基于防火墙日志的网络安全审计系统研究与实现

1、第28卷第6期Vol.28 6 博士论文计算机工程Computer Engineering文章编号：10003428(2002)06 001703文献标识码：A2002年6月 June 2002中图分类号： TP393基于防火墙日志的网络安全审计系统研究与实现李 承1，王伟钊1，程 立1，汪为农2，李家滨2上海交通大学计算机科学与工程系，上海；2. 200030 )上海交通大学网络信息中心，上海( 1. 200030摘 要：网络安全审计系统是网络安全体系中的重要一环，最近国内外的研究工作表明，传统操作系统中的安全审计系统在检测网络入侵方面的能力非常有限。为此，上海交通大学网络中心研究开发了一个

2、基于防火墙日志的网络安全审计系统NAFL (Netowrk security Audit system based on Firewall Log)，该系统强调了TCP/IP协议栈底层行为的安全审计，弥补了传统安全审计系统的不足。关键词：安全审计；防火墙；网络入侵Study and Implementation of Network Security Audit SystemBased on Firewall LogLI Cheng1, WANG Weizhao1, CHENG Li1, WANG Weinong2, LI Jiabing2( 1. Department of Computer

3、 Science and Engineering, Shanghai Jiaotong University, Shanghai 200030;2. Network and Information Center, Shanghai Jiaotong University, Shanghai 200030 )【Abstract】Network security audit system is a very important area of the network security architecture. Recent studies show that the traditional au

4、dit mechanism in the OS is helpless when we face the network intrusion behavior. So, we develop a network audit system-NAFL (Network security Audit system based on Firewall Log). This system focuses on the security audit function about the essential behavior of the TCP/IP protocol stack. It is an im

5、provement of the other audit system.【Key words】Security audit; Firewall; Network intrusion1 概述国内外对于网络安全审计系统的研究起步是比较晚的，1980年，Anderson首次提出了利用系统日志信息进行安全审计的思想，直到1995才发布了第一个具有实用性的网络安全漏洞审计软件SATAN，但是SATAN的技术要求高，使用非常不方便。虽然近年来出现了许多此方面的工具，但大多数是基于系统用户的审计工具，如Security Configuration Editor (SCE) in Windows NT 5.0

6、或者Unix下自带的审计工具，对于整个网络中安全事件的审计能力有限，此外一般的审计软件，对数据的采集有一定的限制。审计的基础是数据，数据是如何采集得到的在很大程度上决定了一个审计软件的质量。由此可见，未来的网络安全审计系统应该更加独立，成为一个独立的安全软件，其地位将等同于现在的防火墙和IDS。1.1 安全审计系统的一般要求参照美国国家标准<<可信计算机系统评估标准>> (Trusted Computer System Evaluation Criteria)，安全审计可以理解为：定义1 ：一个安全的系统中的安全审计系统，是对系统中任一或所有安全相关事件进行记录、分析和

7、再现的处理系统。因此，对于安全审计系统的一般要求主要包括：(1) 记录与再现：要求审计系统能够记录系统中所有的安全相关事件，同时，如果有必要，应该能够再现产生某一系统状态的主要行为；(2)入侵检测：审计系统应能够检查出大多数常见的系统入侵的企图，同时，经过适当的设计，应该能够阻止这些入侵行为；(3)记录入侵行为：审计系统应该记录所有的入侵企图，即使某次入侵已经成功，这是事后调查取证和系统恢复必不可少的；(4)威慑作用：应该对系统中具有的安全审计系统及其性能进行适当宣传，这样可以对企图入侵者起到威慑作用，又可以减少合 法用户在无意中违反系统的安全策略；(5)系统本身的安全性：安全审计系统本身的安

8、全性必须保证，其中，一方面包括操作系统和软件的安全性，另一方面包括审计数据的安全性；一般来说，要保证审计系统本身的安全，必须与系统中其他安全措施(例如认证、授权、加密措施等)相配合。1.2 传统审计系统的局限性在NAFL系统中，我们重点研究的是网络环境下的网络安全审计系统，其理论、审计和实现与传统操作系统中的安全审计系统既相互联系，又有所区别。如表1中的总结：表1 安全审计系统比较研究历史理论状况实际系统审计重点系统举例传统安全审计系统20多年较完备已经被普遍应用系统中的用户及进程行为Windows NT、Sun OS网络安全审计系统近几年处于探索阶段相对较少网络访问行为及网络数据包Inspe

