（计算机软件与理论专业论文）集群服务器审计系统的研究与实现.pdf

华中科技大学硕士学位论文 摘要 f 集群系统( c l u s t e r ) 是利用高速l a n 网将一组高性能工作站或高档p c 机连接起 来，在并行程序设计和集成开发环境支持下，统一调度、协调处理、实现高效并行处 理的系统。列集群系统的研究、开发和应用已引起很大的重视。集群具有高可用性、 可扩展性和卓越的性能价格比等优点。集群服务器由于有大量工作站或高档p c 机连 接起来，给其自身带来更多的不安全因素，从而使系统面临更大的安全威胁。审计机 制是集群服务器系统重要的一项安全机制，它与认证 入侵检测系统结合起来保障集群服务器运行的安全。 问控制技术、防火墙、 计算机审计系统的体系结构分为产生层、管理层、视图层和应用层四层，审计分 析的设计目标是提供一套操作审计数据的工具，以扩展审计分析的可用性。审计分析 的模型分为基于u n i x 的模型和一般化模型。在对安全审计追踪分析问题做出描述的 基础上，将遗传算法引入到审计追踪分析领域。简易审计追踪分析中遗传算法的使用 可提高审计分析的效率。 审计可视化技术包括图技术、时序上审计事件的重演、超文本组织和分片可视化 技术，相应给出四种原型审计浏览工具：帧产生器- 影片制作器- 超文本产生器和聚 焦审计浏览器。这些工具以审计日志作为输入，并产生这些日志的可视化视图。 分布式审计追踪分析工具是一个全局的，强大的并且有效的分析顺序文件和审计 追踪的工具，它分为主机级和网络级两种不同级别上的分析。本地分析指分析任何与 被监测主机相联系的审计追踪。从各个节点过滤的审计记录在中心主机上通讯，中心 主机执行全局分析。本地结构中的进程包括审计数据的产生，控制它们的粒度级，将 审计数据转化为n a d f 格式，分析审计记录，最后将过滤的序列传送到中心评估器。 在网络级上，系统由一台运行主评估器的中心机和一台或多台运行从评估器的从机组 成。中心机用于全局分析，分析本地过滤产生的审计记录流。中心分析结果是网络安 全状态报告，报警信息和统计信息。另外，中心机还运行一个控制台进程，它给分布 式监测系统提供一个交互式命令界面。 关键词：集群服雾；审计遣东；审计苛氧化；遗倍垂囊 华中科技大学硕士学位论文 a b s t r a c t c l u s t e rs y s t e mc o n n e c t sag r o u po f h i g hp e r f o r m a n c ew o r k s t a t i o n so rt o pg r a d e p c s t h r o u g hh i g hs p e e dl a n s u p p o r t i n gb yp a r a l l e lp r o g r a m m i n gd e s i g na n di n t e g r a t e d d e v e l o p i n g e n v i r o n m e n t ， c l u s t e ri s d i s p a t c h e du n i f i e d ，p r o c e s s e d i n p h a s e ， i m p l e m e n t e dh i 曲e f f e c tp a r a l l e lp r o c e s s i n g t h er e s e a r c h ，d e v e l o p m e n ta n du s i n go f c l u s t e r a l r e a d yc a u s e dg r e a t a t t e n t i o n s ，c l u s t e rh a sa d v a n t a g e so f l l i g hu s a b i l i t y , e x p a n s i b i l i t y , p r o m i n e n t p e r f o r m a n c ea n d l o w p r i c e b e c a u s eo fc l u s t e rs e r v e r i s c o n n e c t e d b yal a r g en u m b e r o fw o r k s t a t i o n so rt o pg r a d ep c s ，i tb r i n g sm o r ea n dm o r e i n s e c u r i t y f a c t o r s ，t h u st h es y s t e mf a c e sl a r g e rs e c u r et h r e a t e n a u d i t m e c h a n i s m c o m b i n e d 晰t 1 1a u t h e n t i c a t i o n 。