? 年f 1 月c j 曰 日期：掰f 月矿日 浙江工业大学硕十学位论文 1 1 研究背景 第1 章绪论 随着1 1 1 t e m e t 的日益普及，信息化已经成为当今社会发展的大趋势，信息系统与信息 网络逐渐成为政治、经济、军事、医疗乃至社会一切领域的基础【1 1 。 信息网络是一把双刃剑，在信息共享给人们的生活、沟通带来很大方便的同时，信息 安全问题也日益凸显。近年来，信息安全问题已经对个人、企业、国家甚至整个社会都产 生了越来越大的影响，已经受到各界广泛关注。 1 1 1 网络信息安全形势 自从互联网诞生以来，网络信息安全问题也随之而生。并且随着网络化的普及，安全 问题也越来越严重。从最早的1 9 8 8 年1 1 月2 日摩尔斯发布的蠕虫程序的广泛传播开始， 随后是美丽莎e m 2 l i l 病毒的传播，2 0 0 0 年m o o 等网站遭到大规模拒绝服务攻击，2 0 0 1 年爆发了红色代码和尼姆达等蠕虫事件，2 0 0 2 年全球的根域名服务器遭到大规模拒绝服 务攻击，2 0 0 3 年s q l 杀手、冲击波及其变种等蠕虫事件和今年的震荡波事件，期间还频 繁发生网页篡改和黑客竞赛等多起波及全球的大规模安全事件。除了这些著名的网络风暴 事件外，在网络上的各个地方，各段时间，都会发生恶意入侵事件，黑客攻击工具越来越 多，对使用者技能要求也越来越低，没有经过培训的普通用户可以轻易地利用黑客攻击对 网络发起攻击。综上所述，1 1 1 t e n l e t 网络已经无时无刻不遭受各种各样的攻击和入侵，而 这些攻击和入侵在世界范围内所造成的损失和影响是相当严重的。 近年来，网络攻击手段也近一步复杂化、多样化【2 j ，并逐渐从外部攻击向内部攻击转 化。权威市场调查机构g 矾n e rg r o u p 调查，在全球损失金额在5 万美元以上的攻击中， 7 0 是由内部发起的攻击；资料显示，在一些公司发生的信息安全攻击中，3 3 来自内部员 工，2 8 来自公司的合作者【3 1 ；c s o 杂志显示，7 8 内部攻击来自内部合法用户【4 1 ；美国 联邦调查局统计，8 3 的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势【5 l ； 美国( i c s a ) 组织在网络安全方面对各大公司进行了一项调查，受到过雇员的内部攻击有 1 浙江工业大学硕士学位论文 7 0 ，受到过外来恶意攻击有9 ，受到过数据破坏的有1 2 ，数据被窃取有9 ；公安 部最新统计，7 0 的泄密犯罪来自于内部：电脑应用单位8 0 未设立相应的安全管理系统、 技术措施和制度【6 】。从这些真实数据可见，内网安全问题不容忽视，而且内网用户终端是 内网组成的一部分，大部分被认为是合法终端，其发起的攻击和恶意操作比外网黑客或者 病毒攻击更加隐蔽，危害更大，并且更加难以防范，这给网络安全保障技术带来了极大的 挑战。 1 1 2 内网安全问题的特点 内网用户的非法操作及异常行为往往具有一般性、特异性弱、隐蔽性强等特点。内部 人员以合法用户身份登录系统，进行非法操作，窃取机密资料，造成危害极大。普通网络 安全防御系统对其素手无策。这些操作根本不需要经过网络传输数据就能完成，因此可以 轻易绕过防火墙及网络入侵检测系统的监控。目前内网资源的误用、滥用和恶用是内网面 临的三大威胁【7 j 。这就需要一种能够实时记录内网用户操作行为的机制，当发生异常时， 能够提供事后证据，追究当事人责任，给内部人员一种威慑力。这就是本文要研究的内网 用户行为安全审计系统。 1 1 3 网络安全保障技术研究现状 网络安全问题的严重性也促使信息安全界投入大量技术研究网络安全保障机制。很多 网络安全产品被推出，并且投入使用。