基于防火墻日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)研究與實(shí)現(xiàn)

1、第28卷第6期Vol.28 6 博士論文計(jì)算機(jī)工程Computer Engineering文章編號(hào)：10003428(2002)06 001703文獻(xiàn)標(biāo)識(shí)碼：A2002年6月 June 2002中圖分類(lèi)號(hào)： TP393基于防火墻日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)研究與實(shí)現(xiàn)李 承1，王偉釗1，程 立1，汪為農(nóng)2，李家濱2上海交通大學(xué)計(jì)算機(jī)科學(xué)與工程系，上海；2. 200030 )上海交通大學(xué)網(wǎng)絡(luò)信息中心，上海( 1. 200030摘 要：網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是網(wǎng)絡(luò)安全體系中的重要一環(huán)，最近國(guó)內(nèi)外的研究工作表明，傳統(tǒng)操作系統(tǒng)中的安全審計(jì)系統(tǒng)在檢測(cè)網(wǎng)絡(luò)入侵方面的能力非常有限。為此，上海交通大學(xué)網(wǎng)絡(luò)中心研究開(kāi)發(fā)了一個(gè)

2、基于防火墻日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)NAFL (Netowrk security Audit system based on Firewall Log)，該系統(tǒng)強(qiáng)調(diào)了TCP/IP協(xié)議棧底層行為的安全審計(jì)，彌補(bǔ)了傳統(tǒng)安全審計(jì)系統(tǒng)的不足。關(guān)鍵詞：安全審計(jì)；防火墻；網(wǎng)絡(luò)入侵Study and Implementation of Network Security Audit SystemBased on Firewall LogLI Cheng1, WANG Weizhao1, CHENG Li1, WANG Weinong2, LI Jiabing2( 1. Department of Computer

3、 Science and Engineering, Shanghai Jiaotong University, Shanghai 200030;2. Network and Information Center, Shanghai Jiaotong University, Shanghai 200030 )【Abstract】Network security audit system is a very important area of the network security architecture. Recent studies show that the traditional au

4、dit mechanism in the OS is helpless when we face the network intrusion behavior. So, we develop a network audit system-NAFL (Network security Audit system based on Firewall Log). This system focuses on the security audit function about the essential behavior of the TCP/IP protocol stack. It is an im

5、provement of the other audit system.【Key words】Security audit; Firewall; Network intrusion1 概述國(guó)內(nèi)外對(duì)于網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究起步是比較晚的，1980年，Anderson首次提出了利用系統(tǒng)日志信息進(jìn)行安全審計(jì)的思想，直到1995才發(fā)布了第一個(gè)具有實(shí)用性的網(wǎng)絡(luò)安全漏洞審計(jì)軟件SATAN，但是SATAN的技術(shù)要求高，使用非常不方便。雖然近年來(lái)出現(xiàn)了許多此方面的工具，但大多數(shù)是基于系統(tǒng)用戶(hù)的審計(jì)工具，如Security Configuration Editor (SCE) in Windows NT 5.0

6、或者Unix下自帶的審計(jì)工具，對(duì)于整個(gè)網(wǎng)絡(luò)中安全事件的審計(jì)能力有限，此外一般的審計(jì)軟件，對(duì)數(shù)據(jù)的采集有一定的限制。審計(jì)的基礎(chǔ)是數(shù)據(jù)，數(shù)據(jù)是如何采集得到的在很大程度上決定了一個(gè)審計(jì)軟件的質(zhì)量。由此可見(jiàn)，未來(lái)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)應(yīng)該更加獨(dú)立，成為一個(gè)獨(dú)立的安全軟件，其地位將等同于現(xiàn)在的防火墻和IDS。1.1 安全審計(jì)系統(tǒng)的一般要求參照美國(guó)國(guó)家標(biāo)準(zhǔn)<<可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)>> (Trusted Computer System Evaluation Criteria)，安全審計(jì)可以理解為：定義1 ：一個(gè)安全的系統(tǒng)中的安全審計(jì)系統(tǒng)，是對(duì)系統(tǒng)中任一或所有安全相關(guān)事件進(jìn)行記錄、分析和

