Windows操作系統日志安全的防范手段及設想

劉桂英

[摘要]Window操作系統日志記錄系統運行的狀態，通過分析操作系統日志，可以實現對操作系統的實時監控，達到入侵防范的目的。目前保護操作系統日志的手段都存在一定的安全缺陷。為彌補這些安全缺陷，首先闡述系統日志安全通常包含哪幾方面，然后分析現有系統日志安全的不足，主要講述黑客如何通過提高權限來清除日志，最后提出系統安全的保護措施及防范手段及設想。

[關鍵詞]Windows操作系統日志日志安全日志分析系統安全保護措施

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)1020114--01

操作系統日志是操作系統為系統應用提供的一項審計服務，這項服務在系統應用提供的文本串形式的信息前面添加應用運行的系統名、時戳、事件ID及用戶等信息，然后進行本地或遠程歸檔處理、但是操作系統日志并不安全，一些Windows的系統日志很容易被黑客篡改或清除，不過操作系統日志很容易使用，許多安全類工具都使用它作為自己的日志數據。

操作系統日志分析器能夠將大量的系統日志信息經過提取并處理得到能夠讓管理員識別的可疑行為記錄，然后日志分析器可以擴展成為一個計算機監控系統并且能實時地對可疑行為進行動態的響應。

為了保證日志分析器的正常判斷，系統日志的安全就顯得異常重要，這就需要從各方面去保證日志的安全性，系統日志安全通常與三個方面相關，簡稱為“CIA”：

1、保密性(Confidentiality)：使信息不泄露給非授權的個人、實體或進程，不為其所用。

2、完整性(Integrity)：數據沒有遭受以非授權方式所作的篡改或破壞。

3、確認性(Accountability)；確保一個實體的作用可以被獨一無二地跟蹤到該實體。

一、操作系統日志完整性檢查和一致性檢查的安全方法

對操作系統日志的完整性檢查和一致性檢查可以從以下五個小的方面進行分析判斷日志是否保持完整性和一致性：

1、原始日志的結構與操作系統設置的形式結構不相符合的。各類不同的系統都有自己的日志格式，一些系統還能夠選用不同的日志系統并進行設置，在設置好一定的格式結構后，產生的日志應該符合設定的要求，如果出現不符合格式結構設定的情況，應該懷疑為非法篡改。有些日志系統還有特殊字符或特定的不可見字符，如果發現這些字符的缺失則可判定被非法篡改過。

2、日志中事件發生的時間與前后事件發生時間不相符合的。由于日志中事件的發生是按照一定順序發生的，如果說發現日志中時間發生的順序顛倒，可以判定為非法篡改過的日志。

3、定期發生的事件缺少了或多了的。在不同的系統下面、不同的配置下面-如果有定期發生的事件，而在日志文件中發現了這些事件沒有出現，或者在不該發生的時間發生了，則日志文件可能被刪改過。

4、定期生成的日志文件缺少了或多了的。一般情況下日志按照一定時問間隔生成，如果發現缺少了某一個時間段的日志文件，或者在某個時間段內的日志文件數比應該生成的數目多了(或者少了)，則日志可能被刪改過。

5、在服務器運行經后已生成，還未到指定的刪除期限，但是文件不存在的。一般系統會在設定的一段期限后自動刪除日志，在此之前將一直存在，但是如果發現在指定的系統啟動時間之后應該生成的日志在刪除期限之前丟失，則日志系統可能被刪改過。

二、操作系統日志讀寫權限的安全方法

操作系統日志讀寫權限的安全設計關聯到系統的文件系統和內核。目前流行的網絡服務器使用的操作系統主要采用LINUX和Windows兩類操作系統。

目前在LINUX系統幾種流行的文件系統中，至少有3個相對健壯可靠的日志式文件系統可供選擇(ext3、XFS、ReiserFS)。從性能測試的結果可以看出，ReiserFS是最好的選擇。但是即便如此，它提供的對系統日志的安全設計依然不能滿足安全需求。因為一旦入侵者拿到root權限，就可以直接危及操作系統日志的安全。

為此，這里需要設計一種新的安全認證機制來提升操作系統日志的安全讀寫權限。可以考慮修改系統內核來改變文件系統，來增加一種文件讀寫權限；或者使用一中特殊的系統進程對系統日志進行安全保護。以改善操作系統日志的安全。由于LINUX操作系統的開放性，給第一種解決方法帶來了可能。例如要以在原有文件系統的屬性加上特別的屬性和認證機制來保護操作系統日志。

對于Windows系統，目前主要流行的文件系統是NTFS，這種文件系統具備壓縮比、磁盤配額、加密、裝入點和遠程存儲等特性。但它對于操作系統日志的安全存在同樣的問題上。從操作系統日志讀取權限的安全性考慮，同樣需要設計一種類似前面所述的保護程序以提高操作系統日志的安全。

三、操作系統日志實時備份的安全方法

另一種保護操作系統日志安全的方法是將系統日志實時備份，這種方法可以保證系統在遭到入侵時操作系統日志能夠被完整、安全、不可逆被備份到安全的介質中。

首先，可以考慮設計一種將操作系統日志信息實時傳送到安全系統日志文件服務器的方式。這種設計要考慮在文件傳送過程中可能遭到的網絡攻擊，因此要采取一些相應的保護措施。根據網絡攻擊的特點，保護的主要方法可以是：配置無IP的日志文件服務器，設計具備加密認證機制(如MD5)的發送Agent。與傳統的網絡安全工具配合保護傳送的安全。

此外，還可以設計一種專用系統日志存儲設備，僅供系統直接將日志備份到不可修改的介質中去。這種設計要考慮硬件設備的安全性能，以及與系統本身的配合。由于在硬件上保證存儲介質本身無法被破壞的，因此可以保證入侵者不能刪除、修改系統日志信息。但要確保系統日志信息的正確性，還要確保該設備的I／O權限，以避免入侵者向該設備寫入冗余信息。另外，對于存儲介質的容量也要有特別的要求。

計算機運用的環境是極其復雜的，即使是使用單一的操場作系統，也可以根據不同的需要使用不同的應用程序，從而產生不同的日志，更是如今操作系統及應用程序的多樣化。網絡環境下還要涉及到一些特定的網絡設備，尤其是對于大型的網絡而言，要實現一種通用性強的系統日志提取分析的方法，對日志分析技術的研究還有大量的工作要做。