归纳国内外的诸多安全产品，总体上可以分为四类 【8 】 o 1 ) 网络访问安全产品 这类产品主要部署于网络访问端口及访问节点处，拦截可疑网络数据流。其典型代表 是i 疗火墙。如c i s c os y s t e m s 、c h e c k p o i n ts o r 、v a r et e c l l i l o l o g i e s 和n e 似o r ka s s o c i a t e s 这 些公司开发的防火墙。 2 ) 网络内容安全产品 这类产品主要工作在应用程序( 电子邮件软件或网页软件) 或者网络传输层上，实时 检测应用程序的数据交互及网络传输的信息，并从中发现异常信息或病毒脚本。代表产品 有主流杀毒软件及安全审计系统。 2 浙江工业大学硕士学位论文 3 ) 认证产品 这类产品的功能是根据用户某些凭证( 电子证书、数字签名) 对用户进行身份认证。 通常与应用系统相结合，对应用系统用户进行身份认证，并可以同时发放身份凭证。这类 产品包括认证服务器、信任管理服务器。开发和销售身份认证和其他认证产品的公司有 v e r i s i 朗，s e c 嘶哆d ) ，i l 锄i c s 和e t 九l s t 等。 4 ) 安全评估工具 这类产品主要用来评估网络的安全危险程度并建立安全测量的评估尺度。可以发现网 络入侵行为并监视网络资源被授权和非授权用户的使用。开发此类产品的公司有s s 觚u p ，c i s c o 等。 但是目前大部分的安全解决方案都是针对外部攻击造成的安全问题防御，对内网用户 发起的攻击防御能力相当有限。黑客攻击手段层出不穷，防不胜防，传统网络安全产品已 经不能目前的网络安全需求。 1 1 3 1 防火墙技术的局限性 在网络安全产品中，防火墙技术发展时间最长，技术也最成熟，是实现网络和信息安 全的基础设施。它是网络终端，网络间或网络管理之间信息的唯一出入口。它的主要原理 是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越 防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。按照不同用途，防 火墙可以分为包过滤防火墙和应用网关防火墙1 9 】。 虽然防火墙技术已经相当成熟，但是由于防火墙设计的初衷导致了自身的一些缺陷。 它的威慑力仅局限于外部网络向内部发起的攻击，无法防范不经由防火墙的攻击，无法防 止带病毒的软件或文件传输，对内部发起的攻击更是束手无策，过滤规则配置不够灵活。 显然，光靠防火墙是无法满足当前网络安全保障需求的。 1 1 3 1 2 入侵检测技术的局限性 入侵检测( i d s ) 系统【1 0 】是对防火墙的一种补偿手段，能够对各种黑客入侵行为进行识 别，扩展了网络管理员的安全管理能力。它是通过从计算机网络和主机系统的若干关键点 收集信息并对其进行分析，从中发现是否有违反安全策略的行为或遭受攻击的一种安全技 术。入侵检测最大的特点是实时性强，可以实时监视、分析用户及系统活动，实时监测正 在发生的攻击，并及时给出报警。根据监控的数据源不同，它又可以分为基于主机的入侵 3 浙江工业大学硕士学位论文 检测、基于网络的入侵检测和分布式入侵检测。 入侵检测技术也存在一定的局限性和缺点。i d s 的实时性决定实时性的要求使得入侵 检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采 用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大多数入侵检测系 统只是对单个数据包或者一小段时间内的数据包进行简单分析，从而做出判断，这样势必 会产生较高的误报率和漏报率，一般只有2 0 攻击行为被i d s 发现也就不足为奇了，对 于时间跨度大的攻击没有办法；i d s 仅仅将注意力集中在检测入侵方面，而对于其他同样 影响系统安全的因素( 比如内网用户误操作) 不关心，因而不能提供全面的安全管理；当 检测到入侵行为时，不能提供强大的事件和会话记录功能来实现操作和违规的不可抵赖 性。 