（计算机应用技术专业论文）基于iis审计的入侵检测系统设计.pdf

哈尔滨工程大学硕士学位论文 摘要 入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代 的主动型安全保障技术，它对计算机和网络资源上的恶意使用或入侵行为进 行识别和响应。随着信息化建设的不断深入，信息安全的完善一直是个关键 的环节。众所周知，现在的系统设计主流是b s 结构模式，即以浏览器作为 客户端，以w e b 服务器作为服务器端，进行通信的。通常大多数w e b 站点 的设计目标都是以最易接受的方式为访问者提供即时的信息访问。在过去的 几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可 访问性。尽管a p a c h e 服务器也常常是攻击者的目标，然而微软的i n t e r n e t 信 息服务0 i s ) 一w e b 服务器才是真正意义上的众矢之的。 本文的工作重点正是针对w e b 服务器( i l s ) 设计的入侵检测系统。从当 前国内外网络安全的发展现状出发，重点研究基于主机审计的入侵检测系统， 并把i i s 日志文件作为主要研究对象。基于日志文件的分析，本文提出改进 的基于排除的串匹配入侵检测算法，使得系统能够更有效地检测已知的入侵 行为和异常入侵行为。目标系统1 1 sa n a l y z e r 结构上分四大模块，分别是数 据采集模块、数据库管理模块、安全分析模块和系统响应模块，核心是安全 分析模块。本目标系统的特点是对安全分析模块的模式匹配算法进行了改进， 提出了基于排除的匹配算法，该算法使得设计的系统提高了检测的效率。 关键词：入侵检测：基于排除的模式匹配；日志分析；i i s 审计 哈尔滨工程大学硕士学位论文 a b s t r a c t t h ei n t r u s i o nd e t e c t i o nt e c h n o l o g yi san e wv o l u n t a r ys e c u r i t yt e c h n o l o g y ， a p a r tf r o mt r a d i t i o n a ls e c u r i t yp r o t e c tt e c h n o l o g ys u c ha sf i r e w a l i a n dd a t a e n c r y p t i d s sw a t c ht h ec o m p u t e ra n dn e t w o r kr e s o u r c c sf o ri n t r u s i v ea n d v i c i o u s a c t i v i t i e s w h e nt h e yf o u n dt h a t ，t h e yw o u l dr e s p o n da n di d e n t i f yt ot h es y s t e m a l o n g w i t ht h e u n c e a s i n gd e v e l o p m e n t o fi n f o r m a t i o n m a n a g e m e n t f o r e n t e r p r i s e s ，t h ei n f o r m a t i o ns e c u r i t yh a sb e c o m i n gak e ym a t t e r a sw ea l lk n o w ， b i ss t r u c t u r em o d eb e c o m e st h em a i n s t r e a mi ns y s t e md e s i g n ，n a m e l yt h e c o r r e s p o n d e n c e a c h i e v e du s i n gb r o w s e ra sc l i e n t sa n dw e b 勰s e w e r t h e c o m m o np e r s p e c t i v ef o rm o s to fw e bd e s i g ni st op r o v i d ev i s i t o r sw i t hc u r r e n t i n f o r m a t i o nm e a n so ft h ee a s i e s ta c c e s s i nr e c e n ty e a r s ，m o r ea n dm o r es e c u r i t y p r o b l e m ss u c ha sh a c k e r s v i r u sa n dw o r r u ss e v e r e l ya f f e c tt h ea v a i l a b i l i t yo fw e b a c c e s s t h o u g ha p a c h es e r v e ri su s u a l l yt h et a r g e to fa t t a c k e r s i i sw e b s e r v e ro f m i c r o s o