基于防火墻日志的網絡安全審計系統(tǒng)研究與實現

1、第28卷第6期Vol.28 6 博士論文計算機工程Computer Engineering文章編號：10003428(2002)06 001703文獻標識碼：A2002年6月 June 2002中圖分類號： TP393基于防火墻日志的網絡安全審計系統(tǒng)研究與實現李 承1，王偉釗1，程 立1，汪為農2，李家濱2上海交通大學計算機科學與工程系，上海；2. 200030 )上海交通大學網絡信息中心，上海( 1. 200030摘 要：網絡安全審計系統(tǒng)是網絡安全體系中的重要一環(huán)，最近國內外的研究工作表明，傳統(tǒng)操作系統(tǒng)中的安全審計系統(tǒng)在檢測網絡入侵方面的能力非常有限。為此，上海交通大學網絡中心研究開發(fā)了一個

2、基于防火墻日志的網絡安全審計系統(tǒng)NAFL (Netowrk security Audit system based on Firewall Log)，該系統(tǒng)強調了TCP/IP協議棧底層行為的安全審計，彌補了傳統(tǒng)安全審計系統(tǒng)的不足。關鍵詞：安全審計；防火墻；網絡入侵Study and Implementation of Network Security Audit SystemBased on Firewall LogLI Cheng1, WANG Weizhao1, CHENG Li1, WANG Weinong2, LI Jiabing2( 1. Department of Computer

3、 Science and Engineering, Shanghai Jiaotong University, Shanghai 200030;2. Network and Information Center, Shanghai Jiaotong University, Shanghai 200030 )【Abstract】Network security audit system is a very important area of the network security architecture. Recent studies show that the traditional au

4、dit mechanism in the OS is helpless when we face the network intrusion behavior. So, we develop a network audit system-NAFL (Network security Audit system based on Firewall Log). This system focuses on the security audit function about the essential behavior of the TCP/IP protocol stack. It is an im

5、provement of the other audit system.【Key words】Security audit; Firewall; Network intrusion1 概述國內外對于網絡安全審計系統(tǒng)的研究起步是比較晚的，1980年，Anderson首次提出了利用系統(tǒng)日志信息進行安全審計的思想，直到1995才發(fā)布了第一個具有實用性的網絡安全漏洞審計軟件SATAN，但是SATAN的技術要求高，使用非常不方便。雖然近年來出現了許多此方面的工具，但大多數是基于系統(tǒng)用戶的審計工具，如Security Configuration Editor (SCE) in Windows NT 5.0

6、或者Unix下自帶的審計工具，對于整個網絡中安全事件的審計能力有限，此外一般的審計軟件，對數據的采集有一定的限制。審計的基礎是數據，數據是如何采集得到的在很大程度上決定了一個審計軟件的質量。由此可見，未來的網絡安全審計系統(tǒng)應該更加獨立，成為一個獨立的安全軟件，其地位將等同于現在的防火墻和IDS。1.1 安全審計系統(tǒng)的一般要求參照美國國家標準<<可信計算機系統(tǒng)評估標準>> (Trusted Computer System Evaluation Criteria)，安全審計可以理解為：定義1 ：一個安全的系統(tǒng)中的安全審計系統(tǒng)，是對系統(tǒng)中任一或所有安全相關事件進行記錄、分析和

7、再現的處理系統(tǒng)。因此，對于安全審計系統(tǒng)的一般要求主要包括：(1) 記錄與再現：要求審計系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關事件，同時，如果有必要，應該能夠再現產生某一系統(tǒng)狀態(tài)的主要行為；(2)入侵檢測：審計系統(tǒng)應能夠檢查出大多數常見的系統(tǒng)入侵的企圖，同時，經過適當的設計，應該能夠阻止這些入侵行為；(3)記錄入侵行為：審計系統(tǒng)應該記錄所有的入侵企圖，即使某次入侵已經成功，這是事后調查取證和系統(tǒng)恢復必不可少的；(4)威懾作用：應該對系統(tǒng)中具有的安全審計系統(tǒng)及其性能進行適當宣傳，這樣可以對企圖入侵者起到威懾作用，又可以減少合 法用戶在無意中違反系統(tǒng)的安全策略；(5)系統(tǒng)本身的安全性：安全審計系統(tǒng)本身的安

