（计算机软件与理论专业论文）安全强审计系统设计及用户行为审计方法研究.pdf

重庆邮电大学硕士论文摘要 摘要 安全审计系统是网络信息安全整体防护体系中重要的一环。它提供一个集 中各种审计数据存储、分析以及管理的平台，根据一定的安全策略记录和分析历 史操作事件及数据，寻找能够改进系统性能和系统安全策略的方法，或者为追究 有关实体或个人的责任提供依据。在目前迅速发展的网络技术对网络安全提出更 高要求的情况下，对安全审计系统的研究具有重要的意义和广阔的应用前景。 根据实际项目的具体要求，本文设计了一个针对关键信息系统的安全强审 计系统。该强审计系统主要考虑增强对系统信息收集和分析的能力，扩展系统平 台的适应性，同时通过可视化控制来提高系统的管理性能。对安全强审计系统的 一系列测试结果表明，系统具有较强的多源数据采集能力和综合分析能力，可以 发现和记录系统中的异常事件，提供了良好的管理接口，达到了设计的目标。 用户行为审计是安全审计的重要任务，也是一个难点。强审计系统也需要 对用户行为进行审计的功能。本文结合使用关联规则与序列模式两种数据挖掘算 法，提出了一种用户行为审计方法。通过对用户历史行为记录挖掘得出正常行为 模式，再同用户的当前行为模式进行比较，从而判断用户行为是否异常。实验结 果表明，同其它用户行为检测方法相比，本文提出的用户行为审计方法通过结合 两种数据挖掘算法，提高了检测率，同时对训练数据进行分类处理获得使用其他 方法容易遗漏的f 常模式，降低了检测结果的误检率。 关键字：安全审计，行为模式，数据挖掘，异常检测 重庆邮电大学硕士论文a b s t r a c t a b s t r a c t s e c u r i t ya u d i t i n gs y s t e mi so n eo ft h em o s ti m p o r t a n tp a r t si nt h ei n f o r m a t i o n s e c u r i t yp r o t e c t i o na r c h i t e c t u r e i tp r o v i d e sap l a t f o r mw h i c hi n t e g r a t e st h ev a r i o u s a u d i t i n gd a t as t o r i n g ，a n a l y z i n g ，a n dm a n a g i n g a c c o r d i n gt ot h eg i v e ns e c u r i t y p o l i c i e s ，a u d i t i n gs y s t e mc o l l e c t sa n da n a l y z e sh i s t o r i c a lo p e r a t i o nr e c o r d st of i n d m e t h o d sw h i c hc a ni m p r o v et h ep e r f o r m a n c eo rt oe v i d e n c et h ea b n o r m a lb e h a v i o r t h e r e f o r ei ti so fg r e a ti m p o r t a n c et os t u d ys e c u r i t ya u d i tt e c h n o l o g yt oa d a p tt h e r e q u i r e m e n to f t h es t r o n g e rn e t w o r ks e c u r i t yp r o t e c t i o n a c c o r d i n gt ot h ef u n c t i o nr e q u e s to ft h er e a lp r o j e c t ，t h i sp a p e rd e s i g n sa n e n h a n c e ds e c u r i t ya u d i t i n gs y s t e ma r c h i t e c t u r ef o rk e yi n f o r m a t i o ns y s t e m t h e e n h a n c e ds e c u r i t ya u d i t i n gs y s t e ms t r e n g t h e n st h ed a t ac o l l e c t i o na n di n t e g r a t e d a n a l y s i sa b i l i t i e s ，e x p a n d st h eo p e r a t i n gs y s t e ma d a p t a b i l i t yo ft h ea u d i t i n gs y s t e m ， a n dp r o v i d e sav i s u a l i z a t i o nc o n t r o lt e r m i n a lt oi m p r o v et h em a n a g e m e n t t h es y s t e m r u