1 1 3 3 安全审计技术研究现状 安全审计的思想最早是由a n d e r s o n 在1 9 8 0 年提出的【1 1 】。到目前为止，已经形成了较 为完备的理论成果和实际应用系统，包括针对各种安全审计策略，安全审计标准制定，安 全审计等级划分等。是防火墙、入侵检测系统之后第三道强有力的安全防线。 经过多年研究，国内外也相继取得了很多利用安全审计技术解决网络安全问题的实验 成果，并且也有一些产品投入使用。具有代表性的有： ( 1 ) s n a r e 系统 s n a r e ( s y s t e mi n t r u s i o na n dr e p o r t i n ge n v i r o n m e n t 系统入侵和报告环境) 【1 2 1 。 它是国外一研究组i n t e r s e c ta 1 1 i a n c e 的研究项目，能够对4 4 个系统调用进行审计。其 主要原理是重写了要审计的系统调用，在新的系统调用中加入了收集审计信息和将审计记 录放入缓冲池的代码。加载审计模块后，新的带审计功能的系统调用将代替原有的系统调 用，这是通过替换原有系统调用表中的函数指针为新的系统调用函数来实现的。 ( 2 ) e t r u s ti n t r u s i o nd e t e c t i o n e t r u s ti n t r u s i o nd e t e c t i o n 是c a ( c o m p u t e ra s s o c i a t e si n t e r n a t i o n a l ) 公司开 发的功能强大的基于网络的安全审计入侵检测系统。它可以被实施在网络的各个部分，通 过对数据包的监听，识别并记录大量基于网络的入侵、攻击和滥用，全自动识别网络使用 模式、网络使用具体细节，做到最全面地监控网络数据；它还能根据远程各节点收集的数 据，对整个企业网络范围内的事件给予响应。它主要采用了s n i f f e r 技术对网络中的数据 包进行监听。 4 浙江工业大学硕士学位论文 ( 3 ) t o p s e ca u d i t o r t o p s e ca u d i t o r 是北京天融信科技有限公司开发的产品。这是一套安全审计综合分 析系统。此系统能对采集到的日志统一管理，并结合对各种入侵行为进行检测，由此自动 生成详细的风险评估报告和综合报表，为解决网络安全问题提供了一个综合的安全审计管 理平台。t o p s e ca u d i t o r 采用综合的，集中的同志审计分析系统，能够采集包括操作系 统同志、防火墙系统日志、入侵检测系统日志、网络交换及路由设备同志以及各种服务和 应用系统同志等。对于重要的信息，t o p s e c 会采用多种方式( 如e m a 订，w i n d o w s 控制台 等) 进行报警。t o p s e c 使用s q ls e r v e r 数据库存储数据。 此夕f 、国夕f 、自勺主丕有e v e n tl o gm o n i t o r t n ts o f t w a r e ( w w w t r i t s o f t w a r e c o m ) 、e v e n t a r c h i v ed o r i a ns o f t w a r ec r e a t i o n s ( w w w s o r i a n s o f t c o m ) 等。国内的还有上海复旦 光华信息科技股份有限公司的光华h _ a u d i t 主机安全审计系统、启明星辰公司的“天碉” 网络安全审计系统、汉邦强审计系统等。 