劉桂英

[摘要]Window操作系統(tǒng)日志記錄系統(tǒng)運(yùn)行的狀態(tài)，通過(guò)分析操作系統(tǒng)日志，可以實(shí)現(xiàn)對(duì)操作系統(tǒng)的實(shí)時(shí)監(jiān)控，達(dá)到入侵防范的目的。目前保護(hù)操作系統(tǒng)日志的手段都存在一定的安全缺陷。為彌補(bǔ)這些安全缺陷，首先闡述系統(tǒng)日志安全通常包含哪幾方面，然后分析現(xiàn)有系統(tǒng)日志安全的不足，主要講述黑客如何通過(guò)提高權(quán)限來(lái)清除日志，最后提出系統(tǒng)安全的保護(hù)措施及防范手段及設(shè)想。

[關(guān)鍵詞]Windows操作系統(tǒng)日志日志安全日志分析系統(tǒng)安全保護(hù)措施

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671—7597(2009)1020114--01

操作系統(tǒng)日志是操作系統(tǒng)為系統(tǒng)應(yīng)用提供的一項(xiàng)審計(jì)服務(wù)，這項(xiàng)服務(wù)在系統(tǒng)應(yīng)用提供的文本串形式的信息前面添加應(yīng)用運(yùn)行的系統(tǒng)名、時(shí)戳、事件ID及用戶等信息，然后進(jìn)行本地或遠(yuǎn)程歸檔處理、但是操作系統(tǒng)日志并不安全，一些Windows的系統(tǒng)日志很容易被黑客篡改或清除，不過(guò)操作系統(tǒng)日志很容易使用，許多安全類工具都使用它作為自己的日志數(shù)據(jù)。

操作系統(tǒng)日志分析器能夠?qū)⒋罅康南到y(tǒng)日志信息經(jīng)過(guò)提取并處理得到能夠讓管理員識(shí)別的可疑行為記錄，然后日志分析器可以擴(kuò)展成為一個(gè)計(jì)算機(jī)監(jiān)控系統(tǒng)并且能實(shí)時(shí)地對(duì)可疑行為進(jìn)行動(dòng)態(tài)的響應(yīng)。

為了保證日志分析器的正常判斷，系統(tǒng)日志的安全就顯得異常重要，這就需要從各方面去保證日志的安全性，系統(tǒng)日志安全通常與三個(gè)方面相關(guān)，簡(jiǎn)稱為“CIA”：

1、保密性(Confidentiality)：使信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用。

2、完整性(Integrity)：數(shù)據(jù)沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞。

3、確認(rèn)性(Accountability)；確保一個(gè)實(shí)體的作用可以被獨(dú)一無(wú)二地跟蹤到該實(shí)體。

一、操作系統(tǒng)日志完整性檢查和一致性檢查的安全方法

對(duì)操作系統(tǒng)日志的完整性檢查和一致性檢查可以從以下五個(gè)小的方面進(jìn)行分析判斷日志是否保持完整性和一致性：

1、原始日志的結(jié)構(gòu)與操作系統(tǒng)設(shè)置的形式結(jié)構(gòu)不相符合的。各類不同的系統(tǒng)都有自己的日志格式，一些系統(tǒng)還能夠選用不同的日志系統(tǒng)并進(jìn)行設(shè)置，在設(shè)置好一定的格式結(jié)構(gòu)后，產(chǎn)生的日志應(yīng)該符合設(shè)定的要求，如果出現(xiàn)不符合格式結(jié)構(gòu)設(shè)定的情況，應(yīng)該懷疑為非法篡改。有些日志系統(tǒng)還有特殊字符或特定的不可見(jiàn)字符，如果發(fā)現(xiàn)這些字符的缺失則可判定被非法篡改過(guò)。

2、日志中事件發(fā)生的時(shí)間與前后事件發(fā)生時(shí)間不相符合的。由于日志中事件的發(fā)生是按照一定順序發(fā)生的，如果說(shuō)發(fā)現(xiàn)日志中時(shí)間發(fā)生的順序顛倒，可以判定為非法篡改過(guò)的日志。

3、定期發(fā)生的事件缺少了或多了的。在不同的系統(tǒng)下面、不同的配置下面-如果有定期發(fā)生的事件，而在日志文件中發(fā)現(xiàn)了這些事件沒(méi)有出現(xiàn)，或者在不該發(fā)生的時(shí)間發(fā)生了，則日志文件可能被刪改過(guò)。

4、定期生成的日志文件缺少了或多了的。一般情況下日志按照一定時(shí)問(wèn)間隔生成，如果發(fā)現(xiàn)缺少了某一個(gè)時(shí)間段的日志文件，或者在某個(gè)時(shí)間段內(nèi)的日志文件數(shù)比應(yīng)該生成的數(shù)目多了(或者少了)，則日志可能被刪改過(guò)。

5、在服務(wù)器運(yùn)行經(jīng)后已生成，還未到指定的刪除期限，但是文件不存在的。一般系統(tǒng)會(huì)在設(shè)定的一段期限后自動(dòng)刪除日志，在此之前將一直存在，但是如果發(fā)現(xiàn)在指定的系統(tǒng)啟動(dòng)時(shí)間之后應(yīng)該生成的日志在刪除期限之前丟失，則日志系統(tǒng)可能被刪改過(guò)。

