摘要：日志數(shù)據(jù)是安全審計(jì)系統(tǒng)的重要數(shù)據(jù)來(lái)源，但由于不同安全產(chǎn)品所生成的日志格式未能實(shí)現(xiàn)完全的統(tǒng)一，安全審計(jì)系統(tǒng)在使用這些日志數(shù)據(jù)前必須做好日志格式的整合工作，本文就此提出一些探討。

關(guān)鍵詞：網(wǎng)絡(luò)安全審計(jì)；日志；日志格式

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)14-20803-02

1 引言

防火墻、入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)等安全產(chǎn)品為內(nèi)部網(wǎng)絡(luò)提供了良好的保護(hù)作用。安全審計(jì)系統(tǒng)提供了一種通過(guò)收集各種網(wǎng)絡(luò)信息從而發(fā)現(xiàn)有用信息的機(jī)制，將這種機(jī)制應(yīng)用于局域網(wǎng)內(nèi)部，從多種網(wǎng)絡(luò)安全產(chǎn)品中收集日志和警報(bào)信息并分析，從而實(shí)現(xiàn)效能的融合，與防火墻、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品形成合力，為局域網(wǎng)的安全提供強(qiáng)有力的保障。

如何高效的從各種網(wǎng)絡(luò)設(shè)備所生成的海量的日志數(shù)據(jù)信息中提取有用信息，通過(guò)格式的統(tǒng)一整合后為安全審計(jì)系統(tǒng)提供統(tǒng)一接口，這是安全審計(jì)系統(tǒng)一項(xiàng)十分關(guān)鍵的工作，也是影響整個(gè)系統(tǒng)性能的一個(gè)重要因素，本文就此進(jìn)行探討。

2 安全審計(jì)系統(tǒng)的功能需求

安全監(jiān)控與審計(jì)技術(shù)通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、跟蹤識(shí)別違反安全法則的行為等功能，使系統(tǒng)管理員可以有效地監(jiān)控、評(píng)估自己的系統(tǒng)和網(wǎng)絡(luò)。監(jiān)控審計(jì)技術(shù)是對(duì)防火墻和入侵檢測(cè)系統(tǒng)的有效補(bǔ)充，彌補(bǔ)了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)傳輸內(nèi)容粗粒度(傳輸層以下)的控制不足，同時(shí)作為一種重要的網(wǎng)絡(luò)安全防范手段，對(duì)檢測(cè)手段單一的入侵檢測(cè)系統(tǒng)也是有益的補(bǔ)充，能及時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，規(guī)范網(wǎng)絡(luò)的使用[1]。

目前，安全審計(jì)系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)，許多研究者都提出了不同的系統(tǒng)模型，這包括對(duì)內(nèi)容進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)、對(duì)用戶行為進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)以及對(duì)各種安全設(shè)備生成的日志進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)等等。

基于日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一個(gè)日志接收與日志分析的審計(jì)系統(tǒng)，該系統(tǒng)能夠接收、分析審計(jì)局域網(wǎng)內(nèi)的防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品生成的日志，審計(jì)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)信息安全?；谌罩镜木W(wǎng)絡(luò)安全審計(jì)系統(tǒng)的功能需求如下：

(1) 集中管理：審計(jì)系統(tǒng)通過(guò)提供一個(gè)統(tǒng)一的集中管理平臺(tái)，實(shí)現(xiàn)對(duì)日志代理、安全審計(jì)中心、日志數(shù)據(jù)庫(kù)的集中管理，包括對(duì)日包更新、備份和刪除等操作。

(2) 能采集各種操作系統(tǒng)的日志，防火墻系統(tǒng)日志，入侵檢測(cè)系統(tǒng)日志，網(wǎng)絡(luò)交換及路由設(shè)備的日志，各種服務(wù)和應(yīng)用系統(tǒng)日志，并且具備處理多日志來(lái)源、多種不同格式日志的能力。

(3) 審計(jì)系統(tǒng)不僅要能對(duì)不同來(lái)源的日志進(jìn)行識(shí)別、歸類和存儲(chǔ)，還應(yīng)能自動(dòng)將其收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式，以供系統(tǒng)調(diào)用。并且能以多種方式查詢網(wǎng)絡(luò)中的日志記錄信息，以報(bào)表的形式顯示。

