網絡安全CH15—安全審計1《網絡安全》第十五章-安全審計全文共29頁，當前為第1頁。目錄（Contents）2安全審計體系結構1安全審計跡2日志審計與分析3審計分析4《網絡安全》第十五章-安全審計全文共29頁，當前為第2頁。安全審計（SecurityAudit）是針對機構信息技術資產安全的一種審計形式RFC4949的定義——安全審計是對系統(tǒng)記錄和活動進行獨立的審查以確定目標系統(tǒng)控制的充分性，確保其符合已經建立的安全策略和操作規(guī)程，檢查安全服務的違法行為，并提出改進措施和建議的過程基本目標是為發(fā)起或參與與安全相關事件和活動的系統(tǒng)實體建立責任制。在此過程中，需要由工具來生產和記錄安全審計跡，并通過查看和分析安全審計跡來發(fā)現(xiàn)和調查所受的攻擊和安全損害安全審計跡（SecurityAuditTrail）是指按時間順序排列的系統(tǒng)活動記錄3安全審計體系結構《網絡安全》第十五章-安全審計全文共29頁，當前為第3頁。ITU-T的推薦標準X.816提出了一種安全審計和報警模型4安全審計體系結構《網絡安全》第十五章-安全審計全文共29頁，當前為第4頁。該模型還可以基于分布式實現(xiàn)。區(qū)別在于集中式的審計功能將建立一個中央存儲庫，分布式審計服務增加了兩個額外的邏輯組件5安全審計體系結構《網絡安全》第十五章-安全審計全文共29頁，當前為第5頁。按照通用標準規(guī)范（CommonCriteriaSpecification），安全審計包含以下6個主要功能模塊：數(shù)據生成（DataGeneration）：用于標識審計級別，枚舉可審計事件的類型，并標識所提供的與審計相關的信息的最小集合事件選擇（EventSelection）：在可審計集中，選擇或者排除一部分事件，以使得系統(tǒng)可以配置不同級別的粒度事件存儲（EventStorage）：創(chuàng)建和維護安全審計跡。主要包括提供數(shù)據可用性和防止審計跡數(shù)據被破壞或丟失的措施。自動響應（AutomaticResponse）：在檢測到可能違反安全規(guī)定的事件后應該采取的響應審計分析（AuditAnalysis）：提供自動化的機制來分析系統(tǒng)活動和審計數(shù)據，以發(fā)現(xiàn)安全違規(guī)事件審計復核（AuditReview）：對于已經被授權的用戶，可用于幫助對審計數(shù)據的審核6安全審計體系結構《網絡安全》第十五章-安全審計全文共29頁，當前為第6頁。X.816中建議的審計項目7安全審計跡類別建議審計的安全事件與特定連接相關的事件連接請求、確認；斷開連接請求及確認；連接的統(tǒng)計附屬信息與安全服務的使用相關的事件安全服務請求、使用、安全報警與管理相關管理操作、管理通知應至少包含的審計事件拒絕訪問、身份驗證、更改屬性、創(chuàng)建對象、刪除對象、修改對象、使用特權單獨的安全服務方面的與安全相關的事件身份認證（驗證成功、失?。?；訪問控制（決定訪問成功、失?。徊豢煞裾J性（不可否認消息的初始位置、收據；失敗的事件抵賴、成功的事件抵賴）；完整性（有無盾牌（shield）的使用；驗證成功、失?。?；機密性；審計（審計事件的選擇、取消；審計事件選擇標準的更改）；《網絡安全》第十五章-安全審計全文共29頁，當前為第7頁。在ISO27002標準中給與了一個可審計事件列表，其建議的監(jiān)控區(qū)域包括：用戶ID；系統(tǒng)活動；關鍵事件（如登錄或注銷）的日期；設備標識或位置信息，系統(tǒng)標識符；成功或被拒絕的系統(tǒng)、數(shù)據或其它資源的訪問嘗試記錄；系統(tǒng)配置更改；特權的使用；系統(tǒng)應用程序的使用；文件訪問記錄；網絡地址及協(xié)議類型；訪問控制系統(tǒng)的警報；啟動或解除保護系統(tǒng)，例如反病毒軟件和IDS系統(tǒng)等；用戶在使用應用程序過程中的事務記錄。8安全審計跡《網絡安全》第十五章-安全審計全文共29頁，當前為第8頁。審計跡分為系統(tǒng)級審計跡：通常用于監(jiān)控和優(yōu)化系統(tǒng)性能，同時提供安全審計功能；應能夠捕獲系統(tǒng)安全策略相關的事件，如成功和失敗的登錄嘗試、執(zhí)行的操作系統(tǒng)功能等應用級審計跡：用來檢測應用程序內部的安全違規(guī)或應用程序與系統(tǒng)交互過程中的缺陷用戶級審計跡：按照時間順序記錄單個用戶的活動，可用于指出用戶對自己動作所負的責任物理訪問審計跡：可以由控制物理訪問的設備生成，然后傳送到一個中央主機供后續(xù)的審計分析9安全審計跡《網絡安全》第十五章-安全審計全文共29頁，當前為第9頁。