a c c e s sc o n t r o lt e c h n o l o g y ，f i r e w a l l ，i n t r u s i o nd e t e c t i o n s y s t e mg u a r a n t e e t h es e c u r i t yo f c l u s t e rs e r v e r t h ec l u s t e rs e r v e ru s e do f a u d i tm e t h o di sr e s e a r c h e di nt l l i sd i s s e r t a f i o nb a s e do nt h e r e s e a r c ho fe l e m e n t a r yt h e o r ya n dd e s i g nm e t h o do fc o m p u t e ra u d i ts y s t e m t h em a i n c o n t e n t sa r es h o w na sf o l l o w s ： t h er e s e a r c h a n d d e v e l o p m e n t o f c o m p u t e r c l u s t e r s y s t e m a sw e l la st h e d e v e l o p m e n ta n de x i s t i n gs i t u a t i o no fc o m p u t e ra u d i ts y s t e ma r es u r v e y e d ，t h er e s e a r c h p r o b l e mo ft h i s d i s s e r t a t i o ni sp r e s e n t e d f o u rl a y e r so fc o m p u t e ra u d i ta r c h i t e c t u r ei s i n t r o d u c e d ，t h et h e o r yb a s ea n dr e a l i z a t i o nt e c h n o l o g yo fa u d i ta n a l y s i sd e s i g n i n gi s d i s c u s s e d ，a n dt w o a u d i ta n a l y s i sm o d e l sa r es u b m i t t e d i tl a y st h en e c e s s a r yf o u n d a t i o no f t h ef o l l o w i n gr e s e a r c h b yu s i n gg e n e t i ca l g o r i t h m ，t h ea u d i tt r a i la n a l y s i sp r o b l e ma r e s o l v e d ，t h ei m p r o v i n gm e t h o d so f g e n e t i ca l g o r i t h m a r er e s e a r c h e d n l e d e s i g n m e t h o d so fa u d i t b r o w s i n g a r er e s e a r c h e d 。a u d i tv i s u a l i z a t i o n t e c h n o l o g i e sa r ed i s c u s s e d ，f o u rt o o l k i t so f a u d i tb r o w s i n g a n dt h ee x a m p l e so f u s i n gt h e m a r eg i v e n t h ed i f f e r e n ta u d i tb r o w s i n gm e t h o d sa r ec o m p a r e d 1 1 1 eu n i v e r s a lf e a t u r eo f a s a xi sa n a l y z e d ，t h er u s s e l l a n g u a g ea n d a s a x s y s t e mf u n c t i o n a l i t i e sa r ei n t r o d u c e d ， t h ea s a x s y s t e ma r c h i t e c t u r e sa r ep r e s e n t e d t h ef u n c t i o n a l i t i e so f c l u s t e rs e r v e ra u d i t s y s t e ma r ei m p l e m e n t e dp r i m a r i l y t h em a i nr e s e a r c ha c h i e v e m e n t s i nt h i st h e s i sa r e n 华中科技大学硕士学位论文 s u m m a r i z e da n df u r f f l e rs t u d i e sa r es u r v e y e d k e yw o r d s ：c l u s t e rs e r v e r ：a u d i tt r a i l ；a u d i tv i s u a l i z a t i o n ；g e n e t i c a l g o r i t h m 1 1 1 华中科技大学硕士学位论文 1 1 引言 1 绪言 随着计算机网络技术的飞速发展和网络应用的广泛深入，其安全问题也变得日益 复杂。