二、操作系統(tǒng)日志讀寫權(quán)限的安全方法

操作系統(tǒng)日志讀寫權(quán)限的安全設(shè)計(jì)關(guān)聯(lián)到系統(tǒng)的文件系統(tǒng)和內(nèi)核。目前流行的網(wǎng)絡(luò)服務(wù)器使用的操作系統(tǒng)主要采用LINUX和Windows兩類操作系統(tǒng)。

目前在LINUX系統(tǒng)幾種流行的文件系統(tǒng)中，至少有3個(gè)相對(duì)健壯可靠的日志式文件系統(tǒng)可供選擇(ext3、XFS、ReiserFS)。從性能測(cè)試的結(jié)果可以看出，ReiserFS是最好的選擇。但是即便如此，它提供的對(duì)系統(tǒng)日志的安全設(shè)計(jì)依然不能滿足安全需求。因?yàn)橐坏┤肭终吣玫絩oot權(quán)限，就可以直接危及操作系統(tǒng)日志的安全。

為此，這里需要設(shè)計(jì)一種新的安全認(rèn)證機(jī)制來(lái)提升操作系統(tǒng)日志的安全讀寫權(quán)限。可以考慮修改系統(tǒng)內(nèi)核來(lái)改變文件系統(tǒng)，來(lái)增加一種文件讀寫權(quán)限；或者使用一中特殊的系統(tǒng)進(jìn)程對(duì)系統(tǒng)日志進(jìn)行安全保護(hù)。以改善操作系統(tǒng)日志的安全。由于LINUX操作系統(tǒng)的開(kāi)放性，給第一種解決方法帶來(lái)了可能。例如要以在原有文件系統(tǒng)的屬性加上特別的屬性和認(rèn)證機(jī)制來(lái)保護(hù)操作系統(tǒng)日志。

對(duì)于Windows系統(tǒng)，目前主要流行的文件系統(tǒng)是NTFS，這種文件系統(tǒng)具備壓縮比、磁盤配額、加密、裝入點(diǎn)和遠(yuǎn)程存儲(chǔ)等特性。但它對(duì)于操作系統(tǒng)日志的安全存在同樣的問(wèn)題上。從操作系統(tǒng)日志讀取權(quán)限的安全性考慮，同樣需要設(shè)計(jì)一種類似前面所述的保護(hù)程序以提高操作系統(tǒng)日志的安全。

三、操作系統(tǒng)日志實(shí)時(shí)備份的安全方法

另一種保護(hù)操作系統(tǒng)日志安全的方法是將系統(tǒng)日志實(shí)時(shí)備份，這種方法可以保證系統(tǒng)在遭到入侵時(shí)操作系統(tǒng)日志能夠被完整、安全、不可逆被備份到安全的介質(zhì)中。

首先，可以考慮設(shè)計(jì)一種將操作系統(tǒng)日志信息實(shí)時(shí)傳送到安全系統(tǒng)日志文件服務(wù)器的方式。這種設(shè)計(jì)要考慮在文件傳送過(guò)程中可能遭到的網(wǎng)絡(luò)攻擊，因此要采取一些相應(yīng)的保護(hù)措施。根據(jù)網(wǎng)絡(luò)攻擊的特點(diǎn)，保護(hù)的主要方法可以是：配置無(wú)IP的日志文件服務(wù)器，設(shè)計(jì)具備加密認(rèn)證機(jī)制(如MD5)的發(fā)送Agent。與傳統(tǒng)的網(wǎng)絡(luò)安全工具配合保護(hù)傳送的安全。

此外，還可以設(shè)計(jì)一種專用系統(tǒng)日志存儲(chǔ)設(shè)備，僅供系統(tǒng)直接將日志備份到不可修改的介質(zhì)中去。這種設(shè)計(jì)要考慮硬件設(shè)備的安全性能，以及與系統(tǒng)本身的配合。由于在硬件上保證存儲(chǔ)介質(zhì)本身無(wú)法被破壞的，因此可以保證入侵者不能刪除、修改系統(tǒng)日志信息。但要確保系統(tǒng)日志信息的正確性，還要確保該設(shè)備的I／O權(quán)限，以避免入侵者向該設(shè)備寫入冗余信息。另外，對(duì)于存儲(chǔ)介質(zhì)的容量也要有特別的要求。

計(jì)算機(jī)運(yùn)用的環(huán)境是極其復(fù)雜的，即使是使用單一的操場(chǎng)作系統(tǒng)，也可以根據(jù)不同的需要使用不同的應(yīng)用程序，從而產(chǎn)生不同的日志，更是如今操作系統(tǒng)及應(yīng)用程序的多樣化。網(wǎng)絡(luò)環(huán)境下還要涉及到一些特定的網(wǎng)絡(luò)設(shè)備，尤其是對(duì)于大型的網(wǎng)絡(luò)而言，要實(shí)現(xiàn)一種通用性強(qiáng)的系統(tǒng)日志提取分析的方法，對(duì)日志分析技術(shù)的研究還有大量的工作要做。