计算机应用论文栏目提供最新计算机应用论文格式、计算机应用硕士论文范文。详情咨询QQ:1847080343(论文辅导)

分析操作系统日志记录系统运行的状态

日期:2018年01月15日 编辑: 作者:无忧论文网 点击次数:3487
论文价格:免费 论文编号:lw201004011552471759 论文字数:4852 所属栏目:计算机应用论文
论文地区:中国 论文语种:中文 论文用途:职称论文 Thesis for Title

摘要:Window操作系统日志记录了系统运行的状态,通过分析操作系统日志,可以实现对操作系统的实时监控,达到入侵防范的目的。目前保护操作系统日志的手段都存在一定的安全缺陷。为了弥补这些安全缺陷,本文首先阐述了系统日志安全通常包含哪几方面,然后分析了现有系统日志安全的不足,主要讲述了黑客如何通过提高权限来清除日志,最后提出了系统安全的保护措施及防范手段及设想;
    操作系统日志是操作系统为系统应用提供的一项审计服务,这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息,然后进行本地或远程归档处理、但是操作系统日志并不安全,一些Windows的系统日志很容易被黑客篡改或清除,不过操作系统日志很容易使用,许多安全类工具都使用它作为自己的日志数据。
操作系统日志分析器能够将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录,然后日志分析器可以扩展成为一个计算机监控系统并且能实时地对可疑行为进行动态的响应。
日志提取分析系统的目标是从大量的日志信息中提取用户简档,进而推断异常事件,它主要由三种不同类型的统计分析来完成:对不正常的行为记录下来,然后比较用户行为来判断行为是否正常;从用户行为出发,比较历史的用户行为特征来判断异常事件;在一定时间范围预测用户行为,并与当前用户行为进行比较得出结果。
为了保证日志分析器的正常判断,系统日志的安全就显得异常重要,这就需要从各方面去保证日志的安全性,系统日志安全通常与三个方面相关,简称为“CIA”[7]:
1.保密性(Confidentiality):使信息不泄露给非授权的个人、实体或进程,不为其所用。
2.完整性(Integrity):数据没有遭受以非授权方式所作的篡改或破坏。
3.确认性(Accountability):确保一个实体的作用可以被独一无二地跟踪到该实体。

一.现有系统日志安全的不足
目前的操作系统对于系统日志的安全保护级是很脆弱的。首先,操作系统对于系统日志的默认管理是不严谨的,任何有管理员权限的人都可以轻易地对系统日志进行读写操作。其次, 一部分系统即便采用了一些针对操作系统日志的安全工具、但这些保护并不完整,而且大多数保护方法是比较陈旧的。最后,系统本身的安全漏洞可以直接威胁系统日志的安全。


此外,从入侵的步骤(如图1所示)中可以看出:一旦完成了入侵的前三步,后面的入侵过程的记录和审计,从而难以对入侵犯罪行为进行指证。因此,目前对于操作系统日志的安全保护的重点在于:假设一旦入侵的前三步已经实施的情况下仍能保护操作系统日志的安全。
为了解决这一安全问题,通常的解决方法是:在被保护系统之外的机器上对操作系统日志进行实时备份。这样的通信过程通常被设计成一台日志文件记录服务器的若干台需要被保护的系统客户端的结构。但高明一点的黑客会想方设法侵入日志文件记录服务器从而破坏日志信息,或者在通信的同一网段内进行通信拦截、篡改、转发日志信息。

二.系统安全的保护措施
通常的操作系统都是根据“CIA”原则对系统日志采取了一定的保护措施。而这些保护策略主要如下:
1.账号安全策略:通过用户名/口令认证机制来实现“CIA”。
2.文件系统安全策略:结合账号安全策略,从文件系统层次对日志进行安全保护,以实现“CIA”原则。
3.网络服务安全策略:从网络模型的各层次协议出发,采用系统默认的保护机制来实现“CIA”原则。


                     图2 系统日志安全模型[7]
图2中给出了一个操作系统日志安全模型。在一个给定的计算机系统中,第一道防线是物理安全。若系统对公众开放且没有监督,则没有任何安全。假设系统通过某种机制保护物理上的访问,如门锁或通行证,则下一层防御就是账号安全。这里,用户名和口令的组合是关键。最靠近操作系统日志的一层是文件系统安全;甚至在账号被突破的情况下也具备一定的保护操作系统日志的能力。例如:一个攻击者进入了一个账号,但操作系统日志仍被权限保护着,该账号只赋予了有限的访问权。操作系统日志安全的另一个重要方面是加密。假设重要操作系统日志文件被加密,即使侵入者进入一个账号,甚至突破了权限系统,他仍不能阅读加密的数据。最外层的边界是网络安全;维护通信安全并保证只有被授权的用户才能访问系统。防火墙、入侵检测系统等常规网络防范工具是操作系统日志的边界防御。


