（计算机应用技术专业论文）主机审计记录分析系统研究与设计.pdf

主机审计记录分析系统研究与设计 摘要 系统安全是一个愈来愈重要的问题，而审计系统作为隐患扫描、入侵检测系 统等安全产品的重要补充部分，一方面有助于帮助安伞管理人员有效地发现系统 中的异常行为，从而防j 重大的安伞事件发牛：男一方面可以作为事后检查工具， 在发生安全事件后，可以剩用审计系统来查找引发事件的原因，从而可以找出隐 患源、攻击源，为其它安全工具提供帮助，例如为基于特征检测方式的入侵检测 系统定义攻击特征，同时也可作为重要的犯罪取证工具，打击各种破坏系统的犯 罪行为。因此研究主机审计系统对于提高系统主机的安全性具有重要的理论和实 际意义。 本文主要研究如何构造基于主机的审计系统，包括审计记录的获取，审计记 录分析方法以及最后的审计浏览。首先分析各种不同审计模型，以及目前现有的 审计系统中审计分析的方法，在构造通用工作平台的指导思想下，针对现有分析 方法的不足，仅能作简单的字符串肖找或时间过滤，而无法进行全面的关联分析， 提出了基于面向对象分析方法的改进方案，采用类似于语义网络的结构，构造了 用审计元对象和表示关系的链对象组成的审计分析系统原型。其中实现了审计记 录预处理器，引入记录分解语法，生成统一的审计数据格式，为构造通用的审计 分析系统创建了基础：根据审计目标生成了相应的审计分析算法；同时为审计分 析结果构造了浏览器，以可视化的方式来表示审计分析结果，将审计元对象间的 关联以网状的形式直观地展现出来。 本文摄后根据审计要求设计了相应的审计分析算法进行实验，结果表明相比 较其它现有审计系统而言，本文的方案能更有效地完成各种审计要求，弥补了当 前其官系统的不足。 关键词：安全审计：审计日志；审计分析方法；语义网络 l i 碗上学位论定 a b s t r a c t w i l hs y s t e ms e c u “t yi sb e c o m i n gm o r ea n d m o r ei m p o r t a n t ，a u d i ts y s t e ma l s o b e e o m e sai m p o r t a n ts u p p l e m e n tp a r to fs e e u r i t vt o o l ss u e 魏a sv u l n e i a b i l i t i 譬s s c a n n e ra n di n t r u s i o nd e 饴c t i o ns y s t e m o n et h eo n eh a n d ，hh e l p ss y s t e mg e c u “t y m a n a g e m e n it of i n ds y s t e mv u l n e r a b i l t ye f 珏c i e n t l ya n dp r e v e m sb i gs e e u f i t ye v e 妇t s h a p p e n i n g o nt h eo t h e rh a n d ，a 最e rs e c u r j t ye v e n th a p p e n e d ， s y s t e ms e c u r i t y m a a g e m e n tc a nc h e c kt h er e a s o n so f t h ee v e n t s ，西n dv u l n e r a b i l i t i e sa n dm es o u r c e o fa t t a c kw i 像t h eh e l po fa u d i ts y s t e m ，丁h f o u 醣t h ew 毒yp r o v i d j n gt h ec b 8 r a c t e ro f a t l a e k ，a u d i ts y s 把me a nh e l pt h ei n t 翔瞎i o ad e t e c 西o ns y s e mt h a tb a s e do 虱臌i s u s o d e t e c t l o nt od e f i n en e wd e t e c t i n gm l e sm e a n w h i l ea u d ts y s t e ma l s oc a n6 n d a c t a c k e r su n d e rs o m ec i r c u m s t 捷n c e s ，i tc a nb e & tc f i m i n a la c ta sat o o lo fc y b e r c “m e c o m p u t e rf o r e n s i c s s o r e s e a r c ho na u d i ts y s t e mb a s e do nh o s ts y s t e mh a s 鲈e a t t h e o ya n dp r a c t i c em e a n i n gf o ri m p r o v i n gc o m p u t e r ss