n n i n gt e s tr e s u l t ss h o wt h a te n h a n c e ds e c u r i t ya u d i t i n gs y s t e mc a nc o l l e c ta u d i t i n f o r m a t i o nc o m p l e t e l y , a n a l y z e st h el o g sf r o mm u l t i s o u r c ec o m p r e h e n s i v e l y , a n d p r o v i d e saf a c i l i t a t i v ei n t e r f a c e t h ee n h a n c e ds e c u r i t ya u d i t i n gs y s t e mh a sa c h i e v e d t h eg o a l so f d e s i g n u s e rb e h a v i o ra u d i t i n gi sa ni m p o r t a n tt a s ko fs e c u r i t ya u d i t i n g a l s o ，i ti sa d i f f i c u l t y t h ee n h a n c e ds e c u r i t ya u d i t i n gs y s t e mn e e d st oa u d i tu s e r s b e h a v i o r ，t o o b a s e do na s s o c i a t i o nr u l e sa n ds e q u e n c ep a r e m sm i h i n ga l g o r i t h m s ，t h i sp a p e rg i v e s e m p h a s i st op r e s e n ta u s e rb e h a v i o ra u d i t i n gm e t h o d i nt h em e t h o d ，w i t hc l a s s i f y i n g t h en o r m a lt r a i n i n gd a t a ，t h eu s e r s n o r m a lp r o f i l e sa r em i n e d ，t h e nt h ea u d i t i n gr e s u l t s w h i c hi n d i c a t i n gt h ea b n o r m a lb e h a v i o r si nt h es y s t e ma r eo b t a i n e db yc o m p a r i n gt h e c u r r e n tb e h a v i o rp r o f i l e sw i t ht h eh i s t o r i c a lp r o f i l e s t h es i m u l a t i o nr e s u l t ss h o wt h a t c o m p a r i n gw i t hs o m eo t h e rm e t h o d s ，t h eu s e rb e h a v i o ra u d i t i n gm e t h o di nt h i sp a p e r i n c r e a s e st h ev e r a c i t yo fd e t e c t i o nb yi n t e g r a t i n gt h et w ot y p e so fd a t am i n i n g m e t h o d s ，a n di tr e d u c e st h ef a l s ep o s i t i v er a t eb yc l a s s i f y i n gt h en o r m a lt r a i n i n gd a t a t og e tm o r en o r m a lp r o f i l e sw h i c hc a nn o tb ef o u n db yo t h e r st r a d i t i o n a lm e t h o d s k e yw o r d s ：s e c u r i t ya u d i t ，b e h a v i o rp r o f i l e ，d a t am i n i n g ，a b n o r m a ld e t e c t i o n i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得重废邮电太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：二幸签字日期：乒6 年多月日 学位论文版权使用授权书 本学位论文作者完全了解重废邮电盍堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权重麽邮电太堂可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 2 巾 导师签名： 汹菇 签字日期：埘年6 月心日签字日期：h f 年6 月 重庆邮电大学硕士论文第一章绪论 第一章绪论 1 1 研究背景 根据i n t e m e ts y s t e m sc o n s o r t i u m 组织最新调查显示川，在1 9 8 1 年，全世界 接入互联网的计算机总数仅为2 1 3 台，而在2 0 0 5 年6 月，接入互联网的计算机 数已经超过了3 5 3 亿台，遍及世界2 0 0 多个国家和地区。