劉桂英

[摘要]Window操作系統(tǒng)日志記錄系統(tǒng)運行的狀態(tài)，通過分析操作系統(tǒng)日志，可以實現(xiàn)對操作系統(tǒng)的實時監(jiān)控，達到入侵防范的目的。目前保護操作系統(tǒng)日志的手段都存在一定的安全缺陷。為彌補這些安全缺陷，首先闡述系統(tǒng)日志安全通常包含哪幾方面，然后分析現(xiàn)有系統(tǒng)日志安全的不足，主要講述黑客如何通過提高權限來清除日志，最后提出系統(tǒng)安全的保護措施及防范手段及設想。

[關鍵詞]Windows操作系統(tǒng)日志日志安全日志分析系統(tǒng)安全保護措施

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)1020114--01

操作系統(tǒng)日志是操作系統(tǒng)為系統(tǒng)應用提供的一項審計服務，這項服務在系統(tǒng)應用提供的文本串形式的信息前面添加應用運行的系統(tǒng)名、時戳、事件ID及用戶等信息，然后進行本地或遠程歸檔處理、但是操作系統(tǒng)日志并不安全，一些Windows的系統(tǒng)日志很容易被黑客篡改或清除，不過操作系統(tǒng)日志很容易使用，許多安全類工具都使用它作為自己的日志數(shù)據(jù)。

操作系統(tǒng)日志分析器能夠?qū)⒋罅康南到y(tǒng)日志信息經(jīng)過提取并處理得到能夠讓管理員識別的可疑行為記錄，然后日志分析器可以擴展成為一個計算機監(jiān)控系統(tǒng)并且能實時地對可疑行為進行動態(tài)的響應。

為了保證日志分析器的正常判斷，系統(tǒng)日志的安全就顯得異常重要，這就需要從各方面去保證日志的安全性，系統(tǒng)日志安全通常與三個方面相關，簡稱為“CIA”：

1、保密性(Confidentiality)：使信息不泄露給非授權的個人、實體或進程，不為其所用。

2、完整性(Integrity)：數(shù)據(jù)沒有遭受以非授權方式所作的篡改或破壞。

3、確認性(Accountability)；確保一個實體的作用可以被獨一無二地跟蹤到該實體。

一、操作系統(tǒng)日志完整性檢查和一致性檢查的安全方法

對操作系統(tǒng)日志的完整性檢查和一致性檢查可以從以下五個小的方面進行分析判斷日志是否保持完整性和一致性：

1、原始日志的結(jié)構與操作系統(tǒng)設置的形式結(jié)構不相符合的。各類不同的系統(tǒng)都有自己的日志格式，一些系統(tǒng)還能夠選用不同的日志系統(tǒng)并進行設置，在設置好一定的格式結(jié)構后，產(chǎn)生的日志應該符合設定的要求，如果出現(xiàn)不符合格式結(jié)構設定的情況，應該懷疑為非法篡改。有些日志系統(tǒng)還有特殊字符或特定的不可見字符，如果發(fā)現(xiàn)這些字符的缺失則可判定被非法篡改過。

2、日志中事件發(fā)生的時間與前后事件發(fā)生時間不相符合的。由于日志中事件的發(fā)生是按照一定順序發(fā)生的，如果說發(fā)現(xiàn)日志中時間發(fā)生的順序顛倒，可以判定為非法篡改過的日志。

3、定期發(fā)生的事件缺少了或多了的。在不同的系統(tǒng)下面、不同的配置下面-如果有定期發(fā)生的事件，而在日志文件中發(fā)現(xiàn)了這些事件沒有出現(xiàn)，或者在不該發(fā)生的時間發(fā)生了，則日志文件可能被刪改過。

4、定期生成的日志文件缺少了或多了的。一般情況下日志按照一定時問間隔生成，如果發(fā)現(xiàn)缺少了某一個時間段的日志文件，或者在某個時間段內(nèi)的日志文件數(shù)比應該生成的數(shù)目多了(或者少了)，則日志可能被刪改過。

