【文章內(nèi)容簡(jiǎn)介】 常因?yàn)樗x擇的輸入數(shù)據(jù)的類型不同而各不相同。 LOGO 59 操作系統(tǒng)的審計(jì)記錄 ?在入侵檢測(cè)技術(shù)的發(fā)展歷史中，最早采用的入侵檢測(cè)源就是 操作系統(tǒng)的審計(jì)記錄 。操作系統(tǒng)的審計(jì)記錄是由操作系統(tǒng)軟件內(nèi)部的專門審計(jì)子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動(dòng)信息，并將這些信息按照時(shí)間順序組織成為一個(gè)或多個(gè)審計(jì)文件。 ?存在的問題： ? 不同的系統(tǒng)在審計(jì)事件的選擇、審計(jì)記錄的選擇和內(nèi)容組織等諸多方面都存在著兼容性的問題。 ? 操作系統(tǒng)審計(jì)機(jī)制的設(shè)計(jì)和開發(fā)的初始目標(biāo)，并不是為了滿足后來才出現(xiàn)的入侵檢測(cè)技術(shù)的需求目的。 LOGO 60 操作系統(tǒng)的審計(jì)記錄 ?操作系統(tǒng)審計(jì)記錄被認(rèn)為是基于主機(jī)入侵檢測(cè)技術(shù)的首選數(shù)據(jù)源： ? 操作系統(tǒng)的審計(jì)系統(tǒng)在設(shè)計(jì)時(shí)，就考慮了審計(jì)記錄的結(jié)構(gòu)化組織工作 以及對(duì)審計(jì)記錄內(nèi)容的 保護(hù)機(jī)制 ，因此操作系統(tǒng)審計(jì)記錄的安全性得到了較好的保護(hù)。 ? 操作系統(tǒng)審計(jì)記錄提供了在 系統(tǒng)內(nèi)核級(jí) 的事件發(fā)生情況，反映的是系統(tǒng)底層的活動(dòng)情況并提供了相關(guān)的詳盡信息，為發(fā)現(xiàn)潛在的異常行為特征奠定了良好的基礎(chǔ)。 ?下面分別介紹兩種流行的操作系統(tǒng) Sun Solaris和Windows 2023的審計(jì)系統(tǒng)機(jī)制及審計(jì)記錄格式。 LOGO 61 操作系統(tǒng)的審計(jì)記錄 ?Sun Solaris BSM Sun公司的 Solaris操作系統(tǒng)是目前流行的服務(wù)器UNIX操作系統(tǒng)，其中包含的 BSM安全模塊使得Solaris系統(tǒng)滿足 TCSEC標(biāo)準(zhǔn)的 C2級(jí)審計(jì)功能要求。 BSM安全審計(jì)子系統(tǒng)的主要概念包括審計(jì)日志、審計(jì)文件、審計(jì)記錄和審計(jì)令牌等，其中 審計(jì)日志由一個(gè)或多個(gè)審計(jì)文件組成，每個(gè)審計(jì)文件包含多個(gè)審計(jì)記錄，而每個(gè)審計(jì)記錄則由一組審計(jì)令牌（ audit token）構(gòu)成 。 ? 圖 1所示為 BSM審計(jì)記錄的格式。 ? 圖 2所示為每個(gè)審計(jì)令牌包括的字段。 LOGO Header* Process* ［ Argum］ * ［ Attribute］ * ［ Data］ ［ In_addr］ ［ Ip］ ［ Ipc_perm］ ［ Ipc］ ［ Iport］ ［ Path］ * ［ Text］ ［ Groups］ ［ Opaque］ ［ Return］ * ［ Trailer］ 圖 1 Header Token token ID record size event type * time of queue * Process Token token ID audit ID * user ID * real user ID real group ID* process ID* Argument Token token ID argument ID argument value * string length text Return Token token ID user error return value * Trailer Token token ID magic number record size Path Token token ID size of root current root size of dir current dir size of path path argument * Attribute Token token ID vnode mode * vnode uid * vnode gid * vnode fsid * vnode nodeid * vnode rdev * 圖 2 LOGO 63 操作系統(tǒng)的審計(jì)記錄 ?