（计算机应用技术专业论文）综合主机和网络信息的安全审计分析.pdf

重庆邮电大学硕士论文 摘要 摘要 计算机和互联网逐渐融入人们的生活，同时，网络入侵等安全威胁层出不穷， 网络安全形势十分严峻。安全审计技术，通过对系统事件等各种信息的记录并分 析检查用户行为，能够防范和发现违规行为。目前，如何对安全审计数据( 系统 主机r 志和网络报警数据) 进行有效的分析是安全审计中的一个重要问题。 由于安全审计数据复杂，其中隐含着各种各样的安全事件。为了发现这些事 件，本文采用关键字查找和统计方法对l i n u x 系统主机日志和网络报警数据进行 分析。得出系统的正常事件和异常事件；采用特征融合的方法综合考虑主机特征 和网络数据特征对异常事件进行检测分析，实验显示这三种分析方法较好地检测 出了系统的安全事件以及违规行为( 如拒绝服务攻击) 。 针对分析得出的各种异常事件和网络报警，本文采用了多级模糊综合评判方 法对其进行整体评判，并使用可视化方法将评判结果表示为系统某一阶段的安全 状况图，从而使得系统管理员对系统整体的安全有清楚的认识。实验结果表明， 安全状况图判断结果较合理，系统管理员通过安全量化分析的可视化结果可方便 地了解系统的安全状况。 关键字：网络安全，安全审计，特征融合，模糊综合评判 重庆邮电大学硕士论文 a b s t r a c t a b s t r a c t c o m p u t e r s a n dt h ei n t e r n e th a v eg r a d u a l l ye m b e d d e di np e o p l e sl i f e m e a n w h i l e ， m o r ea n dm o r es e c u r i t yt h r e a t s ，s u c ha sn e t w o r ki n t r u s i o n ，e m e r g ei ne n d l e s s l y t h e r e f o r e ，h o wt op r o t e c to u rc o m p u t e rf r o mn e t w o r ki n t r u s i o nb e c o m e sm o r ea n d m o r ei m p o r t a n t s e c u r i t ya u d i tt e c h n o l o g y , b ym e a n so fr e c o r d i n ga n dc h e c k i n g s y s t e me v e n t sa n dl a s e ra c t i o n s ，p r o v i d e sam e t h o dt of i n dt h ee x c e p t i o n a la c t i o n s w h i c ha l ed a n g e r o u st ot h ec o m p u t e rs y s t e m i ti sak e yp r o b l e mh o wt oa n a l y z et h e s e c u r i t ya u d i td a t ae f f e c t i v e l y b e c a u s eo f t h ec o m p l e x i t yo f s e c u r i t ya u d i td a t a , i ti m p l i e sm a n ys e c u r i t ye v e n t s i no r d e rt of i n do u ts u c he v e n t s ，k e y w o r d ss e a r c h i n g , s t a t i s t i c sm e t h o da r ea p p l i e di n t h i sp a p e rt oa n a l y z et h el i n u xh o s tl o 笋a n dn e t w o r ka l e r ta n dt h e ng e tt h en o r m a l a n da b n o r m a ls u s p i c i o u se v e n t s t h ef e a t u r ef u s i o nm e t h o di sa d o p t e dt oa n a l y z e a b n o r m a ls u s p i c i o u se v e n t su s i n gb o t hh o s ta n dn e t w o r kc h a r a c t e r i s t i c s e x p e r i m e n t s h o w st h a tt h et h r e ea n a l y z i n gm e t h o d sp r o p o s e di nt h i sp a p e rc a nf i n do u ts e c u r i t y e v e n t sa n d w r o n g a c t i o n sc o r r e c t l y , s u