愈加突出。集群服务器安全作为计算机安全的一支，有其自身的特殊性。这主 要是因为集群服务器以计算机通信为手段来共享分布资源，由于大量通信部件的加 入、更广泛资源的共享，以及种种新机制的引入或机制、结构的变化，使集群服务器 安全的脆弱性和复杂性急剧增加。集群服务器安全具有更重要的作用和意义，一旦集 群服务器系统遭到安全侵害，往往会导致非常严重的后果，甚至造成整个集群服务器 的瘫痪。审计是集群服务器系统重要的一项安全机制，它与认证技术、防火墙、入侵 检测系统一起来保障集群服务器的安全。 审计是对涉及系统安全的操作做一个完整的记录，以备有违反系统安全规则的事 件发生后能够有效地追查事件发生的时间、地点及过程。通常，审计与系统实时告警 功能相结合，这样就可做到：每当有违反系统安全规则的事件发生或危及系统安全的 重要操作进行时，可向安全管理员终端发送相应告警信息。审计的类型可分为：应用 程序和数据审计，包括对整个应用系统、控制程序逻辑和数据的安全审计；系统操作 及侵害审计，包括对系统使用操作和欺诈、侵害事件的安全审计。对于每个具体的系 统，随安全需求和安全策略的不同，对安全审计的类型各有侧重，从而采取相应的安 全审计技术，如：日志技术、审计数据库控制技术、变异检测技术、专家系统等。安 全曰志( s e c u r i t yl o g ) 等安全追踪数据是生成安全审计记录的基础。审计追踪数据 ( a u d i tt r a i l s ) 一般由o s 、d b m s 或其它的系统应用程序提供【1 】【2 】【3 】。 1 2 计算机集群研究概述 集群( c l u s t e r ) 是并行计算机系统的一种类型，它的研究、开发和应用已引起 很大的重视，几乎主要的计算机生产厂商都宣称它们已推出集群产品，像i b m 的s p 2 和h a c m p ，c o m p a q 的h i m a l a y a 和t r u c l u s t e r ，s g i 的p o w e rc h a l l e n g e a r r a y ， s u n 的s o l a r i sm c 和s p a r cc l u s t e r 等等，都被列为集群的商业产品。集群有时称 华中科技大学硕士学位论文 为工作站集群c o w ( c l u s t e r o fw o r k s t a t i o i l s ) 、工作站网络n o w ( c l u s t e ro f w o r k s t a t i o n s ) 或者计算机集群( c l u s t e r o f c o m p u t e r s ) ，它已成为发展可缩放 并行计算机的一个新的热点”“”1 。 根据p f i s t e r 的定义，集群是并行或分布计算机系统的一种类型，它是由一组完 整的计算机通过高速网络互联而成的，应能作为一个单独的统一计算资源来使用”“”。 首先，集群是由完整的计算机( 节点) 互联而成，这种节点可以是一个工作站， 或者是一台较小的个人计算机，但也可以是一台规模相当大的对称多处理机( s m p ) 。 在集群的每个节点上都有一套完整的操作系统。节点间的互连则可以通过普通的商品 化网络( 如以太网、f d d i 、a t m 等) ，也可以是专门设计的网络【1 0 1 。 其次，集群应能作为一个单独的统一计算资源来使用。对于集群，最主要的是要 具有单一系统映像( s i n g l es y s t e mi m a g e ) 。所谓单一系统映像是指从用户角度来 看，整个集群就像一个系统，用户感觉到使用的是一个单一的系统，他可以从任何地 点的节点上来使用这个集群，而不必关心向他提供服务的设备是在何处。在外界使用 者使用集群时，集群中的各台计算机可以互相自动替换，来完成各项功能，并不需要 由外界使用者指定用哪一台计算机。在一些集群中，各台计算机的功能也可能有所不 同，有的可能有向量处理器，可供科学计算用，有的可能有通信设备，可供对外通信 用。但外界的使用者只需送一个作业( 计算任务) 给集群。并不需要规定要哪台计算 机做什么。总之，单一系统映像可以归纳为如下四个特点：单一系统( 从用户角度看， 它如同一个单一的系统) ，单一控制( 每个最终用户或系统用户都可以从一个地点用 一个接口利用系统中的各项服务) ，对称( 用户可以从任何节点使用系统的服务) ，地 点透明( 用户可以不必关心实际提供服务的设备在何处) h z 2 1 0 3 集群服务器的结点采用的操作系统主要有v m s 、u n i x 、w i n d o w sn t 和l i n u x 。u n i x 是服务器或工作站上普遍使用的操作系统它运行稳定、安全性也比较好，因此许多 大的公司都采用了基于u n i x 的集群系统解决方案，如d e c 、h p 、s u n 、i b m 、n c r 和d g 等公司。