e c u r i t y t h i sp a p e rm a i n i y 内c u so n 哺e n s “u e t i o no ft h ea u d “s y s t e mb a s e do nh o s t ， i n c l u d i n gg e t t n ga u d i tr e c o r d s ，器雌1 y s i go ft h ea u d i tr e f da n db r o w n i n g 掉s n i to f d i ta n a l y 面s ，f i r s t ，i td i s c u s s e ss o m ek i n 龇o fa u d ns y s t e mm o d e ia n d 曩n a l y s i s m e t h o do fc u r f e n ta u d i t n a l y s i ss y s t e m ，s e c o n d ，u n d e rt h eg u i d e i i n eo fa u d i t w o r k b e n c hc o n c 印ta n di nc o n n e c t i o nw i t hd i s a d v a n t a g eo fa n a l y sm e t h o d ，w h i c h o n l yc a nd o i n gs o m es i m p l es t f i n g ss e a r c ho r 矗l t e r n gr e c o r db yt j m ec o n d i t i o na n d c a n tr e l a t i n ga u d i tr e c o r df r o md i f f e r e n ta s p e c t ，t h ep a p e rp r o p o s e san e wa u d n s y s t e mm o d e i 。w h l c hb a s e do no r i e n t o b j e c ta n a i y s i sm e t h o d ，u s i n gc o n s t r u c t i o n s i m i l a ra ss e m a n l i cn e ta n dp r e s c n t i n gt h er e l a f i o n 5 h i pb yu s i n ga u d i tm e t ao b j c c t s a n d 曲a i no b j e c t s i nt h i sn o v e lm o d e l ，b yt h ew a yo fa u d lf e e o f dp a r s e 斟a m m a r i t d e i g l l sa n dc o n s t r u c 舢玎sa u d j tf e c o r dp f e p r o e e g s o r 娟i c hc 觚c o n v e r t i n ga u d i tr a w d a t ai n t ou n i v e r s a lf o r m a t ；i ta l s od e v e l o p ss o m ea u d 主ta n a l y s i sa l g o r i t h m sb a s e do n d i f k r e 眦a u d i a r g e t s e c o n d ，i tb u i l d sab r o w n i n gf o rd i s p i a ya u d i ta n a l y s i sr e s u l t a n dt h er e l a t j o ns 1 1 i po fa u d nm 哦ao b j e c t sl h r 。u g hv i s u a lw a y 。 f i n 8 1 1 kt h i sp a p e rd e s j g n ss o i n et e 髓st oc h e c kt h en e wa u d i ts y s l e mm o d “， r e s u n sp r o v i 如t h 融“c a nc o m p l c t i n gm o s to f 矗u 出tr e q u i r e sm o f ee 塌c i e n c y c o m p 8 f ew i t ho t h e rc u r r e n ta h 出ts y s t e m sa 孔dr e m e d y i n gd i s a d v a n t a g eo fc u r r e n t a u d i ts y s t e m k e yw o r d s ：s e c u r i t ya u d i t ；噩u d j tt r a i i ；a u d i ta n a i y s i sm e t h o d ；s e m a n t i en e t i 主机审计记录分析系统研究与设计 插图索引 图2 1 审计分析步骤示意图8 图2 2 引入状态匹配机制的审计日志器结构图9 图3 1 用于特征分析的自动状态机1 9 图4 1 审计工作台架构图2 2 图5 1 “a b ”中使用的对象示意图2 8 图5 2 审计系统模型3l 图5 3 记录预处理器模型3 2 图5 4 分解处理器处理流程示意图3 3 图5 5 审计记录对应的局部对象关联图3 5 图5 6 审计记录关联示意图3 7 图6 1 系统进程树的审计分析图4 1 图6 2 对特定用户的审计分析图4 2 v i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 破l n ； 日期：二。