c n n i c 第1 7 次中国 互联网络发展状况调查报告1 2 j 内容显示，到2 0 0 6 年元月，我国接入互联网络的 人数已经接近1 亿2 千万，计算机近5 千万台，这个数字比1 9 9 7 年分别增长了 1 7 9 倍和1 6 5 ，6 倍，可见信息化已经成为当今社会发展的大趋势。伴随着信息共 享程度的逐步提高，信息安全问题及其对经济发展、国家安全和社会稳定的重大 影响正日益凸现出来，受到各界越来越广泛和深入的关注。由于计算机网络的开 放性、互连性等特征，致使网络越来越容易受到黑客、恶意软件以及其他不轨行 为的攻击，从而造成极大的损失，从国内两大知名信息安全厂商瑞星及金山联合 发布的2 0 0 5 年上半年中国互联网信息安全报告【3 】中可以了解到，目前单纯地 利用蠕虫类病毒攻击安全漏洞的行为已经被更加复杂多样的攻击手段所代替，而 入侵的目的也从简单的获取系统信息转化为更危险的非法获取商业利益，因而保 障计算机系统、网络系统以及整个信息基础设施的安全已经成为当前刻不容缓的 重要课题。 为了解决这个问题，目前已经投入应用了很多网络安全防范技术以及产品， 比较常见的如防火墙、入侵检测系统( i d s ) 、安全漏洞测评工具、加密解密工 具、等等，它们在一定程度上为网络的安全运行提供了保障，但是在多数情况下， 这些安全防范措施都是被独立的部署，因此大部分都只能从某一个方面来提供安 全防护，对于日益错综复杂的网络安全状况已经显得越来越势单力薄。而目前的 大多数网络应用中，尤其是一些部署了提供关键信息服务( 如h t t p ，f t p ，s m t p ， p o p 3 ，t e l n e t 及数据库服务等等) 主机的网络内部，最大的威胁正是由内部 用户的攻击或者异常操作而引发的违反安全策略的行为，对内部用户的非法行为 仅仅采用某一种安全措施是远远不够的，只有动态地从整体的角度去考虑安全才 有可能真正为用户和网络提供保障。安全状况的复杂性已经迫切要求我们综合已 有的各种防范措施来对目标系统实施一种加强型的安全防护，安全审计技术的出 现则正是适应了这一需求，其作为网络安全系统中的一个重要环节，主要特点就 是融合并协同其他安全措施，与它们相辅相成，互为补充，对于发现和判断系统 及网络中发生的真实安全事件，安全审计技术为我们提供了更好的解决方案，而 采用综合采集和分析网络中各种安全设备产生的审计数据，对系统进行全面和更 深层次审计的安全强审计技术，则更有利于发现系统中的各类异常事件。 重庆邮电大学硕士论文第一章绪论 根据i s o 国际标准的定义，机算机安全审计是通过独立地回顾和检查系统 的记录及活动，来评估系统控制的恰当性，从而确保系统按照既定的安全策略和 安全过程运行，查明破坏安全的原因，并且提出在安全控制、安全策略与过程等 方面应予以改进的建议。而参照美国国家标准可信计算机系统评估标准 ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) 1 4 安全审计系统可以解 释为是对系统中任一或者所有安全相关事件进行记录、分析和再现的处理系统。 审计作为一种安全保障机制，在最早的t c s e c 中就有了明确的要求。从 c 2 级开始，t c s e c 制定了详细的审计功能要求，并要求信息系统可以对审计数 据进行查询、监视，以发现对系统发起的攻击和系统的安全漏洞。 安全审计是指根据一定的安全策略记录和分析历史操作事件及数据，寻找 能够改进系统性能和改进系统安全策略的方法，或者为追究有关实体或个人的责 任提供依据。审计一般是收集软件执行过程中发生的各类或所有事件。这里的软 件可以是一个操作系统，也可以是一个数据库系统。可审计事件的粒度一般比较 小，因此审计很容易在短时间内产生大量的数据，由于通常情况下系统受到攻击 的可能性并不大，所以这些数据所体现的操作绝大多数都是合法的。海量的数据 为审计数据的人工分析和机器自动分析都带来了极大的困难。这是审计系统要解 决的一个重要问题。 对安全审计系统的一般要求主要包括： 【1 】记录与再现：要求审计系统能够记录系统中所有的安全相关事件，同时 应该能够再现产生某一系统状态的主要行为； 【2 1 入侵检测：审计系统应该能够检查出大多数常见的系统入侵的企图，同 时应当有能力阻止这些入侵行为： 3 】记录入侵行为：即使某次入侵已经成功，审计系统也应该能够记录所有 的入侵企图，这是在事后进行调查取证和恢复系统必不可少的； 4 威慑作用：审计系统应该能够对通过对系统中发生的安全事件进行判断 和分发审计决策结果，对企图入侵者起到威慑作用，也可以提醒其他合法 用户减少在无意中违反安全策略的可能； 5 】自审计：安全审计系统本身的安全性能必须能够保证，其中包括审计系 统的宿主系统的安全性、审计数据的安全性、审计管理员操作的安全性等。 