f ti st h er e a lt a r g e ti ns e n s e s t h es y s t e md e s i g n e di nt h i st h e s i si sa na t t a c kt e s t i n gs y s t e mf o ri i sw e b s e w e r o nb a s i so fc u r r e n td e v e l o p m e n ts t a t u so fd o m e s t i ca n do v e r s e a sn e t w o r k s e c u r i t y , t h er e s e a r c hi sf o c u s e do ni n t r u d i n gd e t e c t i n gs y s t e mb a s e do nh o s tp c w i t hi i sl o gf i l e sa sr e s e a r c h i n go b j e c t i o ns i n c el o go f f e r sg r e a th e l pt oa l lt h e a c t i o n s t h es y s t e mh o s td e f e n s ei ss t r u c t u r a l l yc o m p o s e do ff o u rm o d u l e s ：d a t a c o l l e c t i n gm o d u l e ，d a t a b a s em a n a g i n gm o d u l e ，s e c u r i t ya n a l y s i sm o d u l ea n d m o n i t o r i n gp l a t f o r mm o d u l e a m o n gw h i c h ，s e c u r i t ya n a l y s i sm o d u l ei st h ec o r e t om a k es e c u r i t ys t r a t e g y t h eo u t s t a n d i n gf e a t u mo ft h i st a r g e ts y s t e mi st h a t m o d u l em a t c h i n gm e t h o d o l o g yw h i c hi sc a l l e de x c l u d e - b a s e di sm o d i f i e d ，t h u s t h em a t c h i n gr a t ew i l lb eh e i g h t e n e d k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；e x c l u d e - b a s e dm o d u l em a t c h i n g ；l o ga n a l y s i s i i sa u d i t 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：孝、f 许 日期：呻7 年，月 日 哈尔滨工程大学硕士学位论文 第1 章绪论 本章分为三个部分：第一部分简要介绍了入侵检测的意义及其发展历史； 第二部分主要介绍了入侵检测系统的分类、功能与基本构成；最后阐述了本文 研究的主要内容和论文的组织。 1 1 入侵检测的意义 传统的网络安全解决方案是在局域网的入口处添置防火墙，人们认为它可 以保护处于防火墙身后的网络不受外界的侵袭和干扰，但防火墙也并不意味着 万事大吉。随着网络技术的发展，网络结构日趋复杂，传统的安全机制不再能 满足网络安全的需求，究其原因最主要的是这些安全机制都属于静态的机制， 缺少主动性i l j 。 入侵检测系统是近年出现的新型网络安全技术，它之所以重要就是因为它 可以弥补静态防御系统的不足，为网络安全提供有效的入侵检测及采取相应的 防护手段1 2 j 。如果说防火墙是大厦的防护门、电子锁，那么入侵检测系统就是 大厦的视频监视、红外线监视系统。入侵检测系统不停地分析网络中的数据流， 检查其中非授权的活动。例如黑客攻击，入侵检测系统可以发警报，将活动的 细节报告给管理控制台，或者断开网络会话，在网络系统受到危害之前，使用 户能够及时做出反应。入侵检测系统( i d s ) 以实时性、动态检测和主动防御为 特点，有效弥补了其它静态防御工具的不足【3 l o 由此可见，作为防火墙有力补充的入侵检测系统在网络安全问题中的重要 位置。 1 2 入侵检测的发展历史 入侵检测的研究最早可以追溯到1 9 8 0 年j a m e sa n d e r s o n 发表的一篇文章 c o m p u t e rs e c u r i t yt h r e a dm o n i t o r i n ga n ds u r v e i l l a n c e ，他首次提出了入侵检测 的概念【4 l o 在该文中，a n d e r s o n 提出将审计数据应用于监视入侵威胁，该文被 哈尔滨工程大学硕士学位论文 认为是入侵检测研究的开创之作。