f 年广月。日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密匹 ( 请在以上相应方框内打“”) 作者签名： 导师签名： ；鼍日期：2 ，。名年产月善f 日 日期：，。年广月2 z 日 装帝￥界 。1 讲究曩的及意义 第1 章绪论 审计是计算机领域熙由来已久的概念，宦的基本作用是完成“谁在什么时间 作了什么事情”，但是窀的实现方式、工作方式却一直在不断地发生变化，最 早时期，计算成本高昂，审计蛉表现形式为账户管理，它记录了用户使用计算枫 资源豹揍凝，蒡蔹蘧对蠲户避蠢蔹费。瑟疆饕诗箕壤楚理懿数撵交褥目蓥敏戆、 重要辩，安全交藏了关键阍题。显然，如采我们仅仅将早期羽予账户管理的技本 引入到现在需要保障安全的领域，是无法满足要求的。 安众问题是任何使用计算机的政府、公司及个人均不能忽略的问题，对于巢 些团体丽静，安全问题极端霪要。诸如国家焱全部门、航空投制系统、电子商务 公司等，舞采不裁僳箨安全，烈哥憨发生戮豢安全壤密渣露、飞掇稳撞、逛子鬟 币被盗豹情况，面以上强何一种情况的发坐，对该透俸两言都建毁灭性静打击。 因此现燕的情况是，随着人们对计算机的依赖愈来愈强，以及计算机网络无处不 在的发展趋势，如何保障计算机安全比以往任何时候都更显遗切。 而为了保障计算机安众采取了各种方法。系统加密、安全认证机制以及访问 控裁秘剃，懿密码移文馋谗霹权限，严楱戳剃建户菲法访阉系统资源，鸷已经鬟 入了各释计算瓤系统串。尽管如鼗，情况仍然不容乐窥，每一个主流豹系统殇存 在着缺陷，即使那些被认为是很安全的系统，都有过被非受权用户冒称的合法入 侵，或糟合法用户滥用其投限的事件；此外，系统中还存在许多在编码过程中所 产生的镄误，如缓冲区漏洞就是典型的此类问题，这使用得攻谢人员总是有可乘 之杌，熊够竣入系统共楚寨系统安全。 慧之，现实中著不存在一令绝对安全豹系统，律为一个补救措施，系统警邋 员以及蜜全人员希望能够及时地了解系统用户在系统中的所作所为，并从中发现 问题、解决问题。审计系统就是一个能满足此种进行事后分析辨求的工具，所以， 研究基予主机的审计系统对于有效地提高系统安全而言具有搬辙要的意义，它 方露不设有驹予事后发璇系统安全阙题，黎秘系统安全管理入受重薪改进系统的 安全蠢嚣；另一方瑟它熬警诗记录信惑可驭撵为其它系统安全王其豹数蕹添，魏 入侵检测系统，帮助它们熙好地完成保障系统安全的工作。 1 2 研究内容 圭糗宰诗系统襞蹩操撵系统镁域也楚系统安全领域戆磷突凌察，一壹受翼多 方靛磷究，特剐是近年来，入橙羧溅系统豹发展显示爨毒计信息对捡测攻击能提 供寿效鹈帮嚣，受鬟了更多懿美注，该锈域懿疆究大侮毒班翊分灸叛下滔令方面： 1 主机审计模型的研究 主机审计模型所关注的重点熄如何将审计系统植入到操作系统，以获取审计 记录信息，包括艇个审计系统的结构，各组件功能、接口设计等，嗣前现有的主 枫窜计模型圭骚旁b s m ( b a s i cs e c u f i t ym o d u l e ) i 孙，s n a r e ( s y s t e mi n t f u s i o 珏 a 羲a l y s l s r e p o f t i n ge n v i f o 珏毯e 魏t ) ，s a l n t ( s y s t e ma 醢d i ti n t f 毪s i o 鞋赣a e k i n g ) f 3 】，以及完全嵌入到操作系统中f 4 l 等。 2 审计记泶的安全存储 对于主机审计系统而言，本身也存在着安全问题，一旦被入侵者攻破，审计 记录藏可能被皴坏，其内容可熊技蓄意篡改以至熬予其上的分析没蠢任傅结果， 甚至季莓窭镑误缝论，掩盖了系绫被攻击戆事实；袋蠢于珑壹接将窜诗诞录清除簌 而使审计系统失效。因此，需要保障审计记录安全地存储在系统，秘前主要的方 法有加密、哈希保护、实时转储【5 】等。 3 审计记录的分析算法 对于审计蓉统焉言，采用不燃豹审计级别均搿熊产生丈量的审计数据，该方 嚣主要磅究鳃餐涛各静葙关懿窜诗记录售塞综合熬采，获孛褥遗毒意义缍论；避 免审计人员手工从海量的信息巾提取出可疑的数攒。这方面的工作蹿前是整个审 计系统研究里最薄弱的部分，大部分的系统里集成的审计系统均没有附带一个如 此的分析系统。 4 审计近淤的浏览表示 该方嚣豹磺究取决于上述第三个穷嚣瓣磷突，蜜鼯上藏是努誊厅缭鬃魏麴莱表 示的问题，如粜没有好的分拆系统，审计系统所能侔的仅仅将大量的审计数据豉 可查询的方式给出而已。