安全审计系统发展时间比防火墙及入侵检测系统要短，在技术上还存在很多缺点和不 足，大致有以下几点： ( 1 ) 异常检测能力不强，大部分系统在异常检测方面都是采用成熟的规则匹配方法， 对于单一事件检测比较理想，但是对复杂的具有相关性的数据检测能力较弱； ( 2 ) 大部分系统都是基于网络数据的审计，能够实现用户行为审计的系统较少； ( 3 ) 数据采集不够多样化，现有系统的数据采集点往往比较单一； ( 4 ) 对分布式异构环境适应能力不够理想。 但是，无论如何，安全审计作为网络安全第三道防线，已经逐渐成为信息安全研究的 主流方向。 1 2 研究内容 本文研究的是一个基于分布式体系结构的内网用户行为审计系统，研究重点是异常检 测方面。论文首先研究了当前安全审计技术的发展状况，并指出目前安全审计系统所存在 的一些缺点和不足；然后介绍了安全审计相关理论基础及技术，包括审计系统体系结构、 分布式多源审计数据采集机制、数据集中分析方法、分析及异常检测技术；接着分析了内 网用户行为特征及表现形式，根据t c s e c ，c c 和我国信息系统安全保护等级划分准则 安全标准，分析安全审计系统需求，设计并实现了一个内网分布式用户行为审计系统。系 统功能主要包括审计数据的选择、捕取、过滤、存储、浏览、分析、报警等。 5 浙江工业大学硕士学位论文 论文的研究重点在于数据分析异常检测。论文针对用户行为，对行为审计事件进行关 联性分析。结合报警关联理论及事件相关性理论，得出用户行为间的典型关联关系，设计 基于事件关联的分析算法，对相关性事件进行联合分析。 论文的创新点主要有以下几点： ( 1 ) 论文在传统单一事件分析基础上，设计了基于事件相关的分析方法，一方面能 够检测更加复杂的用户异常行为，另一方面可以提高报警准确率，减少报警信息量，并使 得报警信息能说明实际意义。 ( 2 ) 与传统网络审计系统不同，论文主要针对用户行为进行审计，数据源采用具体 的用户行为数据，而不是随机的网络数据。 ( 3 ) 传统联合分析方法都是基于事后分析，即对已经获得的大量报警信息或审计日 志进行分析，论文实现了实时事件关联分析，可以实时发现用户异常行为。 此外，在规则库及存储结构设计方面都作了一定的改进，提高了分析效率，能够满足 实时性的要求。 1 3 论文的组织 论文共分为七章，各章内容概述如下： 第一章绪论 介绍了当前网络安全形势的严峻性，内网安全问题的严重性及表现特点，同时介绍了 当前一些主流网络安全保障技术，阐述了其优缺点，提出安全审计系统是网络安全研究的 大方向。最后给出本文的研究内容及章节安排。 第二章安全审计相关理论与技术 介绍了安全审计相关的理论基础及技术。包括安全审计的由来、一些安全标准对安全 审计系统的要求、安全审计系统的分类及主要功能以及实现这些审计功能可以采用的一些 主流的技术，最后给出了在本文中涉及到的一些术语。 第三章事件关联异常检测及算法测试 根据报警关联理论及事件相关性理论，归纳出审计事件两种关联性即内容关联和时序 关联，并分别给出这两种关联性的分析方法，同时介绍了几种在分析中用到的模式匹配算 法，对算法进行测试评价，选择最优算法。 第四章内网行为审计系统设计 分析了内网用户行为的特点和表现，对照安全标准对审计系统的功能及性能需求进行 6 浙江工业大学硕士学位论文 分析，设计审计系统总体结构、设计审计中心结构、制定数据过滤规则、设计数据采集模 块、设计数据分析及异常检测过程、设计数据存储方式、制定报警级别标准。 第五章系统关键部分实现 给出了系统关键部分包括审计中心接口、规则模式库数据结构、事件关联性分析算法 的实现，并给出了一些相关的系统配置界面。 