1 9 8 7 年，d o r o t h yd e n n i n g 发表的文章a n i n t r u s i o nd e t e c t i o nm o d e l 给出了一个基于用户特征轮廓( p r o f i l e1 的入侵检测通 用模型l ”，该模型被后来的许多入侵检测系统采用，被认为是入侵检测研究的 又一里程碑。该文首次将入侵检测作为一种计算机系统安全防范的措施提出， 与传统的加密、识别与认证、访问控制相比，入侵检测是一种全新的计算机安 全措旌。 早期的i d s 系统都是基于主机的系统，也就是说通过监视与分析主机的审 计记录检测入侵i “。1 9 8 6 年为检测用户对数据库异常访问，在i b m 主机上用 c o b o l 开发的d i s e o v e r y 系统可说是最早期的入侵检测系统雏形之一7 1 。1 9 8 8 年，t e r e s al u n t 等人进一步改进t d e n n i n g 提出的入侵检测模型1 8 1 ，并创建了 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，该系统用于检测单一主机的入侵尝 试，提出了与系统平台无关的实时检测思想，1 9 9 5 年开发了i d e s 完善后的版 本- n l d e s ( n e x t g e n e r a t i o ni i i t m s i o nd e t e c t i o ns y s t e m ) 可以检测多个主机上 的入侵。 另外，1 9 8 8 年，为了协助美国空军安全官员检测误用空军基地使用的 u n i s y s 大型主机开发了h a v s t a c k 系统1 9 j ；同时，几乎出于相同的原因，出现了 为美国国家计算机安全中心m u l t i c s 主机开发的m i d a s ( m u l t i c si n t r u s i o n d e t e c t i o na n da l e r t i n gs y s t e m ) 。1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了 w & s ( w i s d o m a n d s e n s e ) 系统i ”j ，p l a n n i n g r e s e a r c h 公司开发了 i s o a ( i n f o r m a t i o ns e c u r i t yo f f i c e r sa s s i s t a n t ) 。 1 9 9 0 年，h e b e r l e i n 等提出了一个新的概念1 1 1 】：基于网络的入侵检测 - n s m m e 咐o r ks e c u r i t ym o n i t o r ) ，n s m 与此前的i d s 系统最大的不同在于 它并不检查主机系统的审计记录，它可以通过在局域网上主动地监视网络信息 流量来追踪可疑的行为。1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n d i n t r u s i o nr e p o r t e r 与d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合 并处理来自多个主机的审计信息以检测协同攻击1 1 2 l 。致力于解决当代绝大多数 入侵检测系统伸缩性不足的途径于1 9 9 6 年提出1 1 3 】，这就是g r i d s ( g r a p h b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现，该系统使得对大规模自动或协同攻 击的检测更为便利，这些攻击有时甚至可能跨过多个管理域。近年的主要创新 包括：f o r r e s t 等将免疫原理运用到分布式入侵检测领域：1 9 9 8 年r o s s a n d e r s o n 哈尔滨工程大学硕士学位论文 和a b i d ak h a t t a k 将信息检索技术引进到入侵检测【1 4 】。1 9 9 9 年哥伦比亚大学计算 机系w c n k el e e 把数据挖掘技术应用于入侵检测系研究中【“】。2 0 0 0 年t c r r a nd l a n e 利用机器学习技术检测入侵 1 6 l 。同时，基于神经网络、基于模型推理的入 侵检测技术是近年来的研究热点之一；而基于a g e n t s 的分布式入侵检测系统也 已成为研究大型网络系统安全的一个方向。 1 3 入侵检测系统的分类 1 3 1 根据信息源分类 入侵检测系统要对其所监控的网络或者主机的当前状态做出判断，并不 是凭空臆测，它需要以原始数据中包含的信息为基础，做出判断。根据原始 数据的来源，可以将入侵检测系统分为基于主机的、基于网络的和基于应用 的入侵检测系统i l ”。 ( 1 ) 基于主机( h o s t - b a s e d ) 的入侵检测：数据来源于主机系统。主机系统 中最经典的数据源就是审计日志，也有的入侵检测系统将数据源扩展到系统 日志、应用程序日志、系统状态、系统调用信息等。显然，它所监视和保护 的对象是主机。 ( 2 ) 基于网络( n e t w o r k b a s e d ) 的入侵检测：数据来源于整个网络。它建立 在线路侦听的基础上。实际实现时，一般是把入侵检测系统所在主机的网卡 设为混杂模式，从而捕获经过它的所有网络数据包。它监视的对象是整个共 享子网，能够为整个共享子网提供保护。 ( 3 ) 基于应用的入侵检测系统：基于应用的入侵检测系统可以说是基于 主机的入侵检测系统的一个特殊子集，也可以说是基于主机的入侵检测系统 实现的进一步细化，所以其特性、优缺点与基于主机的i d s 基本相同。主要 特征是使用监控传感器在应用层收集信息。由于这种技术可以更准确的监控 用户某一应用的行为，所以这种技术在日益流行的电子商务中也越来越受到 注意。它监控在某个软件应用程序中发生的活动，信息来源主要是应用程序 的日志。它监控的内容更为具体，相应地监控对象更为狭窄。 基于主机的入侵检测系统与主机结合较为紧密，能发现一些基于网络的 入侵检测系统发现不了的入侵。不过基于主机的入侵检测系统缺乏跨平台性， 哈尔滨工程大学硕士学位论文 而且会在服务器上产生额外的负载。而基于网络的入侵检测系统的优势在于 秘密性、平台无关性、易于实现将涉及多个主机的入侵信息进行关联分析、 保护范围大。这三种入侵检测系统具有互补性，基于网络的入侵检测能够客 观地反映网络活动，特别是能够监视到系统审计的盲区：而基于主机的和基 于应用的入侵检测系统能够更精确地监视系统中的各种活动。实际系统大多 是这三种系统的混合体。 1 3 2 根据分析方法分类 ( 1 ) 异常检测( a n o m a l yd e t e c t i o n ) ：异常检测的基本假设是入侵活动具有 不同于正常用户活动的特征，即入侵活动表现为异常【 】。首先根据主体的历 史活动记录，为每个主体建立正常活动的“活动简档”；将当前的主体活动与 “活动简档，进行比较，如果差异大于某个预定义的值，就认为这是一次入侵。 ( 2 ) 误用检测( m i s u s ed e t e c t i o n ) ：误用检测首先将已知的每种入侵方法都 表示成一条入侵规则；将当前发生的活动与入侵规则集进行匹配，如果当前 的活动与某条入侵规则匹配就认为是采用该种入侵方法发起的一次攻击【i - 。 基于异常的入侵检测系统的优势在于：能够发现未知的攻击；通过采用 适当的自学习算法，基于异常的入侵检测系统一旦建立，可以不必修改和更 新。它的缺点是建立系统主体正常活动的“活动简档”和设置合适的临界值都 比较困难、误警率高。而基于误用的入侵检测系统的优点是准确率高；它的 不足在于难以发现未知攻击、攻击模式库需要不断更新。 因为异常检测方法难以实现，所以很少被采用：所有的商业入侵检测系 统都采用了某种形式的误用检测方法。但是，异常检测方法的优点让研究人 员向往不已，大部分的研究工作都集中在异常检测方面，人们提出了各种各 样的新方法企图使异常检测实用化。 1 3 3 根据运行方式分类 按照体系结构，i d s 可分为集中式、等级式和协作式三种i 嘲。 ( 1 ) 集中式入侵检测系统：集中式i d s 可能有多个分布于不同主机上的 审计程序，但只有一个中央入侵检测服务器。审计程序将当地收集到的数据 踪迹发送给中央服务器进行分析处理。集中式i d s 在可伸缩、可配置性方面 4 哈尔滨工程大学硕士学位论文 存在致命缺陷。随着网络规模的扩大，主机审计程序和服务器之间传送的数 据量就会骤增，导致网络性能大大降低。一旦中央服务器出现故障，整个系 统就会陷入瘫痪。并且，根据各个主机不同需求配置服务器也非常复杂。 ( 2 ) 等级式( 部分分布式) 入侵检测系统：等级式i d s 中，定义了若干个分 等级的监控区域，每个i d s 负责一个区域，每一级i d s 只负责所监控区域的 分析，然后将当地的分析结果传送给上一级i d s 。等级式也存在一些问题： 首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要作相应的调 整；第二，这种结构的i d s 最后还是要将各地收集到的结果传送到最高级的 得检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。 ( 3 ) 协作式( 全部分布式) 入侵检测系统：协作式i d s 将中央检测服务器的 任务分配给多个基于主机的i d s ，这些i d s 不分等级，各司其职，负责j | ；f 控 当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著的提高，但 维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审 计开销，踪迹分析等。 1 4 入侵检测系统的功能与基本构成 1 4 1 入侵检测系统的功能 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以 将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统至少 能够完成以下功能l m 。 ( 1 ) 监控、分析用户和系统的活动：这是入侵检测系统能够完成入侵检 测任务的前提条件。入侵检测系统通过获取进出某台主机的数据或整个网络 的数据，或者通过查看主机日志等信息来实现对用户和系统活动的监控。