(4) 能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問(wèn)題并通知管理員采取相應(yīng)措施。系統(tǒng)必須從海量的數(shù)據(jù)信息中找出可疑或危險(xiǎn)的日志信息，并及時(shí)以響鈴、E-mail或其他方式報(bào)警，通知管理員采取應(yīng)對(duì)措施及修復(fù)漏洞。

(5) 審計(jì)系統(tǒng)的存在應(yīng)盡可能少的占用網(wǎng)絡(luò)資源，不對(duì)網(wǎng)絡(luò)造成任何不良的影響。

(6) 具備一定的隱蔽性和自我保護(hù)能力。具有隱蔽性是說(shuō)系統(tǒng)的存在應(yīng)該合理“隱藏”起來(lái)，做到對(duì)于入侵者來(lái)說(shuō)是透明而不易察覺(jué)系統(tǒng)的存在。

(7) 保證安全審計(jì)系統(tǒng)使用的各種數(shù)據(jù)源的安全性和有效性。若采用未經(jīng)加密的明文進(jìn)行數(shù)據(jù)傳輸，很容易被截獲、篡改和偽造，工作站與服務(wù)器之間的通訊應(yīng)進(jìn)行加密傳輸，可采用SSL、AES、3DES等加密方式。

(8) 具有友好的操作界面。

3 安全審計(jì)系統(tǒng)的模型概述

如圖1所示，基于日志的安全審計(jì)系統(tǒng)主要包含如下模塊：

(1) 代理：負(fù)責(zé)收集各種日志數(shù)據(jù)，包括各種操作系統(tǒng)的日志，防火墻系統(tǒng)日志、入侵檢測(cè)系統(tǒng)日志、網(wǎng)絡(luò)交換及路由設(shè)備的日志、各種服務(wù)和應(yīng)用系統(tǒng)日志等。定時(shí)或?qū)崟r(shí)發(fā)送到審計(jì)中心。其間，日志數(shù)據(jù)的傳送采用加密方式進(jìn)行發(fā)送，防止數(shù)據(jù)被截獲、篡改和偽造。

(2) 數(shù)據(jù)預(yù)處理模塊：將代理采集到的日志數(shù)據(jù)經(jīng)過(guò)解密后按照數(shù)據(jù)來(lái)源存入相應(yīng)的數(shù)據(jù)庫(kù)中。

(3) 系統(tǒng)管理模塊：負(fù)責(zé)對(duì)日志代理、安全審計(jì)中心、日志數(shù)據(jù)庫(kù)的集中管理，包括對(duì)日志數(shù)據(jù)的更新、備份和刪除等操作。

(4) 數(shù)據(jù)處理模塊：負(fù)責(zé)自動(dòng)將收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式，并且從海量的數(shù)據(jù)中通過(guò)模式匹配，發(fā)現(xiàn)并找出可疑或危險(xiǎn)的日志信息，交由“日志報(bào)警處理模塊”進(jìn)行處理。

(5) 日志報(bào)警處理模塊：處理已發(fā)現(xiàn)的問(wèn)題，以響鈴、E-mail或其他方式報(bào)警通知管理員采取應(yīng)對(duì)措施。

(6) 數(shù)據(jù)庫(kù)模塊：負(fù)責(zé)接收、保存各種日志數(shù)據(jù)，包括策略庫(kù)也存放其中。

(7) 接口模塊：供用戶訪問(wèn)、查詢。

4 安全審計(jì)系統(tǒng)中有用數(shù)據(jù)整合的方法

4.1 安全審計(jì)系統(tǒng)的數(shù)據(jù)源

安全審計(jì)系統(tǒng)可以利用的日志大致分為以下四類[2]：

4.1.1 操作系統(tǒng)日志

a) Windows系統(tǒng)日志。Windows NT/2K/XP的系統(tǒng)日志文件有應(yīng)用程序日志、安全日志和系統(tǒng)日志等，日志默認(rèn)位置在%systemroot%\\system32\\config目錄下。Windows是使用一種特殊的格式存放它的日志文件，這種格式的文件通常只可以通過(guò)事件查看器EVENT VIEWER讀取。

b) Linux/Unix系統(tǒng)日志。在Linux/Unix系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)日志和錯(cuò)誤日志。錯(cuò)誤日志——由syslogd(8)執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog向文件/var/log/messages報(bào)告值得注意的事件。