日志（log）：日志中記錄了用戶對某個文件或服務訪問和操作的細節(jié)，一些出錯信息也將記錄在日志中對于文件系統(tǒng)而言，日志是在傳統(tǒng)文件系統(tǒng)的基礎上，加入文件系統(tǒng)更改的記錄跟蹤記錄文件系統(tǒng)的變化，并將變化內容記錄入日志文件。日志文件系統(tǒng)中保存有日志記錄。若寫操作由于某種原因(如系統(tǒng)掉電)而中斷，系統(tǒng)重啟時，會根據日志記錄來恢復中斷前的寫操作。在日志文件系統(tǒng)中，所有的文件系統(tǒng)的變化都被記錄到日志。在對元數(shù)據做任何改變以前，文件系統(tǒng)驅動程序會向日志中寫入一個條目，這個條目描述了它將要做些什么，然后再修改元數(shù)據對于應用層服務而言，服務訪問的結果將記錄在一些log文件中，它們記錄了什么時間、什么客戶訪問了什么文件、是否傳送成功等信息10日志和審計概述《網絡安全》第十五章-安全審計全文共29頁，當前為第10頁。一個完整的日志審計系統(tǒng)應該包括：日志獲?。喝罩精@取的對象一般為操作系統(tǒng)、網絡設備和數(shù)據庫等。比如防火墻日志將記錄防火墻的各種動作。日志獲取從各種設備獲取日志信息，并將日志轉換為統(tǒng)一的格式，以便于后期的審計分析日志篩選：目的是找出惡意行為或可能是惡意行為的事件。通常通過將惡意行為特征跟對應的日志屬性進行比對來確定惡意事件日志整合：是將同一路徑各種設備的同一事件關聯(lián)起來。通過確認行為、行為方向以及數(shù)據流是否一致來確定日志是否為同一路徑日志分析：日志審計系統(tǒng)的核心。主要與系統(tǒng)的關聯(lián)規(guī)則和聯(lián)動機制有關。即將不同分析器上產生的報警信息進行融合和關聯(lián)，對一段時間內多個事件及事件之間的關系進行識別，找出事件的源頭，并最終形成審計分析報告11日志和審計概述《網絡安全》第十五章-安全審計全文共29頁，當前為第11頁。管理員可以通過日志來檢查錯誤發(fā)生的原因，有效地利用日志文件可以在系統(tǒng)發(fā)生斷電或者其它系統(tǒng)故障時保證整體數(shù)據的完整性，對數(shù)據進行恢復日志文件在調查網絡入侵中十分重要。不會出錯的、安全的日志是對入侵提供重要證據的唯一方法有些操作系統(tǒng)本身提供了系統(tǒng)日志工具，如Unix/Linux類常用的日志文件通常放在/var/log目錄下12日志的作用《網絡安全》第十五章-安全審計全文共29頁，當前為第12頁。Windows下的日志放在系統(tǒng)目錄%SystemRoot%\system32\config下，記錄著各種系統(tǒng)服務的啟動、運行、關閉等信息，常保存在二進制文件中，需要特殊的工具提取和分析。安全日志、應用程序日志和系統(tǒng)日志等文件受“EventLog（事件記錄）”服務的保護，不能被刪除，但可以被清空Windows系統(tǒng)事件一般由一個數(shù)字標識碼、一組屬性以及用戶提供的可選數(shù)據組成13Windows系統(tǒng)日志文件《網絡安全》第十五章-安全審計全文共29頁，當前為第13頁。Windows系統(tǒng)配有三種類型的事件日志：系統(tǒng)事件日志（SystemEventLog）：該工具是由系統(tǒng)服務賬號下運行的應用程序、驅動程序或與計算機系統(tǒng)運行狀況相關的應用程序或組件來使用。系統(tǒng)事件日志記錄的問題主要包括重要數(shù)據丟失、錯誤等，甚至是系統(tǒng)產生的崩潰行為應用程序事件日志（ApplicationEventLog）：記錄所有用戶級應用程序的事件。如SQLServer數(shù)據庫應用程序完成指定的操作后向日志系統(tǒng)發(fā)送記錄。此類日志不受保護，任何應用程序可訪問安全事件日志（SecurityEventLog）：Windows系統(tǒng)的與安全相關的事件的審計日志。該類日志由Windows本地安全授權服務（LocalSecurityAuthority）獨占使用。