每個(gè) BSM審計(jì)記錄都表示了一次審計(jì)事件（ audit event）的發(fā)生。 BSM審計(jì)機(jī)制中定義了若干審計(jì)事件類型，而通常的入侵檢測(cè)系統(tǒng)僅使用了其中部分事件類型，其他則丟棄。不同的審計(jì)事件類型所生成的審計(jì)記錄，都會(huì)包含不同的審計(jì)令牌組合。一般而言， Header、 Process、Return和 Trailer令牌字段是固定字段。 ?BSM審計(jì)記錄以二進(jìn)制的形式進(jìn)行存儲(chǔ)，其字段結(jié)構(gòu)和數(shù)據(jù)結(jié)構(gòu)大小都實(shí)現(xiàn)了預(yù)先定義，從而提供了在不同平臺(tái)系統(tǒng)間進(jìn)行移植的兼容性。 LOGO 64 操作系統(tǒng)的審計(jì)記錄 ?在傳統(tǒng)的 Unix系統(tǒng)中，沒有單獨(dú)的內(nèi)核級(jí)審計(jì)措施。系統(tǒng)通過 Syslog和 accton等傳統(tǒng)日志來實(shí)現(xiàn)審計(jì)功能的。為了達(dá)到 C2安全級(jí)別， Solaris系統(tǒng)實(shí)現(xiàn)了一個(gè)單獨(dú)的安全審計(jì)模塊 BaseSecurityModule (BSM)， BSM默認(rèn)在系統(tǒng)中不啟用。在 Solaris ， BSM成為Solaris初始化系統(tǒng)的一部分，因此只要安裝了 Solaris系統(tǒng)， BSM默認(rèn)就已存在于您的系統(tǒng)內(nèi)了。 ?開啟 BSM: ? init 1 (重新引導(dǎo)或改變運(yùn)行級(jí)別到單用戶狀態(tài) ) ? /etc/security/bsmconv (運(yùn)行 BSM初始化腳本，開啟審計(jì)功能 ) ? /etc/security/bsmunconv (關(guān)閉審計(jì)功能 ) ? reboot (重新啟動(dòng)系統(tǒng) ) LOGO 65 操作系統(tǒng)的審計(jì)記錄 ?在默認(rèn)配置情況下， BSM每天 (24小時(shí) )會(huì)生成一個(gè)以當(dāng)天日期為名字的審計(jì)日志，存放在/var/audit目錄下，這個(gè)文檔具備自己的數(shù)據(jù)結(jié)構(gòu)，所以直接查看時(shí)是亂碼，必須使用系統(tǒng)命令 praudit來查看。 ? praudit /var/audit/ ?另一個(gè)可能用到的命令是 auditreduce ，這個(gè)命令允許管理員對(duì)審計(jì)日志做一些配置，例如調(diào)整審計(jì)事件集或調(diào)整審計(jì)日志生成周期等等。 ?auditreduce和 praudit是系統(tǒng)中 BSM管理最基本的兩個(gè)命令。 LOGO 66 操作系統(tǒng)的審計(jì)記錄 ?Windows 2023 Windows 2023以事件日志機(jī)制形式提供數(shù)據(jù)源，使用事件查看器進(jìn)行查看和管理。可以根據(jù)事件的日志記錄來識(shí)別和跟蹤安全性事件、資源使用情況，以及系統(tǒng)和應(yīng)用程序中發(fā)生的錯(cuò)誤等。 ?Windows 2023事件日志機(jī)制收集 3種類型的系統(tǒng)事件： 應(yīng)用程序日志、安全日志和系統(tǒng)日志。右擊某個(gè)記錄，在“屬性”中可以看到關(guān)于此記錄的詳細(xì)說明。