7、再現(xiàn)的處理系統(tǒng)。因此，對(duì)于安全審計(jì)系統(tǒng)的一般要求主要包括：(1) 記錄與再現(xiàn)：要求審計(jì)系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關(guān)事件，同時(shí)，如果有必要，應(yīng)該能夠再現(xiàn)產(chǎn)生某一系統(tǒng)狀態(tài)的主要行為；(2)入侵檢測(cè)：審計(jì)系統(tǒng)應(yīng)能夠檢查出大多數(shù)常見(jiàn)的系統(tǒng)入侵的企圖，同時(shí)，經(jīng)過(guò)適當(dāng)?shù)脑O(shè)計(jì)，應(yīng)該能夠阻止這些入侵行為；(3)記錄入侵行為：審計(jì)系統(tǒng)應(yīng)該記錄所有的入侵企圖，即使某次入侵已經(jīng)成功，這是事后調(diào)查取證和系統(tǒng)恢復(fù)必不可少的；(4)威懾作用：應(yīng)該對(duì)系統(tǒng)中具有的安全審計(jì)系統(tǒng)及其性能進(jìn)行適當(dāng)宣傳，這樣可以對(duì)企圖入侵者起到威懾作用，又可以減少合 法用戶(hù)在無(wú)意中違反系統(tǒng)的安全策略；(5)系統(tǒng)本身的安全性：安全審計(jì)系統(tǒng)本身的安

8、全性必須保證，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括審計(jì)數(shù)據(jù)的安全性；一般來(lái)說(shuō)，要保證審計(jì)系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施(例如認(rèn)證、授權(quán)、加密措施等)相配合。1.2 傳統(tǒng)審計(jì)系統(tǒng)的局限性在NAFL系統(tǒng)中，我們重點(diǎn)研究的是網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，其理論、審計(jì)和實(shí)現(xiàn)與傳統(tǒng)操作系統(tǒng)中的安全審計(jì)系統(tǒng)既相互聯(lián)系，又有所區(qū)別。如表1中的總結(jié)：表1 安全審計(jì)系統(tǒng)比較研究歷史理論狀況實(shí)際系統(tǒng)審計(jì)重點(diǎn)系統(tǒng)舉例傳統(tǒng)安全審計(jì)系統(tǒng)20多年較完備已經(jīng)被普遍應(yīng)用系統(tǒng)中的用戶(hù)及進(jìn)程行為Windows NT、Sun OS網(wǎng)絡(luò)安全審計(jì)系統(tǒng)近幾年處于探索階段相對(duì)較少網(wǎng)絡(luò)訪問(wèn)行為及網(wǎng)絡(luò)數(shù)據(jù)包Inspe

9、ct、NASHID利用系統(tǒng)日志進(jìn)行安全審計(jì)分析的思想，最早是在1980年Anderson的論文中正式提出的，至今研究經(jīng)歷了20余年的研究和發(fā)展，已經(jīng)形成了較為完備的理論和實(shí)際應(yīng)用系統(tǒng)，包括針對(duì)各種安全策略的具體審計(jì)策略的確定、安全審計(jì)標(biāo)準(zhǔn)，安全審計(jì)等級(jí)劃分、安全相關(guān)事件的確定等方面；而目前主流的操作系統(tǒng)，均有自己較為完善的安全審計(jì)機(jī)制，包括各種Unix/Linux的syslog機(jī)制、Windows NT符合C2安全等級(jí)的SCE (Security Configuration Editor)機(jī)制等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是近幾年網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)之一，其不能直接利用傳統(tǒng)安全審計(jì)理論和審計(jì)系統(tǒng)的原因

10、在于兩者所面對(duì)的計(jì)算環(huán)境和審計(jì)重點(diǎn)不同。傳統(tǒng)的安全審計(jì)系統(tǒng)沒(méi)有記錄足夠的進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)所需要的信息，傳統(tǒng)安全審計(jì)系統(tǒng)主要針對(duì)系統(tǒng)中已登錄用戶(hù)的行為及系統(tǒng)中進(jìn)程的行為進(jìn)行記錄和審計(jì)，從網(wǎng)絡(luò)協(xié)議的觀點(diǎn)來(lái)看，這些均屬于高層(應(yīng)用層)信息。在Price的綜述中，只有一種傳統(tǒng)的安全審計(jì)系統(tǒng)記錄了少量IP棧的相關(guān)信息，這就是Sun公司的BSM(Basic Security Module)系統(tǒng)，這可以認(rèn)為是該模型在網(wǎng)絡(luò)安全審計(jì)方面的探索。目前真正成熟的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基本上沒(méi)有，而國(guó)內(nèi)外的學(xué)者和廠商正加緊進(jìn)行這方面的研究，德國(guó)的Inspect分布式網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、Purdue大學(xué)的NASHID系統(tǒng)等是這