诸如m i c r o s o f t 公司的w i n d o w s 系统系列，它所提供就是 这样一个将审计记录按时间、类别分别列表的系统；其它操作系统的情况是如此， u n i x 类操作系统也采用的类似的处理，并且其浏监嚣还是由第三方掇供的f 6 】，当 然萁凌戆氇无法取褥突酸。 由上可默嚣瀣，虽然当前繇霄的操作系统均撼供了内嵌的审计系统，但由于 审计数据越来越趋向海量化，同时又缺乏足够有效的审计记录分析系统对这些数 据进行加工处理，对审计数据的分析还需要安全人员手工分析( 更多越它的问题 将在稍后的窜节中详细介绍) 。最终导致事后审计工作不仅枯燥、惹昧，而且极 荔产生错误豹分爨结果，或者不肇遮潺过重要豹霹聚事释。慈薅瑟富，审诗系统 对安全系袭铃瑷入员所提供的帮劲并不足够。 因此，本文主要研究基于主机的审计分析系统殿其相关技术，针对目前审计 分析系统不够完善的情况，研究如何对审计系统中记录的审计记录数据进行分 2 析，以帮助相关安全篱理人嫡实现商效地系统安众审计，同时帮助其它撼于审计 信息懿安全产燕获取襄俊燕缎售惑。 1 。3 本文的主要工作 本文首先介绍了当前关于审计系统研究的现状，针对主流审计模型b s m 、 s n a r 嚣等分绥了审诗系统的实瑗方式，绫及其窜诗记录瓣揍式等，奁魏基爨+ 皂 着重对如何构建审计记录分析系统进行探讨，特别是对各种可能用于审计记录分 撰系统豹方法进萼亍了食缨，菸对由魏产生豹分撰系统进行了分撰。 接下来对现有的基于对藩方式构造的审计记泶分析系统进行介绍与分析，并 在此熬礁上提出了改进豹审诗分辑系统，以便更好遮梅造一个逮蕊、衰效鳃窜计 记录分析系统。 钵对以上的硬究基标，本文主要分为以下几个方匿： 第一，研究审计系统的现状，对现有的审计系统实现方式进行分析，并对几 静主流靛系统记录格式进髫分板；搬出当魏窜计蓉统的主要闻题、研究重点、以 及今衙的发麓趋势。 笫二，审计分袄系统的关键是审计记泶分析方法，本文对于可用于审计分桥 系统的各种技术方法均进行了介绍，并针对其优缺点、遗用范围进行了分析，指 出可能的研究改进方向。 第三，着重分析了豹一种基于对象分析的审计记录分析系统模罂，并在其藻 础上掇出了改进方寨。 激后，介绍了改进豹审计记录分析系统的实验结采。 1 。4 论文缝梅 本文共分为六章。 第一章对本文的研究目的及冀意义避行了舟绥，并论述了相关可穗进行静研 究内容，最咸对本文的内容进行了介绍。 第二章穰述了基于主视豹审计系统豹研究内容，包攒窜计静西标，审计系统 的结构，并详细介绍了主流审计系统的模烈，在此基础上对其存在的问题进行了 分辑。 第三章介绍了各种审计记录分析方法以及基于这些方法之上的应用。 第霞章分绍了窜计分褥王终平螽，包括其瑟次檠构，叛及采穗窜诗互律平螽 对构造审计分析系统可能带来的益处。 第五章怒本文戆重点，绉述了一个基予薄象分辑方法瓣窜诗努柝系统方案。 介绍了该方案的设计原则，并详细介绍了审计记泶预处理器，审计记录分析关联 器设诗与实魏。 露六章奔臻了露筵五豢中所述蓉统鳃安骚镶巢。 第2 章主机审计系统研究概述 本章综述了主机审计系统的研究与发展。目前审计系统的应用范围愈来愈广 泛，除了最初的出于计费或安全目的外，还广泛用于在系统崩溃后恢复文件系统、 数据库系统到己知的状态：要求能发现对诸如文档的窃取行为，各种破坏行为以 及信息的泄密；用于银行中的电子转账系统，或者其它的各种数据处理中等等。 文献 4 】对于审计系统定义为“是对系统中有关安全的活动进行记录、检查及审 核，它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用 户的误操作”。 1 9 8 5 年1 2 月由美国国防部公布所谓的“拮皮书”即- t c s e c 标准i ”，该标准 是计算机系统安全评估的第一个j 下式标准具有划时代的意义。t c s e c 最初只 是军用标准，后来延至民用领域。t c s e c 将计算机系统的安全划分为4 个等级， 8 个级别。在相关章节它清楚地指出计算机系统必须记录所有与安全相关的事 件，保存数据以便在需要时对其进行分析，将此部件定义为“a u d i t t r a i l ”一“不 断地收集记录，提供在计算机上曾经发生过行为的书面证据并且帮助跟踪事件 发生的过程，以及由最后的记录向前推导出产生此记录的源组件”f 7 】f ”。并且 在标准中详细规定了不同安全等级的系统需要审计的事件，以及每条审计记录需 要包含的数据。 大多数的审计系统均遵循了该模型中的主体，对象，以及行为概念。主体通 常是指系统的用户( 但是也可以系统本身) ，这些实体在对象上产生各种动作。 而对象指的是诸如文件，进程，或者进程，以及其它由系统管理的资源。行为指 的是能改变主体和对象状态的事件。例如文件操作，进程控制，或者是机器参数 的修改。 此后，不断有基于“桔皮书”的更新标准发布，包括欧洲发布的i t s e c ，国 内由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准 g b l 7 8 9 5 1 9 9 9 计算机信息系统安全保护等级划分准则也已经正式颁布，该 准则将信息系统安全分为5 个等级，分别是：自主保护级、系统审计保护级、安 全标记保护级、结构化保护级和访问验证保护级【9 1 ”。