刘桂英

[摘要]Window操作系统日志记录系统运行的状态，通过分析操作系统日志，可以实现对操作系统的实时监控，达到入侵防范的目的。目前保护操作系统日志的手段都存在一定的安全缺陷。为弥补这些安全缺陷，首先阐述系统日志安全通常包含哪几方面，然后分析现有系统日志安全的不足，主要讲述黑客如何通过提高权限来清除日志，最后提出系统安全的保护措施及防范手段及设想。

[关键词]Windows操作系统日志日志安全日志分析系统安全保护措施

中图分类号：TP3文献标识码：A文章编号：1671—7597(2009)1020114--01

操作系统日志是操作系统为系统应用提供的一项审计服务，这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息，然后进行本地或远程归档处理、但是操作系统日志并不安全，一些Windows的系统日志很容易被黑客篡改或清除，不过操作系统日志很容易使用，许多安全类工具都使用它作为自己的日志数据。

操作系统日志分析器能够将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录，然后日志分析器可以扩展成为一个计算机监控系统并且能实时地对可疑行为进行动态的响应。

为了保证日志分析器的正常判断，系统日志的安全就显得异常重要，这就需要从各方面去保证日志的安全性，系统日志安全通常与三个方面相关，简称为“CIA”：

1、保密性(Confidentiality)：使信息不泄露给非授权的个人、实体或进程，不为其所用。

2、完整性(Integrity)：数据没有遭受以非授权方式所作的篡改或破坏。

3、确认性(Accountability)；确保一个实体的作用可以被独一无二地跟踪到该实体。

一、操作系统日志完整性检查和一致性检查的安全方法

对操作系统日志的完整性检查和一致性检查可以从以下五个小的方面进行分析判断日志是否保持完整性和一致性：

1、原始日志的结构与操作系统设置的形式结构不相符合的。各类不同的系统都有自己的日志格式，一些系统还能够选用不同的日志系统并进行设置，在设置好一定的格式结构后，产生的日志应该符合设定的要求，如果出现不符合格式结构设定的情况，应该怀疑为非法篡改。有些日志系统还有特殊字符或特定的不可见字符，如果发现这些字符的缺失则可判定被非法篡改过。

2、日志中事件发生的时间与前后事件发生时间不相符合的。由于日志中事件的发生是按照一定顺序发生的，如果说发现日志中时间发生的顺序颠倒，可以判定为非法篡改过的日志。

3、定期发生的事件缺少了或多了的。在不同的系统下面、不同的配置下面-如果有定期发生的事件，而在日志文件中发现了这些事件没有出现，或者在不该发生的时间发生了，则日志文件可能被删改过。

4、定期生成的日志文件缺少了或多了的。一般情况下日志按照一定时问间隔生成，如果发现缺少了某一个时间段的日志文件，或者在某个时间段内的日志文件数比应该生成的数目多了(或者少了)，则日志可能被删改过。

5、在服务器运行经后已生成，还未到指定的删除期限，但是文件不存在的。一般系统会在设定的一段期限后自动删除日志，在此之前将一直存在，但是如果发现在指定的系统启动时间之后应该生成的日志在删除期限之前丢失，则日志系统可能被删改过。

二、操作系统日志读写权限的安全方法

操作系统日志读写权限的安全设计关联到系统的文件系统和内核。目前流行的网络服务器使用的操作系统主要采用LINUX和Windows两类操作系统。

目前在LINUX系统几种流行的文件系统中，至少有3个相对健壮可靠的日志式文件系统可供选择(ext3、XFS、ReiserFS)。从性能测试的结果可以看出，ReiserFS是最好的选择。但是即便如此，它提供的对系统日志的安全设计依然不能满足安全需求。因为一旦入侵者拿到root权限，就可以直接危及操作系统日志的安全。

为此，这里需要设计一种新的安全认证机制来提升操作系统日志的安全读写权限。可以考虑修改系统内核来改变文件系统，来增加一种文件读写权限；或者使用一中特殊的系统进程对系统日志进行安全保护。以改善操作系统日志的安全。由于LINUX操作系统的开放性，给第一种解决方法带来了可能。例如要以在原有文件系统的属性加上特别的属性和认证机制来保护操作系统日志。

对于Windows系统，目前主要流行的文件系统是NTFS，这种文件系统具备压缩比、磁盘配额、加密、装入点和远程存储等特性。但它对于操作系统日志的安全存在同样的问题上。从操作系统日志读取权限的安全性考虑，同样需要设计一种类似前面所述的保护程序以提高操作系统日志的安全。

三、操作系统日志实时备份的安全方法

另一种保护操作系统日志安全的方法是将系统日志实时备份，这种方法可以保证系统在遭到入侵时操作系统日志能够被完整、安全、不可逆被备份到安全的介质中。

首先，可以考虑设计一种将操作系统日志信息实时传送到安全系统日志文件服务器的方式。这种设计要考虑在文件传送过程中可能遭到的网络攻击，因此要采取一些相应的保护措施。根据网络攻击的特点，保护的主要方法可以是：配置无IP的日志文件服务器，设计具备加密认证机制(如MD5)的发送Agent。与传统的网络安全工具配合保护传送的安全。

此外，还可以设计一种专用系统日志存储设备，仅供系统直接将日志备份到不可修改的介质中去。这种设计要考虑硬件设备的安全性能，以及与系统本身的配合。由于在硬件上保证存储介质本身无法被破坏的，因此可以保证入侵者不能删除、修改系统日志信息。但要确保系统日志信息的正确性，还要确保该设备的I／O权限，以避免入侵者向该设备写入冗余信息。另外，对于存储介质的容量也要有特别的要求。

计算机运用的环境是极其复杂的，即使是使用单一的操场作系统，也可以根据不同的需要使用不同的应用程序，从而产生不同的日志，更是如今操作系统及应用程序的多样化。网络环境下还要涉及到一些特定的网络设备，尤其是对于大型的网络而言，要实现一种通用性强的系统日志提取分析的方法，对日志分析技术的研究还有大量的工作要做。