审计系统应该能够和其他安全措施配合保证其自身的安全。 安全审计的实现方式主要有三种：一种是集中式审计，所有多用户操作系 统都有一个统计软件，用于采集用户活动信息。集中式审计可以用其实现安全审 计，但是它不一定包含所有需要的信息，而且其记录的日志格式也五花八门，不 利于统一分析；第二种式专用安全记录，它只记录入侵检测系统所需的审计数据， 可以独立于各种具体的操作系统单独运行，便于实现安全审计；第三种式分布式 重庆邮电大学硕士论文 第一牵绪论 审计。这种审计方式允许从网络中的异构系统中采集审计数据，这是目前在复杂 的网络环境中保证安全性所必须的。 安全强审计在安全审计系统的基础上对网络中的关键信息系统实施的一种 强化的审计方案。这种审计方法是将已经配置的各种安全防护措施进行整合，以 多种数据源提供的多种审计数据为基础，对关键信息服务器提供的各种服务进行 跟踪、监控，从异构网络中的多数据源采集系统运行日志和信息，判断关键信息 服务器是否被入侵者攻破以及是否有内部用户的非法操作行为。 从1 9 8 0 年，a n d e r s o n 首次提出了利用系统日志信息进行安全审计的思想【5 l ， 从而成为安全审计系统的奠基到1 9 9 5 年出现了第一个具有实用性的网络安全漏 洞审计软件s a t a n ，再到2 0 0 5 年获得n e t w o d d + i n t e r o pl a sv e g a s2 0 0 5 最佳 产品大奖的l o g l o g i c ，安全审计的发展经历了人工审计、半自动审计和全自动 审计等几个阶段【6 j ，而国内对安全审计技术的研究和应用也在如火如荼的进行， 目前国内外对网络流数据获取、大规模分布监视方面的研究和应用都较为深入和 成熟，而对于安全审计产品在网络相关结点的合作机制，恶意行为的追踪技术， 审计配置管理和安全管理相融合方面的研究还较为薄弱，将人工智能技术应用于 数据分析也只是一些比较基本的方法，对于获得高抽象性审计结论及其支持证 据，改进系统安全状况等方面也是处于研究阶段。这些都为我们设计和实现一套 安全强审计体系模型提供了很广阔的研究及应用空间。 1 2 论文主要工作内容 本论文的工作得到了中科院信息安全国家重点实验室开放课题( 多源信息 的综合审计与取证研究) 和重庆市信息产业发展资金资助项目( 关键信息系统的 安全强审计系统，n o 2 0 0 4 0 1 0 2 2 ) 的支持。论文的所有研究与开发任务均围绕着 安全强审计系统的设计与实现而开展，强审计系统具有增强的信息收集能力和分 析能力，符合安全管理需要的审计工具和可视化的审计结果，可以还原不同时刻、 不同连接的操作过程，实现安全事件回放。本系统的特色主要体现在： 1 ) 结合多种网络安全设备，实现网络节点之间的合作： 2 ) 多信息源采集审计数据和综合分析； 3 ) 对系统的安全状况进行评估； 4 ) 提交给管理员的多层审计报表和基于j a v a 的可视化审计结果。 另外，通过避免对安全审计系统的直接外来访问，将关键信息服务器、审 计服务器和网络数据侦听服务器通过一个予网同外部网络进行隔离，采用安 全通道技术加强审计系统的安全性能。 本篇论文的主要工作是设计并编程实现安全强审计系统中主机日志信息的 采集和传输模块，同时研究、设计和实施了一种基于数据挖掘的用户行为审计方 重庆邮电大学硕士论文第一章绪论 法，对提供关键信息服务的系统内部用户的行为进行审计，统计用户的正常行为 模式，发现异常或非法操作。实现的方法是利用关联规则以及序列模式两种不同 类型的数据挖掘算法，从系统用户的历史正常行为数据中挖掘和分析出用户惯用 模式，这些惯用模式反映了用户通过t e l n e t 、h t t p 、f t p 等操作方式的行为 习惯，再挖掘得到用户当前行为模式并同正常模式进行模式匹配，比较两种模式 的相似度来进行判断行为是否异常。对用户行为审计方法的研究是本文的重点工 作内容。 1 3 论文组织与结构 本文主要介绍强审计系统的整体设计以及日志采集、传输模块和用户行为 审计方法的实现，其组织结构如下； 第一章：绪论。主要介绍了本文的研究背景，同时说明了本论文的工作内 容。 第二章：介绍关键信息系统安全强审计系统的功能需求、设计原则，描述 了系统的体系结构，论述了强审计系统中各个模块的功能和运行机制，同时分析 了强审计系统中的关键问题和解决方法。介绍主机日志数据的采集和传输模块的 设计与实现。介绍此模块的设计原则、工作机制等，分析了其中对日志进行更新 式传输的问题并提出了解决的方法。 第三章：用户行为审计方法的设计与实现。重点介绍了论文对基于数据挖 掘算法的用户行为审计方法的研究工作，说明了审计方法的总体设计思想和目 标，阐述了对测试数据进行预处理的必要性以及选择关联规则和序列模式来表征 用户行为模式的原因，通过对已有的数据挖掘算法进行改进使之适应强审计系统 的实际需求，同时论述了对模式匹配算法的改进。最后给出了同其他异常检测方 法的比较结果。 第四章：测试。对关键信息系统的安全强审计系统进行仿真实验，从系统 对异常操作的检测、数据的采集传输、系统自审计、系统风险评估等方面进行测 试并报告结果。 