安全审计的基础知识

应用实例
Unix/Linux 中的安全审计
进程统计日志
进程统计日志由系统 内核执行。当一个进 程终止时，系统往进 程统计文件中写一个 记录。其目的是为系 统中的基本服务提供 命令使用统计。
进程系统日志：
与连接按日志不同，进程统计子系统缺省为不激 活，必须通过启动来激活。在Unix/Linux系统中 启动进程统计使用accton命令，必须用root身份 来运行。accton命令的形式为accton file，file必 须先存在。然后运行 accton:accton/var/log/pacct。进程日志系统可 以跟踪每个用户运行的每条命令，并且对跟踪一 个入侵者有帮助。，进程系统一个问题是pacct 文件可能增长得十分迅速。这是需要交互式或经 过corn机制运行sa命名来保持日志数据在系统控 制的范围内。
（3）防止审计数据丢失：在审计踪迹超过预定的
门限或记满时，应采取相应的措施防止数据丢失。这种措 施可以是忽略可审计事件、只允许记录有特殊权限的事件、 覆盖以前记录、停止工作等等。
安全审计应用实例
应用实例
Windows NT 中的安全审计
1.NT审计子系统结构
几乎Windows NT系统中的每一项事务都可以在一定程 度上被审计，可以在Explorer和User manager两个地方打 开审计。在Explorer中，选择Security，再选择Auditing以 激活Directory Auditing对话框，系统管理员可以在这个窗 口选择跟踪有效和无效的文件访问。在User manager中， 系统管理员可以根据各种用户事件的成功和失败选择审计 策略，如登陆和退出、文件访问、权限非法和关闭系统等。 Windows NT使用一种特殊的格式存放它的日志文件，这 种各式的文件可以被事件查看器Event viewer读取。事件
5.管理和维护NT审计
通常情况下，Windows NT 不是将所有的事件都记录 日志，而需要手动启动审计的功能。这是首先需要从开始 菜单中选择程序，然后再选择管理工具。从管理工具紫菜 单选择用户管理器，显示出用户管理起窗口。然后从用户 管理器的菜单中单击policies(策略)，再单击audit(审计)， 审计策略窗口就出现了。接着选择单选框”audit thest events”(审计这些事件)。最后选择需要启动事件的按OK， 然后关闭用户管理器。值得注意的是在启动Windows NT 的审计功能时，需要仔细选择审计的内容。
日志系统根据安全要求记录上面事件的部分或全部。 通常，对于一个事件，日志应包括事件发生的日期和时 间、引发事件的用户（地址）事件、和源目的的位置、 事件类型、事件成败等。
记录机制
不同的系统可采用不同的机制记录日志。但大多情况可 用系统调用Syslog来记录日志，也可用SNMP记录。下面 简单介绍下Syslog：
2.审计日志和记录格式
Windows NT的审计日志由一系列的事件记录组成， 每一个事件记录分为三个功能部分：头、事件描述和 可选的附加数据项。如下表显示了一个事件记录的结 构。安全日志的入口通常由头和事件描述组成。
记录头
事件描述 附加数据
数据
时间
用户名 计算机名
事件ID
源
类型
种类
可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建议
（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常 被映射 成一个文本表识（事件名）。
(6) 源：用来响应事件纪录的软件。源可以是一个应用程序、一个系 统服务或一个设备驱动器。 （7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错 误、警告或信息，按重要性降序排列。 （8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功
审计事件的查阅应该受到严格的限制，不能篡改日 志。通常通过以下不同的层次来保证查阅的安全。
（1）审计查阅：审计系统以可理解的方式为授权用户提 供查阅日志和分析结果的功能。