c ha sd o s a c c o r d i n gt ot h ea n a l y z e da b n o r m a le v e n t sa n dn e t w o r ka l e r t , m u l t i - l e v e lf 也冽 c o m p r e h e u s i v ee v a l u a t i o ni sa d o p t e di nt h i sp a p e r t oe v a l u a t et h e ms y n t h e t i c a l l y , a n d t h ee v a l u a t e dr e s u l to fag i v e np e r i o di se x p r e s s e da sas e c u r i t ys t a t u sc h a r tu s i n g v i s u a l i z a t i o nt e c h n i q u e f r o ms u c hc h a r t , s y s t e mm a n a g e rc a l lh a v eac l e a rr e a l i z a t i o n a b o u tt h ew h o l es e c u r i t ys t a t u s e x p e r i m e n ts u g g e s t st h a tw eg e tar e a s o n a b l e e v a l u a t i o no fs e c u r i t ys t a t u sa n ds y s t e mm a n a g e rc a ne a s i l yk n o wt h ew h o l es i t u a t i o n a b o u ts e u r i t yt h r o u g ht h ev i s u a l i z e ds e c u r i t ye v a l u a t i o nr e s l l l t k e y w o r d s ：n e t w o r ks e c u r i t y ，s e x ：u r i t ya u d i t ，f e a t u r ef u s i n g ，f u z z yc o m p r e h e n s i v e e v a l u a t i o n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特另玎加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得重废唑虫太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 姗虢索茹撕期：洲砌厂日 学位论文版权使用授权书 本学位论文作者完全了解重废整皇太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权 重庆邮电太堂可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 r， ( 保密的学位论文在解密后适用本授权书) 学2 论文作者签名：素z 导师签名： 碉f 抄 蝴期：州年多月歹日蝴机肛细厂日 重庆邮电大学硕士论文第一章绪论 1 1 引言 第一章绪论 近几年来，随着全球信息化进程的加速，计算机网络的规模也飞速扩大。根 据i n t e r n e ts y s t e m sc o n s o r t i u m 组织最新调查显示“，在1 9 8 1 年，全世界接 入互联网的计算机总数仅为2 1 3 台，而在2 0 0 5 年6 月，接入互联网的计算机数 已经超过了3 5 3 亿台，遍及世界2 0 0 多个国家和地区，其变化趋势图如图1 1 所示。 i n t e m f td o m a i ns u r v e yh o s tc o u n t 4 0 0 j 0 0 0 , 0 0 0 3 6 0 ，0 0 0 ，0 0 0 3 0 n 0 0 0 0 0 0 2 6 00 0 n 0 0 0 2 0 0 ，0 0 0 j 0 0 0 1 6 0 o o o 0 0 0 1 0 0 0 0 0 j 0 0 0 5o j 0 0 0 j 0 0 0 0 茎 驾善雪l；善g蓦毒 薹善专 专专考毒 专j 焉i焉 焉专 图1 11 9 9 4 - 2 0 0 5 全球接入互联网计算机数量变化趋势图m 然而，随着网络的高速发展，它在给我们的生活带来了更多便利的同时，也 给我们带来了各种问题，网络安全的形势也更加严峻。尤其是随着计算机网络成 为社会运行的必要条件和国家的关键基础设施，网络安全问题带来的损失风险日 益巨大，网络事件也逐年增多，从著名的网络安全机构c e r t 啪每年接到报告的安 全事件数( 见表1 1 ) 以及公布的漏洞( 见表1 2 ) 中便可得知其变化迅速。 