第五章：结论及未来工作。对论文工作进行总结，提出对进一步研究工作 的建议。 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 第二章关键信息系统安全强审计系统设计 关键信息系统的安全强审计系统是一套针对提供多项关键信息服务的电子 商务或者其他商业运用的信息系统实施的较为全面的安全审计软件，本章主要介 绍该系统的设计与实现，该系统采用跨平台架构，采用j a v a 结合c c + + 语言编 程实现，使用m y s q l 数据库系统。 2 1 基于多操作系统平台的安全审计系统 为了适应目前复杂的网络环境，特别是对于商业系统中比较常见的异构操 作系统网络，对于各种操作系统各自体现出来的不同的安全特性，进行审计的难 度变得更大。由于安全强审计系统主要运用的对象是较为常见的w i n d o w s 和 u n i x l i n u x 操作系统，因此以下简单介绍一下两种操作系统各自的安全特性。 2 1 1 w i n d o w s 2 0 0 0 操作系统的安全特性 总体上说来，微软操作系统的安全性设施比较丰富， 1 ) 登录认证的安全 微软操作系统存在着一个用户名1 ：3 令的加密数据库， 来确认用户登录的合法性。 2 ) 用户的权限 主要包括 通过比较匹配的方法 作为用户，可以通过操作系统管理员授权来确定其资源访问权限。 3 ) 资源管理 从安全的角度看，计算机的资源分为三种： 文件资源的访问控制。这包括打开文件、关闭文件、创建和删除文件、 读写文件、加密解密文件等等； 注册表文件。注册表文件的内容五花 k f - ，他包括了计算机的配置、访 问记录、网络、设备等计算机信息； 进程资源。进程是计算机完成预定义任务的程序。计算机的每一个动作 都是由进程发出的。所以进程也是黑客和病毒攻击的主要目标。 与w i n d o w sn t4 0 一样，n t f s 文件系统对w i n d o w s2 0 0 0 也非常重要。如 果用户没有在w i n d o w s2 0 0 0 主域控制器中安装n t f s ，将无法保证其安全性。 另外，w i n d o w s2 0 0 0 中特别关注安全保护并且集成了活动目录服务，这使得 w i n d o w s2 0 0 0 比以前的系统更加安全。以下介绍 w i n d o w s2 0 0 0 中的新改进的安全特性： 1 ) 活动目录( a c t i v ed i r e c t o r y ) ，它是w i n d o w s2 0 0 0 安全模型灵活性的核 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 心内容，能够提供网络中所有对象的信息。它是w i n d o w s2 0 0 0 分布式网络的基 础，适合集中式管理策略，如组策略和远程操作系统操作等。活动目录替代安全 帐户管理数据库( s a m ) 来保护域中有关安全保护的信息如用户帐号、口令和 组。因此活动目录式本地安全认证( l o c a ls e c u r i t y a u t h o r i t y ，l s a ) 的可信任模 块。活动目录存储器用于访问资源认证的访问控制信息和支持域内认证的用户凭 证信息。w i n d o w s2 0 0 0p r o f e s s i o n a l 和s e r v e r 服务器保存本地s a m 数据库用于 认证经过定义的用户和组。活动目录为客户机、服务器、应用程序和用户帐号提 供了一种单点管理的机制。通过活动目录用户可以为单个用户和组指定特殊的管 理任务和权限，这样可以将系统管理任务分布在本地或集中的机器上。例如，用 户企业中某个部门的管理员来执行一项指定的管理任务，如果重新设置口令，这 样用户就可以从这些繁琐的工作中解脱出来。活动目录内置了许多因特网标准协 议，如公开密钥体系( p k i ) 、k e r b e r o s 和轻度目录访问协议( l i g h t w e i g h t d i r e c t o r y a c c e s sp r o t o c o l ，l d a p ) 。 2 ) 公开密钥体系( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) ，同样是w i n d o w s2 0 0 0 中安全特性的核心内容。p k i 利用微软认证服务，允许企业中使用企业证书授权 ( c a ) ，它集成在活动目录中。活动目录使用目录服务来公布证书服务信息，这 其中包含了用户证书的位置和证书撤销授权如数字签名、加密文件系统( e f s ) 、 电子邮件、i p 安全和智能卡安全( s m a r tc a r ds e c u r i t y ) 。 3 ) e f s 是用户可以选择加密硬盘上的数据的方式，这样可以防止入侵者破 坏或者窃取磁盘上的数据。 4 ) k e r b e r o s 是w i n d o w s2 0 0 0 中默认的认证协议，它取代了w i n d o w sn t 中的c h a u e n g er e s p o n s e ( n t l m ) 认证。