（2）有限审计查阅：审计系统只能提供对内容的读权限， 因此应拒绝具有读以外权限的用户访问审计系统。
（3）可选审计查阅：在有限审计查阅的基础上限制查阅 的范围。
连接时间日志：
loginlog文件，Unix system V版本中可以把不成功的登陆行 为记录在/var/adm/loginlog中。如果某个入侵者直到一个系 统的用户名，同时又想猜出密码，/var/adm/loginlog就会记 录他的失败的登陆尝试。 utmp、wtmp和lastlog日志文件是多数Unix日志系统的关键--记录用户的登陆和推出信息。有关当前登陆用户的信息记录 在utmp中。等和推出记录在文件wtmp中。最后一次登陆文 件可以用lastlog命令察看。数据交换和重启也记录在wtmp文 件中。所有的记录都包括时间戳。这些文件（lastlog通常不 大）在具有大量用户的系统中增长十分迅速.wtmp和utmp都 是为二进制文件，不能被诸如tail命令剪贴或合并（使用cat 命令）。用户可以通过who,w,users,last和ac来使用这两个文 件包含的信息。
（3）简单攻击探测：对重大威胁特征有明确描述，当攻 击现象出现，能及时指出。
（4）复杂攻击检测：要求高的日志分析系统还应能检测
到多部入侵序列，当攻击序列出现，能预测其发生的步骤。
审计事件查阅
由于审计系统是追踪、恢复的直接依据，甚至是司法 依据，因此其自身的安全性十分重要。审计系统的安全性 主要是查阅和存储的安全。
Unix/Linux 中的安全审计
• Unix存放日志文件最常用的目录
• /usr/adm 早期版本的unix
• /var/adm 较新版本的unix
• /var/log 用于Solaris,Linix,BSD
• /etc
Unix system V 早期版本
常的日志文件
• lastlog 用户最后一次成功登录时间
Syslog由Syslog守护程序、Syslog规则集及Syslog系统 调用三部分组成，如下图：
安全审计分析
日志分析就是在日志中寻找模式，其主要内容：
（1）潜在侵害分析：日志分析应能用一些规则去监控审 计事件，并根据规则发现潜在的入侵。
（2）基于异常检测的轮廓：确定正常行为轮廓，当日
志中的事件违反它或超出他的一定门限，能指出将要发生 的威胁。
情况和可信度
审计的目标
安全审计系统的目标至少要包括以下几个方面：
• 确定和保持系统活动中每个人的责任 • 确认重建事件的发生 • 评估损失 • 监测系统问题区 • 提供有效的灾难恢复依据 • 提供阻止不正当使用系统行为的依据 • 提供案件侦破证据
审计系统的组成
日志记录的原则
在理想情况下，日志应该记录每个可能的事件， 以便分析发生的所有事件，并恢复任何时刻进行的 历史情况。但这样存储量过大，并且将严重影响系 统的性能。因此。日志的内容应该是有选择的。一 般情况下日志的记录应该满足如下的原则：
5.管理和维护NT审计
审计日志将产生大量的数据，因此较为合理的方法是首先 设置进行简单审计，然后在监视系统的情况下逐步增加复 杂的审计要求。当需要审查审计日志以跟踪网络或机器上 的异常事件时，采用一些第三方提供的工具是一个叫有效 率的选择。
最后介绍一下Windows NT的三个日志文件的物理位置。 系统日志： %systemroot%\system32\config\sysevent.evt 安全日志： %systemroot%\system32\config\secevent.evt 应用程序日志： %systemroot%\system32\cwk.baidu.comnfig\appevent.evt
（1）Application Log：包括用NT Security authority注册的应用程序产生 的信息。
（2）Security Log：包括有关通过NT可识别安全提供者和客户的系统访 问信息。
（3）System Log: 包含所有系统相关事件的信息。
应用实例
Windows NT 中的安全审计
审计事件存储
审计事件的存储也有安全性的要求，具体有如 下几种情况。
（1）受保护的审计踪迹存储：即要求存储系统对
