基于Windows日志的安全审计技术研究

收稿日期:2008208220

基金项目:山东省自然科学基金(Y 2006G 20)

作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。

文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究

宁兴旺,刘培玉,孔祥霞

(山东师范大学信息科学与工程学院,山东济南250014)

摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律

是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现

Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用

模型。

关键词:主机日志;安全审计;计算机安全

中图分类号:TP393 文献标识码:A

R esearch on Windows Log B ased Security Audit Technology

Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia

(School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China )

Abstract :An event log records s ome im portant events of an operating system or an application procedure.

It is the primary purpose of a security audit to discover the required information and rules of an event by

the analysis of a log.This paper discusses the central and global managment of windows system log files ,

em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a

host log analysis based security audit universal m odel by the analysis of a windows log.

K ey w ords :host log ;security audit ;com puter security

近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。

根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》

(T rusted C om puter System Evaluation Criteria ),安全审计可以理解为:

定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。

衡量一个安全审计系统好坏的标准主要有以下几个方面:

(1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷　第1期

2009年2月

山东科学SH ANDONG SCIE NCE V ol.22　N o.1Feb.2009

安全和有效,是一个安全审计系统的基本标准。

(2)规则库匹配算法的效率:安全审计系统的主要核心在于审计规则库。规则库的完善与合理是一个重要指标,但规则匹配算法的效率同样重要。一个好的系统应该使规则库具备自学习和自适应能力。所谓自学习是指规则库可以根据管理员对记录的处理方法以及实际数据模式自动产生新的规则,更好地适应实际需要;所谓自适应能力主要是指规则库根据安全管理员对实际审计报告的评价,动态调整每条规则的可信度和某些其它参数。规则匹配速度是否够快,规则本身是否具有自学习和自适应能力是一个优秀的安全审计系统的所应具备的。

(3)进一步提高系统的趋势分析能力:所谓趋势分析是指系统根据日志中的历史数据以及某些统计学原理,来判断当前的运行状态是否安全。这对于系统检测某些新出现的或特征比较模糊的入侵行为是很有好处的。

1　事件日志

Windows 的事件日志记录着操作系统或应用程序重要的事件,审计主要是通过对所关心的事件日志进行记录和分析来实现的。事件日志分为:应用程序日志、系统日志和安全日志。应用程序日志包含由应用程序或一般程序记录的事件。系统日志包含由系统组件记录的事件。安全日志可以记录诸如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。例如,如果您启动了登录审核,那么系统登录尝试就记录在安全日志中。我们只监控有关系统安全审核的事件,监控这种事件记录,我们就可以知道系统发生了哪些重要的安全审核事件。

一般来说,日志文件中的记录可提供以下用途:①监控系统资源;②审计用户行为;③对可疑行为进行告警;④确定入侵行为的范围;⑤为恢复系统提供帮助;⑥生成调查报告,⑦为打击计算机犯罪提供证据来源。在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。

然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远大于业务系统,并且将严重影响系统的性能。因此,日志的内容应该是有选择的。一般情况下,日志记录的内容应该满足以下原则:

(1)日志应该记录任何必要的事件,以检测已知的攻击模式。

(2)日志应该记录任何必要的事件,以检测异常的攻击模式。

(3)日志应该记录关于记录系统连续可靠工作的信息。

在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:

(1)审计功能的启动和关闭。

(2)使用身份鉴别机制。

(3)将客体引入主体的地址空间。

(4)删除客体。

(5)管理员、安全员、审计员和一般操作人员的操作。

(6)其他专门定义的可审计事件。

通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件的源和目的的位置、事件类型、事件成败等。

2　基于日志的安全审计系统设计与实现

基于日志的安全审计系统的基本设计目标是对指定范围的主机内容进行审计,发现可能存在的有害信息,并保存相关现场,以便采取进一步的行动,从根本上杜绝信息污染。在这里我们提出了一个实用的基于

14第1期宁兴旺,等:基于Windows 日志的安全审计技术研究