11、方面的試驗(yàn)性系統(tǒng)。的防火墻日志信息的標(biāo)準(zhǔn)化方案。該工作的重要性是不言而喻的。標(biāo)準(zhǔn)的日志數(shù)據(jù)，是各種網(wǎng)絡(luò)安全審計(jì)產(chǎn)品配合使用和集成的基礎(chǔ)，也是開(kāi)發(fā)多層次分布式網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的基礎(chǔ)。3 NAFL系統(tǒng)的實(shí)現(xiàn)NAFL是基于防火墻日志信息的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，用一個(gè)審計(jì)分析引擎，對(duì)多個(gè)日志采集點(diǎn)的數(shù)據(jù)進(jìn)行分析。3.1 系統(tǒng)整體結(jié)構(gòu)NAFL系統(tǒng)的整體框架如圖1，主要包括數(shù)據(jù)采集、分析服務(wù)器、信息發(fā)布3大部分。ý¾Ý±Ý¢²¼2 NAFL的主要功能為了適應(yīng)當(dāng)今網(wǎng)絡(luò)安全發(fā)展的需要，上海交通大學(xué)網(wǎng)絡(luò)中心研究并開(kāi)發(fā)了NAFL系統(tǒng)，其目

12、的在于從理論和實(shí)踐兩方面來(lái)探討網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的審計(jì)和實(shí)現(xiàn)過(guò)程中的主要問(wèn)題。NAFL是一個(gè)基于防火墻日志信息的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，具有以下幾方面主要功能。2.1 網(wǎng)絡(luò)入侵檢測(cè)一般認(rèn)為，網(wǎng)絡(luò)入侵檢測(cè)是NIDS的功能，但僅僅依靠NIDS系統(tǒng)存在一些問(wèn)題。其中最主要的就是所謂的“時(shí)間窗問(wèn)題”，目前NIDS系統(tǒng)的時(shí)間窗最大一般不超過(guò)24小時(shí)，這對(duì)于普通的單個(gè)或若干個(gè)數(shù)據(jù)包就能完成的網(wǎng)絡(luò)攻擊行為的檢測(cè)是沒(méi)有問(wèn)題的，但對(duì)于一些經(jīng)過(guò)詳細(xì)計(jì)劃、周密部署而進(jìn)行的長(zhǎng)時(shí)間“專(zhuān)業(yè)級(jí)”入侵行為，確無(wú)能為力。而這后一種攻擊行為一旦成功，其后果往往是毀滅性的。當(dāng)我們考慮到國(guó)家信息安全、信息戰(zhàn)等問(wèn)題時(shí)，就無(wú)法忽略這類(lèi)“不可能完

13、成”的網(wǎng)絡(luò)攻擊了。對(duì)于這種攻擊行為的檢測(cè)，包括攻擊特征的提取和檢測(cè)方法等方面，目前在理論和實(shí)際系統(tǒng)兩方面均處于探索階段，NAFL系統(tǒng)在這方面做了一些探索工作。2.2 網(wǎng)絡(luò)入侵取證根據(jù)1.1節(jié)中的要求，即使在系統(tǒng)已經(jīng)被成功侵入的情況下，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)也應(yīng)該能夠保證審計(jì)數(shù)據(jù)的完整性，從而使得事后的系統(tǒng)恢復(fù)以及追查取證成為可能。NAFL通過(guò)數(shù)據(jù)采集點(diǎn)、分析點(diǎn)及保存點(diǎn)的分離和獨(dú)立防護(hù)，基本滿(mǎn)足了要求。2.3 主動(dòng)防護(hù)主動(dòng)防護(hù)一般是指網(wǎng)絡(luò)安全防護(hù)措施在檢測(cè)到某種入侵行為時(shí)自動(dòng)作出反應(yīng)，動(dòng)態(tài)調(diào)整安全策略或安全規(guī)則，達(dá)到阻止網(wǎng)絡(luò)入侵的目的。目前的主動(dòng)反應(yīng)主要有改變路由規(guī)則和改變防火墻規(guī)則兩種。通過(guò)和防火墻

14、系統(tǒng)的緊密配合，在NAFL系統(tǒng)中實(shí)現(xiàn)主動(dòng)防護(hù)能力是非常方便的。但是，一直以來(lái)，主動(dòng)防護(hù)措施就是一把“雙刃劍”，安全系統(tǒng)的主動(dòng)防護(hù)能力很有可能被利用來(lái)進(jìn)行DoS等類(lèi)型的網(wǎng)絡(luò)攻擊。我們認(rèn)為在主動(dòng)防護(hù)的理論研究完善之前，用戶(hù)應(yīng)當(dāng)非常謹(jǐn)慎地使用，系統(tǒng)中使用該功能是非常危險(xiǎn)的。2.4 防火墻日志信息的標(biāo)準(zhǔn)化NAFL系統(tǒng)的一個(gè)研究重點(diǎn)就是提出一個(gè)用于安全審計(jì)ɼ¯µã3圖1 NAFL系統(tǒng)整體結(jié)構(gòu)在目前的NAFL系統(tǒng)中，一個(gè)分析引擎可以同時(shí)分析多個(gè)數(shù)據(jù)點(diǎn)的數(shù)據(jù)，而且，這些數(shù)據(jù)點(diǎn)的數(shù)據(jù)可以獨(dú)立分析，也可以綜合分析。信息發(fā)布采用Web形式。3.2 數(shù)據(jù)采集圖2