4.1.2 安全設(shè)備日志

安全設(shè)備日志主要是指防火墻，入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志。這部分日志格式?jīng)]有統(tǒng)一標(biāo)準(zhǔn)。目前，國(guó)內(nèi)多數(shù)防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式，而多數(shù)入侵檢測(cè)系統(tǒng)的日志兼容Snort產(chǎn)生日志格式。

4.1.3 網(wǎng)絡(luò)設(shè)備日志

網(wǎng)絡(luò)設(shè)備日志是指網(wǎng)絡(luò)中交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志，這些設(shè)備日志通常遵循RFC3164(TheBSD syslog Protocol)規(guī)定的日志格式，可以通過(guò)syslogd實(shí)現(xiàn)方便的轉(zhuǎn)發(fā)和處理。一個(gè)典型的syslog記錄包括生成該記錄的進(jìn)程名字、文本信息、設(shè)備和優(yōu)先級(jí)范圍等。

4.1.4 應(yīng)用系統(tǒng)日志

應(yīng)用系統(tǒng)日志包含由各種應(yīng)用程序記錄的事件。應(yīng)用系統(tǒng)的程序開(kāi)發(fā)員決定記錄哪一個(gè)事件。Web應(yīng)用程序日志往往是系統(tǒng)管理員最關(guān)心的應(yīng)用系統(tǒng)日志之一。

a) Apache日志。Apache日志記錄Apache服務(wù)器處理的所有請(qǐng)求和出錯(cuò)信息，它支持兩種格式的日志：普通記錄格式(Common Log Format)，組合記錄格式(Combined Log Format)。

b) IIS日志。IIS日志文件記錄了所有訪問(wèn)IIS服務(wù)程序的信息，IIS日志文件一般位于如下路徑：%systemroot%\\system32\\LogFiles。IIS支持“W3C擴(kuò)充日志文件格式”、“NCSA通用日志格式”和“ODBC數(shù)據(jù)庫(kù)日志格式”。

4.2 日志數(shù)據(jù)的特點(diǎn)

多樣性：操作系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品都有各自記錄事件的格式，缺乏統(tǒng)一的接口。

數(shù)據(jù)海量性：各種設(shè)備在短時(shí)間內(nèi)就能產(chǎn)生非常盤(pán)大的日志數(shù)據(jù)信息，一些有用信息常常被淹沒(méi)在噪音當(dāng)中。

弱關(guān)聯(lián)性：日志里面的記錄是相對(duì)孤立的，只是記錄各種操作及系統(tǒng)發(fā)生的變化，不能自動(dòng)關(guān)聯(lián)起來(lái)判斷是否存在問(wèn)題。不同設(shè)備的日志之間也是互相孤立的，只反映本設(shè)備的情況，不能進(jìn)行自動(dòng)關(guān)聯(lián)。

脆弱性：系統(tǒng)一旦遭到入侵，日志記錄很容易被修改、偽造甚至是刪除。有經(jīng)驗(yàn)的黑客也一定會(huì)將自身黑客行為相關(guān)的日志記錄清除而不留痕跡。

4.3 日志數(shù)據(jù)的整合

日志種類不同，生成的日志記錄的格式也不盡相同。為了保證系統(tǒng)的一致性，必須制定標(biāo)準(zhǔn)，對(duì)日志記錄的格式進(jìn)行統(tǒng)一[3]。通過(guò)對(duì)各種不同格式日志的分析比較，我們?nèi)∮脤?duì)安全審計(jì)有用的屬性值，而把一些可以忽略的屬性值去掉，盡可能的兼容各種格式的日志。統(tǒng)一格式后保留以下字段建立數(shù)據(jù)庫(kù)表（見(jiàn)表1）。