8、全性必須保證，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括審計數據的安全性；一般來說，要保證審計系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施(例如認證、授權、加密措施等)相配合。1.2 傳統(tǒng)審計系統(tǒng)的局限性在NAFL系統(tǒng)中，我們重點研究的是網絡環(huán)境下的網絡安全審計系統(tǒng)，其理論、審計和實現與傳統(tǒng)操作系統(tǒng)中的安全審計系統(tǒng)既相互聯系，又有所區(qū)別。如表1中的總結：表1 安全審計系統(tǒng)比較研究歷史理論狀況實際系統(tǒng)審計重點系統(tǒng)舉例傳統(tǒng)安全審計系統(tǒng)20多年較完備已經被普遍應用系統(tǒng)中的用戶及進程行為Windows NT、Sun OS網絡安全審計系統(tǒng)近幾年處于探索階段相對較少網絡訪問行為及網絡數據包Inspe

9、ct、NASHID利用系統(tǒng)日志進行安全審計分析的思想，最早是在1980年Anderson的論文中正式提出的，至今研究經歷了20余年的研究和發(fā)展，已經形成了較為完備的理論和實際應用系統(tǒng)，包括針對各種安全策略的具體審計策略的確定、安全審計標準，安全審計等級劃分、安全相關事件的確定等方面；而目前主流的操作系統(tǒng)，均有自己較為完善的安全審計機制，包括各種Unix/Linux的syslog機制、Windows NT符合C2安全等級的SCE (Security Configuration Editor)機制等。網絡安全審計系統(tǒng)是近幾年網絡安全領域的研究重點之一，其不能直接利用傳統(tǒng)安全審計理論和審計系統(tǒng)的原因

10、在于兩者所面對的計算環(huán)境和審計重點不同。傳統(tǒng)的安全審計系統(tǒng)沒有記錄足夠的進行網絡入侵檢測所需要的信息，傳統(tǒng)安全審計系統(tǒng)主要針對系統(tǒng)中已登錄用戶的行為及系統(tǒng)中進程的行為進行記錄和審計，從網絡協議的觀點來看，這些均屬于高層(應用層)信息。在Price的綜述中，只有一種傳統(tǒng)的安全審計系統(tǒng)記錄了少量IP棧的相關信息，這就是Sun公司的BSM(Basic Security Module)系統(tǒng)，這可以認為是該模型在網絡安全審計方面的探索。目前真正成熟的網絡安全審計系統(tǒng)基本上沒有，而國內外的學者和廠商正加緊進行這方面的研究，德國的Inspect分布式網絡安全審計系統(tǒng)、Purdue大學的NASHID系統(tǒng)等是這

11、方面的試驗性系統(tǒng)。的防火墻日志信息的標準化方案。該工作的重要性是不言而喻的。標準的日志數據，是各種網絡安全審計產品配合使用和集成的基礎，也是開發(fā)多層次分布式網絡安全審計系統(tǒng)的基礎。3 NAFL系統(tǒng)的實現NAFL是基于防火墻日志信息的網絡安全審計系統(tǒng)，用一個審計分析引擎，對多個日志采集點的數據進行分析。3.1 系統(tǒng)整體結構NAFL系統(tǒng)的整體框架如圖1，主要包括數據采集、分析服務器、信息發(fā)布3大部分。ý¾Ý±Ý¢²¼2 NAFL的主要功能為了適應當今網絡安全發(fā)展的需要，上海交通大學網絡中心研究并開發(fā)了NAFL系統(tǒng)，其目