15、日志數(shù)據(jù)采集數(shù)據(jù)采集和轉(zhuǎn)儲(chǔ)模塊的整體結(jié)構(gòu)如圖2所示，其中的日志采集點(diǎn)的選擇非常重要。如果我們通過(guò)高層的應(yīng)用程序來(lái)采集數(shù)據(jù)，那么所有針對(duì)防火墻底層IP協(xié)議棧的攻擊將無(wú)法記錄。Iptables防火墻與Linux內(nèi)核IP協(xié)議棧是緊密集成的，在IP數(shù)據(jù)包流經(jīng)系統(tǒng)IP協(xié)議棧的過(guò)程中，Iptables設(shè)置了3個(gè)主要的控制點(diǎn)，如圖2中的INPUT、FORWARD、OUTPUT。在NAFL系統(tǒng)中，我們選擇了圖2中A、B兩個(gè)采集點(diǎn)，對(duì)所有網(wǎng)絡(luò)數(shù)據(jù)，在其進(jìn)入IP協(xié)議棧正式處理前就已經(jīng)被記錄。3.3 防火墻標(biāo)準(zhǔn)日志格式及其存儲(chǔ)研究通過(guò)對(duì)常用防火墻的日志進(jìn)行分析，我們發(fā)現(xiàn)一般包括兩種類(lèi)型的日志：一種日志記錄得比較簡(jiǎn)單

16、，只包含時(shí)間、18源目的地址、源目的端口以及協(xié)議號(hào)和某些重要標(biāo)志位，這樣的日志格式非常簡(jiǎn)單，因此存儲(chǔ)空間要求較小，適合長(zhǎng)期儲(chǔ)存。然后由于提供的信息少，因此有許多攻擊和入侵行為無(wú)法被發(fā)現(xiàn)，而且誤報(bào)率特別高；另一種則將整個(gè)數(shù)據(jù)包或者數(shù)據(jù)包的開(kāi)頭一部分記錄下來(lái)，這樣就提供了十分詳細(xì)的信息，給分析帶來(lái)的極大方便，但是由于存儲(chǔ)空間問(wèn)題，一般的服務(wù)器至多可以?xún)?chǔ)存幾天到一星期的數(shù)據(jù)，這樣就無(wú)法實(shí)現(xiàn)較為長(zhǎng)期的日志分析，這顯然不是我們所希望的。CERT的調(diào)查表明，95%以上的網(wǎng)絡(luò)攻擊分析只需要協(xié)議的頭部信息和數(shù)據(jù)包實(shí)際內(nèi)容的前一部分，因此我們不記錄數(shù)據(jù)包數(shù)據(jù)的全部，而是記錄協(xié)議的頭部信息以及實(shí)際內(nèi)容開(kāi)頭的30字

17、節(jié)，作為詳細(xì)的原始日志數(shù)據(jù)。詳細(xì)數(shù)據(jù)對(duì)于存儲(chǔ)空間的要求是比較高的，在NAFL系統(tǒng)中，用戶(hù)可以根據(jù)自身服務(wù)器的實(shí)際性能，自定義這種數(shù)據(jù)的保存時(shí)間。對(duì)于超過(guò)該保存時(shí)間的數(shù)據(jù)，NAFL自動(dòng)進(jìn)行縮減處理，只保留最主要的一些信息：數(shù)據(jù)包流向、時(shí)間戳、源IP、目的IP、協(xié)議、數(shù)據(jù)包長(zhǎng)度、源端口、目的端口、TCP標(biāo)志。對(duì)于大多數(shù)入侵檢測(cè)算法來(lái)說(shuō)，源地址關(guān)聯(lián)、目標(biāo)地址關(guān)聯(lián)以及對(duì)數(shù)據(jù)的頻繁查詢(xún)都是十分必要的，這類(lèi)操作的速度和效率問(wèn)題不可忽視。NAFL系統(tǒng)將日志數(shù)據(jù)歸入SQL數(shù)據(jù)庫(kù)(目前采用的是免費(fèi)數(shù)據(jù)庫(kù)軟件MySQL)，用數(shù)據(jù)庫(kù)提供的強(qiáng)大索引以及匹配查找等功能優(yōu)化我們的分析引擎。3.4分析引擎響，我們分A、B、

