分析操作系统日志的运行状态以记录系统

摘要: Windows操作系统日志记录了系统的运行状态. 通过分析操作系统日志，可以实现对操作系统的实时监控，从而达到防止入侵的目的. 当前保护操作系统日志的方法中存在某些安全缺陷. 为了弥补这些安全缺陷，本文首先阐述了系统日志安全性通常包括哪些方面，然后分析了现有系统日志安全性的缺陷，主要讨论了黑客如何通过提高权限来清除日志，最后提出系统安全保护措施及预防措施和思路；

操作系统日志是操作系统为系统应用程序提供的审核服务. 该服务在系统应用程序提供的信息之前以文本字符串的形式添加诸如系统名称，时间戳，事件ID和应用程序正在运行的用户之类的信息. 然后执行本地或远程归档处理，但是操作系统日志不安全. 某些Windows系统日志很容易被黑客篡改或清除，但操作系统日志易于使用. 许多安全工具将其用作自己的日志数据.

操作系统日志分析器可以提取和处理大量系统日志信息，以获得可被管理员识别的可疑行为记录. 然后，日志分析器可以扩展到计算机监视系统中，并且可以实时动态响应可疑行为.

日志提取和分析系统的目标是从大量日志信息中提取用户配置文件操作系统日志分类，并推断异常事件. 它主要由三种不同类型的统计分析完成: 记录异常行为，然后比较用户的行为以确定行为是否正常；从用户行为开始，比较历史用户行为特征以确定异常事件；预测特定时间范围内的用户行为，并比较当前的用户行为以获得结果.

为了确保日志分析器的正常判断，系统日志的安全性非常重要. 这需要从各个方面确保日志的安全性. 系统日志的安全性通常与三个方面有关，称为“ CIA” [7]:

1. 机密性（机密性）: 信息不会泄露给未经授权的个人，实体或程序，也不会用于未经授权的人.

2. 完整性: 未未经授权就篡改或破坏数据.

3. 可确认性（Accountability）: 确保可以将实体的角色唯一地跟踪到实体.

一个. 现有系统日志的安全性不足

当前操作系统非常容易受到系统日志的安全保护级别的影响. 首先，操作系统对系统日志的默认管理并不严格. 具有管理员权限的任何人都可以轻松读取和写入系统日志. 其次，即使某些系统使用某些安全性工具存储操作系统日志，这些保护也不完整，并且大多数保护方法都相对较旧. 最后，系统本身的安全漏洞可以直接威胁系统日志的安全性.

此外，从入侵的步骤中可以看出（如图1所示）: 一旦入侵的前三个步骤完成，随后的入侵过程就会被记录和审核，从而难以证明侵犯行为. 因此，当前对操作系统日志安全性的重视在于以下假设: 一旦实施了入侵的前三步，仍然可以保护操作系统日志的安全性.

为了解决此安全问题，通常的解决方案是对受保护系统外部的计算机上的操作系统日志进行实时备份. 这种通信过程通常被设计为一个日志文件，该日志文件记录了需要在服务器上受到保护的多个系统客户端的结构. 但是，更聪明的黑客将尝试入侵日志文件记录服务器以破坏日志信息，或在通信的同一网段内拦截，篡改并转发日志信息.

两个. 系统安全保护措施

通常的操作系统根据“ CIA”原则对系统日志采取某些保护措施. 这些保护策略主要如下:

1. 帐户安全策略: 通过用户名/密码身份验证机制实施“ CIA”.

2. 文件系统安全策略: 结合帐户安全策略，从文件系统级别安全保护日志，以实现“ CIA”原则.

3. 网络服务安全策略: 从网络模型的各个层次开始，使用系统默认保护机制来实现“ CIA”原则.

图2系统日志安全性模型[7]

图2显示了操作系统日志安全性模型. 在给定的计算机系统中，第一道防线是物理安全性. 如果该系统向公众开放并且没有监督，那么就没有安全性. 假设系统通过某种机制（例如门锁或通行证）保护物理访问，则防御的下一层是帐户安全性. 这里，用户名和密码的组合是关键. 最接近操作系统日志的层是文件系统安全性. 即使帐户遭到破坏，它也可以保护操作系统日志. 例如: 攻击者输入了一个帐户，但是操作系统日志仍受权限保护，并且为该帐户提供了受限的访问权限. 操作系统日志安全性的另一个重要方面是加密. 假设重要的操作系统日志文件已加密，即使入侵者进入一个帐户甚至突破了权限系统操作系统日志分类，他仍然无法读取加密的数据. 最外部的边界是网络安全性；维护通信安全并确保只有授权用户才能访问系统. 常规的网络防护工具（例如防火墙和入侵检测系统）是操作系统日志的边界防御.