表1 1c e r t 统计出的每年接到报告的安全事件数 年份1 9 8 81 9 8 91 9 9 01 9 9 11 9 9 21 9 9 31 9 9 41 9 9 5 事件数 61 3 22 5 24 0 67 7 31 3 3 4 2 3 4 0 2 4 1 2 年份1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 12 0 0 22 0 0 3 事件数2 5 7 32 1 3 43 7 3 49 8 5 92 1 7 5 65 2 6 5 88 2 0 9 41 3 7 5 2 9 重庆邮电大学硕士论文第一章绪论 表1 2c e r t 统计的1 9 9 6 年- 2 0 0 5 年的每年的漏洞数 年份1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 0 漏洞数 3 4 53 l l2 6 24 1 71 0 9 0 年份 2 0 0 12 0 0 22 0 0 32 0 0 42 0 0 5 漏洞数 2 4 3 74 1 2 93 7 8 43 7 8 05 9 9 0 面对严峻的安全形势，各种组织及个人纷纷采取各种技术以保障自身的网络 安全，目前采用的主要有加密、认证、防火墙、入侵检测等技术。这些方法确实 对网络系统的防护起到了重要的作用，在一定程度上保障了网络环境的安全。然 而，在绝大多数场合中，这些安全产品是被孤立地使用的，安全产品供应商往往 只是从某一个局部去解决网络安全的部分问题，而很少从整体的角度去考虑。各 种网络安全技术各有自己的优点，但是作为一个个独立个体，他们并不能解决所 有的安全问题。 安全状况的复杂性已经迫切要求我们综合已有的各种防范措施来对目标系 统实施一种加强型的安全防护。安全审计技术的出现则正是适应了这一需求，其 作为网络安全系统中的一个重要环节，主要特点就是融合并协同其他安全措施， 与它们相辅相成，互为补充，对于发现和判断系统及网络中发生的真实安全事件， 安全审计技术为我们提供了更好的解决方案，而采用综合采集和分析网络中各种 安全设备产生的审计数据，对系统进行全面和更深层次审计的安全强审计技术， 则更有利于发现系统中的各类异常事件。而参照美国国家标准- - 信计算机系统 评估标准( t r u s t e dc o m p a t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) 【3 】安全审计系 统可以解释为是对系统中任一或者所有安全相关事件进行记录、分析和再现的处 理系统。 1 2 安全审计分析的发展状况 1 2 1 传统的审计分析方法 国内外对于安全审计系统的研究是比较晚的，1 9 8 0 年，a n d e r s o n 啪在其完成 的一份技术报告中提出改进安全审计系统的建议，以用于检测计算机用户的非授 权活动，同时提出了利用系统日志信息进行安全审计直到1 9 9 5 年才发布了第 一个具有实用性的网络安全漏洞审计软件s a t a n ，但是s a t a n 的技术要求高，使 用非常不方便。在随后的2 0 年间，各个操作系统也有了自己的安全审计工具， 如符合c 2 安全级别的w i n d o w s n t 、l i n u x 的s y s l o g 机制以及s u nb s m 等 目前，主要的安全审计分析方法是针对系统主机日志和网络数据进行审计分 2 重庆邮电大学硕士论文 第一章绪论 析。其中，针对系统主机日志进行分析的方法有。基于规则库的分析方法嘲，即 通过收集入侵攻击和系统缺陷的相关知识来构成知识库，并利用知识寻找企图利 用这些系统缺陷的攻击行为；基于统计的审计分析方法旧，即根据系统日志定义 正常用户的行为模式，然后根据当前用户行为模式与历史用户行为的偏差判断是 否异常；基子机器学习的分析方法”，即利用主机日志的信息来学习用户的正常 行为模式，通过主机日志的历史事件用一些学习算法来预测未来的用户行为。针 对网络数据进行审计分析的方法有，基于数据挖掘的分析方法嘲，即从海量网络 数据中提取出感兴趣的数据信息，抽象出有利于进行判断和比较的特征模型，根 据这些特征向量模型和行为描述模型，采用相应的数据挖掘算法判断出当前网络 行为的性质；状态转移法嘲，即采用系统状态和状态转移的表达式来描述已知的 网络攻击模式，采用优化的模式匹配技术判断当前事件是否与攻击模式匹配。 1 2 2 安全审计分析方法的发展历史 ( 1 ) 计算机安全审计的发展大致可分成四个阶段“”：无审计阶段，人工审计 阶段，半自动审计阶段及全自动审计阶段。人工审计是指由审计人员人 工查看审计记录，从中发现可疑的安全入侵情况。半自动审计阶段是指 计算机自动处理、分析审计记录与审计员最后决策相结合全自动审计 完全由计算机自动处理和分析审计记录，并自动做出最后决策，采取纠 正动作目前的审计系统多数处于人工审计阶段。计算机安全审计方法 经历了从简单审计方法到复杂审计方法和智能审计方法的转变，即从单 纯地记录事件的程序包发展到可提出智能判断结果、功能完善的系统： 审计范围也从原来仅审计操作系统扩大到审计各种应用程序，如数据库 审计、网络审计等。虽然计算机安全审计技术已得到很大发展，但还存 在很多缺陷。当前的安全审计过程是人工进行的，主要是由审计员详细 查看系统记录并识别潜在的违反安全的活动，不但缺乏一致性和时效 性，难于达到有效进行安全审计的目的，而且要求人具有很高的记忆和 解决问题的能力。 ( 2 ) 因此，目前研究者正将a i 技术，特别是将专家系统技术引入到安全审计 中，即采用智能审计方法，以期克服当前审计方法的不足国外的研究 者在智能审计研究上，已提出若干原型，实现了若干实验系统，如审计 专家系统a u d e s 、i d e s 、h a y s t a c k 、w s 等。这些智能审计研究虽然有很 大的进展，但真正走向实用，还有一段距离，有很多问题需要完善和解 决例如，审计记录的恰当与合理，检测规则的表示，检测模型的生成 和自学习，检测规则的裁剪和一致性检查，检测模型的正确与完整性， 检测的时效性，系统控制与安全检测的关系规范，系统安全控制的评估 3 重庆邮电大学硕士论文 第一章绪论 模型等等。 1 3 论文背景及工作内容 本论文工作得到重庆市信息产业发展资金资助项目( 关键信息系统的安全强 审计系统，n o 2 0 0 4 0 1 0 2 2 ) 的资金支持。该项目旨在研究与开发对电子商务等关 键信息系统进行全面监视和对网上行为进行跟踪的强审计系统。该系统同时收集 主机信息和网络信息，从主机和网络两个方面来审计分析服务器系统的安全状 况。系统具有快速实时监控能力，符合安全管理需要的审计工具和可视化的审计 结果，还原不同时刻、不同连接的操作过程。 我主要做了如下研究工作； 1 为了能够清晰地了解系统中的各种安全事件，本文采用了基于关键字查 找、统计方法和特征融合的方法进行审计分析。结合l i n u x 系统主机日志和网络 报警数据，研究并分析了目标主机的正常事件和异常事件；同时采用特征融合的 方法综合主机因素和网络因素对异常事件进行综合审计分析。实验显示该审计分 析方法较好地检测出了目标主机的安全事件以及违规行为( 如拒绝服务攻击) 。 2 研究安全审计系统结果表达问题时发现，系统安全管理员需要对整体安全 状况有一个清楚的认识，而安全审计数据内容繁杂，因此需要综合多源审计信息 ( 即系统主机日志和网络告警信息) 给出整体评判。本文采用了多级模糊综合评 判的方法对系统安全状况进行量化分析，并使用可视化方法将评判结果表示为系 统某一阶段的安全状况图实验结果表明，安全状况判断结果较合理，系统管理 员通过安全量化分析的可视化结果可方便地了解系统的安全状况。 1 4 本文组织结构 本论文简单阐述了安全审计系统( s e c u r i t y a u d i t ) 的结构，详述了安全审 计日志数据分析的具体实现和系统安全量化分析，论文的具体组织结构如下： 第一章：绪论。主要介绍了安全审计系统的发展情况，以及本论文的研究背 景和研究工作 第二章：安全审计系统概述。对安全审计系统所涉及到的知识和技术做一个 大概的介绍，并且介绍了安全审计系统的设计流程。 第三章：系统主机日志和网络数据分析展示了对系统主机日志分析的结果 和网络报警数据的分析结果。随后介绍了安全审计信息的特征融合。介绍特征融 合的原理，入侵违规的关系、入侵特征的选取、特征融合算法，并且通过实验测 试了该算法的可行性。 重庆邮电大学硕士论文 第一章绪论 第四章：多源审计信息的模糊综合评判。从模糊理论的角度来分别对主机异 常情况和网络数据的异常情况进行多级模糊综合评判，得到系统某一阶段的安全 状况的量化的可视化结果以便管理负采取对应的措施。 第五章：结论和未来工作。本章对全文工作进行总结，指出了论文还需要改 进的地方，以及下一步的工作。 重庆邮电大学硕士论文第二章安全审计系统概述 第二章安全审计系统概述 安全审计即是对安全方案中的功能提供持续的评估1 。安全审计应为安全管 理员提供一组可以进行分析的管理数据，以发现在何处发生了违反安全策略的事 件，并利用安全审计分析结果，可调整安全策略，做出一定的响应操作。由于本 论文主要是介绍安全审计数据的分析及系统安全量化分析，因此为了便于后面阐 述，本章就安全审计相关知识作一些说明。 2 1 安全审计 i s o 对安全审计的定义是：安全审计是通过独立地回顾和检查系统的记录和 活动，来评估系统控制的恰当性，从而确保系统能够按照既定的安全策略和安全 过程运行，查明破坏安全的原因，并且提出在安全控制、安全策略和过程等方面 应予以改进的建议。 因此，对于安全审计系统的一般要求主要包括： ( 1 ) 记录与再现：要求审计系统能够记录系统中所有的安全相关事件，同时， 如果有必要，应该能够再现产生某一系统状态的主要行为： ( 2 ) 入侵检测：审计系统应能够检查出大多数常见的系统入侵的企图，同时， 经过适当的设计，应该能够阻止这些入侵行为； ( 3 ) 记录入侵行为：审计系统应该记录所有的入侵企图，即使某次入侵已经 成功，这是事后调查取证和系统恢复必不可少的； ， ( 4 ) 威慑作用：应该对系统中具有的安全审计系统及其性能进行适当宣传， 这样可以对企图入侵者起到威慑作用，又可以减少合法用户在无意中违反系统的 安全策略； ( 5 ) 系统本身的安全性：安全审计系统本身的安全性必须保证，其中，一方 面包括操作系统和软件的安全性，另一方面包括审计数据的安全性；一般来说， 要保证审计系统本身的安全，必须与系统中其他安全措施( 例如认证，授权、加 密措施等) 相配合。 