k e r b e r o s 是由美国m i t 在8 0 年代设计 的，已经有很多年的历史。 5 ) 因特网安全协议( i p s e c ) 为企业提供了更加安全的保护措施。 另外，w i n d o w s2 0 0 0 分布式安全服务还包含一下几项较为重要的商用要求： 严格的用户认证和授权 用户一次登录可以访问企业所有资源 内部和外部资源通信的安全防护 自动安全审计 与其他操作系统的互操作性 w i n d o w s2 0 0 0 安全特性是基于授权和认证的单一模块。当用户通过 w i n d o w s2 0 0 0 域控制器认证后就可以访问授权允许的网络资源。这样可以保证 用户在一个安全的扩展网络上进行工作。w i n d o w s2 0 0 0 分布式安全模块的基础 是基于服务间的授权、可信域控制器认证和对象访问控制。 重庆邮电大学硕士论文 第二章关键信息系统安全强审计系统设计 2 1 2l n x l i n u x 操作系统的安全特性 u n i x 是一种多用户、多任务的操作系统。这类操作系统的一种基本功能就 是防止使用同一台计算机的不同用户之间互相干扰，所以u n i x 的设计宗旨是要 考虑安全的。当然u n i x 中仍然存在许多安全问题，其新功能的不断纳入及安全 机制的错误配置或者错误使用都可能带来很多问题。在安全结构上，l i n u x 与 u n i x 系统基本上是相似的。所以，对u n i x 的安全结构的叙述同样适用于l i n u x 系统。 u n i x 操作系统主要借助以下4 种方式提供服务： 系统调用：用户进程通过u n i xa p i 的内核部分系统调用接口，显 式地从内核获得服务。内核以调用进程的身份执行这些请求。 异常：进程的某些不正常操作，诸如除数为0 ，或者用户堆栈溢出将引起 硬件异常。异常需要内核干预，内核为进程处理这些异常。 中断：内核处理外围设备的中断。设备通过中断机制通知内核i 0 完成状 态转化。内核将中断视为全局事件，与任何特定进程都不相关。 由s w a p p e r 和p a g e d a e m o n 之类的一组特殊的系统进程执行系统级的任 务。比如控制活动进程的数目或者维护空闲的内存池。 系统具有两个执行态：核心态和用户态。运行内核中程序的进程处于核心 态，运行核外程序的进程处于用户态。系统保证用户态下的进程只能存取它自己 的指令和数据，而不能存取内核和其他进程的指令和数据，并且保证特权指令智 能在核心态运行，像中断、异常等在用户态下不能使用。用户程序可以通过系统 调用进入核心，运行完系统调用再返回用户态。系统调用是用户在编写程序时可 以使用的界面，是用户程序进入内核的唯一入口。因此，用户对系统资源中信息 的存取都要通过系统调用才能完成。一旦用户程序通过系统调用进入内核，便完 全与用户隔离，从而使内核中的程序可以对用户的存取请求进行响应，并且不受 用户干扰的情况下对该请求进行访问控制。 u n i x 的安全机制主要体现在以下几个方面： 1 ) 标识与鉴别 u n i x 的各种管理功能都被限制在一个超级用户( r o o t ) 中，其功能和 w i n d o w s2 0 0 0 的管理员( a d m i n i s t r a t o r ) 或者n e t w a r e 中的超级用户( s u p e r v i s o r ) 功能类似。作为超级用户可以控制一切，包括用户帐号、文件和目录、网络资源 等。作为根可以控制哪些用户可以进行访问以及他们可以访问的资源，控制用户 能够访问那些资源，用户如何进行访问等。 用户登录到系统中时，需要输入用户名标识其身份。在系统内部具体实现 中，当该用户的帐户创建时，系统管理员便为其分配了一个唯一的标识号 u i d 。用户号( u i d ) 和用户组号( g i d ) 用于u n i x 系统唯一地标识用户 重庆邮电大学硕士论文 第二章关键信息系统安全强审计系统设计 和同组用户及用户的访问权限。其中r o o t 用户的u i d 为0 。每个用户可以属于 一个或者多个用户组，每仑组由g i d 唯一标识。 在大型的分布式系统中，为了统一对用户进行管理，通常将每一台工作站 上的口令文件信息存储在网络服务器上，目前流行的系统有s u n 公司的网络信息 系统( n i s ) ，n i s + ；开放软件基金会的分布式计算机环境( d c e ) ；n e t t 计算 机上的n e t l n f o 等。 用户名是个标识，1 2 1 令是个确认证据。u n i x 使用改进的d e s 算法( 通常 调用c r y p t o i 函数来实现) 对其进行加密，并将结果与存储在e t e p a s s w d 或者n i s 数据库中的加密口令进行比较，系统中常用s h a d o w 文件( e t e s h a d o w ) 来存储加密 口令，对普通用户同时不可读。 2 ) 存取控制 在u n i x 文件系统中，控制文件和目录中的信息存在磁盘以及其他辅助存 储介质上。它控制每个用户可以访问何种信息以及如何访问，表现为通过一组存 取控制规则来确定一个主体是否可以存取一个指定客体。