九十年代末期，l i n u x 操作系统不断走向成熟，它的健壮性不断增强，并且 提供了g n u 软件和标准化的p v m 、m p i 消息传递机制，最重要的是l i n u x 在普通p c 机 上提供了对高性能网络的支持，这样就大大推动了基于l i n u x 的集群系统的发展。 一个基于l i n u x 的典型集群系统是l v s 。l i n u x 虚拟服务器( l i n u xv i r t u a ls e r v e r ， i 。v s 华中科技大学硕士学位论文 能看见一台作为负载平衡器的服务器。实际的服务器通过高速局域网或地理上分散的 广域网连接。实际服务器的前端是一台负载平衡器，他将用户的请求调度到实际服务 器上完成，这样看起来好像所有服务都是通过虚拟服务器来完成的。l i n u x 虚拟服务 器能够提供良好的可升级性、可靠性和可用性。用户可以透明地增加或减少一个节点， 可以对实际服务器进行监测，如果发现有节点失败就重新配置系统。l v s 提供了四种 调度算法：轮转调度，加权轮转调度，最少连接调度，加权最少连接调度。l v s 提供 了三种i p 级的负载平衡方法：v i r t u a l s e r v e rv i an a t 、v i r t u a ls e r v e rv i ai p t u n n e l i n g 、v i r t u a l s e r v e rv i ad i r e c tr o u t i n g 。v i r t u a ls e r v e rv i an a t 方法 使用了报文双向重写的方法， v i r t u a ls e r v e rv i ai pt u n n e l i n g 采用的是报文单向 重写的策略， v i r t u a ls e r v e rv i ad i r e c tr o u t i n g 采用的是报文转发策略。 检验集群系统的主要指标是可靠性( r e l i a b i l i t y ) 、高可用性( a v a i l a b i l i t y ) 、 可维护性( s e r v i c e a b li t y ) 和其它相关特点和功能。可靠性主要指集群中的软件、 节点计算机和共享存储设备的可靠和稳定程度。高可用性( h i g ha v a i l a b i t y ，h a ) 要 求当硬件系统发生故障时，运行在该系统上的数据不会丢失，而且在尽可能短的时间 内恢复应用系统的正常运行，能够满足上述要求的系统称为高可用性系统。 1 3 计算机审计的研究概述 1 3 1 审计的基本原则 计算机系统的审计机制有五个主要的安全目标：l 、审计机制必须允许回顾访问 模式、进程的访问历史及各种不同保护机制的使用情况；2 、审计机制应能发现系统 的使用者和外来者重复的企图回避保护机制的尝试；3 、审计机制应能发现用户所使 用的特权超出他拥有的特权的行为；4 、审计机制应能威慑犯罪者的企图躲避保护系 统检查的尝试；5 、审计机制提供附加的记录躲避系统保护机制行为的表格。 审计机制的使用者可划分为两类：l 、审计员。他们选择应审计的事件、设置审 计标志以便记录这些事件、分析审计事件；2 、系统的使用者。这一组包括系统管理 员、操作员、编程人员。他们的程序产生审计事件，且他们必须清楚审计机制的存在 华中科技大学硕士学位论文 及对他们的影响。 审计追踪和审计追踪软件需受可信计算机基础( t r u s t e dc o m p u t i n gb a s e ) 的 保护。审计机制的安全需求如下：l 、事件记录机制应作为t c b 的一部分，并且不被 非授权的修改和欺骗；2 、审计追踪要受t c b 的保护以防被非授权访问和修改；3 、审 计事件启用禁用机制应作为t c b 的一部分，应保证它对非授权用户是不可访问的 【1 4 】【1 5 】 1 3 2 审计的级别 操作系统审计的级别分为：c 2 级、b l 级、b 2 级、b 3 级、a l 级。 这里主要讨论c 2 级审计。c 2 级审计中应审计的事件包括：身份识别和认证机制 的使用、将对象引入用户的地址空间、从用户的地址空间删除对象、计算机操作员和 系统管理员采取的行为、所有安全相关事件、打印的输出。c 2 级审计的审计记录应包 含的信息如下；事件的日期和时间、代表产生审计事件主体的唯一标识、事件的类型、 事件的成功或失败。 1 3 3 审计的可执行方法 审计的执行包括：选择审计事件，审计追踪数据的压缩和存储，以及保护审计追 踪的技术”。 1 、审计事件的预先事后选取 有两种选择审计事件的方案，即预先选取和事后选取。一个系统可选择同时执行 这两种方案，或执行其中某种方案。 ( i ) 预先选取：对每个审计事件，t c b 应给出机制指示是否要记录此事件，只有 安全管理员被授权选择记录哪些事件。可通过用户的标识进行预选取，在b 1 级及更 高级别审计中，也可通过对象安全级别进行预选取。安全管理员也在被审计对象之列。 虽然不被推荐，安全管理员仍可以选择不记录任何事件，这样做的目，的是提供灵活性。 预选取的缺点在于很难预测哪些事件对于日后来说是安全相关的，经常有这个可能 4 华中科技大学硕士学位论文 性：没有预选取的事件日后变为安全相关的，而当初没有审计这些事件所造成的损失 是不可估量的。