获 取网络数据的方法一般是“抓包”，即将数据流中的所有包都抓下来进行分析， 这对入侵检测系统的效率要求很高。如果入侵检测系统不能实时的截获数据 包并对它们进行分析，那么就会出现漏包或网络阻塞的现象，如果是前一种 情况，系统的漏报就会很多，如果是后一种情况，就会影响到入侵检测系统 所在主机或网络的数据流速，使得入侵检测系统成为整个系统的瓶颈，这显 然是用户不愿看到的结果。因此，入侵检测系统不仅要能够监控、分析用户 哈尔滨工程大学硕士学位论文 和系统的活动，还要使这些操作足够的快。 ( 2 ) 发现入侵企图或异常现象：这是入侵检测系统的核心功能，主要包 括两个方面：一方面是入侵检测系统对进出网络或主机的数据流进行监控， 看是否存在对系统的入侵行为，另一方面是评估系统关键资源和数据文件的 完整性，看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时 发现，从而避免系统遭受攻击；而后者一般是系统在遭到入侵时没能及时发 现和阻止，攻击行为已经发生，但可以通过攻击行为为留下的痕迹了解攻击 行为的一些情况，从而避免再次遭受攻击。对系统资源完整性的检查也有利 于对攻击者进行追踪，对攻击行为进行取证。 ( 3 ) 记录、报警和响应：作为一种主动的防御策略，入侵检测系统在检 测到攻击后，必然应该具备采取相应的措施来响应攻击或阻止攻击的功能。 入侵检测系统首先应该记录攻击的基本情况，其次应该能够及时发出报警。 好的入侵检测系统，不仅应该能够把相关数据记录在文件中或数据中，还应 该提供好的报表打印功能。必要时，系统还应该采取必要的响应行为，如拒 绝接收所有来自某台计算机的数据、追踪入侵行为等。实现与防火墙等安全 部件的响应互动，也是入侵检测系统需要研究和完善的功能之一。 作为一个好的入侵检测系统，除了具备以上的基本功能外，还可以包括 其他一些功能，如审计系统的配置和弱点、评估关键系统和数据文件的完整 性等。另外，入侵检测系统应该为管理员和用户提供友好、易用的界面，方 便管理员设置用户权限，管理数据库、手工设置和修改规则、处理报警和浏 览、打印数据等。 1 4 2 入侵检测系统的基本构成 入侵检测系统通常由以下一些基本组建构成【1 9 i ，如图1 - 1 所示： ( 1 ) 事件产生器：事件产生器是入侵检测系统中负责原始数据采集的部 分，它对数据流、日志文件等进行追踪，然后将收集到的原始数据转换为事 件，并向系统的其他部分提供此事件。 ( 2 ) 事件分析器：事件分析器接收事件信息，然后对它们进行分析，判 断是否是入侵行为或异常现象，最后把判断的结果转换为警告信息。 ( 3 ) 事件数据库：事件数据库是存放各种中问和最终数据的地方。它从 6 哈尔滨工程大学硕士学位论文 事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。 ( 4 ) 响应单元：响应单元根据警告信息做出反应，如切断连接、改变文 本属性等强烈的反应，也可能是简单地报警。它是入侵检测系统中的主动武 器。 图1 1 入侵检测系统的基本构成图 从具体实现角度看，入侵检测系统一般包括硬件和软件两部分。硬件设 备主要完成数据的采集和响应的事实，软件部分主要完成数据的处理、入侵 的判断、响应的决断等功能。基于主机的入侵检测系统相对简单，基于网络 的入侵检测系统要复杂一些，一般采用分层分布式结构，只要分为数据采集 层、分析层和管理层。数据采集层主要用于抓包，必要时作一些分包和拆包 的工作；分析层收到数据后完成对数据的分析和判断，决定是否是入侵行为 或给出怀疑值；管理层用于对分析层的得上报结果进行决策，做出相应的响 应；管理层还完成系统的维护、人机交互等功能。一般在网络中需要检测的 点比较多，所以常要采用分布式的结构。 1 5 本文的研究内容 在阅读大量文献资料的基础上，本文从实际应用的角度，对基于主机审计 的入侵检测技术进行了较为深入的研究。主要包括以下几个方面： ( 1 ) 研究入侵检测系统框架，设计基于l l s 审计的入侵检测系统。在分析传 统入侵检测系统的基础上，深入研究入侵检测系统结构框架；将系统分为数据 采集模块、数据库管理模块、安全分析模块和系统响应模块等四个部分，分别 对它们进行简要设计。 ( 2 ) 研究具体的入侵检测技术。着重分析了模式匹配的入侵检测方法，其最 哈尔滨工程大学硕士学位论文 终目的是形成针对本文特定日志i i s 日志的基于排除的串匹配算法。 ( 3 ) 研究基于l l s 审计的入侵检测技术。本文的研究重点在于l l s a n a l y z e r - i d s x , 侵检测系统中的i i s 审计部分，因此在此部分中详细分析基于排 除的串匹配算法的入侵检测技术、基于审计跟踪数据的i i s n 志分析等。 ( 4 ) 详细研究了i i sa n a l y z e r 系统各模块功能特点，给出设计。最后通过实 验检验系统的有效性。 1 6 论文的组织 论文全文共分四章。 第1 章：绪论。本章首先简要介绍了入侵检测的意义和发展历史，接下来 介绍入侵检测系统的分类、功能和基本构成，然后叙述了本文的研究内容和所 作的工作，最后阐述了论文的组织结构。 第2 章：对入侵检测的信息源进行了研究。