第六章系统测试 将本系统分别在操作系统和具体应用系统( 本文采用e l 冲应用系统) 中进行实验测 试，制定相应规则，进行系统测试，并得出测试结论。 第七章总结与展望 总结了本文研究内容、贡献、创新点及不足之处，并指出今后需要改进和下一步研究 的方向。 1 4 本章小结 本章首先简要介绍了网络信息安全的现状，并通过一些统计数据得出内网安全问题形 式严峻；接着介绍了当前一些主流安全保障技术的特点及存在的一些缺陷，并指出基于安 全审计的保障技术是目前研究主流方向，同时也介绍了近年来安全审计的一些研究成果及 存在的一些不足点；最后，概要介绍了本文的研究内容和章节安排。 7 浙江工业大学硕士学位论文 第2 章安全审计相关理论与技术 2 1 安全审计概述 2 1 1 安全审计机制的提出 计算机软件系统及网络规模的扩大，使得系统体系结构进一步复杂化，导致系统中存 在未能被发现的问题或漏洞，这些问题或漏洞会产生很严重的安全隐患。于此同时，人们 也对软件系统的安全要求也越来越高，对网络敏感信息的保护需求也越来越大。自2 0 世纪 7 0 年代起，针对计算机网络及软件系统的安全性，学术界先后提出了多种不同性质的要求， 如保密性、完整性、可用性等，相应地也出现了很多种安全模型来实现某方面或某领域的 安全。 但是，无论用了何种安全模型都不能绝对保证信息的安全，并且安全模型越多，使得 原来的系统变得更加庞大和复杂，从而进一步增加了出现漏洞的可能性。没有缺陷的软件 和网络只能是一个梦想【13 1 ，我们不可能构造绝对安全的系统。 总结各种安全保障机制【1 4 】【1 5 】【1 6 1 特点，可以得出一个共同规律，即安全控制越严格， 其操作就越复杂，可用性也就越差，在实际环境中部署和应用难度就越大。很多安全模型 本身可能经过严格理论证明是很有效的，但却很难在实际应用环境中得到有效实现和应 用。 可见，软件系统包括操作系统、网络系统的安全，是一个工程性的问题，仅仅依靠几 个安全模型是不能保证系统安全政策实施的。这就需要一种事后的监督机制来检查并记录 用户行为及系统状况，看其是否符合预定的安全策略，通过分析发现系统存在的安全漏洞、 潜在的安全威胁及对这些安全问题所造成的后果进行评估。最后根据历史记录，追究系统 安全破坏者的责任，这种机制就是安全审计。 审计本来是会计界的专业术语，“审计是独立检查会计账目，监督财政财务收支真实、 合法、效益的行为。 ( 国家审计署的定义，1 9 9 5 ) 。从抽象看，计算机安全审计与会计审 计存在着很多共同点，都是对某种事物产生的行为按照一定的规则进行审查，统计，得出 某些结果。审查对象都由主体、客体和行为等组成。在计算机界安全界，我们将安全审计 浙江工业大学硕+ 学位论文 定义为产生、记录并检查按时间顺序排列的系统事件记录的过程【1 7 】。从具体看，安全审 计主要完成以下目标： ( 1 ) 详细记录所有软件系统用户操作行为及网络访问的相关数据； ( 2 ) 能够评估安全保障机制的实施效果； ( 3 ) 发现和定位合法用户为欲越过安全机制而进行的一些异常举动，并采取相应控 制措施； ( 4 ) 有效发现非法越权用户及定位其越权行为； ( 5 ) 提供电子证据来证明发生了违反系统安全策略的行为或企图； ( 6 ) 能够帮助发现和排除系统存在的安全漏洞和潜在的安全威胁； ( 7 ) 如果系统受到恶意破坏，可以帮助损失评估和系统恢复。 2 1 2 安全标准对安全审计的要求 安全审计是一种计算机系统中的安全保障机制，很多安全评价标准都对安全审计系统 功能提出了明确的要求，比如美国t c s e c 、c c 标准、加拿大c t c e c 、美国联邦准则( f c ) 以及我国的国标计算机信息系统安全保护等级划分准则。下面主要介绍几种比较经典 的标准。 