9、ct、NASHID利用系统日志进行安全审计分析的思想，最早是在1980年Anderson的论文中正式提出的，至今研究经历了20余年的研究和发展，已经形成了较为完备的理论和实际应用系统，包括针对各种安全策略的具体审计策略的确定、安全审计标准，安全审计等级划分、安全相关事件的确定等方面；而目前主流的操作系统，均有自己较为完善的安全审计机制，包括各种Unix/Linux的syslog机制、Windows NT符合C2安全等级的SCE (Security Configuration Editor)机制等。网络安全审计系统是近几年网络安全领域的研究重点之一，其不能直接利用传统安全审计理论和审计系统的原因

10、在于两者所面对的计算环境和审计重点不同。传统的安全审计系统没有记录足够的进行网络入侵检测所需要的信息，传统安全审计系统主要针对系统中已登录用户的行为及系统中进程的行为进行记录和审计，从网络协议的观点来看，这些均属于高层(应用层)信息。在Price的综述中，只有一种传统的安全审计系统记录了少量IP栈的相关信息，这就是Sun公司的BSM(Basic Security Module)系统，这可以认为是该模型在网络安全审计方面的探索。目前真正成熟的网络安全审计系统基本上没有，而国内外的学者和厂商正加紧进行这方面的研究，德国的Inspect分布式网络安全审计系统、Purdue大学的NASHID系统等是这

11、方面的试验性系统。的防火墙日志信息的标准化方案。该工作的重要性是不言而喻的。标准的日志数据，是各种网络安全审计产品配合使用和集成的基础，也是开发多层次分布式网络安全审计系统的基础。3 NAFL系统的实现NAFL是基于防火墙日志信息的网络安全审计系统，用一个审计分析引擎，对多个日志采集点的数据进行分析。3.1 系统整体结构NAFL系统的整体框架如图1，主要包括数据采集、分析服务器、信息发布3大部分。ý¾Ý±Ý¢²¼2 NAFL的主要功能为了适应当今网络安全发展的需要，上海交通大学网络中心研究并开发了NAFL系统，其目

12、的在于从理论和实践两方面来探讨网络安全审计系统的审计和实现过程中的主要问题。NAFL是一个基于防火墙日志信息的网络安全审计系统，具有以下几方面主要功能。2.1 网络入侵检测一般认为，网络入侵检测是NIDS的功能，但仅仅依靠NIDS系统存在一些问题。其中最主要的就是所谓的“时间窗问题”，目前NIDS系统的时间窗最大一般不超过24小时，这对于普通的单个或若干个数据包就能完成的网络攻击行为的检测是没有问题的，但对于一些经过详细计划、周密部署而进行的长时间“专业级”入侵行为，确无能为力。而这后一种攻击行为一旦成功，其后果往往是毁灭性的。当我们考虑到国家信息安全、信息战等问题时，就无法忽略这类“不可能完

13、成”的网络攻击了。对于这种攻击行为的检测，包括攻击特征的提取和检测方法等方面，目前在理论和实际系统两方面均处于探索阶段，NAFL系统在这方面做了一些探索工作。2.2 网络入侵取证根据1.1节中的要求，即使在系统已经被成功侵入的情况下，网络安全审计系统也应该能够保证审计数据的完整性，从而使得事后的系统恢复以及追查取证成为可能。NAFL通过数据采集点、分析点及保存点的分离和独立防护，基本满足了要求。2.3 主动防护主动防护一般是指网络安全防护措施在检测到某种入侵行为时自动作出反应，动态调整安全策略或安全规则，达到阻止网络入侵的目的。目前的主动反应主要有改变路由规则和改变防火墙规则两种。通过和防火墙

14、系统的紧密配合，在NAFL系统中实现主动防护能力是非常方便的。但是，一直以来，主动防护措施就是一把“双刃剑”，安全系统的主动防护能力很有可能被利用来进行DoS等类型的网络攻击。我们认为在主动防护的理论研究完善之前，用户应当非常谨慎地使用，系统中使用该功能是非常危险的。2.4 防火墙日志信息的标准化NAFL系统的一个研究重点就是提出一个用于安全审计ɼ¯µã3图1 NAFL系统整体结构在目前的NAFL系统中，一个分析引擎可以同时分析多个数据点的数据，而且，这些数据点的数据可以独立分析，也可以综合分析。信息发布采用Web形式。3.2 数据采集图2