预选取的优势在于：因为没有审计系统中所有的事件，这种方法将表 现出更好的性能。 ( 2 ) 事后选取：如果采取这种方法，就将从已存在的审计记录中选取指定的事 件。同样，仅被授权人员可以进行选择。此种方法要求系统提供可信设施以接受查询 检索的请求、扩展压缩数据、输出被请求的数据。事后选取的优点是：有用的任何 信息已经记录在审计追踪里，并且可供随时查询。它的缺点是：由于要读写和储存非 常巨大的审计追踪数据，这将带来系统性能的降低。 2 、数据压缩：既然一个所有事件都被审计的系统将产生大量的数据，因而就有 必要编码这些数据以节省磁盘空间和最小化处理器时间。如果编码了审计追踪，相应 的就需要有补充机制解码这些数据。审计追踪的解码可以在数据库访问审计记录之前 进行，也可在发现相关记录后进行，解码后的数据都以一种可理解形式呈现在管理员 终端和批量报告中。压缩审计追踪的花销在于压缩数据的时间和扩展过程的时间。压 缩数据的好处在于节省了存储空间和将记录写入审计追踪的时间。 3 、多重审计追踪：一些系统采用几个独立的审计追踪，比如一个审计追踪用来 存放用户事件，一个审计追踪放操作员事件，一个审计追踪放系统安全管理员事件。 有时当问题事件发生后，需要将几个不同的审计追踪中的信息合并起来。在多重审计 追踪中，需要有一些精确的，或至少同步的时间戳联系多重日志。 4 、物理存储：通过对系统的使用情况来选取用来存放审计追踪的介质。一个 只有很少用户执行较少应用程序的系统与一个有很多用户执行大量程序的大系统所 需的i o 空间是完全不同的。当存放审计追踪的介质快达到它的存储容量时，应通知 系统管理员。如果需人为的干涉，则需向操作员提供更为精确和高级的通告。 如果审计追踪存储介质接近饱和，操作系统要能及时检测到并采取相应的动作， 例如：( 1 ) 通知操作员介质满了，系统应重启动。这个动作也给否认服务攻击( d e n i a l o f s e r v i c e ) 创造了良机；( 2 ) 将目前的审计记录存储到临时介质，稍后再转储到 正常的可操作介质，以便审计继续执行；( 3 ) 延迟输入新动作，迟缓当前操作以防止 任何要用到审计机制的动作：( 4 ) 系统停止直到管理人员腾出更多可用空间写入审计 纪录；( 5 ) 系统安全管理员做出完全停止审计的决策。 5 、一次性写设备：前一种情况考虑的是审计追踪溢出，若要将所有审计数据归 华中科技大学硕士学位论文 档就用到一次性写设备( w r i t e o n c ed e v i c e ) 。一种用来保护审计追踪的技术是将 它记录到仅可写设备，另一种方法是通过禁止读机制从而设置指定的设备为一次性写 模式。这种方法防止攻击者删除或修改已写入审计追踪中的数据，因为攻击者不可能 读取和发现他希望修改的数据。这种设备的使用并不能防止侵入者修改内存中的审计 资源，包括缓冲区。如果采用这种设备记录审计追踪，稍后介质应能切换至兼容的读 设备，以便分析审计追踪中的信息。假如一个侵入者修改了审计软件，防止了写记录 到审计追踪中，则一定时间范围内数据的缺失反映出了安全问题。 6 、发送审计数据：另一种保护审计追踪的方法是把它发送给一个特定的处理器。 这样安全管理员将更容易分析这些审计追踪。 i 3 4 审计数据的处理 对审计数据的处理直接影响到以后审计追踪分析的效率，对于审计分析而言，审 计数据必须是可用的。 l 、审计数据的缩减：根据系统工作量和使用的审计选择过程，审计追踪的大小 有很大区别。当审计追踪增加到一定量后，对审计数据的缩减就成为必要，这是一个 安全假设。审计数据缩减工具是与系统安全管理员相交互的批处理程序。这个程序包 括了数据库查询语言及输入为标准审计文件的报告产生器。 2 、审计数据的可用性：在标准数据处理过程中，审计发生后审计信息就被记录 下来。对于审计分析来说，虽然很多审计信息不需立刻可用，安全管理员还是应在几 分钟内能查询到审计信息。记录审计信息和使这些信息可供分析之间的延迟应尽量 短，应控制在几分钟之内。在b 3 级及以上的审计中，对于应立亥j j g l 起注意的事件， 需要向安全管理员发送报警信息。 3 、审计数据的保存：审计追踪的具体保存时间是随站点而异的。一周内应至少 检查审计追踪一次。根据系统中存放的审计数据量的不同，这个参数应做相应的调整。 4 、审计系统的测试方法：审计追踪在检测对渗入系统的企图中起关键作用。测 试中需认识到审计追踪的弱点，在c 2 级及以上的审计中，要调查足以破坏审计追踪 的明显的系统缺陷。如果审计追踪被破坏了，存在的这些缺陷就表明系统是可渗入的。 6 华中科技大学硕士学位论文 测试也用来发现任何可绕过审计机制的方式。一旦检测到了这些缺陷，就要采取措施 纠正它们。 1 4 小结 本章概述了计算机集群系统的研究与发展，介绍了目前对集群的定义以及它的特 点，并着重介绍了一个基于l i n u x 的典型集群系统l v s 。概述了计算机审计系统的现状 与发展，介绍了审计的基本原则和审计的级别，阐述了审计的几种可执行方法及审计 系统的测试方法。本文主要研究集群服务器中审计系统的设计与实现，因此以下各章 将对相关的基本理论和技术进行论述和分析，并围绕此研究目的展开讨论。 