2 2 安全审计分析的数据对象 安全审计的第一步是信息收集，内容包括系统、网络及用户活动的状态及其 行为，而且需要在计算机网络系统中的若干不同关键点( 不同网段和不同主机) 收集信息，目的是扩大检测范围。另外，从几个来源的信息的不一致性可以是可 疑的行为或入侵的标识。当然安全审计系统中的检测入侵很大程度上依赖于信息 的可靠性和正确性。， 6 重庆邮电大学硕士论文 第二章安全审计系统概述 2 2 1 审计数据特征 对于安全审计系统以及其他任何数据驱动的处理系统来说，输入数据的选择 是首先需要解决的问题。最理想的数据源的选择取决于所想观测的内容，为了检 测攻击，安全审计系统必须能够发现攻击的证据，必须能够获得攻击的“正确” 数据。因此需要采用多种类型的输入数据。而我们选择的安全审计数据具有以下 特征： 1 ) 攻击事件相对于正常的网络或系统访问是很少的； 2 ) 安全审计数据在正常情况下是非常稳定的； 3 ) 入侵违规总是使安全审计数据的某些特征变量明显地偏离正常值； 基于以上要求，我们所选取的安全审计数据分为系统主机日志和网络数据。 对于这两种日志数据的具体分析将在第三章中进行详细的介绍。以下只是简单地 介绍这两种日志数据的特征。 2 2 2 系统主机日志特征 系统主机日志的数据源主要包括以下两种类型：操作系统审计记录( 由专门 的操作系统机制产生的系统事件记录) 和系统日志( 由系统程序产生的用于记录 系统或应用程序事件的文件) ，有时，也将基于应用的审计信息和基于目标的对 象信息作为一部分主机数据源。 系统主机日志通常具有以下优点：检测的针对性强，准确率高；与操作系统 结合紧密；适于检测复杂攻击模式；而它的缺点是：只能检测针对本机的攻击， 不适合检测基于网络的攻击。 l i n u x 系统主要有三个日志子系统，连接时间日志，由多个程序执行，如 w t m p 、u t m p 、l a s t l o g ；进程统计，由系统内核执行，如p a c c t ；错误日志，由 s y s l o g d ( 8 ) 执行，如s e c u r e 、m e s s a g e s 等。主要的日志见表2 1 。 7 重庆邮电大学硕士论文第二章安全审计系统概述 表2 1l i n u x 常见日志 日志文件名称用途 a c c e s sl o g 记录h t t p w e b 的传输信息 l a s t l o g 记录系统中各个用户最近一次成功登录的时间 m e s s a g e s记录系统主控制台以及由s y s l o g 守护进程产生 的信息 m a i l l o g记录邮件相关信息 p a c c t 记录用户命令 s e c u r e记录安全相关的信息 s y s t e mi n f o 记录与系统相关的信息 u t m p记录当前登录的所有用户信息 w t m p 记录每个用户登录退出的历史信息 x f e r l o g记录f t p 会话 2 2 3 网络数据特征 网络数据：当网络数据流在网络中传播时，采用特殊的数据提取技术，收集 网络中传输的数据，作为数据源。 网络数据通常具有以f 优点；适用于检测基于网络的攻击行为；应用范围广； 扩展性好：而它的缺点是：系统资源消耗量大；不能检测本地攻击：检测复杂攻 击的准确率低。 。 2 3 审计数据记录标准 审计数据记录标准的发展得到广泛接受并且非常重要，它能解决各检测系统 之间的兼容性问题。现在被提议的审计数据标准主要集中在审计数据格式标准和 审计日志内容标准两个方面。接下来介绍几个建议的格式标准和内容标准。 2 3 i 审计数据格式标准 广泛认同的标准格式将有利于克服兼容性和互操作性问题，而兼容性和互操 作性是审计数据分析系统的开发者所面临的主要问题。采用标准的格式也有利于 来自不同审计系统的审计数据的交换，并促进网络环境下对数据的协同分析 ( 1 ) b i s h o p 的标准数据格式( b i s h o p ss t a n d a r da u d i tt r a i lf o r m a t ) ： b i s h o p 在文中“”认识到误用检测需要关联多种系统的审计日志。他提出一 种标准格式必须既可扩充又可移植，以满足不同的多机种系统的需求。以及跨越 各种系统和网络协议的可移植性。为了适应可扩展性，b i s h o p 提出的日志格式 中既不包括记录长度也不包括域的数量。域是可自定义的，用域分隔号( # ) 8 重庆邮电大学硕士论文第二章安全审计系统概述 分隔，以开始和结束标志( s 和e ) 划界全部的数值都是a s c i i 代码串， 这就避免了字节排序和浮点格式的问题。一个u n i x 命令的日志记录如下： # t i m e = 2 3 4 6 2 7 3 6 4 # l o g i ni d = b i s h o p # r o l e = r o o t # u i d = 3 8 4 # f i l e = b i n s u # i # # d e v n o = 3 # i n o d e = 2 3 4 3 # r e t u r n = 1 # e r r o r c o d e = 2 6 # h o s t = t o a d 7 9 # e # 然而，该格式没有对审计追踪记录的域进行标准化。 ( 2 ) 归一化审计数据格式( n a d f ) “旧 归一化数据格式是a s a x 误用检测系统“”的开发者定义的，旨在提供一定程 度的操作系统独立性。把原始的审计数据转换成n a d f 文件格式使得a s a x 系统能 一定程度上独立于目标系统，无需为了各种可能的审计数据来源而改动检测系 统。一个n a d f 审计日志就是一系列的n a d f 记录文件。在转换过程中，原始的审 计数据记录被抽象成一系列的审计数据值。每一个审计数据值独立存储在一个 n a d f 记录中，每条记录包括以下三个部分： 标志符一审计数据值的类型 长度一一审计数据值的长度 值一一一审计数据值 理论上讲，任何审计数据值都可以用n a d f 记录表示。n a d f 格式没有标准化 可能的审计数据值的类型。开发者的焦点主要集中在开发一种规范化的格式，使 得原始的审计数据可以简单的转换成通用的格式，提供一定程度的系统独立性。 ( 3 ) u n i x 通用的审计数据交换格式( s v r 4 + + ) “” s v r 4 + + 是一种通用的审计数据交换格式的建议标准。s v r 4 + + 记录的基本结构 如表2 2 所示一条审计记录所输入的属性组包括：时间、事件类型、进程标志 符、结果、用户和用户组信息、会话识别符、进程的标号信息以及有关目标和各 种数据的其他信息。属性组均以a s c i i 代码的形式表示。 条s 、，r 4 h 的日志记录如下所示( 这里分为几行显示) ： # s # e v e n t = 6 # d a t e = 0 9 2 8 1 9 9 2 1 6 3 6 0 1 # 1 0 9 i d = 1 0 2 1 # r u i d = 1 0 2 1 # e u i d = 1 0 2 l i r g i d = l o # i # # p r o c i d = 1 6 1 9 5 # o b j n a m e = h o m e s n a p p c r e a t f 0 0 # o b j t y p e = f i l e 抖o b j d e - 0 6 4 4 # 1 # 。 # o b j u i d = 1 0 2 4 # o b j g i d = 1 0 # o b j d e v i d = 1 7 0 8 0 # o b j d m a j = 6 6 # o b j d m i n = 1 8 4 # i # # o b j i n o = 4 1 1 2 6 5 # o b j f s i d = 1 8 1 8 # e # 9 重庆邮电大学硕士论文第二章安全审计系统概述 表2 2s v r 4 + + 记录的基本结构 f i e l d d e s c r i l o t i o n t i m ed a t ea n d t i m e e v e m t y p e a u d i te v e n tt y p e p r o c e s si dp r o c e s si d e n t i f i e r o u t c o m ee v e n to u t c 。o m e s u c c e s s0 1 f a i | u r e u s e r i d sf u l ld e s c r i p t i o no f t h es u b j e c t su s e ri d e n t i f i e r s g r o u pf 1 3 s f u l ld e s c r i p t i o no f t h es u b j e c t sg r o u pi d e n t i f i e r s s e s s i o ni d i d e n t i f e r o f s e s s i o n t o w h i c h t h e p r o c e s sb e l o n g s s e * u r i t yl e v e lm a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) i n f o r m a t i o nf o rt h es u b j e c to f t h ee v e n t o b j e c t i n f o r m a t i o na b o u tt h eo b j e c t ( s ) a f f e c t e db yt h ee v e i l ld e s c r i p t i o ni n c l u d e s d e s c r i p t i o no b j e c tn a n l e ，t y p e ，a t w t 2 s sc o n t r o li n f o r m a t i o n , e t c m i s c e l l a n e o n sm i s c e l l a n e o u se v e n t - s p e c i f i cd a t a d a t a s v r 4 + + 标准是基于u n i x 操作系统的，不能用于别的操作系统。