日志事件具有防护功能，防止未授权的修改和删除，并具 有检测修改和删除的能力。
（2）审计数据的可用性保证：在审计存储系统遭
受意外时，能防止或检测审计记录的修改，在存储介质存 满或存储失败时，能确保记录不被破坏。
• loginlog 不良的登录尝试记录
• messages 输出到系统主控台的消息
• utmp
当前登录的每个用户
• wtmp
每一次用户登录和注销的历史信息
• vold.log 使用外部介质出现的错误
• xferkig Ftp的存取情况
• acct
每个用户使用过的命令
• aculog 拨出自动呼叫记录
或失败审计已经被许可。
3. NT事件日志管理特征
Windows NT提供了大量特征给系统管理员区管理操 作系统事件日志机制。例如：管理员能限制日志的大小 并规定当文档达到容量上限时，如何去处理这些文件。 选项包括：用新纪录去冲掉最老的纪录，停止系统直到 事件日志备受共清除。
当系统开始运行时，系统和应用事件日志也自动开始。当日 志文件满并且系统配置规定它们必须备受共清除时，日志停 止。另一方面，安全事件日志必须由具有管理者权限的人启 动。利用NT得用户管理器，可以设置安全审计规则。要启动 安全审计的功能，只需在规则菜单下选择审计，然后通过察 看NT记录的安全事件日志中的安全性事件，既可以跟踪所选 用户的操作。
应用实例
Windows NT 中的安全审计
4. NT安全日志的审计策略
NT安全日志由审计策略支配，审计策略可以通过配置审计策 略对话框中的选项来建立。
NT的审计规则如下（既可以审计成功的操作，又可以审计失 败的操作）：
（1）登陆及注销（2）用户及组管理（3）文件及对象访问 （4）安全性规则更改（5）重新启动、关机及系统级事件 （6）进程追踪（7）文件和目录审计
1.NT审计子系统结构
察看器可以在Administrative tool程序组中找到。系统 管理员可以使用事件察看器的Filter选项根据一定条件 选择要查看的日志条目。查看条件条件包括类别、拥 护和消息类型。
Windows NT的日志文件很多，但主要是系统日志、安全日志和应 用日志三个。这三个审计日志是审计一Windows NT系统的核心。默 认安装时安全日志不打开。 Windows NT中所有可被审计的事件都存 入了其中的一个日志。
附加域。如果采用的话，包含可以字节或字显示的二进制数据及 事件记录的源应用产生的信息
时间记录头有下列域组成：
（1）日期：事件的日期标识。 （2）时间：事件的时间标识。 （3）用户名：表识事件是有谁触发的。
（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中 安全管理时，该信息大大简化了审计信息的回顾。
安全审计
安全审计
• 审计技术出现在计算机技术之前，是产生和记录
并检查按时间顺序排列的系统事件记录过程。安 全审计是计算机和网络安全的重要组成部分。
• 安全审计提供的功能服务于直接和间接两方面的
安全目标：
1.直接的安全目标包括跟踪和监测系统中的异常事件 2.间接的安全目标是检测系统中其他安全机制的运行
应用实例
Unix/Linux 中的安全审计
连接时间日志
连接时间日志由多个程序程序执行，把记录写 入到/var/log/wtm和/var/run/utmp中并通过 login等程序更新wtmp和utmp文件，使系统管 理员能够跟踪谁在何时登录到系统。
连接时间日志：
lastlog文件，Unix在lastlog 日志文件中记录 每一个用户注册进入系统的最后时间，在每 一次进入系统是，系统会显示这个信息。告 诉用户和对一下最后注册进入系统的时间是 否正确，若系统显示的时间与上次 进入系统 的时间不服，说明发生了非授权用户注册。
（1） 日志应该记录任何必要的事件，以检测已知的攻击模式。
（2） 日志应该记录任何必要的事件，以检测异常的攻击模式。
（3） 日志应该记录关于记录系统连续可靠工作的信息。
日志的内容
• 审计功能的启动和关闭 • 使用身份鉴别机制 • 将客体引入主体的地址空间 • 删除客体 • 管理员、安全员、审计员和一般操作人员的操作 • 其他专门定义的可审计事件