2 1 2 1 t c s e c 对安全审计的要求 t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) 【1 8 1 ，俗称橙皮书，是美国国 防部计算机安全中心于1 9 8 8 年发布的“可信计算机系统评估准则”。t c s e c 共定义了四 个级别的审计要求：c 2 ，b 1 ，b 2 ，b 3 【1 9 】。 c 2 级要求审计的事件有：用户身份标识和鉴别、用户地址空间中客体的引入和删除、 用户( 计算机操作员、系统管理员、安全管理员等) 的行为、其它与安全相关的事件。审 计日志应包含以下信息：事件发生的时间戳、事件主体、事件客体、事件类型、事件执行 结果( 成功与否) ；对于用户鉴别这类事件，还要记录请求的来源( 如终端号，i p ) ：对于 在用户地址空间中引入或删除客体，则要记录客体名称；系统管理员对于系统内的用户和 系统安全数据库的修改也要在审计记录中得到体现。c 2 级要求审计管理员能够根据每个 用户的身份进行审计。 b 1 级增加了强制访问控制机制，要求在审计署中中也要记录客体安全标记，同时审 9 浙江工业大学硕士学位论文 计管理员可以根据客体的安全标记指定审计原则。相对于c 2 级也增加了其他需要审计的 事件：对于可以输出到硬拷贝设备上的人工可读标志的修改( 包括敏感标记的覆写和标记 功能的关闭) 、对任何具有单一安全标记的通讯通道或u 0 设备的标记指定、对具有多个安 全标记的通讯通道或u 0 设备的安全标记范围的修改。 b 2 级在b 1 级的安全功能要求上增加了可信路径和隐蔽通道分析等。对于可能被用于 存储型隐蔽通道的活动，在b 2 级也要求被审计。 b 3 级在b 2 级的功能基础上，增加了对可能将要违背系统安全政策这类事件的审计， 比如对于时间型隐蔽通道的利用。其它较低安全级别只要求审计管理员在危险事件发生之 后检查审计记录，而b 3 级别能够实时、更快地检测并识别出违背系统安全策略的行为和 活动，并向审计管理员发出报警，并在最小牺牲的条件下进行主动相应，比如削弱甚至禁 止该异常用户终端权限或终止可疑用户进程。 2 1 2 2c c 标准对安全审计的要求 c c ( c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n 0 1 0 9 ys e c u r i t ye v a l u a t i o n ) 1 2 0 j 标准 是由美国、加拿大、英国、法国、德国、荷兰等国家联合提出的信息安全评价标准，在 1 9 9 9 年通过国际标准化组织认可，成为信息安全评价国际标准。 c c 标准基于安全功能与安全保证措施相独立的观念，在组织上分为基本概念【2 1 1 、安 全功能需求【2 2 1 和安全保证需求捌三大部分。标准中，安全需求按照类、族、组件的层次 结构形式定义。其中，安全功能需求共有1 1 个类，安全保证需求共有7 个类，而安全审 计就是一个单独的安全功能需求类，其类名为f a u 。安全审计类又分为六个族，每个族又 包含若干组件，分别对审计事件选择、审计事件生成、事件分析及异常检测、审计事件存 储、审计数据浏览等功能提出了要求。 安全审计事件选择族( f a u _ s e l ) ：根据具体需求选择可审计事件集( 系统日志、用户 事件、w e bs e r v i c e 日志等) 中的特定事件集合。包含一个组件，该组件要求能够根据主 体标识、客体标识、用户身份、主机标识以及其它条件确定需要审计的事件集合。并且标 准中规定对选择条件修改事件也是要被审计的。 安全审计数据生成族( f a 邺e n ) ：给出了记录审计事件的一些要求，比如审计日志格 式、需要记录的内容。