u n i x 的存取控制机制 通过文件系统实现。 3 ) 审计 u n i x 系统的审计机制监控系统中发生的事件，以保证安全机制正确工作并 且及时对系统异常报警提示。审计结果一般写在系统的日志文件中，常见的日志 文件有： a c c t 或者p a c c t 记录每个用户使用过的命令 a c u l o g筛选出m o d e m s ( 自动呼叫部件) 记录 l a s t l o g 记录用户最后一次成功与失败登录的时间 m e s s a g e s记录输出到系统主控台及由s y s l o g 系统服务程序产生的信息 s u l o g 记录s u 命令的使用情况 u t m p 记录当前登录的每个用户 w t m p 记录每一次用户登录和注销的信息，以及系统的开关 v o i d 1 0 9 记录使用外部介质出现的错误 x f e r l o g 记录f i 口的存取情况 大多数版本的u n i x 都具备审计服务程序是s y s l o g d ，它可以实现灵活配置、 集中式管理。当前的u n i x l i n u x 系统很多都支持c 2 级审计。 4 ) 网络安全性 网络安全性是u n i x l i n u x 系统安全性的一个极其重要的方面，网络安全 性，主要是通过防止本机或者本网被非法入侵、访问，从而达到保护本系统可靠、 正常运行的目的。u n i x 可以对网络访问控制提供强有力的安全支持，主要方式 是有选择的允许用户和主机与其他主机的链接。相关的配置文件有： 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 e t c i n e t d c o n f 文件，内容是系统提供哪些服务 e t c s e r v i c e s 文件，罗列了端口号、协议以及相应的名称 t c pw r a p p e r sf l j e t c h o s t s a l l o w 和e t c h o s t s d e n y 控制 通过这些文件和相应的配置，可以很方便的控制i p 的登录以及t e t n e t 、f t d 、 r l o g i n 、r c p 、r c m d 等网络操作命令。 另外，目前标准的u n i ) 饥。i n u x 发布版本都配备了入侵检测技术，利用这些 工具和从因特网上下载的其他工具，u n i x l i n u x 系统可以实现较强的入侵检测 能力，包括让u n i x 记录入侵企图，当攻击发生的时候及时给出警报，让u n i x 在规定情况的攻击发生时，采取事先确定的措施，让系统发出一些错误信息。常 见的入侵检测方式有利用嗅探器监听网络上的信息，用扫描器检测安全漏洞，系 统扫描器可以扫描本地主机，防止不严格或者不正确的文件许可权、默认的帐户、 错误或者重复的u i d 项目等：网络扫描器比如著名的s a t a n ，可以对网上的主 机检查各种服务和端口，发现可能被远程攻击者利用的漏洞。 5 ) 备份与恢复 采取备份与恢复可以用来加强系统的安全性与可靠性。备份的常用类型有3 种：实时备份、整体备份、增量备份。系统的备份应当根据具体的情况制定合理 的策略，备份文档应当经过处理( 压缩、加密等) 合理保存。 2 2 安全强审计系统的功能需求 关键信息系统的安全强审计系统应当具备以下一些主要功能： 1 ) 对登录用户行为的审计管理 对直接或者使用其他网络协议登录到关键信息系统的行为提供日志记录并 进行审计分析，同时记录用户登录系统之后的操作行为。恶意操作主要包括：异 常登录、超越自身权限操作、使用异常程序，访问非法资源等。 2 ) 对系统异常事件的审计 对系统内发生的异常事件进行检测和统计，包括系统的异常关闭和重新启 动，系统用户的变更，内核文件或者进程的异常等，对系统异常的检测可以同用 户行为的审计相结合。 3 ) 对典型应用的审计 提供符合条件设置的典型应用的详细信息，典型应用审计应该能够让用户 设置条件，选择需要审计的t e l n e t 、h 1 v r p 、f t p 、s m t p 、p o p 3 等各类网络 应用，对网络中的数据包进行分析，以提供更加详尽的侦破辅助和取证功能。 4 ) 系统安全风险评估 根据收集到的主机日志、网络数据以及i d s 等安全设备的报警信息，根据 模糊数学中的模糊综合评判方法，利用隶属函数从这些异常信息中得出当前系统 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 的安全威胁系数，这个系数范围为( o ，1 ) ，数值越大说明系统安全风险越大。 这种安全风险评估由系统自动进行并且以图表形式向审计员报告。 5 ) 可视化的控制端和审计报表 可视化的控制端服务器独立于审计服务器和关键信息主机，通过与审计服 务器以及安装在关键信息主机以及旁路侦听主机等设备的接口进行通信来达到 对强审计系统的实时配置与管理。控制端应该要提供基本的数据查询、浏览、删 除、转存、统计功能，同时要对强审计系统的安全参数进行配置并实时生效。审 计报表是由审计系统根据一段时间内的系统安全状况自动生成的安全日报，定时 或者实时发送给审计员或管理员，审计报表根据需要将系统日志数据抽象成一般 人员便于直观理解的报告形式，其主要内容包括：近段时间系统的安全事件风险 评估系统异常事件详细情况，黑客入侵攻击报告、用户登录事件统计等等。 