分别对三种基于主机的信息 源：操作系统审计迹、系统日志和应用程序日志进行了分析；在此基础上引 出本文采用的信息源i i s 日志，了解了w w w 网站日志的工作原理，分 析了i i s 日志的格式，为接下来的工作打下了基础。 第3 章：对入侵检测的方法和算法进行了研究。首先对按三种类别对基 本入侵检测方法进行了分析，重点研究了模式匹配方法；在此基础上给出了 本文的入侵检测方法：用于误用检测的基于排除的串匹配算法，同时详细地 给出了该算法的基本原理、实现方法和性能分析。 第4 章：系统的设计与实现。给出了系统目标，对i i sa n a l y z e r - i d s 的 整体结构布局进行了研究，形成一个较先进的入侵检测框架，给出i i s a n a l y z e r - l d s 中的模块化设计。接下来对l i s a n a l y z e r - i d s 各功能模块进行了 分析，并给出了数据采集模块、数据库管理模块和安全分析模块较详细的设 计方案。最后对系统进行了调试，最后给出了翔实的实验数据。 结论：对论文进行了总结，并阐述了下一步的研究工作。 哈尔滨工程大学硕士学位论文 第2 章入侵检测的信息源 全面了解入侵检测中使用的信息源，了解获取数据源的方法和途径，对 于设计高效的入侵检测系统、提高系统的检测准确率，具有重要的意义。本 章在介绍了入侵检测使用的主要信息源后，阐述了本文采用的信息源。 2 1 基于主机的信息源 基于主机的信息源，顾名恩义，是从主机系统获取的数据和信息。常见 的基于主机的信息源有操作系统审计迹、系统日志、用户击键和特权程序系 统调用。 2 1 1 操作系统审计迹 在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数 据源就是操作系统的审计迹。操作系统的审计迹是由操作系统软件内部的专 门审计子系统所产生的，其目的是记录当前系统的活动信息，例如用户进程 所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组 织成为一个或多个审计文件。当然，不同的操作系统类型，其审计记录的组 织形式也会有较大的差异。 大多数操作系统的审计子系统，都是按照美国t c s e c 标准对审计功能 的设计要求来实现的，其中很多操作系统都努力满足c 2 级可信系统的审计 要求。由于t c s e c 标准对审计功能的具体实现并没有给出具体指导意见， 所以，不同操作系统厂商根据自己的需要，在各自的产品中添加了大量针对 性很强的审计功能，从而不同的系统在审计事件的选择、审计迹的选择和内 容组织等诸多方面都存在着兼容性的问题。因此，入侵检测系统的开发就必 须考虑到对每种类型操作系统的审计机制都提供不同类型的数据收集模块， 才能满足目标系统内多操作系统平台环境的要求。另外一个存在的问题是， 操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的 入侵检测技术的需求目的，因此常常会出现目标系统的审计迹无法提供所需 9 哈尔滨工程大学硕士学位论文 的关键事件信息类型，或者是审计系统提供了过多的冗余记录信息，加重数 据收集模块的处理负担等诸如此类的问题。如果按照某些建议去操作，入侵 检测系统的开发人员须与目标操作系统平台的厂商进行密切合作；对操作系 统审计系统的软件设计进行有针对性的修改，则需要考虑如此操作带来的效 益与由此导致的潜在的系统维护费用之间的比较。在当前还不存在强大需求 的情况下，操作系统厂商似乎难以进行专门的定制修改操作。 尽管上面列出了操作系统审计迹作为入侵检测输入数据源而存在的几个 问题，但是在入侵检测技术的发展中，操作系统审计迹仍然被认为是基于主 机入侵检测技术的首选数据源，其原因包括： ( 1 ) 操作系统的审计系统在设计时，就考虑了审计迹的结构化组织工作以 及对审计迹内容的保护机制，因此操作系统审计记录的安全性得到了较好的 保护，对于以实现计算机安全为最终目标的入侵检测技术而言，安全的可信 数据源无疑是首要的选择。 ( 2 ) 操作系统审计迹提供了在系统内核级的事件发生情况，反映的是系统 底层的活动情况并提供了相关的详尽信息，从而允许入侵检测系统能够识别 所有用户活动的微细活动模式，为发现潜在的异常行为特征奠定了良好的基 础。 下面以当前流行的操作系统w i n d o w s 系列为例介绍审计系统机制及审 计迹格式。 w i n d o w s 系统以事件日志机制形式提供数据源，使用事件查看器进行查 看和管理。这些机制记录和组织来自操作系统和其他系统源的信息。事件是 用户进行的操作。事件日志是根据审计策略，或者是w i n d o w s 系统及应用程 序中的设置而记录下来的重要事件。可以根据事件的日志记录来识别和跟踪 安全性事件、资源使用情况，以及系统和应用程序中发生的错误等。 w i n d o w s 事件日志机制收集3 种类型的系统事件：应用程序日志、安全 日志和系统日志。至少可以用两种方法来实际观察w i n d o w s 的事件： ( 1 ) 运行s y s t e m r o o t 、s y s t e m 3 2 e v e n t v w r e x e ； ( 2 ) 从“开始”“程序”“管理工具”一“事件查看器”( 如图2 1 所示) 。 