华中科技大学硕士学位论文 2计算机审计的分层结构和审计分析模型 2 1 审计的体系结构 审计分析的标准模型分为四个独立的过程：数据收集，管理，缩减和分析。相应 地，审计的体系结构分为四层，如图2 1 所示。 审计产生层：代表审计数据的产生。 审计管理层：代表对审计数据的分析、转换和管理。 审计视图层：代表将较低层审计追踪合并为较高层的抽象。 审计应用层：执行实际的分析，它包括入侵检测算法，图形化用户界面，审计浏 览，程序调试器，网络和系统监测器，安全分析等方面。 图2 1 审计的分层结构 审计产生器指任何能产生审计数据的程序或模块( 无论是在系统层或是程序层) ， 它们包括审计守护进程，审计追踪合成器，调度器，账户系统和系统监控程序。一种 事件描述语言可用于合成审计追踪数据。 0 华中科技大学硕士学位论文 审计管理层执行所有的数据操作功能，并提供对审计追踪的记录，回放，编接( 将 多审计流编接为一个) ，压缩，存贮及检索的机制。这一层的研究方向是发展抽象规 范以用于自动创建连接g e n e r a t o r ( 产生器) 和视图层的转换器。 审计视图层的功能是转换和过滤审计追踪以缩减审计数据的数量，并改善审计数 据的可用性。每个审计应用程序通过使用不同的抽象模型做出系统的视图。审计视图 层的任务就是将上传的审计信息映射到抽象模型上。通过将特殊化的数据转变为适当 的易于分析的高层抽象模型，就可产生新的分析算法的原型。 例如，一个用户文件和许可权限的集合可被抽象为用户安全状态的模型。审计分 析算法不是采用处理审计记录来报告某文件是否被读的方法，而是接受指定了文件安 全状态的审计记录。 一旦审计数据缩减完成后，呈现在审计应用层的是一系列视图，应用层程序可以 自由地利用这些视图，并做出高层推断和抽象。这样，应用程序脱离对原始审计信息 的处理，直接集中在高层抽象上。 2 2 审计分析的设计目标 审计分析主要的设计目标是提供一套操作审计数据的工具，以扩展审计分析的可 用性。 2 2 1 利用多重视图 将体系结构分层的一个自然结果是能给出同一审计追踪的多重视图，或利用多个 审计信息源来创建单一视图。这种灵活性的优点在于它给实验带来了更为丰富的模 型。例如，本文给一个审计分析算法同时提供对象独立视图和会话视图。这样这个算 法既可以获得对系统对象的快速访问，同时又能显示出一个会话如何与这些对象交互 作用。 2 2 2 分析算法的轻便性 当审计事件主要用抽象逻辑模型的方法描述时，分析算法仅需包含少量系统特殊 华中科技大学硕士学位论文 的细节，这样就使得算法更为一般化和精简。 2 2 3 数据收集的简易性 审计管理机制应使审计追踪的建档，编接，压缩和过滤易于操作。许多管理功能 类似多媒体系统的控制方式，存在这种相似性的原因是因为审计追踪数据是按时间排 序的，正如音频和视频序列。因此从概念上说可以按下“记录”键开始收集审计数据， 按下“播放”键模拟这一系列的事件。在本系统中，由于诸多原因所限，这一部分设 计目标没有得以实现。 2 ，3 审计分析的实现技术 在阐明审计分析的实现技术之前，先来看一看和审计分析相关的一些问题。 在某个特殊时段是谁登录了系统；谁创建、读、写或删除了一个特殊的文件；一 个进程运行了何种程序；是否有某人曾尝试通过复制一个已知的系统文件以困扰审计 追踪：这是怎样完成的( 用户名、程序、许可权限是怎样使用的) ；一个用户是怎样 获得附加权限的；一个文件的修改对系统产生何种影响；未经文件主的同意，文件的 许可权是如何改变的。 对特定的审计事件来说，通过执行审计数据上的字符串匹配或使用一个d b m s 查 询可以完成许多简单请求。这时手工浏览将变得十分困难。但在多重事件情形下，需 要用文件证明某些动作。 举例来说，利用系统弱点修改登录程序。攻击分为几个步骤，以r d i s t 程序的一 个特别弱点开始，通过利用这个漏洞，可以创建一个交互式框架，将用户全部许可权 限提供给系统，此用户然后修改和重编译登录程序的源代码，最后安装特洛伊木马程 序。所有的事件都记录在审计日志系统，但审一个涉及数个阶段和数种不同类型系统 资源的复杂攻击，由于涉及到许多的进程，文件和动作，单个事件的手工合并将是很 困难的。 lo 华中科技大学硕士学位论文 2 3 1 基于对象的分析 一个对象是指诸如用户、进程或文件的系统抽象。在本文里，对象指任何动作源 或动作目标的抽象，例如将进程源对象复制到目标文件对象的方式，对应一个文件写 操作。分析审计追踪之后，找到涉及的对象，然后建立这些对象之间的联系，这样就 建立起一个对象联系图( 1 9 l ，如图2 2 所示。对象的数据结构如图2 3 所示。 产 广沁望竺1 2 丫!审 互墨哕y 男 呼 e 皿 图2 2对象的联系图 图2 3 对象的数据结构 例如，考察一个进程继承关系。