記錄本身又分為幾種情況： ? “錯(cuò)誤”是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失； ? “警告”則表明情況暫時(shí)不嚴(yán)重，但可能會(huì)在將來引起錯(cuò)誤，比如磁盤空間太小等； ? “信息”是記錄運(yùn)行成功的事件。 LOGO 67 操作系統(tǒng)的審計(jì)記錄 Windows 2023事件查看器 LOGO 68 操作系統(tǒng)的審計(jì)記錄 ?應(yīng)用程序日志 記錄應(yīng)用程序運(yùn)行方面的錯(cuò)誤。 ?安全日志 記錄與安全性相關(guān)的事件， Windows 2023的默認(rèn)安裝是不打開任何安全日志審核的，需要在“本地安全設(shè)置” → “本地策略” → “審核策略”中打開相應(yīng)的審核。 ?系統(tǒng)日志 包括由 Windows 2023系統(tǒng)組件記錄的事件，它由 Windows 2023自動(dòng)配置。 ?所有用戶都能夠查看應(yīng)用程序日志和系統(tǒng)日志，但安全性日志只能由系統(tǒng)管理員訪問。 LOGO 69 操作系統(tǒng)的審計(jì)記錄 ?Windows 2023的事件日志由多個(gè)事件記錄組成，事件查看器中所包含的事件日志的格式統(tǒng)一如下： ? 類型： ? 錯(cuò)誤： 重要的問題，如數(shù)據(jù)丟失或功能喪失。 ? 警告： 不是非常重要但將來可能出現(xiàn)的問題事件。 ? 信息： 描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。 ? 成功審核： 審核安全訪問嘗試成功。 ? 失敗審核： 審核安全訪問嘗試失敗。 ? 日期： 事件產(chǎn)生的詳細(xì)日期。 LOGO 70 操作系統(tǒng)的審計(jì)記錄 ? 時(shí)間： 事件產(chǎn)生的詳細(xì)時(shí)間，單位秒。 ? 來源： 事件的生成者，有很多種類的來源，其中有來自操作系統(tǒng)內(nèi)部程序的，也有來自應(yīng)用程序的。 ? 分類： 對(duì)事件的分類，如系統(tǒng)事件、特權(quán)使用、登錄 /注銷等。 ? 事件： 事件 ID。 Windows 2023用不同的 ID來表明惟一的事件。 ? 用戶： 用戶名。包括 SYSTEM、 Administrator等。 ? 計(jì)算機(jī)： 計(jì)算機(jī)名稱?？梢允潜镜赜?jì)算機(jī)，也可以是遠(yuǎn)程計(jì)算機(jī)。 LOGO 71 入侵檢測(cè)技術(shù)分類 ?入侵檢測(cè)的信息源 ? 操作系統(tǒng)的審計(jì)記錄 ? 系統(tǒng)日志 ? 應(yīng)用程序日志信息 ? 基于網(wǎng)絡(luò)數(shù)據(jù)的信息源 ? 其他的數(shù)據(jù)來源 ? 信息源的選擇問題 LOGO 72 系統(tǒng)日志 ?系統(tǒng)使用日志機(jī)制記錄下主機(jī)上發(fā)生的事情，無論是對(duì)日常管理維護(hù)，還是對(duì)追蹤入侵者的痕跡都非常關(guān)鍵。日志可分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志從不同的方面記錄了系統(tǒng)中發(fā)生的事情，對(duì)于入侵檢測(cè)而言具備重要的價(jià)值。 ?系統(tǒng)日志的安全性與操作系統(tǒng)的審計(jì)記錄 比較而言要差一些，其原因如下： ? 產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運(yùn)行的應(yīng)用程序，因而這些軟件容易受到惡意的修改或攻擊。 ? 系統(tǒng)日志通常是存儲(chǔ)在普通的不受保護(hù)的文件目錄里，容易受到惡意的篡改和刪除等操作。 LOGO 73 系統(tǒng)日志 ?盡管如此，系統(tǒng)日志仍然以其簡(jiǎn)單易讀、容易處理等優(yōu)勢(shì)成為入侵檢測(cè)的一個(gè)重要輸入數(shù)據(jù)源。 ?UNIX操作系統(tǒng)提供門類齊全的系統(tǒng)日志文件，并且能夠通過通用日志服務(wù)后臺(tái)程序 syslogd來提供標(biāo)準(zhǔn)化的日志服務(wù)。 