在设计分布式系统时要考虑以下几个主要问题 (1)分布式检测系统可能需要采用不同的审计收集系统, 而不同的审计收集系统采用不同的记录格式。因而需要 处理不同的格式以实现不同节点间互操作。 ·(2)网络上的一个或多个节点将作为对来自网络中各系统 数据的收集和分析点。因此,原始的审计数据或者总结 数据必须通过网络进行传输,因而存在保证这些数据完 整性和机密性的需求。保证完整性是为了防止入侵者通 过修改传输的审计信息来掩盖其行为,保证机密性是因 为传输的审计信息可能是有价值的。 ·(3)分析中心设置问题:可以采用集中或分散的结构。对 于集中式的结构,存在对所有审计数据进行收集和分析 的中央点,这方便了关联输入报告的工作,但造成了潜 在的瓶颈和单点故障。对于分散式的结构,存在多个分 析中心,但是它们必须能够协调各自的行为并交换信息。 信息安全导论09 17
在设计分布式系统时要考虑以下几个主要问题 • (1)分布式检测系统可能需要采用不同的审计收集系统, 而不同的审计收集系统采用不同的记录格式。因而需要 处理不同的格式以实现不同节点间互操作。 • (2)网络上的一个或多个节点将作为对来自网络中各系统 数据的收集和分析点。因此,原始的审计数据或者总结 数据必须通过网络进行传输,因而存在保证这些数据完 整性和机密性的需求。保证完整性是为了防止入侵者通 过修改传输的审计信息来掩盖其行为,保证机密性是因 为传输的审计信息可能是有价值的。 • (3)分析中心设置问题:可以采用集中或分散的结构。对 于集中式的结构,存在对所有审计数据进行收集和分析 的中央点,这方便了关联输入报告的工作,但造成了潜 在的瓶颈和单点故障。对于分散式的结构,存在多个分 析中心,但是它们必须能够协调各自的行为并交换信息。 信息安全导论09 17
9.1.3审计的数据来源 T 大体上,安全审计系统的数据源可以分为三类: 基于主机、基于网络和其他途径 。 1.基于主机的数据源 20世纪80年代之前,网络没有普及,审计主要针 对单机系统,环境相对简单。安全审计的目的主 要是检查对系统的可疑操作,防止非法入侵,并 分析操作系统的系统记录和安全记录,发现可疑 操作或者非法操作,修补系统的漏洞。 基于主机的数据源有以下四类:操作系统日志、 系统日志、应用日志和基于目标的信息。 信息安全导论09 18
9.1.3 审计的数据来源 • 大体上,安全审计系统的数据源可以分为三类: 基于主机、基于网络和其他途径。 1.基于主机的数据源 • 20世纪80年代之前,网络没有普及,审计主要针 对单机系统,环境相对简单。安全审计的目的主 要是检查对系统的可疑操作,防止非法入侵,并 分析操作系统的系统记录和安全记录,发现可疑 操作或者非法操作,修补系统的漏洞。 • 基于主机的数据源有以下四类:操作系统日志、 系统日志、应用日志和基于目标的信息。 信息安全导论09 18
1)操作系统日志 操作系统日志主要由三个元素来描述,主体 (subject)、客体(object)和行为(action)。在操作 系统日志中,任何一种事件都可以表示为主体对 客体进行的操作。行为主要是系统服务和上层的 程序应用行为,主体主要是指用户或者代表用户 的操作行为,客体主要是受保护的系统资源 。 操作系统日志的典型例子如Windows NT的事件 日志(event log),它从三个方面收集系统事件 操作系统事件、安全事件和应用程序事件。每种 类型的事件使用特殊的格式记录在单独的日志文 件中,通常只可以通过操作系统提供的事件查看 器(event viewer)读取。 信息安全导论09 19
1)操作系统日志 • 操作系统日志主要由三个元素来描述,主体 (subject)、客体(object)和行为(action)。在操作 系统日志中,任何一种事件都可以表示为主体对 客体进行的操作。行为主要是系统服务和上层的 程序应用行为,主体主要是指用户或者代表用户 的操作行为,客体主要是受保护的系统资源。 • 操作系统日志的典型例子如Windows NT的事件 日志(event log),它从三个方面收集系统事件: 操作系统事件、安全事件和应用程序事件。每种 类型的事件使用特殊的格式记录在单独的日志文 件中,通常只可以通过操作系统提供的事件查看 器(event viewer)读取。 信息安全导论09 19
操作系统日志是首选数据源 操作系统日志是基于主机的审计系统或入侵检测 系统的首选数据源,原因在于: (1)操作系统本身为审计系统或入侵检测系统及 0 其产生的审计记录提供了实质性的保护,提高了 数据源的可信度。 ·(2)审计系统或入侵检测系统从操作系统的层次 上获取系统信息,没有经过高层的抽象,因此, 可以得到系统事件的细节,易于实现精确的模式 匹配。 ·(3)如果入侵者试图通过插入伪造的审计记录来 达到破坏审计信息的目的,这种低层次的系统审 计数据也使得入侵者的行动变得更为困难 信息安全导论09 20
操作系统日志是首选数据源 • 操作系统日志是基于主机的审计系统或入侵检测 系统的首选数据源,原因在于: • (1)操作系统本身为审计系统或入侵检测系统及 其产生的审计记录提供了实质性的保护,提高了 数据源的可信度。 • (2)审计系统或入侵检测系统从操作系统的层次 上获取系统信息,没有经过高层的抽象,因此, 可以得到系统事件的细节,易于实现精确的模式 匹配。 • (3)如果入侵者试图通过插入伪造的审计记录来 达到破坏审计信息的目的,这种低层次的系统审 计数据也使得入侵者的行动变得更为困难。 信息安全导论09 20
2)系统日志 系统日志是反映各种系统事件和设置的文件 UNX系统为系统应用提供了通用的审计服务 syslog,用于产生和更新事件日志。syslog在系 统应用提供的文本串形式的信息前面添加应用运 行时的系统名和时间戳信息,然后进行本地或远 程归档。 系统日志的安全性较差,原因有两点:一是,产 生系统日志的软件通常作为应用程序运行,容易 遭到破坏;二是,系统日志通常以文本方式保存 且保存的目录一般也未受到保护。但是,由于 syslog使用简单,许多系统应用和网络服务,如 login、sendmail、.NFS等,都使用它作为日志数 据。 信息安全导论09 21
2)系统日志 • 系统日志是反映各种系统事件和设置的文件。 UNIX系统为系统应用提供了通用的审计服务 syslog,用于产生和更新事件日志。syslog在系 统应用提供的文本串形式的信息前面添加应用运 行时的系统名和时间戳信息,然后进行本地或远 程归档。 • 系统日志的安全性较差,原因有两点:一是,产 生系统日志的软件通常作为应用程序运行,容易 遭到破坏;二是,系统日志通常以文本方式保存, 且保存的目录一般也未受到保护。但是,由于 syslog使用简单,许多系统应用和网络服务,如 login、sendmail、NFS等,都使用它作为日志数 据。 信息安全导论09 21