相应算法的格式如下： w h i l e ( x ：= g e t n e x t _ p r o c e s s c r e a e _ a u d i t r e c o r d 0 ) d s t o b j：= f i n d o r c r e a t e o b j e c t ( g e t d s t ( x ) ) ： s r c o b j ：= f i n d o r c r e a t e _ o b j e c t ( g e t s r c ( x ) ) ； d s t o b j p a r e n t：= s r c o b j ： s r c o b j c h i l d 一1 i s t ：= s r c o b j c h i l d 一1 i s t + d s t o b j ： 这个例子是针对进程而言的，但它显示出对象是通过增加另一些类型的对象简单 地相互联系，如文件，用户和用户会话，设备，i o 端口，和另一些机器资源，这样 华中科技大学硕士学位论文 可导致一种复杂的数据结构，但由于对象是相互联系的，本文使用一种类超文本浏览 系统以便于浏览。一旦构建了对象间的联系，就可迅速执行交互式浏览。既然所有的 联系都建立于父进程阶段，安全管理员可立刻看出当前对象受哪些对象的影响及影响 到哪些对象。s s o 可以开始于某一结点，再通过某一独立链路转换到其它任何结点， 同时，使用正确的内部数据结构，再通过简单地合并涉及的对象和动作，这些图的结 论易于与早前图和将来图合并，基于对象分析的另一优点在于，它允许系统的建模以 一种与根本抽象模型相一致的方式进行。 基于对象的分析也有助于浏览非自我包含的审计记录。这些日志有一个巨大的头 标志，它包含描述系统中每个对象全局特征的内部命名映射。余下的审计记录仅记录 这些对象的改变情况。结果，在某种意义上说减少了审计追踪量，因为它们仅保持每 个对象的最小量信息，并依靠用户去调节对象的头标志和动作。基于对象的分析不仅 将每个对象的动作编组，而且它还将头标志数据对分析工具而言变得易访问。 这种模型的另一个优点是，一段时期内发生在一个对象上的事件被压缩为动作列 表。假想一个原始的审计追踪有三百万条审计记录，其中仅仅第一条和最后一条记录 与某一特定的对象有联系，使用一个文件搜索工具如“g r e p ”，则需分析整个审计追 踪以找出此对象和记录的联系。而建立和维护对象间的链接后，s s o 仅需找出此对象 然后显示出它的访问过程。数据缩减过程是自动处理的。 2 3 2 分片法 本文将一种称为s l i c i n g ( 分片) 的调试技术引入审计追踪的分析中去，审计分析 中分片法的使用有助于减少审计追踪的数据量。分片的目标是通过使用数据流分析和 图理论，决定一个程序或程序段中所有可能影响到变量值的语句，分片器使用这些语 句组建程序的最小化形式。例如，考虑一个程序段，影响到s l o 中变量y 的值的有状 态s 3 ，s 6 和s 8 。我们使用语句的集合。逐步增加所有能影响新结点的语句。通过数 据或控制依赖关系。这个过程的结果是我们建立起集合l s 5 ，s 2 ，s 1 ，s 3 ，s 6 ，s 8 。 我们把调试焦点放在这个最小化子集的语句上，因为状态s 4 ，s 7 ，s 9 和s 1 1 对变量y 值毫无影响”“。 华中科技大学硕士学位论文 以一个特殊的对象作为开始，可以向后或向前分片。仅保留一个引用的子集，它 直接影响到工作集中的对象或受这些对象的影响。当分片方法应用于审计追踪领域， 如果发现某个审计记录包含了一个工作集对象，就输出这个记录，并且在此记录中发 现的其它对象要添加至工作集中，这样继续分片。 举个例子来说明分片方法的工作过程：假设用户g o e 登录进入一个系统，然后将 其用户名改为f r a n k ，用户f r a n k 读取些机密信息，一个小时后，他又读取一些文 件，并改用户名为m a r k ，然后创建一个名为f i l e l 的可读文件并写入机密信息，三十 分钟后，f i l e l 又被某人通过文件传输守护进程传送至一台称为c r a c k e r 的机器。三 天后，安全管理员要找出信息泄密的原因，他可调用分片器去分片审计追踪，构造出 以敏感文件访问开始的事件链表。 分片器首先发现f r a n k 读取了敏感文件，通过向后分片，将发现f r a n k 的用户i d 来自j o e ，现在分片器可以丢弃任何不引用以下三个对象的审计数据： 敏感文件， f r a n k ，j o e 。通过向前，分片，将发现用户i d 切换至m a r k ，并且m a r k 创建了文件f i l e l 。 我们的工作集现包含 敏感文件，j o e ，f r a n k ，m a r k ，f i l e l 。s s o 只需提供初始的 审计记录，分片器起到数据缩减的作用。在分片的每一步，s s o 必须说明增加哪些对 象到工作集中，并指示分片器处理的方向。这里构造了分片器的一个简单原型，用它 分片的结果如图2 4 所示。 图2 4 分片法的图示 然而仍有几个问题有待解决：首先，哪些属性将用于分片。有几个属性是潜在的， l3 华中科技大学硕士学位论文 如用户，进程和文件。在基于对象的模型中，属性问题与对象问题是同一问题。一些 属性相对某种浏览而言比对象更为有用。另外，分片法的一个主要缺陷阻碍了它的进 一步发展：如果分片器开始于一个对象，并向前转移，它可能会略过些以后的分析 需要的对象。这些对象当前不在工作集中，因此被忽略。在分片器找到一个适当的记 录后，它判断出那些对象应增加到工作集中去。这时，分片器又被指示向后移动，重 新分析它先前检查过的数据。