6 ) 审计数据的淘汰和删减 审计系统的一个重要问题就是对采集到的大量冗杂的记录的保存问题，我 们知道是对于安全强审计系统这种多数据源的信息采集方法收集的数据量是极 其惊人的。必须及时地对审计数据进行处理和删减。强审计系统根据系统分析得 到的结果按照时间顺序淘汰对于证明安全事件无意义的数据，释放存储空间。 7 ) 安全强审计系统的自审计 此功能是强审计系统自身安全性能的保证，自审计主要记录强审计系统的 启动与关闭，异常操作等，同时记录所有的管理员操作，并且保证这些日志记录 的安全性。 2 3 安全强审计系统的设计原则 关键信息系统的安全强审计系统是基于操作系统异构型网络的，其必须适 应关键信息服务器多种操作系统和应用服务的复杂情况，对一个完备的审计系统 来说，系统级的审计最基础，也最重要。它的目标就是利用技术手段真实全面的 将发生在网络上、服务器上的所有事件记录下来，为事后的追查提供完整准确的 资料。其中，真实和完整是系统审计的两个最重要的指标。真实就是要求记录的 事件必须为实际发生的时间本身，而不是经过猜测或者推理得出的结论；而全面 则要求审计系统不漏掉任何系统内、网络上发生的事件。因为如果有些事件没有 被记录到，而这些事件又正好是非法行为，那么系统就会对这些事件失控，从而 使信息系统对造成的危害不能察觉，同时也会使管理员或审计用户对审计系统不 信任，也就失去了审计系统存在的意义。 另外，安全强审计系统相对于一般的安全审计系统，其最主要的特点就是 增强的信息采集能力，更广泛的系统适应性能，以及更深层次的审计力度。由此， 强审计系统应该要融合多种安全防范措施，从多个数据源来采集日志并且相对统 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 一的分析它们，应该能建立一套协调的日志采集方式以及转储方法，并按照相对 统一的格式来处理日志信息，形成不同层次并且可以逐层细化的审计报告，同时， 由多信息源产生大量的审计数据，对审计数据进行及时和有效的处理也是强审计 系统的重要问题。真实和完善的记录行为事件只是完成了审计系统的第一步，而 迅速、准确和智能地对审计数据进行处理则是审计系统的重要目标。在此同时， 审计系统应该能够保证其自身以及记录的数据的安全性，如果其自身的安全性能 都不能够得到保证，其审计数据的可靠性就无从保障，也就不能提供准确的时候 分析和取证工作，更无法估计安全事件对系统造成的影响。 因此，对安全强审计系统的设计应该遵循以下几个方面： 1 ) 安全强审计系统应该能够有效地从多数据源实时采集审计分析所需的或 者由用户指定的审计数据，这些数据应该能够体现和记录用户操作行为，能够为 系统中定义的审计事件提供支持； 2 ) 对于不同数据源采集得到的格式繁杂的审计信息和数据应该能够采用标 准的统一格式来记录和处理； 3 ) 应该可以自动及时准确地进行审计数据分析和转储及其他处理； 4 ) 在一定的安全机制下保护审计记录和审计系统自身安全； 5 ) 能够通过综合分析审计数据，得到从最基本的日志数据到适合管理员理 解和控制的抽象结果的分层审计报告： 6 ) 能够为管理员提供可视化的编辑的操作和管理界面： 7 ) 强审计系统对关键信息系统及其网络的运行和性能影响应该尽可能小。 2 4 安全强审计系统的整体设计 2 4 1 安全强审计系统的组成 根据上述关键信息系统安全强审计系统的功能需求和设计原则，结合实际 项目特点，我们设计了关键信息系统的安全强审计系统实旌方案，安全强审计系 统主要由以下六个模块组成： l 、主机信息采集和传送模块： 2 、网络数据采集和传送模块： 3 、日志综合处理模块； 4 、安全风险评估模块： 5 、审计数据筛减及淘汰模块； 6 、可视化控制与管理模块。 关键信息系统的安全强审计系统的网络拓扑结构如图2 1 所示。 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 图2 1 关键信息系统的安全强审计系统网络体系结构 2 4 2 安全强审计系统的功能模块和运行机制 安全强审计系统的功能结构如图2 2 所示。 图2 2 安全强审计系统模块功能结构 - 1 2 重庆邮电大学硕士论文第二章关键信息系统安全强审计系统设计 主机信息采集和传送模块：安装在关键信息系统服务器和审计服务器上， 根据主机日志采集和传送的方式不同，分为定时传送和实时传送两种方式，传送 模块的客户端和服务器端在不同的传送方式下将主机上的日志信息通过安全通 道传送到审计服务器，同时提供同管理端的接口，同管理端通信来配置参数。 网络数据采集和传送模块：系统采用单独的网络数据旁路侦听方案获取网 络数据流信息，对于w i n d o w s 和l i n u x 不同平台分别使用基于w i n p c a p 和l i b p c a p 的网络数据流抓取工具截取网络数据流。同时，对于高速网络( 比如千兆以太网 内) 数据采集容易产生的漏包问题，使用网络数据分流的解决方案。 日志综合处理模块：此模块运行在审计服务器上，主要功能是将采集传输 到审计服务器的日志汜录按照较为统一的格式转储至数据库