5、在服務器運行經(jīng)后已生成，還未到指定的刪除期限，但是文件不存在的。一般系統(tǒng)會在設定的一段期限后自動刪除日志，在此之前將一直存在，但是如果發(fā)現(xiàn)在指定的系統(tǒng)啟動時間之后應該生成的日志在刪除期限之前丟失，則日志系統(tǒng)可能被刪改過。

二、操作系統(tǒng)日志讀寫權限的安全方法

操作系統(tǒng)日志讀寫權限的安全設計關聯(lián)到系統(tǒng)的文件系統(tǒng)和內(nèi)核。目前流行的網(wǎng)絡服務器使用的操作系統(tǒng)主要采用LINUX和Windows兩類操作系統(tǒng)。

目前在LINUX系統(tǒng)幾種流行的文件系統(tǒng)中，至少有3個相對健壯可靠的日志式文件系統(tǒng)可供選擇(ext3、XFS、ReiserFS)。從性能測試的結(jié)果可以看出，ReiserFS是最好的選擇。但是即便如此，它提供的對系統(tǒng)日志的安全設計依然不能滿足安全需求。因為一旦入侵者拿到root權限，就可以直接危及操作系統(tǒng)日志的安全。

為此，這里需要設計一種新的安全認證機制來提升操作系統(tǒng)日志的安全讀寫權限?？梢钥紤]修改系統(tǒng)內(nèi)核來改變文件系統(tǒng)，來增加一種文件讀寫權限；或者使用一中特殊的系統(tǒng)進程對系統(tǒng)日志進行安全保護。以改善操作系統(tǒng)日志的安全。由于LINUX操作系統(tǒng)的開放性，給第一種解決方法帶來了可能。例如要以在原有文件系統(tǒng)的屬性加上特別的屬性和認證機制來保護操作系統(tǒng)日志。

對于Windows系統(tǒng)，目前主要流行的文件系統(tǒng)是NTFS，這種文件系統(tǒng)具備壓縮比、磁盤配額、加密、裝入點和遠程存儲等特性。但它對于操作系統(tǒng)日志的安全存在同樣的問題上。從操作系統(tǒng)日志讀取權限的安全性考慮，同樣需要設計一種類似前面所述的保護程序以提高操作系統(tǒng)日志的安全。

三、操作系統(tǒng)日志實時備份的安全方法

另一種保護操作系統(tǒng)日志安全的方法是將系統(tǒng)日志實時備份，這種方法可以保證系統(tǒng)在遭到入侵時操作系統(tǒng)日志能夠被完整、安全、不可逆被備份到安全的介質(zhì)中。

首先，可以考慮設計一種將操作系統(tǒng)日志信息實時傳送到安全系統(tǒng)日志文件服務器的方式。這種設計要考慮在文件傳送過程中可能遭到的網(wǎng)絡攻擊，因此要采取一些相應的保護措施。根據(jù)網(wǎng)絡攻擊的特點，保護的主要方法可以是：配置無IP的日志文件服務器，設計具備加密認證機制(如MD5)的發(fā)送Agent。與傳統(tǒng)的網(wǎng)絡安全工具配合保護傳送的安全。

此外，還可以設計一種專用系統(tǒng)日志存儲設備，僅供系統(tǒng)直接將日志備份到不可修改的介質(zhì)中去。這種設計要考慮硬件設備的安全性能，以及與系統(tǒng)本身的配合。由于在硬件上保證存儲介質(zhì)本身無法被破壞的，因此可以保證入侵者不能刪除、修改系統(tǒng)日志信息。但要確保系統(tǒng)日志信息的正確性，還要確保該設備的I／O權限，以避免入侵者向該設備寫入冗余信息。另外，對于存儲介質(zhì)的容量也要有特別的要求。

計算機運用的環(huán)境是極其復雜的，即使是使用單一的操場作系統(tǒng)，也可以根據(jù)不同的需要使用不同的應用程序，從而產(chǎn)生不同的日志，更是如今操作系統(tǒng)及應用程序的多樣化。網(wǎng)絡環(huán)境下還要涉及到一些特定的網(wǎng)絡設備，尤其是對于大型的網(wǎng)絡而言，要實現(xiàn)一種通用性強的系統(tǒng)日志提取分析的方法，對日志分析技術的研究還有大量的工作要做。