这一标准的 优点是更接近可移植性，缺点是缺少了可扩展性的某些特征。 2 3 2 审计数据内容标准 审计数据的内容也需要标准化，这将有利于对来自不同审计源的审计数据进 行分析，并且可以提高网络环境下的互操作性已提出的标准有如下几种： ( 1 ) d o d 可信计算机系统评估标准“” 可信计算机系统评估标准( t c s e c ) 是美国国家计算机安全中心创立的，旨 在对计算机系统的安全性进行评估 他认为一个计算机系统是安全的有如下要求：只有那些有完全授权的用户才 能访问信息，或者是那些可信任的进程才有权读、写、创建或者删除文件。这一 标准有四类规范，分别称为a 、b 、c 、d 。根据标准定义，满足最高划分的规范a 的系统提供最高等级的安全保证在b 和c 类中，又包含一些予类。c 2 类到a 1 类等级要求在系统中具有审计安全相关活动的能力。 在c 2 类的计算机系统中，认证机制、对象删除、管理策略等一些相关安全 事件是必须可审计的再高级别的计算机系统中还有额外的可审计事件。必须记 录的审计事件包括： 事件的日期和时间 重庆邮电大学硕士论文 第二章安全审计系统概述 用户标志符 事件类型 事件成功或失败 认证事件的来源 删除对象的名字 i o l 标准为计算机安全提供了以审计为手段的指导方针，并被广泛接受。许 多系统提供商努力使系统符合标准定义的各种安全等级。不幸的是，这个标准在 很多特定领域的审计缺乏有效性。这个标准为各种审计事件提供了指导方针，但 是对于审计数据的内容标准来说还是不够详细和充分。标准没有给出审计数据内 容的特殊要求。标准要求记录其余安全相关的事件对于单个企业来说难以执行， 这样导致很多符合c 2 安全等级的操作系统有不同的审计数据格式和审计数据内 容 ( 2 ) 分布式系统的安全标准 1 9 9 5 年，美国防护分析协会( t h ei n s t i t u t ef o rd e f e n s ea n a l y s e s ) 提 出分布式操作系统的安全标准。这个标准涉及到很多不同的方面，包括审计保护、 审计数据和审计数据传输的安全保护等 这个标准需要审计不同类型的事件，包括以下六类： 访问控制和管理策略事件 数据机密性和完整性策略事件 非自主的策略事件 可用性策略事件 加密策略事件 缺省和从属性事件 这个标准还为每个事件指定了要记录的数据。记录的基本数掘必须包括日期 和时间、主体的属性信息、生成审计记录的主机标志、事件类型、此类事件的标 志符和事件结果( 成功或失败) 另外，对于对象的删除或创建的审计记录必须 包括对象的名字和属性。 标准还简要地论述了审计需要监听，在有些情况下，还需要检测违反安全策 略的行为在日常工作中，需要审计记录哪些行为需要组织的管理员或者安全策 略制订者来决定同时这个标准还提到i t 开发人员必须要预见哪些行为对于安 全策略是比较重要的，必须提供审计记录的机制。 这个分布式系统的安全标准试图为审计数据的内容制定标准，但是过于简 略。这个标准在安全审计数据的内容方面覆盖过于广泛。而给应用服务提供商和 安全提供商留下太多的工作。所以这个指导方针只在少数案例中得到应用 重庆邮电大学硕士论文 第二章安全审计系统概述 2 4 安全审计的目标 结合本项目具体背景，其总体设计目标为： ( 1 ) 依据管理员的安全策略设置实现全面收集有利于判断安全状态，实施 安全管理，证明过去发生事件的各类信息( 日志、状态、网络流) ，对 所收集信息进行安全传输后进行适当程度的处理，然后以适合以后分 析处理需要的方式存储，此过程着重考虑尽量少影响原信息系统的性 能，平衡各个环节的处理速度与资源使用。 ( 2 ) 针对所存储的数据，能够达到具有专门针对性的自动分析能力( 如： 某几种日志，系统信息，网络流) 与自动综合分析能力( 同时考虑所 有的信息) 即自动生成各类报告，半自动分析能力即在用户指定某些 条件，己知一些线索的情况下进行分析，手工查询能力。 ( 3 ) 审计w 厢服务、e m a i l 服务、f t p 等服务及其还原操作，以及管理员操 作的自审计。 ( 4 ) 各种报告及结果要使用可视化技术等以用户友好的方式展现，管理员 用户要能够方便的管理。 2 5 安全审计的步骤 ( 1 ) 记录和收集有关信息，产生审计数据记录 ( 2 ) 根据审计记录进行安全违反分析，以检测安全违反和安全入侵的原因。 ( 3 ) 评估系统的安全状况，并提出改进意见 2 6 安全审计的方式 安全审计实现方式有如下三种：一是集中式审计。所有多用户操作系统都有 一个统计软件，用于采集用户活动信息。集中式审计可以用其实现安全审计，但 它要么是不一定含有安全所需的信息，要么是其格式不便使用；二是专用安全记 录。它只记录入侵检测系统所需的审计数据。它可以独立于各种具体操作系统单 独运行，便于实现安全审计；三是分布式审计。分布式审计允许从网络中的异型 系统中采集审计数据，这是在网络环境中保证安全性所必须的。因为在同一个网 络中发生的用户活动的相关性有可能呈现出某个恶意的行为，而相同的行为在单 个主机层面上可能看起来是合法的 重庆邮电大学硕士论文 第二章安全审计系统概述 2 7 系统体系结构图及其功能模块 图2 1 安全审计系统模型 从图2 1 所示的安全审计系统模型我们可以看出，内网和外网之间是有一个 防火墙和i d s 来进行l a n 保护的。