该族包含两个组件，组件定义了低级、中级、高级等审计级别， 并要求明确给出某级别中的审计事件类型，同时也规定了各种不同审计记录类型应包含的 审计信息的最小集合( 如时间、类型、主体标识、客体标识、执行结果等) ；组件二则是针 1 0 浙江工业大学硕士学位论文 对用户身份关联，它要求可审计事件应该能够关联到触发该事件的某个特定的用户身份。 安全审计分析及异常检测族( f a u s a a ) ：对分析审计数据提出了要求，主要用以发现 异常及可能潜在的安全漏洞和威胁。该组包括四个组件。组件一对潜在异常及入侵分析提 出要求，要求能够利用特定规则来监视审计事件，并进行基本的阈值检测；组件二对基于 活动简档的入侵检测提出要求，要求系统为每个用户或用户组建立一个历史行为模式，每 个用户或用户组被赋予一个可疑度以表明其当前的行为模式与其活动简档中的历史模式 之间相异的程度，根据相似程度判断是否异常；组件三对简单攻击行为检测提出要求，要 求系统能够表示和检测代表安全威胁的特征事件；组件四对复杂攻击行为检测提出要求， 不仅要求安全系统能够表示和检测表征安全威胁的特征事件，而且要能够表示和回放入侵 场景。 安全自动响应族( f a u _ a r p ) ：对系统发现异常或入侵行为后后所采取的措施提出要求， 该组只包含一个“安全报警”组件，管理员可以添加、删除或修改响应方式，并且要求这 些维护工作也是要被审计的。 安全审计事件存储族( f a u s t g ) ：对审计事件的建立、保护和维护提出了要求，要求 系统能提供控制措施以防止由于资源的不可用而丢失审计数据，能够创造、维护、访问它 所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。该族包含四个组件。 组件一要求对所有己保存的审计踪迹进行保护，防止对审计记录进行非授权的删除或修 改；组件二要求在审计记录的存储介质用尽、失效或受到攻击时仍能确保审计记录的可用 性；组件三要求在审计记录所占的存储量超过某个预定阐值时应采取某种措施以防止可能 出现的审计数据丢失；组件四要求在审计踪迹的存储空间占满后应采取相应的措施以防止 后续审计数据的丢失。 审计数据浏览族( f a u - s a r ) ：对授权用户查看审计数据的权限控制提出了要求，该族 包含三个组件。组件一要求系统赋予授权用户从审计记录中读取特定审计信息的能力，而 且向用户提供的审计数据是可解释的；组件二规定限制性审计查看，要求没有经过明确授 权的任何用户都不能读取审计记录；组件三规定选择性审计查看，要求审计工具能够根据 某种判断标准从审计记录中选择需要浏览的数据。 2 1 2 3 g b l 7 8 5 9 1 9 9 9 对安全审计的要求 我国信息安全国家标准计算机信息系统安全保护等级划分准则【2 4 1 定义了五个安 全等级。从第二级“系统审计保护级”开始就有了对审计的要求，该级别与t c s e c 的c 2 浙江工业大学硕七学何论文 级别非常相似，规定了要审计的事件及要记录的事件具体信息。事件包括身份鉴别事件、 将客体引入用户地址空间( 例如：打开文件、程序初始化) ，删除客体，由用户实施的行为 动作，以及其它与系统安全相关的事件等。要求记录的信息包括：事件时间戳、主体、客 体、事件类型、事件结果等。 第三级“安全标记保护级”，在第二级的基础上，要求对于客体的增加和删除这类事 件要在审计记录中增加对客体安全标记的记录。另外，规定对可读输出记号( 如输出文件 的安全标记) 的更改这类事件也要被审计。 第四级“结构化保护级 ，在第三级的基础上，增加了要求对可能利用存储型隐蔽通 道的事件进行审计。 第五级“访问验证保护级”，在第四级的基础上，要求审计系统能够监控可审计安全 事件的发生与积累，当( 这类事件的发生或积累) 超过预定阈值时，系统能够向安全管理员 发出警报。并且，以最小的代价给出响应。 