三个. 注意事项和想法

如前所述，当前保护操作系统日志的方法中存在某些安全漏洞. 为了弥补这些安全漏洞，本文将从以下三个角度介绍一些安全日志预防方法和假设: 操作系统日志完整性检查和一致性检查的安全设计，以及操作系统日志读取和读取的安全性设计. 写入（I / O）权限，这是一种实时备份操作系统日志的安全方法.

（1）操作系统日志完整性检查和一致性检查的安全方法

可以从以下五个小方面来分析操作系统日志的完整性检查和一致性检查，以确定日志是否维护完整性和一致性:

1. 原始日志的结构与操作系统设置的形式结构不匹配. 各种不同的系统都有自己的日志格式. 某些系统还可以选择不同的日志系统并进行设置. 设置一定的格式结构后，生成的日志应符合设置的要求. 应该怀疑这种情况是非法篡改. 一些日志系统还具有特殊字符或特定的不可见字符. 如果发现这些字符丢失，则可以确定它们已被非法篡改.

2. 日志中的事件与事件之前和之后的时间不匹配的时间. 由于日志中的事件按特定顺序发生，因此，如果发现日志中的时间顺序颠倒了，则可以确定该日志已被非法篡改.

3. 常规事件丢失或更多. 在不同的系统和不同的配置下，如果有定期发生的事件，并且在日志文件中找到了这些事件，或者该事件发生在不应该发生的时间，则可以删除日志文件.

4. 定期生成的日志文件丢失或过多. 通常，日志是在特定时间间隔生成的. 如果发现在一段时间内缺少日志文件，或者在一定时间内日志文件的数量多于（或少于）应生成的日志文件，则可以删除日志并修改.

5. 它是在服务器运行后生成的，并且尚未达到指定的删除期限，但是该文件不存在. 通常，系统会在设置的时间段后自动删除该日志，直到该日志将一直存在，但是如果发现在指定的系统启动时间后应删除的日志在删除时间段之前丢失了，日志系统可能已删除.

（2）安全的操作系统日志读写权限方法

操作系统日志读写权限的安全性设计与系统的文件系统和内核相关联. 当前，流行的网络服务器使用的操作系统主要采用LINUX和Windows这两种操作系统.

目前，在LINUX系统的几种流行文件系统中，至少有三个相对健壮和可靠的日志文件系统可供选择（ext3，XFS，ReiserFS）. 从性能测试的结果可以看出，ReiserFS是最佳选择[8]. 但是即使如此，它提供的系统日志的安全性设计仍然不能满足安全性要求. 因为一旦入侵者获得root权限，它就可以直接危害操作系统日志的安全性.

由于这个原因，此处需要设计一种新的安全认证机制，以增强操作系统日志的安全读取和写入权限. 您可以考虑修改系统内核以更改文件系统，以添加文件读写权限；或者使用特殊的系统进程来保护系统日志，以提高操作系统日志的安全性. 由于LINUX操作系统的开放性，第一个解决方案是可能的. 例如，应该通过在原始文件系统的属性中添加特殊属性和身份验证机制来保护操作系统日志.

但是这种设计难以实现且难以推广. 在操作系统中，设计用于操作系统日志安全保护的程序显然相对容易. 首先要考虑的是守护程序本身的安全性，它通常在启动系统的同时被调用，并且不能被具有任何权限的用户杀死. 配置，启动和关闭过程还需要特殊的身份验证设计. 此过程的主要目的是监视，认证和控制系统日志过程以及日志文件本身，以保护操作系统日志.

对于Windows系统，当前流行的主要文件系统是NTFS，它具有诸如压缩率，磁盘配额，加密，安装点和远程存储之类的功能. 但这与操作系统日志的安全性存在相同的问题. 考虑到从操作系统日志读取权限的安全性，还必须设计与上述类似的保护程序以提高操作系统日志的安全性.

（3）实时备份操作系统日志的安全方法

另一种保护操作系统日志的方法是实时备份系统日志. 这种方法可以确保在系统受到威胁时，可以将操作系统日志备份到一个安全，完整，安全且不可逆的系统.

首先，您可以考虑设计一种将操作系统日志信息实时传输到安全系统日志文件服务器的方法. 此设计应考虑文件传输过程中可能遇到的网络攻击，因此应采取一些相应的保护措施. 根据网络攻击的特征，主要的保护方法可以是: 配置不带IP的日志文件服务器，设计具有加密认证机制（例如MD5 [9]）的发送代理[10]，并与传统网络配合使用安全工具来保护安全.

此外，您还可以设计专用的系统日志存储设备，仅用于系统将日志直接备份到不可修改的介质. 该设计应考虑硬件设备的安全性能以及与系统本身的协调. 由于硬件保证了存储介质本身不会被破坏，因此可以确保入侵者不会破坏

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-182165-1.html