該類日志主要包括：各種系統(tǒng)登錄與退出是否成功的信息；對系統(tǒng)的各種重要資源進行的各種操作，比如對文件系統(tǒng)的創(chuàng)建、刪除和更改等14Windows系統(tǒng)日志文件《網絡安全》第十五章-安全審計全文共29頁，當前為第14頁。Windows運行系統(tǒng)用戶在9類不同的活動中啟用審計功能：賬戶登錄事件（AccountLogonEvent）：用戶身份認證可以通過嘗試的登錄來驗證。這包括認證授權；認證票據請求失敗；登錄時的賬戶映射等。此類別的個體活動不需要特別說明，但是當有大量的失敗時可能表明有掃描、蠻力攻擊等行為登錄事件（LogonEvent）：從本地或者網絡發(fā)起的用戶認證活動。比如用戶登錄成功；未知用戶名或口令錯誤導致登錄失敗；因賬號被禁用或過期導致登錄失??；用戶注銷；賬戶鎖定等賬戶管理（AccountManagement）：與賬號或者用戶組的創(chuàng)建、管理和刪除相關的管理活動。比如創(chuàng)建用戶賬號；更改密碼；刪除用戶賬號；Windows域策略更改等目錄服務訪問（DirectoryServiceAccess）：對活動目錄對象的用戶級訪問行為，這個對象具有定義的系統(tǒng)訪問控制列表（SACL）對象訪問（ObjectAccess）：對擁有已定義的系統(tǒng)訪問控制列表的文件系統(tǒng)和注冊表對象的用戶級訪問。其提供了一種跟蹤與操作系統(tǒng)集成在一起的敏感文件的讀取訪問和更改。比如對象打開；對象刪除策略更改（PolicyChange）：對訪問策略、審計配置等進行更改。如用戶權限分配；審計策略更改等特權使用（PrivilegeUse）：記錄用戶使用訪問特定的系統(tǒng)功能的所有實例。如用戶試圖執(zhí)行特權系統(tǒng)服務操作進程跟蹤（ProcessTracking）：進程啟動和結束時，程序被激活或對象被間接訪問時生成的詳細審計信息。例如創(chuàng)建新的進程；進程退出；用戶試圖安裝服務等系統(tǒng)事件（SystemEvent）：記錄影響操作系統(tǒng)可用性和完整性的事件，包括啟動和關機等信息。例如系統(tǒng)正常啟動；系統(tǒng)正常關閉；清除審計日志等15Windows系統(tǒng)日志文件《網絡安全》第十五章-安全審計全文共29頁，當前為第15頁。Linux系統(tǒng)的通用日志機制是Syslog。Syslog協(xié)議是一個在IP網絡中轉發(fā)日志信息的標準，現(xiàn)在已經成為Internet標準（RFC5424）Syslog可以記錄系統(tǒng)中的任何事件，管理員可以通過查看系統(tǒng)記錄隨時掌握系統(tǒng)狀況。它由以下幾個組件組成：syslog()：一個可以被標準系統(tǒng)工具調用的應用程序接口，該接口對于應用程序也是可用的logger：用于將單行記錄添加到Syslog中的Linux命令/etc/syslog.conf：syslog事件的配置文件。在Ubuntu較新版本的系統(tǒng)中為/etc/rsyslog.confsyslogd：系統(tǒng)守護進程。用于接收和管理來自syslog()調用和logger命令的Syslog事件。在Ubuntu較新版本的系統(tǒng)中為rsyslog16Linux系統(tǒng)日志文件《網絡安全》第十五章-安全審計全文共29頁，當前為第16頁。Linux的系統(tǒng)日志可以分為3個部分：登錄時間日志子系統(tǒng)：登錄時間日志通常與多個程序的執(zhí)行相關聯(lián)，日志記錄會被寫到/var/log/wtmp和/var/run/utmp文件中。系統(tǒng)一旦觸發(fā)login等程序，就會對wtmp和utmp文件進行更新，圖15.3所示的日志就是該種類型的日志實例進程統(tǒng)計日志子系統(tǒng)：由操作系統(tǒng)內核完成記錄工作。如果一個進程終止運行，系統(tǒng)就能夠自動記錄該進程，并在進程統(tǒng)計日志中添加響應的記錄錯誤日志子系統(tǒng)：主要由系統(tǒng)進程syslogd實現(xiàn)。它由各個應用程序（如HTTP、FTP）的守護進程、系統(tǒng)內核自動利用Syslog向/var/log/目錄下添加記錄。如大家所熟悉的/var/log/httpd/access_log就是由Apache服務產生的日志文件。/var/log/samba是由Samba服務產生的日志文件17Linux系統(tǒng)日志文件《網絡安全》第十五章-安全審計全文共29頁，當前為第17頁。