18、C、D四種情況進(jìn)行了簡(jiǎn)單的數(shù)據(jù)傳輸測(cè)試(100M以太網(wǎng))。其中，A表示不啟動(dòng)Iptables防火墻，B表示啟動(dòng)Iptables防火墻并設(shè)置1000條防火墻規(guī)則，C表示在B的基礎(chǔ)上再進(jìn)行簡(jiǎn)單的日志采集，D表示在B的基礎(chǔ)上再進(jìn)行詳細(xì)的日志采集。測(cè)試結(jié)果表明,B的性能比A降低29，C的性能比B又降低29，而C和D的性能類(lèi)似。在我們的簡(jiǎn)單測(cè)試中，NAFL系統(tǒng)的日志采集模塊性能是可以令人滿(mǎn)意的。4.2 日志分析模塊日志分析模塊采用C語(yǔ)言編程，并使用MySQL數(shù)據(jù)庫(kù)。在規(guī)則庫(kù)中共有規(guī)則1143條，其中TCP協(xié)議824條、UDP協(xié)議146條、ICMP協(xié)議173條，采用該規(guī)則庫(kù)進(jìn)行分析時(shí)，其性能為每分鐘分析詳

19、細(xì)記錄的日志記錄，TCP協(xié)議約500條，UDP協(xié)議約1500條，ICMP協(xié)議約1000條。5 總結(jié)目前NAFL系統(tǒng)的實(shí)現(xiàn)上還有許多地方可以進(jìn)一步改善和提高，如果能在這些方面進(jìn)一步進(jìn)行一些工作和測(cè)試，則NAFL系統(tǒng)將會(huì)是網(wǎng)絡(luò)安全方面的一個(gè)有力工具。概括來(lái)講，這些方面包括如下幾點(diǎn)：(1)提高規(guī)則匹配算法的效率：目前NAFL采用的是記錄和規(guī)則簡(jiǎn)單順序匹配的方法，在將來(lái)規(guī)則具有自學(xué)習(xí)和自適應(yīng)能力以后，很有必要對(duì)規(guī)則匹配算法作進(jìn)一步優(yōu)化；(2)使規(guī)則庫(kù)具備自學(xué)習(xí)和自適應(yīng)能力：所謂自學(xué)習(xí)是指規(guī)則庫(kù)可以根據(jù)網(wǎng)絡(luò)管理員對(duì)記錄的處理方法以及網(wǎng)絡(luò)中的實(shí)際數(shù)據(jù)模式自動(dòng)產(chǎn)生新的規(guī)則，更好地適應(yīng)實(shí)際網(wǎng)絡(luò)的需要；所謂自適

20、應(yīng)能力主要是指規(guī)則庫(kù)根據(jù)網(wǎng)絡(luò)安全管理員對(duì)實(shí)際審計(jì)報(bào)告的評(píng)價(jià)，動(dòng)態(tài)調(diào)整每條規(guī)則的可信度和某些其它參數(shù)。(3)進(jìn)一步提高系統(tǒng)的趨勢(shì)分析能力：所謂趨勢(shì)分析是指系統(tǒng)根據(jù)網(wǎng)絡(luò)中的歷史數(shù)據(jù)以及某些統(tǒng)計(jì)學(xué)原理，來(lái)判斷網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀態(tài)是否安全。這對(duì)于系統(tǒng)檢測(cè)某些新出現(xiàn)的或特征比較模糊的網(wǎng)絡(luò)入侵行為是很有好處的。(4)遠(yuǎn)程數(shù)據(jù)的安全傳輸：對(duì)于分布式遠(yuǎn)程網(wǎng)絡(luò)安全審計(jì)，日志數(shù)據(jù)的安全傳輸是系統(tǒng)安全的基礎(chǔ)。一般情況下，網(wǎng)絡(luò)安全審計(jì)的數(shù)據(jù)量是比較大的，如果完全依靠簡(jiǎn)單的加密，很有可能會(huì)對(duì)系統(tǒng)的性能造成較大影響，如何解決日志數(shù)據(jù)的遠(yuǎn)程安全傳輸，也是我們進(jìn)一步工作的重點(diǎn)。一般來(lái)說(shuō)可以有兩種策略：一是選擇性加密；二是提供本地過(guò)濾和規(guī)約機(jī)制。這兩種策略的效果究竟如何，需要作進(jìn)一步測(cè)試。圖3 分析引擎結(jié)