UNIX操作系統(tǒng)的主要日志文件可以分成 3類： ? 二進(jìn)制連接時(shí)間日志文件，由多個(gè)程序生成，消息寫入到 /var/log/wtmp和 /var/run/utmp， login等系統(tǒng)程序負(fù)責(zé)更新 wtmp和 utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。 ? 進(jìn)程日志，由系統(tǒng)內(nèi)核生成。當(dāng)一個(gè)進(jìn)程終止時(shí)，系統(tǒng)內(nèi)核為每個(gè)進(jìn)程在進(jìn)程日志文件（ pacct或 acct）中寫入一條記錄。 LOGO 74 系統(tǒng)日志 ? syslogd日志，由 syslogd生成并維護(hù)。各種系統(tǒng)守護(hù)進(jìn)程、內(nèi)核、模塊使用 syslogd記錄下自己發(fā)出的消息。 ? 另外還有許多 UNIX程序創(chuàng)建日志，像 或 ftp這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。 ?utmp、 wtmp和 lastlog日志文件是 UNIX日志子系統(tǒng)的關(guān)鍵，用于保持用戶登錄和退出的記錄。數(shù)據(jù)交換、關(guān)機(jī)和重啟也記錄在 wtmp文件中。所有的記錄都包含時(shí)間戳。這些文件的規(guī)模（除了 lastlog）在擁有大量用戶的繁忙系統(tǒng)中，將會(huì)增長(zhǎng)得非常迅速。許多系統(tǒng)以天或周為單位把wtmp配置成循環(huán)使用。 LOGO 75 系統(tǒng)日志 ? utmp、 wtmp和 lastlog是二進(jìn)制文件，不能用普通文本查看器查看，只能通過系統(tǒng)命令來查看，主要包括用戶名、終端、登錄 ip、 CPU使用時(shí)間、正在運(yùn)行的進(jìn)程、登錄時(shí)間和退出時(shí)間等內(nèi)容。 ? UNIX可以跟蹤每個(gè)用戶運(yùn)行的每條命令。該功能（稱為進(jìn)程日志）對(duì)于跟蹤系統(tǒng)問題十分有用。它還對(duì)跟蹤特定入侵者（或惡意用戶）的活動(dòng)很有幫助，但它的缺點(diǎn)是不能記錄命令的參數(shù)。進(jìn)程日志文件的名稱和位置在不同UNIX 版本中有所不同。 ?與連接日志不同，進(jìn)程日志默認(rèn)時(shí)并不激活，它必須顯式地啟動(dòng)。 ? lastm命令報(bào)告以前執(zhí)行的命令。 sa命令報(bào)告、清理并維護(hù)進(jìn)程日志文件。 LOGO 76 系統(tǒng)日志 ?syslog可以記錄系統(tǒng)事件，可以寫消息到一個(gè)文件或設(shè)備，或是直接給用戶發(fā)送一個(gè)信息。它能記錄本地日志或通過網(wǎng)絡(luò)記錄另一個(gè)主機(jī)上的日志。 syslog設(shè)備包括兩個(gè)重要元素： /etc/syslogd（守護(hù)程序）和 /etc/ （配置文件）。 ?syslogd可以處理的消息類型在/usr/include/sys/。一個(gè)消息可以分成兩個(gè)部分： “設(shè)備”和“優(yōu)先級(jí)”。 ? “設(shè)備”標(biāo)識(shí)發(fā)出消息的子系統(tǒng)，這是內(nèi)核定義的所有的設(shè)備。 ? “優(yōu)先級(jí)”表示消息的重要性，其范圍從 7（最低）到0（最高）。 LOGO 77 系統(tǒng)日志 ?通過 syslogd生成的文件有著的統(tǒng)一格式， 時(shí)間戳： 主機(jī)名： 消息發(fā)送者： 消息描述。 ?例如： Jun 12 11∶ 06∶ 11 Invent passwd［ 337］ : password for ′progs′ changed by ′root′… 表示 6月 12日 11時(shí) 6分 11秒，名為 Invent的主機(jī)收到來自 passwd的消息，描述用戶progs的口令被 root改變了。 LOGO 78 入