从图2 1 可以看到，记录本身又分为几种情况：“错误”是指比较严重的 问题，通常是出现了数据丢失或功能丢失；“警告”则表明情况暂时不严重， 哈尔滨工程大学硕士学位论文 图2 1 事件查看器的运行界面 但可能会在将来引起错误，比如磁盘空间太小等；“信息”是记录运行成功的 事件。下面对图2 - 1 左侧的“树”予以说明： ( 1 ) “应用程序日志”记载应用程序运行方面的安全性错误。 ( 2 ) “安全日志”记录与安全性相关的事件，例如与资源使用有关的事件， 还包括合法和非法的登录企图。 ( 3 ) “系统日志”包括由w i n d o w s 系统组件记录的事件，比如启动时某个驱 动程序加载失败等，系统事件由w i n d o w s 自动配置，并记录在系统日志中。 从系统管理的角度来看，管理员可以指定将哪些事件记录在安全日志中， 例如，若启用了“审核登录事件”成功和失败事件的功能，则所有登录到该系 统的企图都将被记录在安全性日志中。安全性事件根据审计策略被记录在安 全性日志中。注意，w i n d o w sx p 的默认安装是不打开任何安全日志审核的。 如果想打开安全日志审核： 首先，按“开始”“程序”“管理工具”“本地安全策略”，出现本地安全设 置界面，再按照“本地策略”一“审核策略”中打开相应的审核，如图2 2 所示。 图2 - 2 选择即将配置的审核策略 哈尔滨工程大学硕士学位论文 经过点击“属性但) ”，对具体的选择策略予以配置，可以选中“成功”、“失 败”，使策略变为图2 3 。 图2 3 配置结果 在图2 4 中可看到系统已经开始审核登录事件了。 图2 4 开始审核登录事件 还可通过在具体审计条目上点击右键，点击“属性( r ) ”，从而看到这一条 的具体内容。几点说明： ( 1 ) 审核策略包括下列几类：审核策略更改、审核登录事件、审核对象访 问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审 核账户登录事件、审核账户管理。管理员可以根据组织的安全需求对这些审 核策略进行合适的设置。 ( 2 ) 所有用户都能够查看应用程序日志和系统日志，但安全性日志只能由 系统管理员访问。 ( 3 ) w i n d o w s 系统的事件日志由多个事件记录组成，每个记录遵循统一的 事件日志的格式：类型、日期、时间、来源、分类、事件、用户、计算机。 1 2 哈尔滨工程大学硕士学位论文 2 1 2 系统日志 几乎所有的主流操作系统都拥有自己的日志机制。系统使用日志机制记 录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹 都非常关键。很多情况下，日志是系统受到攻击后寻找出入侵者踪迹或是司 法取证的唯一途径。日志可分为操作系统日志和应用程序日志两部分。操作 系统日志是指与主机的信息源相关的，使用操作系统日志机制生成的日志文 件的总称；应用程序日志是指由应用程序自己生成并维护的日志文件的总称。 操作系统日志从不同的方面记录了系统中发生的事情，因而对于入侵检测而 言具备重要的价值。 下面以u n i x 为例，来说明以上观点：u n i x 有完善的系统日志功能， 其常用日志如表2 1 所示。在u n i x 环境下，系统日志通常是指由后台进程 s y s l o g d 产生的s y s l o g 日志以及由其他应用程序如a p a c h ew e bs e i v e r 和a l d 产生的日志，例如，a c o g ：s s _ l o g ，x f e r l o g ，m a i l l o g 等。毫无疑问，从这些日 志中可以得到大量有价值的信息。事实上，经常检测日志是维护系统安全不 可缺少的一个环节。 表2 1 常用u n i x 日志文件 日志文件名称用途 a c c e s s l o g记录h t t p w e b 的传输情况 a c c t p a c c t 记录用户命令 a c u l o g记录调制解调器的活动 b t m p 记录失败的登录 l a s t l o g 记录最近几次成功登录和不成功的登录 m e s s a g e s从s y s l o g 中记录信息( 通常链接到s y s l o g 文件) s u d o l o g记录使用s u d o 发出的命令 s y s l o g从s y s l o g 中记录信息( 通常链接到m e s s a g e 文件) u t m p记录当前登录的每个用户 w t m p 一个用户每次登录进入和退出时间的永久记录 x f e d o g 记录f f p 会话 s u l o g记录s u 命令的使用 哈尔滨工程大学硕士学位论文 2 1 3 应用程序日志 操作系统审计记录和系统日志都是属于系统级别的数据源信息，通常是 由操作系统及其标准部件统一进行维护的。入侵检测优先选用二者作为输入 数据源，反映了长期以来的计算机安全传统信念：只有从系统内部收集的数 据才是可信的数据。该种观点在过去的历史时期内也确实有效，并且一直指 导着相关安全模式的发展道路。但是，当前计算机网络和分布式计算架构的 迅猛发展，已经提出了针对传统安全观念的若干挑战性问题。