当需大量的这种方向改变时，分片算法的效率变得极为 低下。当动作连续地发生时，这种算法工作得比较好，但很多系统并不保证这一点。 2 4 审计分析模型设计 2 4 1一个基于u n i x 的审计分析模型 基于u n i x 的审计分析模型增加了文件对象。 这个模型说明了两个问题：首先，高效的审计浏览是可能的：其次，预处理能完 成大量的审计追踪数据缩减工作。 本文构建了一个称为“a b ”的原型预处理器，它是一种审计浏览器。以c 语言构 造。另一个命令是p r a u d i t ，它创建对象并建立对象间联系。a b 需5 分钟时间处理一 个1 6 m b 二进制审计文件中的数据，p r a u d i t 则需花费1 0 分钟时间将这些二进制数据 转换成“a b ，最终使用的形式f 捌【2 3 】1 2 4 1 。 图2 5 审计浏览器的概念模型 l4 华中科技大学硕士学位论文 本文关注的是系统安全状态实际上是怎样随时间而改变的，而不是用户怎样尝试 改变这种状态。显然，这种方法不能够用于检测那些依靠已失败访问的攻击。 每个对象包含的信息对审计分析来说都是有用的。在图2 6 中有三种对象，它们 是p r o c e s so b j e c t ( 进程对象) ， f i l eo b j e c t ( 文件对象) ，f i l ea c c e s so b j e c t ( 文 件存取对象) 。每个进程对象包括进程i d ( p i d ) ，父进程i d ，实际和有效的用户 i d ( e u i d ) ，组i d ( g i d ) ，进程的创建时间，进程存在时间，指向子对象和父对象的指 针，指向文件读、写和执行的指针。每个文件对象包含文件系统i d ，结点i d 和设备 i d ，文件名和指向存取历史的指针。文件存取对象用于处理一个文件对象的访问历史， 它包括用户i d 和组i d ，使用的文件属性( a t t r i b u t e s ) ，存取的时间( t i m e ) ，存取 的类型( t y p e ) ，指向进程的指针”“。 图2 6a b 中使用的对象概念图 审计追踪中每个文件存取记录引发一个文件历史对象被创建，然后“a b ”用审计 记录可利用的数据来填充各个对象。相联系的进程对象被修改以反映出新的行为。这 种结构是相当复杂的，并且是进程和文件联系过程的核心。 “a b ”主循环的部分代码如下： w h i l e ( x ：= g e t n e x t a u d i tr e c o r d 0 ) 华中科技大学硕士学位论文 y _ g e t t y p e ( x ) ： c a s e ( y ) o f f o r k ：c r e a t e n e wp r o c e s s ( x ) ： e x i t：e x i tp r o c e s s ( x ) ： e x e c ：p r o c e s s _ e x e c ( x ) ： o p e n r e a d：f i l e a c c e s s ( x ，r e a d ) ： o p e n _ w r i t e ， m k d i r ，c h o w n ：f il ea c c e s s ( x ，w r i t e ) ： o p e n r e a d _ w r i t e ：f i l ea c c e s s ( x ，r e a d o r w r i t e ) ： d e f a u l t：ai g n o r e ( x ) 十) ) b r o w s e _ o b j e c t ( ) ；t a b 持续地读审讦记录直至读完为止，在分析每个记录后，决定记录的类型，并送 到相应的处理程序。 “a b ”调用一个显示程序可将审计数据转换为易读格式，首先，显示出每个进程 对象，诸如用户i d 和组i d ，所有有关信息，紧随其后的是按访问类型排序的文件访 问的列表和子结点的列表。为易于观察进程树，每个子结点少量缩进了父结点的数据， 最后，显示出每个文件对象，随后是文件访问列表。 在这种模型里，只要审计追踪包含了必要的信息，“a b ”就能够调节进程和文件 联系。这样又让我们易于浏览审计追踪及发现攻击。 这种模型是u n i x 特殊化的，“a b ”自动建立文件和进程间的链接。而且，这种模 型证实了有用的自动审计浏览器是可以建立起来的。通过简单地从当前对象列表或全 局对象选择器中选取下一个对象的方式，进程对象和文件对象就易于遍历。构建一个 基于x 窗口的应用程序，它在屏幕上显示出对象和它们问的联系，这种方式要比文本 环境下的审计浏览更为简单。 另外，对于用户是怎样改变机器的状态和信息流是怎样监测的这类问题，我们感 兴趣的是成功的调用。通过只考虑那些成功的调用和改变了系统安全状态的记录，这 里数据缩减的直接方法。 这种模型的缺点在于，首先，这种模型仅用于u n i x 环境，虽然修改了这种模型 16 华中科技大学硕士学位论文 的分析器和数据结构后，可应用于新的审计类型，但尝试把“a b ”移植到诸如d e c s v m s 或i b m sm v s 之类的操作系统上去是相当困难的。另外，这种模型中的一些对 象域难于管理，特别是那些在对象生命期