即使操作系統(tǒng)支持日志記錄功能，也不能始終相信系統(tǒng)日志文件。事實上，修改日志文件是攻擊者學習的第一件事情。這一實踐活動已經變得如此普通，以至于現(xiàn)在已在已經有了專門的工具自動處理這一過程為了增加系統(tǒng)的安全性，系統(tǒng)管理員至少要使用一個第三方日志工具，這一方法有許多好處18日志和審計概述《網絡安全》第十五章-安全審計全文共29頁，當前為第18頁。使用第三方日志工具的好處：雖然破譯者團體中的人員基于操作系統(tǒng)的漏洞非常熟悉，很少有破譯者擁有入侵第三方日志軟件的知識好的第三方日志軟件能夠單獨獲得日志信息，不需要操作系統(tǒng)日志文件作為開始的索引。以后用這些信息與操作系統(tǒng)的日志信息進行比較，當發(fā)現(xiàn)不一致時，管理員立即就可以知道有人入侵了系統(tǒng)當系統(tǒng)日志工具出現(xiàn)問題時，第三方日志產品可以起到類似備份的作用

19日志和審計概述《網絡安全》第十五章-安全審計全文共29頁，當前為第19頁。下面的工具分析日志文件、從中摘錄數(shù)據，并做出報告SwatchPsLogListNestWatchNetTrackerLogSurferVBStats20日志和審計分析工具《網絡安全》第十五章-安全審計全文共29頁，當前為第20頁。Swatch(TheSimpleWatcherandFiler)是ToddAtkins開發(fā)的用于實時監(jiān)視日志的程序。用Perl語言編寫，目前主要應用于Unix平臺Swatch根據用戶設置的配置信息監(jiān)視日志記錄，及時地將用戶感興趣的事件發(fā)生情況通知用戶。有兩種運行方式：批處理方式，即檢查日志文件后立刻退出監(jiān)控方式，連續(xù)監(jiān)視日志文件，檢查每一條新記錄是否符合用戶的設置條件。在監(jiān)控狀態(tài)下，Swatch對事件的更新和通知實時性很好Swatch的配置文件非常重要，它告訴Swatch哪些事件需要向用戶報告，采用什么樣的方式通知用戶Swatch配置文件的格式為：模式以及模式匹配后采取的動作。其中，模式必須是Perl語言認識的正則表達式，正則表達式由關鍵字和‘=’組成。下面列出了部分關鍵字和可能值，及對應的解釋21Swatch《網絡安全》第十五章-安全審計全文共29頁，當前為第21頁。查看本地或遠程主機日志文件?？捎糜赪indowsNT系列、Windows2000、Sever2003、WindowsXP甚至最新的WindowsVista它的使用格式為：psloglist[\\遠程機器ip[-uusername[-ppassword]]][-s[-tdelimiter]][-n#]-d#][-c][-x][-r][-amm/dd/yy][-bmm/dd/yy][-ffilter][-leventlogfile]<eventlog>22PsLogList《網絡安全》第十五章-安全審計全文共29頁，當前為第22頁。NestWatch能從所有主Web服務器和許多防火墻中導入日志文件NestWatch運行在WindowsNT系統(tǒng)上，能夠以HTML格式輸出報告，并將它們分發(fā)到選定的服務器上去23NestWatch《網絡安全》第十五章-安全審計全文共29頁，當前為第23頁。NetTracker能分析防火墻和代理服務器的日志文件，這個產品有廣泛的過濾功能和報告功能，并且能將數(shù)據以Excel文件輸出（產品也能分析普通的訪問日志并生成適合于以圖表方式表示的用戶報告）NetTracker運行在Windows上24NetTracker《網絡安全》第十五章-安全審計全文共29頁，當前為第24頁。LogSurfer是一個綜合日志分析工具。程序檢查明文日志文件。根據它所發(fā)現(xiàn)的內容，它能執(zhí)行各種動作（當然要提供規(guī)則），可能包括發(fā)出警告、執(zhí)行外部程序，甚至包括日志文件數(shù)據分塊并將它們送給外部命令或進程處理25LogSurfer《網絡安全》第十五章-安全審計全文共29頁，當前為第25頁。VBStats是一個Windows下的強大的日志分析器。這一工具的輸出格式為MicrosoftAccess文件格式，因此可以對結果數(shù)據進行進一步處理。特別有意思的是VBStats能自動依據IP地址轉換出DNS這非常有用，因為通常用戶都愿意知道真正的主機名是什么。僅僅因為這個原因，VBStats就值得擁有（另外，VBStats能很