可以发现t c s e c 和国家标准比较相似，都是根据不同级别要求对某些安全事件进行审 计，等级越高，需要审计的安全事件就越全面越深入，记录的事件信息也越详细；而c c 标准则是给审计系统的主要功能提出了标准和要求，并对每个功能进行细分。本文就是针 对这些标准所提出的要求来设计整个安全审计系统架构的，这样可以保证审计系统的安全 性级别，系统的设计与实现会在第四、五章详细阐述。 2 1 3 安全审计系统分类 2 1 3 1 按审计目标分类 审计目标也指被审计的对象或者系统，按照这个标准分类可以分为基于主机的审计系 统和基于网络的审计系统【2 5 。 ( 1 ) 基于主机的审计系统 审计范围集中在单一计算机上，对象包括主机上的系统资如打印机、m o d 锄、系统文 件、注册表文件等的使用情况；用户的操作；主机运行状态等，并形成重要的审计日志文 件。审计日志源包括操作系统内核日志、应用程序同志、重要文件及用户活动状态行为数 据。主要利用操作系统提供的编程接口，以及各种数据获取的方法，监视用户在主机上进 行的所有本地操作，一般只能检测出单机系统上发生的异常入侵行为。 1 2 浙江 业大学硕t 学位论文 f 2 1 基于网络的审计系统 主要对象是网络的访问行为、网络中的各种数据、网络协议等。审计数据源来自网络 数据包、入侵检测同志、网络防火瑞同志和其他嘲络工具产生的日志等。网络安全审计系 统主要通过旁路方式安装在要审计的网络交换机上，通过交换机镜像功能获取数据，监视 并记录网络中的各类操作，实时地综合分析出网络中发生的安全事件。一般具有网络应用 操作、文件共享操作、流量检测、等审计功能。 2 132 按系统部署方式分类 按照审计系统部署方式及审计控制范罔分类，又可以分为集中式安全审计系统和分布 式安全审计系统o q 。 n ) 集中式安全审计系统 集中式安全审计系统集中地从各台主机及嘲络结点收集审计源记录，并统一由中央处 理机处理，进行数据分析及响应。典型产品如由囡家计算机安全中心( n c s c ) 与s r j 组织 共同研发的m i d a s 。 集中式安全审计系统原理如图2 一l 所示。 ；= f 2 司f l 。 l _ _：l j 矗_ 蠡。趣 挥最 目抓z - l懈i i ， 圈2 一l 集中式安全审计系统 集中式安全审计系统结构简单，部署方便，应用也比较广泛。但是，随着分布式网络 技术的发展，其体现出来的缺点越加明显。主耍体现在以下几点： 由于数据由中央处理机统一处理，大大加重了c p u 和u 0 的负担，井且不能很好地 适应大范围网络： 集中式的审计机制不能容括各种卒问卜分布的组件c 如路器，过滤器、d n s 、防 火墙等) 及公共服务： 1 ) 晕盟 浙枉剐e 大学硕十学位论文 集中式体系结构存在单点失效、可护展性有限、重新配置或增加功能用难等问题； 系统自适应能力差不能根据环境变化而进行自动配嗣。 口r 见，集中式体系结构在高度分布的网络环境中根难有效发挥它的作用。但崔小规模 的局域网中，具有一定优势，目前还在广泛应用。 f 2 ) 分布式安全审计系统 分布式安全审计系统由多个功能单元组成，这些单元分布于网络各处，分别完成审计 数据采集、收集、分析萃u 交互能功能。并且町阻对这些单元往更高层次结构上进步扩展， 适应更大规模的| 坷络。系统原理如图2 2 所示。 图2 2 分布式安全审计系统原理围 这种体系结构组要由三个部分组成： 【1 ) 网络代理( a g e n t ) 模块：部署于网关、路由器、网卡等网络交互结点，采集井分析 嘲络通讯数据，并将网络数据及分析结果传送给中央管理服务器。 ( 2 ) 主机代理( a g e n t ) 模块：部署于受监视的主机系统中，以后台进程或者服务的方式 运行，采集该主机的安全事件信息，并将数据传送给中央管理服务器。 ( 3 ) 中央管理服务器：接收并存储来自分布式代理模块传送过来的