12、的在于從理論和實踐兩方面來探討網絡安全審計系統(tǒng)的審計和實現過程中的主要問題。NAFL是一個基于防火墻日志信息的網絡安全審計系統(tǒng)，具有以下幾方面主要功能。2.1 網絡入侵檢測一般認為，網絡入侵檢測是NIDS的功能，但僅僅依靠NIDS系統(tǒng)存在一些問題。其中最主要的就是所謂的“時間窗問題”，目前NIDS系統(tǒng)的時間窗最大一般不超過24小時，這對于普通的單個或若干個數據包就能完成的網絡攻擊行為的檢測是沒有問題的，但對于一些經過詳細計劃、周密部署而進行的長時間“專業(yè)級”入侵行為，確無能為力。而這后一種攻擊行為一旦成功，其后果往往是毀滅性的。當我們考慮到國家信息安全、信息戰(zhàn)等問題時，就無法忽略這類“不可能完

13、成”的網絡攻擊了。對于這種攻擊行為的檢測，包括攻擊特征的提取和檢測方法等方面，目前在理論和實際系統(tǒng)兩方面均處于探索階段，NAFL系統(tǒng)在這方面做了一些探索工作。2.2 網絡入侵取證根據1.1節(jié)中的要求，即使在系統(tǒng)已經被成功侵入的情況下，網絡安全審計系統(tǒng)也應該能夠保證審計數據的完整性，從而使得事后的系統(tǒng)恢復以及追查取證成為可能。NAFL通過數據采集點、分析點及保存點的分離和獨立防護，基本滿足了要求。2.3 主動防護主動防護一般是指網絡安全防護措施在檢測到某種入侵行為時自動作出反應，動態(tài)調整安全策略或安全規(guī)則，達到阻止網絡入侵的目的。目前的主動反應主要有改變路由規(guī)則和改變防火墻規(guī)則兩種。通過和防火墻

14、系統(tǒng)的緊密配合，在NAFL系統(tǒng)中實現主動防護能力是非常方便的。但是，一直以來，主動防護措施就是一把“雙刃劍”，安全系統(tǒng)的主動防護能力很有可能被利用來進行DoS等類型的網絡攻擊。我們認為在主動防護的理論研究完善之前，用戶應當非常謹慎地使用，系統(tǒng)中使用該功能是非常危險的。2.4 防火墻日志信息的標準化NAFL系統(tǒng)的一個研究重點就是提出一個用于安全審計ɼ¯µã3圖1 NAFL系統(tǒng)整體結構在目前的NAFL系統(tǒng)中，一個分析引擎可以同時分析多個數據點的數據，而且，這些數據點的數據可以獨立分析，也可以綜合分析。信息發(fā)布采用Web形式。3.2 數據采集圖2

15、日志數據采集數據采集和轉儲模塊的整體結構如圖2所示，其中的日志采集點的選擇非常重要。如果我們通過高層的應用程序來采集數據，那么所有針對防火墻底層IP協議棧的攻擊將無法記錄。Iptables防火墻與Linux內核IP協議棧是緊密集成的，在IP數據包流經系統(tǒng)IP協議棧的過程中，Iptables設置了3個主要的控制點，如圖2中的INPUT、FORWARD、OUTPUT。在NAFL系統(tǒng)中，我們選擇了圖2中A、B兩個采集點，對所有網絡數據，在其進入IP協議棧正式處理前就已經被記錄。3.3 防火墻標準日志格式及其存儲研究通過對常用防火墻的日志進行分析，我們發(fā)現一般包括兩種類型的日志：一種日志記錄得比較簡單

16、，只包含時間、18源目的地址、源目的端口以及協議號和某些重要標志位，這樣的日志格式非常簡單，因此存儲空間要求較小，適合長期儲存。然后由于提供的信息少，因此有許多攻擊和入侵行為無法被發(fā)現，而且誤報率特別高；另一種則將整個數據包或者數據包的開頭一部分記錄下來，這樣就提供了十分詳細的信息，給分析帶來的極大方便，但是由于存儲空間問題，一般的服務器至多可以儲存幾天到一星期的數據，這樣就無法實現較為長期的日志分析，這顯然不是我們所希望的。CERT的調查表明，95%以上的網絡攻擊分析只需要協議的頭部信息和數據包實際內容的前一部分，因此我們不記錄數據包數據的全部，而是記錄協議的頭部信息以及實際內容開頭的30字