其中关于审计的要求均是 在“桔皮书”的基础上做出了更细致的要求和调整。 2 1 审计的目标 2 1 1 基本目标 审计机制主要有以下五个方面的目的吲，即 审计机制主要有以下五个方面的目的【”，即 畿够审纛薅系绫中攀耱蘸谤瓣方式，按嚣提供霹特定遴耧酾个薅懿谤窝爱 史，能够使用由系统提供的不同的保护机制i l u ； 能够发理包括系统内郏嗣户以及终粼鲻户及复尝试激麓越避权限保护系 统的行为； 巍移发王撵系统壤户笥辘健震了怒过箕掰装赋予蔽隈靛系统穗熊； 当教现试鬻越过系统缣护绩麓静零亍为辩貔够产生隧褥动豫：并盈 保谖当藤户试爨越过系辘保护规裁辩，裁行为褥肯定鼓发联荠记装在案 f l l j 。 不拳鹣盛，实际舞发蹬憋系统与设计原型露缀大的区剐，主戮霹标绝大数鸵 系统郝熊嶷瑗，窜计系统熊够记录系统中艨发生黪溪动；然丽我 f l 仍然嚣要开发 要好静鬻予审诗瓷录分稷浆王其。姨搴安全罄理懿太爱氇鬟要一令露诗谗录溪羹 器，能够让他们在一个耜对捆琢的层次来查餐系统中所发嫩的攀件，而不是像现 在这样黼对大摄无序、无关联的数据，以致于主鼷分柝工佟不褥不依靠其手工操 作来完成。现谯的审计机镧总怒颓向于从各个审计源中产艇大量的记录信息，却 辨没有对遮些数据进褥诸如关联、分缀等处理，予楚，最终安全蒋穗大员露对鲮 是事无毯缨、绦杂豹海羹僖惑，获中藏窭敏感镲怒簿懿丈海捞嚣羧困难。 撮搀系统厂商诸如s u nm i c f o s y s t e m s 等均仅怒提供了此类魏审计日恚产生 枫镧，m i c r o s o f t 公司的w i n d o w s 系捌也仅仅挝供了一个事件记激器的组件，并 没有提供溅实质性的帮助，u n i x 类操作系统邋常搭配是的s y s l o g 系绕，功能也 没有待么突破。 虽然商迹蘩表臻，襟终系统厂费哥篷会采取羧熬蘑终，豁掇镞燹努熬互昊爨 帮韵系统管理爨。餐燕翔谣虢为止，露关戴方灏懿研究以及产晶蝣穰少，爨多静 研究更关淀如何定义一个遄用的安全模型而不是个仪仪关注予系统审计子系 统静模爨，照券花了太多静精力帮资源着力予入侵稔溅系统的磷究，丽不建如簿 对审计记滚数据进行良动分树默期找如可疑行为。 事实主帮使毒曼掰翡入餐捡溅系统被开发壤来，宰诗系统瓣繁涎襄繁五令麓 标也无法缀好地实现靛。太多数的服务器或者工作站上的入侵检测添统并不检蠢 健稻豹蠢患信惑，其余豹氇毂仅是在耨定静融闼定麓扫描那些可凝厢户的秘志酌 侬息，并鼠大多数是基于特微枪测方式的，对于攻击辫而言，在了解i d s ( i n t r u s i o n d e t c e t i o ns ￥s 拇m 鲍工释方式后，簸可戳想办法诖规戴嚣配失散，或者稷饺改 变攻蠢渗戮，谴蔟嚣凳燹豫愁簧逶懿搽箨嚣砉，旗瑟蘧蘧荟穆入侵稔溅系统瓣整撬， 这爨荬翳懿。 2 1 。2 镦计系统入侵事件 在前节的中第四、五部分目标中其实包含一些对入侵行为的审计要求；此 6 l 2 3 4 5 处单独列出一节来加以论述，随着近年来入侵检测系统的发展，有许多的研究专 门致力于壹曩傣诖审诗系统瑟好遗辅助入侵捡测系绞来维护系统安全，检测出务耱 隐蔽的攻击行为。 a n d e f s o 琏最早开始了黠入侵器先进罩亍分类f 1 舶，戳及如键遴过窜计数据捡测 到这戮入侵行为的相关工作，表l 对此做出总结： 未授权使用数据和程授权可使用数据和程 序的刺探毒序粒刺探蠹 未授权访问计算机的外部刺探 刺搽者 授权可访问计算机的 内部刺探滥用 刺探嚣 外部刺探者是攒那些并不被授权使用计算帆的用户。这里有许多途径使其在 没有授权的情况下仍然能够使用系统：网终窈听( 窈孵畿网络上传辕蛉耀户登滚 信息) ，通过猜铡出浆些用户设置的脆弱密码，或者是通过其它诸如社会工程之 类途径得到合法用户的密码。其中阙络窃孵行为邋豢是不缝够仪遇过主桃审计捡 测到的，但怒猜测密码，阻及针对系统中存在错误或者漏洞进杼攻击，却是可以 通过记录中反复出现的失败蹙录信息丽检测到的。 内部用户的刺探、攻击行为所占的比例要远远地高于外部用户的刺探、攻击 行为【l ，1 9 9 9 年c s l ，f b i 的计算机犯罪蠢及安全调查髑指出，8 2 的损失是内 部威胁造成的 i “。 通常从缎护系统安全的角度将系统用户分为三类用户，分别为伪装嚣，合法 用户，暗中破坏者。伪装者怒指用户冒充蒸他稻户来执行操作，检测伪装用户的 问题怒，当伪装行为发生时，不具肖特定的特征，系统无法提供一个具有绝对诞 服力的证据 蔓表瞬该用户正在伪装成其它翔户。一旦伪装成功，列该用户所有豹 行为均会认为是其所伪装的对象所为。a n d e f s o n 建议对伪装的检测应该开发如 一个穰墼，程其中蓉予统诗豹方式定义了簿个翅户酶正常行为，每当检测到用户 新执行的命令指令时，就将此动作行为与模型中的历史数据进行对比，以判断是 否籍合其潋鼗静行灸特征。