安全审计的数据源

5.5　安全审计的数据源

对于安全审计系统而言，输入数据的选择是首先需要解决的问题，而安全审计的数据源，可以分为三类：基于主机、基于网络和其他途径。

1.基于主机的数据源

基于主机的安全审计的数据源，包括操作系统的审计记录、系统日志、应用程序的日志信息以及基于目标的信息。

（1）操作系统的审计记录

操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。

大多数操作系统的审计子系统，都是按照美国TCSEC标准对审计功能的设计要求来实现的，在TCSEC中规定了C2安全级以上的操作系统必须具备审计功能，并记录相应的安全性日志。对于基于主机的安全审计系统来说，操作系统的审计记录是首选的数据源。一方面，操作系统的审计系统在设计时，本身已经考虑到了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护，对于安全审计来说，其安全的可信数据源无疑是首要的选择；另一方面，操作系统审计记录提供了在系统内核级的事件发生情况，反映了系统底层的活动情况并提供了相关的详细信息，能够识别所有用户活动的微细活动模式，为发现潜在的异常行为奠定了良好的基础。

（2）系统日志

日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是由应用程序自己生成并维护的日志文件的总称。

系统日志的安全性与操作系统的审计记录相比，安全性存在不足，主要原因在于：

·系统日志是由载操作系统内核外运行的应用程序产生的，容易受到恶意的攻击和修改。

·日志系统通常存储在不受保护的普通文件目录中，并且经常以普通文本文件方式储存，容易受到恶意的篡改和删除。相反，操作系统审计记录通常以二进制文件形式存储，具备较强的保护机制。

系统日志又是在于简单易读，容易处理，仍然成为安全审计的一个重要的数据源。

（3）应用程序日志信息

操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。

一方面，系统设计的日益复杂，管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。底层级别的安全数据虽然可信度高，但是随着规模的迅速膨胀，分析的难度也大大增加。另一方面，网络化计算环境的普及，导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序，如电子邮件服务器、Web服务器和网络数据库服务器等。

因此，有需要采用反映系统活动的较高层次的抽象信息（如应用程序日志），以及特定的应用程序的日志信息，作为重要的输入数据源。以Web服务器为例，WWW服务是最流行的网络服务，也是电子商务的主要应用平台。Web服务器的日志信息是最为常见的应用级别数据源，主流的Web服务器都支持访问日志机制。

2.基于网络的数据源

随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。

采用网络数据具有以下优势：

（1）通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无须改变原有的结构和工作方式。

（2）嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。

（3）基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DoS攻击等。

（4）网络数据包的标准化程度，比主机数据源来说要高得多，如目前几乎大部分网络协议都采用了TCP/IP协议族。其标准化程度很高，所以，有利于安全审计系统在不同系统平台环境下的移植。

3.其他数据源

（1）来自其他安全产品的数据源

主要是指目标系统内部其他独立运行的安全产品（防火墙、身份认证系统和访问控制系统等）所产生的日志文件。这些数据源同样也是安全审计系统所必须考虑的。

（2）来自网络设备的数据源

如网络管理系统，利用SNMP（简单网管协议）所提供的信息作为数据源。

（3）带外数据源

指人工方式提供的数据信息，如硬件错误信息、系统配置信息、其他的各种自然危害事件等。