17、節(jié)，作為詳細的原始日志數據。詳細數據對于存儲空間的要求是比較高的，在NAFL系統(tǒng)中，用戶可以根據自身服務器的實際性能，自定義這種數據的保存時間。對于超過該保存時間的數據，NAFL自動進行縮減處理，只保留最主要的一些信息：數據包流向、時間戳、源IP、目的IP、協議、數據包長度、源端口、目的端口、TCP標志。對于大多數入侵檢測算法來說，源地址關聯、目標地址關聯以及對數據的頻繁查詢都是十分必要的，這類操作的速度和效率問題不可忽視。NAFL系統(tǒng)將日志數據歸入SQL數據庫(目前采用的是免費數據庫軟件MySQL)，用數據庫提供的強大索引以及匹配查找等功能優(yōu)化我們的分析引擎。3.4分析引擎響，我們分A、B、

18、C、D四種情況進行了簡單的數據傳輸測試(100M以太網)。其中，A表示不啟動Iptables防火墻，B表示啟動Iptables防火墻并設置1000條防火墻規(guī)則，C表示在B的基礎上再進行簡單的日志采集，D表示在B的基礎上再進行詳細的日志采集。測試結果表明,B的性能比A降低29，C的性能比B又降低29，而C和D的性能類似。在我們的簡單測試中，NAFL系統(tǒng)的日志采集模塊性能是可以令人滿意的。4.2 日志分析模塊日志分析模塊采用C語言編程，并使用MySQL數據庫。在規(guī)則庫中共有規(guī)則1143條，其中TCP協議824條、UDP協議146條、ICMP協議173條，采用該規(guī)則庫進行分析時，其性能為每分鐘分析詳

19、細記錄的日志記錄，TCP協議約500條，UDP協議約1500條，ICMP協議約1000條。5 總結目前NAFL系統(tǒng)的實現上還有許多地方可以進一步改善和提高，如果能在這些方面進一步進行一些工作和測試，則NAFL系統(tǒng)將會是網絡安全方面的一個有力工具。概括來講，這些方面包括如下幾點：(1)提高規(guī)則匹配算法的效率：目前NAFL采用的是記錄和規(guī)則簡單順序匹配的方法，在將來規(guī)則具有自學習和自適應能力以后，很有必要對規(guī)則匹配算法作進一步優(yōu)化；(2)使規(guī)則庫具備自學習和自適應能力：所謂自學習是指規(guī)則庫可以根據網絡管理員對記錄的處理方法以及網絡中的實際數據模式自動產生新的規(guī)則，更好地適應實際網絡的需要；所謂自適

20、應能力主要是指規(guī)則庫根據網絡安全管理員對實際審計報告的評價，動態(tài)調整每條規(guī)則的可信度和某些其它參數。(3)進一步提高系統(tǒng)的趨勢分析能力：所謂趨勢分析是指系統(tǒng)根據網絡中的歷史數據以及某些統(tǒng)計學原理，來判斷網絡當前的運行狀態(tài)是否安全。這對于系統(tǒng)檢測某些新出現的或特征比較模糊的網絡入侵行為是很有好處的。(4)遠程數據的安全傳輸：對于分布式遠程網絡安全審計，日志數據的安全傳輸是系統(tǒng)安全的基礎。一般情況下，網絡安全審計的數據量是比較大的，如果完全依靠簡單的加密，很有可能會對系統(tǒng)的性能造成較大影響，如何解決日志數據的遠程安全傳輸，也是我們進一步工作的重點。一般來說可以有兩種策略：一是選擇性加密；二是提供本地過濾和規(guī)約機制。這兩種策略的效果究竟如何，需要作進一步測試。圖3 分析引擎結