而且还布置了一台审计管理终端，负责各个模 块之间的通信协调，并且利用了一台机予( 根据需要，有时需要布置多台监听) 进行网络数据的收集和侦听，同时把收集到的关键主机服务器的各种数据安全地 传输到审计服务器端。其系统模块图如图2 2 所示 重庆邮电大学硕士论文第二章安全审计系统概述 图2 2 系统模块图 主机信息采集和传送模块：安装在关键信息系统服务器和审计服务器上，根 据主机日志采集和传送的方式不同，分为定时传送和实时传送两种方式，传送模 块的客户端和服务器端在不同的传送方式下分别担当不同的工作，将主机上的日 志信息通过安全通道传送到审计服务器，同时该模块还要提供同管理端的接口， 同管理端通信来配置参数和规则。 网络数据采集模块：系统采用单独的网络数据旁路侦听方案获取网络数据流 信息，对于w i n d o w s 和l i n u x 不同平台分别使用基于w i n p c a p 和l i b p c a p 的网络数据 流抓取工具截取网络数据流。同时，对于高速网络( 比如千兆以太网内) 数据采 集容易产生的漏包问题，使用网络数据分流的解决方案。 日志综合处理模块：此模块运行在审计服务器上，主要功能是将采集传输到 审计服务器的日志记录按照较为统一的格式转储至数据库中，并对这些记录进行 统计分析，给出系统运行情况报告以及异常情况警告。 t 安全风险评估模块：此模块也运行在审计服务器，根据收集的主机日志、网 络数据以及其他安全设备的异常或者报警信息，根据模糊综合评判方法利用隶属 函数计算得到当前系统的安全威胁系数，威胁系数数值越大说明系统安全风险越 高。此模块将系统一段时间内的安全威胁系数按照图表形式自动生成报告由管理 控制端展现。 用户行为审计模块：此模块运行在审计服务器，将采集到的主机日志、网络 数据进行整合，利用数据挖掘技术对登录到系统中的用户行为进行提取和分析， 重庆邮电大学硕士论文 第= 章安全审计系统概述 增量地挖掘出用户历史正常行为模式，将此正常模式提交管理端报告给管理员， 再对用户当前行为记录进行模式挖掘，将当前模式同历史正常行为模式进行模式 比较，根据匹配的程度来判断用户当前行为是否正常，将判断结果形成报告。 审计数据筛减及淘汰模块：此模块将审计服务器上已经进行过转储的日志和 网络数据记录按照一定的规则进行删减，保留系统分析需要的记录，删除剩余的 记录。 可视化控制与管理模块：此模块运行在控制端服务器上，将以上的各个功能 模块整合起来，收集以上各个模块生成的审计报告，通过w e b 方式提供浏览和查 询功能，同时将其他各个模块的控制参数进行集成，为管理员或者审计员对这些 参数进行配置提供交互接口，实现对审计系统的管理和配置。 2 8 小结 本章首先对引入了i s o 对安全审计的定义，说明了安全审计的特点，介绍了 安全审计分析的数据对象及其特征，以及审计记录格式和审计标准，然后介绍了 安全审计分析的目标、步骤和方式，最后介绍了本项目所设计的系统结构以及系 统各个模块的说明。本章也对安全审计领域的一些研究热点进行了探讨，对于这 些内容，将在后续章节中进行详细描述。 重庆邮电大学硕士论文 第三章系统主机日志和网络数据分析 第三章系统主机日志和网络数据分析 3 1e l 志数据对象 为了能够从安全审计数据中发现各种安全事件，本章分别采用了基于关键字 查找、统计分析方法以及特征融合的方法对审计数据进行分析。如前面第二章可 以知道，本论文主要处理的数据对象是l i n u x 系统主机日志和网络数据。其中日 志的收集和传输模块部分，请参考论文安全强审计系统的实现及用户行为审计 方法研究w 。 ， 3 2 日志数据预处理与存储 虽然系统日志已经是操作系统过滤之后形成的精简数据，操作系统已经把系 统内部的细节问题屏蔽了，展现在我们面前的数据已经是初步“干净”后的数据。 但是，我们还有必要进一步精简，提取我们感兴趣的安全数据。同时，通过抓包 得到的数据存在很多与分析无关的数据，也需要我们对有用数据进行提取。从审 计记录里过滤多余的和不相关的记录，得到真正有价值的数据信息，可以提高对 审计数据的分析效率。 审计数据的预处理包括以下几个部分：一是删除对以后分析没有帮助的信息， 二是对重复性、冗余性信息的删除。审计数据预处理主要是为下一步数据分析做 准备，由于审计数据是非常庞大的，并且有些数据对审计分析没有作用，另外这 些无用数据还占用大量的存储空间，所以数据的预处理是非常有必要的 3 3 系统主机日志分析 3 3 1 主机日志分析方法 在计算机安全领域中，日志主要有如下方面的应用侧；用户行为的监控，记 录用户对系统的使用情况，防止用户越权使用；异常事件的诊断，通过观察日志 对异常事件的相关行为进行评估、重组得出该事件发生的时间、原因等；问题的 监控，通过日志系统来监测系统资源或者网络流量的使用情况，以检测问题的发 生。通常，系统遭受攻击后，日志还可以在系统实际受损度分析方面提供依据。 其中日志的分析方法有多种胁1 ，本文主要采用了关键字查找、统计分析方法 由于系统中的审计日志信息的数据量的庞大，为了从这些庞大的信息中提取 出对安全有关的信息，我们结合主机日志的以上具体性质，采用关键字查找、统 计分析和关联分析等