15、日志数据采集数据采集和转储模块的整体结构如图2所示，其中的日志采集点的选择非常重要。如果我们通过高层的应用程序来采集数据，那么所有针对防火墙底层IP协议栈的攻击将无法记录。Iptables防火墙与Linux内核IP协议栈是紧密集成的，在IP数据包流经系统IP协议栈的过程中，Iptables设置了3个主要的控制点，如图2中的INPUT、FORWARD、OUTPUT。在NAFL系统中，我们选择了图2中A、B两个采集点，对所有网络数据，在其进入IP协议栈正式处理前就已经被记录。3.3 防火墙标准日志格式及其存储研究通过对常用防火墙的日志进行分析，我们发现一般包括两种类型的日志：一种日志记录得比较简单

16、，只包含时间、18源目的地址、源目的端口以及协议号和某些重要标志位，这样的日志格式非常简单，因此存储空间要求较小，适合长期储存。然后由于提供的信息少，因此有许多攻击和入侵行为无法被发现，而且误报率特别高；另一种则将整个数据包或者数据包的开头一部分记录下来，这样就提供了十分详细的信息，给分析带来的极大方便，但是由于存储空间问题，一般的服务器至多可以储存几天到一星期的数据，这样就无法实现较为长期的日志分析，这显然不是我们所希望的。CERT的调查表明，95%以上的网络攻击分析只需要协议的头部信息和数据包实际内容的前一部分，因此我们不记录数据包数据的全部，而是记录协议的头部信息以及实际内容开头的30字

17、节，作为详细的原始日志数据。详细数据对于存储空间的要求是比较高的，在NAFL系统中，用户可以根据自身服务器的实际性能，自定义这种数据的保存时间。对于超过该保存时间的数据，NAFL自动进行缩减处理，只保留最主要的一些信息：数据包流向、时间戳、源IP、目的IP、协议、数据包长度、源端口、目的端口、TCP标志。对于大多数入侵检测算法来说，源地址关联、目标地址关联以及对数据的频繁查询都是十分必要的，这类操作的速度和效率问题不可忽视。NAFL系统将日志数据归入SQL数据库(目前采用的是免费数据库软件MySQL)，用数据库提供的强大索引以及匹配查找等功能优化我们的分析引擎。3.4分析引擎响，我们分A、B、

18、C、D四种情况进行了简单的数据传输测试(100M以太网)。其中，A表示不启动Iptables防火墙，B表示启动Iptables防火墙并设置1000条防火墙规则，C表示在B的基础上再进行简单的日志采集，D表示在B的基础上再进行详细的日志采集。测试结果表明,B的性能比A降低29，C的性能比B又降低29，而C和D的性能类似。在我们的简单测试中，NAFL系统的日志采集模块性能是可以令人满意的。4.2 日志分析模块日志分析模块采用C语言编程，并使用MySQL数据库。在规则库中共有规则1143条，其中TCP协议824条、UDP协议146条、ICMP协议173条，采用该规则库进行分析时，其性能为每分钟分析详

19、细记录的日志记录，TCP协议约500条，UDP协议约1500条，ICMP协议约1000条。5 总结目前NAFL系统的实现上还有许多地方可以进一步改善和提高，如果能在这些方面进一步进行一些工作和测试，则NAFL系统将会是网络安全方面的一个有力工具。概括来讲，这些方面包括如下几点：(1)提高规则匹配算法的效率：目前NAFL采用的是记录和规则简单顺序匹配的方法，在将来规则具有自学习和自适应能力以后，很有必要对规则匹配算法作进一步优化；(2)使规则库具备自学习和自适应能力：所谓自学习是指规则库可以根据网络管理员对记录的处理方法以及网络中的实际数据模式自动产生新的规则，更好地适应实际网络的需要；所谓自适

20、应能力主要是指规则库根据网络安全管理员对实际审计报告的评价，动态调整每条规则的可信度和某些其它参数。(3)进一步提高系统的趋势分析能力：所谓趋势分析是指系统根据网络中的历史数据以及某些统计学原理，来判断网络当前的运行状态是否安全。这对于系统检测某些新出现的或特征比较模糊的网络入侵行为是很有好处的。(4)远程数据的安全传输：对于分布式远程网络安全审计，日志数据的安全传输是系统安全的基础。一般情况下，网络安全审计的数据量是比较大的，如果完全依靠简单的加密，很有可能会对系统的性能造成较大影响，如何解决日志数据的远程安全传输，也是我们进一步工作的重点。一般来说可以有两种策略：一是选择性加密；二是提供本地过滤和规约机制。这两种策略的效果究竟如何，需要作进一步测试。图3 分析引擎结