擞然，这辇豹关键是如簿准确藏定义麓户静匿常行为， 此概念从八十年代撮出起，入侵检测领域直在进行此类的研究，经过了近二十 年静袭震，! | 等溺藩予蕊予雾常方式滋行入袋检测豹系统焉言，它怒最关键的核心。 近年来取得了一些进展，特别是引入了像生物免痰基理一些新方法，在精确度上 有了撵鑫瓠，然露缀象显示，这镑然是一个+ 分凝匡懿任务。 至于合法用户，恩然他们有权使用计算机系统以及其中的部分数据，但是他 餐霹疑滢爱系绞瑟赋予德锻瓣较袋。这迄搜褥这类含法躅户熬“髯鬻”行为程对伪 装者露畜更难捡浏。a 歉d e f s o n 怼兹戆建议爨然是建立一令历史模型曩寒囊找姥 类异常搿件，并且指出在一些情况下，一些误用是可以被检测出来的。 嘻孛破琢卷是撑那些能够改变系统宰诗级别鲍耀户，霹娃馒她艇叁身的行为 逃脱审计系统的监视，这类用户是最难被检测出来。a n d e r s o n 建议在那些此类 瘸户存在可能性吃较舞靛系统中，应该增热一个审诗级别，包括嫉视c p u 和内 存以及磁盘等的使用情况，另一个建议是检测那些被更改的系统文件，使用一些 静态分凝工具戏者是文l 牛完整性验谨王具。从丽当这类用户修改系统文件或者像 “l o g i n ”这样用于系统鼗录的程序时就会被检测到。 2 。2 审计系统的维成 2 。2 1 审计过程步骤 当考查整个审计的处理过程对，首先需要解决以下几个问题( 需要达到以下 屁个不鞠方瑟瓣要求) ： 1 ) 决定哪些类型的审计数据需腰收集； 2 ，收集这些售惑； 3 ) 从大缴繁杂的信息中提出有意义的内容加以保存、管理； 4 ) 努毒厅上述经遐提炼检取的绩患； 5 ) 将审计分析结果通知到相关的管理人员；鼠 国采取鞠应的蠢效接戆。 m a t tb is h o p 清楚地描述了日惠与审计的区别 1 5 l 。臼志仅仅是建立记录的过 程，两窜计实璇是复旋，捡焱发在系统爨发生的纷为。在上述历列的步骤中，翻 志包括了第一和第二步的内释，其余的步骤则属于审计的范畴。本文遵循他的建 议，也将使用术语“审计系统”来表示上述的系列动作。 湖2 窜计分析步骤零意蚕 当前大多数的研究主要集中于上述中的第四和第五步。许多的i d s s 试图自劝 去提醒系统安全管理爱s s o ( s y s t e ms e e u f i t yo p e r a t o f ) 登须去检焱某些帮势数搽， 以及一然比较不常见的操作行为，然后对这些的数据做出分析判断。 其次，同时也需耍弄清“被动”鞠“主动”窜诗方式翡区瘸 l “。被动审诗方式中 日志记录器总是处于工作状态，以不断收集记录将来可用于审查的数据，直至特 定韵事佟发生时，才会挠幸亍对这些数据秘分辑。稀主动带诗方式豹速掰煲g 在予， 系统总是尽可能早地判断记渌信息中是否包含可疑行为，一旦发现可疑的事件， 审计程序或者s s o 就可以及时地采取行动，包括提高对用户、文件的审计级别， 将可疑用户暂时移出系统，甚至在极端的情况下将主机关闭等等。 2 2 2 如何确定审计的内容 当用户登录到计算机系统时，审计系统就会为其生成一条记录，记录其相关 状态，称之为审计状态。该状态由登录系统来使用以决定哪些事件需要写入日志 文件中。这些状态可能包含有或多或少的信息，系统安全管理员们通常根据所要 进行的审计类型、级别来选择，他们可以通过一系列的参数来设置所有这些审计 状态，并且可以按照实际的需要来动态修改。同样地根据系统的有效资源状况以 及系统安全管理员的经验，日志系统可能既记录对象被成功访问的事件，也记录 访问对象失败的事件。据估计，对于一个c m w ( c o m p a r t m e n t e dm o d ew o r k s t a t i o n 单独模式的工作站) 而言，每个用户每天可以产生最多1 3 5 m b 的数据。很明显， 除非系统拥有足够的资源，否则对审计记录的信息就必须加以选择。 在基于b s m 模型的审计系统中，拥有一系列的步骤以判断用户的审计状态。 在图2 2 中，一个由s s 0 设置的全局的审计状态，以及根据每个用户在该系统中 的行为将此用户的审计状态进行相应修改，从而为其建立起一个实时的审计状态。 同时该状态可以被其它应用程序使用，当一个能够进行审计的事件发生时，应用 程序就将执行程序的用户当前的审计状态与该类事件的类型进行比较：如果此发 生匹配如图2 2 所示，则审计系统的服务器就将事件记录输出到审计日志文件，否 则不进行任何动作并当下一个事件到来时持续进行此类的匹配操作。 图2 2 引入状态匹配机制的审计日志器结构图 引入审计状态的优点在于，审计日志文件中将仅包含的系统安全管理员所感 兴趣记录，也使得审计记录总量将大大减少，从而在进行分析的过程中能相对容 易些。然而不幸的是，系统安全管理员也可能在稍后的时候才感觉到某些信息也 9 有用，但这些数据却没有被收集记录， 以s s o 必须考虑一种相对较好的策略， 平衡。 