首先，日益复 杂化的系统设计，使得单纯从内核底层级别的数据来源( 操作系统审计记录或 系统日志) 来分析判断当前整个系统活动的情况，变得越来越困难；同时，底 层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时需要采用反殃 系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。 下面以w e b 服务器为例来介绍应用程序产生的日志信息。w o r ldw i d e w e b ( w w w l 服务是最流行的网络服务，也是电子商务的主要应用平台。w e b 服务器的日恚信息是最为常见的应用级别的数据源，主流的w e b 服务器都支 持访问日志机制。 w e b 服务器通常支持两种标准格式的日志文件，下西我们给出通用日志 格式( c o m m o nl o gf o r m a t ，c l f1 ，是从早期n c s a ( 美国伊利诺斯大学的国 家超级计算应用中心) 的w e b 服务器版本中继承下来的日志格式。c l f 日志 包含的字段定义及内容如表2 2 所示。 表2 2c l f 日志格式 字段格式 服务器所在主机的域名 h o s t s u b n e l d o m a i n n e t r f c 9 3 1 协议信息服务器返回给访问用户的信息 用户名( 如果需要认证)用户t o ( 例如，l i u y a n g ) 访问请求的时间h 期，时区信息 d d m m y y y y ：h h ：m m ：s s + t t m e z o n e 请求网页名称及采用的通信协议 g e th o s t s u b n 吼d o m a i n n e t ，i f l l _ px x = 请求的状态码( 2 0 0 代表成功)n n n ，没有则返回“” 请求返回的字节数目n n n n ，没有则返回_ ” 1 4 哈尔滨工程大学硕士学位论文 2 2 本文采用的信息源 通过以上分析，由于本文的l d s 主要为监测w e b 服务器的安全性，故采 用应用程序日志中的i i s 日志作为本文的信息源。下文是i i s 日志分析。 2 2 1i i s 日志审计分析 为了更好地提供w w w 服务，监控w e b 服务器的运行情况、了解网站 的详细访问状况就越来越显得重要和迫切了。而这些要求都可以通过对w e b 服务器的日志文件的审计和分析来做到。 2 2 1 1 唧w 网站日志工作原理 网站服务器日志记录了w e b 服务器接收处理请求以及运行时错误等各 种原始信息。通过对日志进行统计、分析、综合，就能有效地掌握服务器的 运行状况，发现和排除错误原因，了解客户访问分布等，更好地加强系统的 维护和管理，工作原理如下1 1 9 】： ( 1 ) 如图2 5 所示，客户端( 浏览器) 和w e b 服务器建立t c p 连接，连接 建立以后，向w e b 服务器发出访问请求( 如：g e t ) ，根据| r 兀p 协议该请求 中包含了客户端的i p 地址、浏览器的类型、请求的u r l 等一系列信息。 图2 - 5 w e b 访问机制 ( 2 ) w e b 服务器收到请求后，将客户端要求的页面内容返回到客户端。 如果出现错误，那么返回错误代码。 ( 3 ) 服务器端将访问信息和错误信息纪录到日志文件里。下面是客户端 发送给w e b 服务器请求的数据报的内科驯，如图2 - 6 所示。 可以看到，在客户机的请求里包含了很多有用的信息，例如客户端类型 等，而w e b 服务器就会将请求的w e b 页内容发送给客户机。 哈尔滨工程大学硕士学位论文 图2 - 6 客户端发给服务器端的数据报 2 2 1 2i | s 日志文件格式 ( 1 ) w w w 日志格式 图2 - 7 w w w 日志头文件格式 如图2 7 所示，第3 行记录了i i s 启动的时间，第4 行说明了每条记录 的格式说明。日志文件的名称格式是：e x + 年份的末两位数字+ 月份+ 日期， 如2 0 0 6 年1 2 月1 2 日的w w w 日志文件是e x 0 6 1 2 1 2 1 0 9 。i i s 的日志文件都 是文本文件，可以使用任何编辑器打开，例如记事本程序。 下面列举说明日志文件的部分内容，每个日志文件都有如下的头4 行【2 如图2 8 所示： 下面各行分别清楚地记下了远程客户端的口地址、连按时问、端口、请 求动作、返回结果( 用数字表示，如页面不存在则以4 0 4 返回) 、所使用的浏 览器类型等信息。 1 6 哈尔滨工程大学硕士学位论文 2 0 0 6 07 - 1 80 9 5 3 ：5 21 0 1 5 28 1 7 1 0 15 2s28 0g e t ，i n d e xh t m 一2 0 0 ， m o z i l l a47 6 + l c n 】+ ( x l i ：+ v ：+ l i n u x 一2 4 2 - 2 + i 6 8 6 ) - 2 0 0 6 0 7 1 80 9 ：5 3 ：5 8l o 1 5 2 8 1 3 - 1 0 15 2 8 28 0 g e t m yh o m e p a g e n e t h i e t n o t i t ? h t m - 4 0 4i n