根據(jù)系統(tǒng)采集到的日志種類的特點(diǎn)，一般對(duì)日志數(shù)據(jù)處理可分為以下幾個(gè)步驟：數(shù)據(jù)過(guò)濾→數(shù)據(jù)簡(jiǎn)約→數(shù)據(jù)合并→格式轉(zhuǎn)換[4]。

(1) 數(shù)據(jù)過(guò)濾。根據(jù)數(shù)據(jù)的屬性或?qū)傩耘c屬性之間的聯(lián)系制定過(guò)濾規(guī)則，然后將采集到的數(shù)據(jù)的屬性值與過(guò)濾規(guī)則相匹配，符合要求的數(shù)據(jù)待用作進(jìn)一步的處理，不符合要求的數(shù)據(jù)即被過(guò)濾掉。經(jīng)過(guò)過(guò)濾的日志信息可以除去海量數(shù)據(jù)中的噪音信息，從而更好的為整個(gè)系統(tǒng)提供有效數(shù)據(jù)。

(2) 數(shù)據(jù)簡(jiǎn)約。通過(guò)尋找數(shù)據(jù)特征，在盡可能保持?jǐn)?shù)據(jù)信息準(zhǔn)確性的前提下，去掉與網(wǎng)絡(luò)無(wú)關(guān)的屬性（即屬性簡(jiǎn)約），最大限度地精簡(jiǎn)數(shù)據(jù)量。

(3) 數(shù)據(jù)合并。根據(jù)各種不同設(shè)備來(lái)源的日志分別建立數(shù)據(jù)庫(kù)，例如：將防火墻日志、IDS日志分別存放于數(shù)據(jù)庫(kù)1、數(shù)據(jù)庫(kù)2，此外再建立一個(gè)用于存放最后結(jié)果的數(shù)據(jù)庫(kù)3，對(duì)數(shù)據(jù)的合并過(guò)程為：首先將數(shù)據(jù)庫(kù)1和數(shù)據(jù)庫(kù)2對(duì)應(yīng)的防火墻日志記錄和IDS日志記錄根據(jù)融合條件進(jìn)行比較，當(dāng)發(fā)現(xiàn)重復(fù)性數(shù)據(jù)時(shí)，對(duì)它們進(jìn)行合并；若出現(xiàn)記錄交集為空的，則單獨(dú)作為一條記錄進(jìn)行存儲(chǔ)。

(4) 數(shù)據(jù)格式統(tǒng)一。通過(guò)數(shù)據(jù)格式轉(zhuǎn)換映射表，實(shí)現(xiàn)各種數(shù)據(jù)屬性值到公共數(shù)據(jù)模型相應(yīng)屬性值的映射，完成數(shù)據(jù)格式的快速轉(zhuǎn)換，而后將統(tǒng)一格式的數(shù)據(jù)提交給數(shù)據(jù)集成器，處理后的數(shù)據(jù)按設(shè)計(jì)好的格式統(tǒng)一儲(chǔ)存到數(shù)據(jù)庫(kù)中，提供統(tǒng)一接口供審計(jì)系統(tǒng)調(diào)用。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)，它作為一個(gè)完整安全框架中不可或缺的環(huán)節(jié)，是對(duì)防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的一個(gè)補(bǔ)充，具有十分廣闊的應(yīng)用前景。如何提升網(wǎng)絡(luò)安全審計(jì)系統(tǒng)效能的各種相關(guān)技術(shù)都是有待我們繼續(xù)深入研究的。

參考文獻(xiàn)：

[1] 丁廣林. 校園網(wǎng)絡(luò)監(jiān)控與安全審計(jì)的研究與實(shí)現(xiàn)[D].沈陽(yáng)工業(yè)大學(xué)，2007.5.

[2] 石彪， 胡華平， 劉利枚. 網(wǎng)絡(luò)環(huán)境下的日志監(jiān)控與安全審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].福建電腦，2004，(12).

[3] 李佳蕾. Windows下基于主機(jī)的安全日志服務(wù)器[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2005(7).

[4] 鄭麗君. 基于日志的安全態(tài)勢(shì)傳感器設(shè)計(jì)與實(shí)現(xiàn)研究[D].哈爾濱工業(yè)大學(xué)， 2006.12.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文