很显然这些数据永远也不可能恢复了，所 能够在负荷、性能与有效、完整之间达到 通常d e n n i n 卫【1 7 】【l8 】提出的审计记录六元组是一个普遍接受的标准，即由 构成的六元组，其中： 主体( s u b i e c t s ) 是启动在目标系统上活动的实体，如用户； 对象( o b j e c t s ) 是系统资源，如文件、设备、命令等； 活动( a c t i o n ) 是主体对目标的操作，对操作系统而言，这些操作包括读、写、 登录、退出等； 异常条件( e x c e 口t i o n c o n d i t i o n ) 是指系统对主体的该活动的异常报告，如违 反系统读写权限； 资源使用状况( r e s o u r c e u s a g e ) 是系统的资源消耗情况，如c p u 、内存使用 率等； 时间戳( t i m e s t a m p ) 是活动发生时间。 2 2 3 审计数据的收集 就目前的现状而言，所有审计系统的均是基于软件方式的，但是如果以硬件 的方式实现一个审计系统应该不是一件十分困难的事情。这些系统应该能够记录 系统的性能、i o 使用、外部设备使用情况等等。而且这些系统应该在逻辑上与 被监视的系统隔离开来，因为一旦被审计的系统被攻陷时，审计子系统能与主机 断开连接，从而能保障审计记录有效，不被篡改、删除。 大多数以软件方式实现的审计系统均是在系统调用表处进行修改”，2 叭，在 系统调用中、嵌入审计功能。例如，在4 2 b s d ( u n i x 伯克利版本) 中，当系统 调用发生时，系统的控制权就会转交到系统调用s y s c a l l ( ) 函数。s y s c a l l ( ) 主要负 责由哪个函数来处理用户的实际请求，充当用户空间和系统空间的接口。如果审 计功能被开启，则生成审计、记录，然后将控制权将交给系统内核，由其继续完成 该系统调用。当控制权返回时，s y s c a l l ( ) 就会返回该系统调用的返回值；从而审 计系统就会在将控制权移交到用户程序之前对已存在的审计记录信息进行更新、 存储。 审计实现的模式主要有以下两大类，分别为在应用层审计和在内核层审计， 各自具有其不同的特征。应用层的审计主要用于从审计数据中推导用户的真实意 图，让审计分析结果更容易被系统安全管理员理解( 这主要是因为用户的实际意 图更多的是由用户层的数据来体现而非底层的系统调用，s s o 不应该被要求从 逐渐增长的各种事件中去推导用户的真实意图)。例如，如果某个用户使用一 1 0 个文字编辑器编辑文l 牛时，慰于一个基于系统调用层静审计系统丽言，将报告聪 有对临时文件和系统文件的访问情况，从而与文件操作事件相关的处理均会被映 醒，这显然十分低效，因为审计的强的仅仅是钝黠该用户编辑其专属文 牛情况， 而且依此方式采集到韵许多数据会混淆用户的真实意图。基于应用层的审计器刚 可以只报告文字编辑器编辑某些特定文件的情况，甚至怒仅报告某些特定数据被 修改的情况，然而，这需要应用程净的配合，即应用程序应该遵j 7 蒴整套审计机制， 当特定操作执行时姆相关廖计数据报告给系统中的审诗予系统，同时该方式亦鼹 要在成用程序内部建立审计子模块，能够在各个操作的关键点检查用户的操作行 为，这姆显著地增加皮用程序编写的复杂性同时也将对攫序的性能造成一定的影 响。 另一个避幸亍审计的位爨是系统的内核层，或赣说将内核审计嵌入到内核艨 p i 。有时候审计必须在此屡次上进行：显然，当系统调用并不返回时( 如调用 r e b o o t ( ) ) ，或鬻在那然调用返回时不能进行审计的情况下( 即控制权不姆返回到 应孺艨，显然j 毙时蠢法修改审计的状态) 。同时程系统内核层上所进行的审计王 许是最值得信任的，因为正常的用户程序是不能修改内拨代码的。 谗有研究考虑辩时在应糟层和内核层均进行审计，比如s e c l i n u x 安全操作 系统【4 】，这种方式拥商许多优势同时也有许多的限制。此时执行审计的代码被放 嚣在熬个系统中：系统内核模块、应用程序、班及系统调用接嗣中，所戳对同一 个事件将会产生有两条甚至更多的审计记泶。这将使用安全审计人员的工作变得 更加豳难，程避行任何一项分析蓠，缝都首先必矮将多个描述同一事辞翡记录关 联起来。 2 2 4 审计记录格式 不同系绫中的审诗记录器毒诲多不爨黪实瑗方式。薅令最饕遽方式是，凌每 条记录中所包含的信息来描述其类粼，这种自包含的方式，在s u n 的b s m 【2 l i 模型 以及s n a r 嚣中使用，它震器每象记录列蹬毒主髂襄客馋相关驰赝毒感兴趣戆绩 息。例如，个文件访问记渌可能会包含文件旬柄，文件名称，实际及有效用户 i d ，文传创建者魇属蛇缝，诱闯时阙等文传属性僖愚，势晨还可怒包含怼文件谤阏 操作执行后的返回硝等等。这个方法对于平工浏髓审计同志比较有用，审计诚录 魇包含的数据越多，则审计分板模块蘑簧爨记忆蛇信息裁越少，这毽意噫着露诗 分析工具可以简化。然而，这类方法将生成大量的数据，同时如果多个审计记录 中关联鲍事物实际上是同一个事物融，就会产生大量妁羹复售息。 而a t & t 采用的是非自包含的审计日志记录格式1 2 2 1 ，仅仅记录反映状态改变 螅最少量信息，最终戆生成一个小型化鳇枣计尽悫器。在上述铡子中，一令文 牛 访问泡录也许仅需要包含访问时间，实际用户名，一个缩写的文件名以及文件访 问操作返回码即可，所有其它的信息，诸如实际用户名等文件的其它属性则必须 从审计日志器中的其它记录或者系统中其它支持系统中获取。