三.防范手段及设想

正如前面所述,目前保护操作系统日志的手段都存在一定的安全缺陷。为了弥补这些安全缺陷,本文将从以下三个角度介绍一些安全日志防范手段及设想:操作系统日志完整性检查和一致性检查的安全设计,操作系统日志读写(I/O)权限的安全设计,操作系统日志实时备份的安全方法。
(一)操作系统日志完整性检查和一致性检查的安全方法
对操作系统日志的完整性检查和一致性检查可以从以下五个小的方面进行分析判断日志是否保持完整性和一致性:
1.原始日志的结构与操作系统设置的形式结构不相符合的。各类不同的系统都有自己的日志格式,一些系统还能够选用不同的日志系统并进行设置,在设置好一定的格式结构后,产生的日志应该符合设定的要求,如果出现不符合格式结构设定的情况,应该怀疑为非法篡改。有些日志系统还有特殊字符或特定的不可见字符,如果发现这些字符的缺失则可判定被非法篡改过。
2.日志中事件发生的时间与前后事件发生时间不相符合的。由于日志中事件的发生是按照一定顺序发生的,如果说发现日志中时间发生的顺序颠倒,可以判定为非法篡改过的日志。
3.定期发生的事件缺少了或多了的。在不同的系统下面、不同的配置下面,如果有定期发生的事件,而在日志文件中发现了这些事件没有出现,或者在不该发生的时间发生了,则日志文件可能被删改过。
4.定期生成的日志文件缺少了或多了的。一般情况下日志按照一定时间间隔生成,如果发现缺少了某一个时间段的日志文件,或者在某个时间段内的日志文件数比应该生成的数目多了(或者少了),则日志可能被删改过。
5.在服务器运行经后已生成,还未到指定的删除期限,但是文件不存在的。一般系统会在设定的一段期限后自动删除日志,在此之前将一直存在,但是如果发现在指定的系统启动时间之后应该生成的日志在删除期限之前丢失,则日志系统可能被删改过。
(二)操作系统日志读写权限的安全方法
操作系统日志读写权限的安全设计关联到系统的文件系统和内核。目前流行的网络服务器使用的操作系统主要采用LINUX和Windows两类操作系统。
目前在LINUX系统几种流行的文件系统中,至少有3个相对健壮可靠的日志式文件系统可供选择(ext3、XFS、ReiserFS)。从性能测试的结果可以看出,ReiserFS是最好的选择[8]。但是即便如此,它提供的对系统日志的安全设计依然不能满足安全需求。因为一旦入侵者拿到root权限,就可以直接危及操作系统日志的安全。
为此,这里需要设计一种新的安全认证机制来提升操作系统日志的安全读写权限。可以考虑修改系统内核来改变文件系统,来增加一种文件读写权限;或者使用一中特殊的系统进程对系统日志进行安全保护,以改善操作系统日志的安全。由于LINUX操作系统的开放性,给第一种解决方法带来了可能。例如要以在原有文件系统的属性加上特别的属性和认证机制来保护操作系统日志。
但这种设计在实现上具有一定难度且不易推广。在操作系统中,设计一个针对操作系统日志安全保护的程序显然相对容易。首要考虑这个守护程序本身的安全性,一般在系统启动的同时调用,且不能被任何权限的用户杀掉。对该进程的配置、启动和关闭也需要特别的认证设计。该进程的主要目的是对系统日志进程和日志文件本身进行监视、认证、权限控制,以此达到保护操作系统日志的目的。
对于Windows系统,目前主要流行的文件系统是NTFS,这种文件系统具备压缩比、磁盘配额、加密、装入点和远程存储等特性。但它对于操作系统日志的安全存在同样的问题上。从操作系统日志读取权限的安全性考虑,同样需要设计一种类似前面所述的保护程序以提高操作系统日志的安全。
(三)操作系统日志实时备份的安全方法
另一种保护操作系统日志安全的方法是将系统日志实时备份,这种方法可以保证系统在遭到入侵时操作系统日志能够被完整、安全、不可逆被备份到安全的介质中。
首先,可以考虑设计一种将操作系统日志信息实时传送到安全系统日志文件服务器的方式。这种设计要考虑在文件传送过程中可能遭到的网络攻击,因此要采取一些相应的保护措施。根据网络攻击的特点,保护的主要方法可以是:配置无IP的日志文件服务器,设计具备加密认证机制 (如MD5[9])的发送Agent[10],与传统的网络安全工具配合保护传送的安全。
此外,还可以设计一种专用系统日志存储设备,仅供系统直接将日志备份到不可修改的介质中去。这种设计要考虑硬件设备的安全性能,以及与系统本身的配合。由于在硬件上保证存储介质本身无法被破坏的,因此可以保证入侵者不