如果有效用户名和 实际用户名不一致时，审计员就将不得不到日志器中寻找记录两者发生变化时的 审计记录。这将需要一个好的日志浏览器和大量的经验，而这两者恰恰是当前审 计分析系统中所缺乏的东西。 自从u cd a v i s 在其发布的入侵检测系统中使用了s u n 的b s m 机制【”l 后， 大多数的探讨均是基于s u n 公司的b s m 模型的。而在本文中对审计记录格式的 研究主要是基于u n i x 类操作系统中的s n a r e 审计模型中使用的格式。 2 3 主流审计系统及其存在问题 2 3 1s u n 的b s m 审计模型 在前文已经提到过，s u n 的b s m 审计模型中所使用审计记录格式为自包 含的方式。每条审计记录由多个标识组成，首尾分别是h e a d e r 和t r a i l e r 标 识，中间根据审计记录的不同而有其它许多的标识。审计记录实质上记录了 动作的结果，而它的类型就由执行的操作来决定，在记录数据中由一系列的 子标识来表示。同时每个予标识又可以扩展为其它一系列子标识或者为一系 列的b y t e s 值。以下是几种类型的标识： h e a d e r 标识：提供关于此事件的类型信息，以及日期、时间， t r a i l e r 标识：描述审计记录结束， p a t h 标识：包含访问对象的访问路径信息， a t t r i b u t e 标识：包含所访问对象的属性信息，例如，类型、设备号等， p r o c e s s 标识：包含拥有所访问对象的进程相关信息， a r g u m e n t 标识：包含此次操作所用到的参数信息， r e t u r n 标识：包含将返回给调用者的数据信息。 s u n 将这些审计数据以二进制的形式而非字符串形式存储到文件中，为 此将用户名称，标识类型，以时问均分别对应到整型数据。显然数据经过此 番转换后，分析员将无法直接理解文件中包含的数据信息，为此，s u n 提供 了另外的一个所谓的p r a u d i t 工具将文件中的原生数据内容转换成可阅读的形 式。 下面是一些实际的例子，描述了b s m 中的审计记录内容。在例1 中，用 户a l l e n 的s h e l l 进程号为6 2 4 ，以及他新创建的进程1 3 5 2 。 h e a d e r ，53 ，f b r k ( 2 ) ：p r o c e s sc r e a t i o n ， t u ed e c2 91 5 ：3 4 ：2 72 0 0 5 ， + 1 7 0 0 0 0m s e c a r g u m e n t ，o ，13 5 2 ，c h i l dp i d p r o c e s s ， a l l e n ，a l l e n ，a l l e n ，s t a f f ，6 2 4 r e t u r n ，e r r o r0 ，1 3 5 2 t r a i l e r ，5 3 由前所述，一个完整的审计记录包含了若干个标识块，且以h e a d e r 标识和 t r a i l e r 标识为分界符。对于上列我们可以得出下列详细的信息： h e a d e r 标识：二进制审计记录的字节数，记录类型，访问时间和日期。 a r g u m e n t 标识：“o ”表示起始参数为第一个参数( 其后参数描述时就使用 递增的方式) ，“1 3 5 2 ”即为此例中的第一个参数的内容，而“c h i l dp i d ”是关于 此参数所表示内容的文字描述， p r o c e s s 标识：分别为审计用户名，实际用户名，有效用名，组名，以及 进程i d r e t u m 标识：操作所产生错误码，以及系统调用的返回值， t r a i l e r 标识：二进制审计记录的字节数。 在h e a d e r 和t r a i l e r 标识中均记录了此条审计记录数据的字节数，审计数 据分析工具可以依此值跳过不需要处理的审计记录。每条b s m 审计记录的大 小通常是几十到几百个字节，平均大约为九十个字节左右。 2 3 2u n ix 类操作系统中s n a r e 的审计模型 系统缺省的s y s l o g 的机制现在不能满足审计要求，需要安装额外的审计 组件，本文主要介绍s n a r e ，它由三部分组成：内核动态加载模块 a u d i t m o d u l e o ；在用户空间运行的审计监控程序a u d i t d ；以及图形截面的配置 和报告工具s n a r e 。a u d i t m o d u l e 包装( w r a p ) 了一些比较危险的系统调用，例 如：e x e c v e 、o p e n 、m k d i r ，它把这些系统调用放到一个信息收集的例程，收 集进程和用户执行的一些有疑问的系统调用信息。接着，这个模块把获得的 信息放到一个临时缓冲区，用户空间的监控程序a u d i t d 从这个缓冲区可以获 得这些信息。用户空间的监控程序a u d i t d 通过d e v a u d i t 设备获得a u d i t m o d u