訪問(wèn)驗(yàn)證保護(hù)級(jí)安全操作系統(tǒng)審計(jì)機(jī)制研究

摘要：論述了基于B3級(jí)安全操作系統(tǒng)審計(jì)報(bào)警模塊增強(qiáng)策略與方法。在審計(jì)面擴(kuò)展方面，通過(guò)分析系統(tǒng)進(jìn)程通信與資源使用特征，增加隱蔽通道審計(jì)；在報(bào)警決策方面，根據(jù)應(yīng)用場(chǎng)景，提出了一種以具有豐富語(yǔ)義的審計(jì)事件為出發(fā)點(diǎn)的報(bào)警決策方案。通過(guò)審計(jì)事件多角度分析、安全字段參數(shù)控制、審計(jì)序列關(guān)聯(lián)分析、由時(shí)間戳控制隱蔽通道閾值、引入干擾等阻止信息傳遞策略，增強(qiáng)了系統(tǒng)的安全性能。

關(guān)鍵詞：B3級(jí)；安全策略；審計(jì)事件；報(bào)警

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2007)05－0101－04

操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，而審計(jì)是保障操作系統(tǒng)安全的重要手段。因此各國(guó)的安全操作系統(tǒng)評(píng)估標(biāo)準(zhǔn)[tcsec][cc][gb17859][gb18336]普遍都要求用審計(jì)方法監(jiān)視安全相關(guān)的活動(dòng)。隨著對(duì)系統(tǒng)安全評(píng)估要求的提升，對(duì)審計(jì)的要求相應(yīng)提高：一方面需要審計(jì)事件的擴(kuò)充；一方面對(duì)安全事件的處理要求的提高。美國(guó)TCSEC對(duì)系統(tǒng)審計(jì)要求分為四個(gè)層次。對(duì)于B3級(jí)，在審計(jì)事件擴(kuò)充方面，要求在B2級(jí)基礎(chǔ)上增加對(duì)隱蔽定時(shí)通道事件的審計(jì)；在安全事件處理方面，需增加報(bào)警策略的支持[1]。我國(guó)的《計(jì)算機(jī)系統(tǒng)安全性評(píng)估標(biāo)準(zhǔn)》（GB17859－1999）的最高保護(hù)級(jí)——訪問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)安全審計(jì)的要求相當(dāng)于B3的要求（用B3代表該評(píng)估級(jí)）。目前世界上已開(kāi)發(fā)出的B3級(jí)系統(tǒng)寥寥無(wú)幾，極少見(jiàn)到研究成果的公開(kāi)報(bào)告。國(guó)內(nèi)對(duì)B3系統(tǒng)的研究尚未展開(kāi)，該級(jí)別的審計(jì)技術(shù)研究尚屬空白。

通過(guò)分析設(shè)定的安全策略研究B3級(jí)系統(tǒng)安全審計(jì)模塊的設(shè)計(jì)機(jī)制：根據(jù)系統(tǒng)分析確定審計(jì)點(diǎn)、增加隱蔽通道審計(jì)并通過(guò)時(shí)間戳控制閾值解決審計(jì)難點(diǎn)；在報(bào)警檢測(cè)方面，目前IDS研究主要集中在使用系統(tǒng)調(diào)用方面；檢測(cè)方法存在一定的不足，如特征考慮不全面、誤報(bào)率高等[2~4]；而且由于應(yīng)用場(chǎng)景不同，與安全操作系統(tǒng)審計(jì)機(jī)制不太吻合。在前人研究的基礎(chǔ)上[3，5，6]，揉合系統(tǒng)調(diào)用參數(shù)以及安全信息字段，通過(guò)改進(jìn)Forrest、Kruegel的設(shè)計(jì)方案[2，7]提出了基于具有豐富語(yǔ)義的審計(jì)事件報(bào)警決策方案。該方案以審計(jì)事件為出發(fā)點(diǎn)，增加安全信息字段控制檢測(cè)，由單個(gè)記錄擴(kuò)展到審計(jì)序列分析信息關(guān)聯(lián)實(shí)施報(bào)警決策。為了印證該項(xiàng)研究，在本文自主研發(fā)的達(dá)到B2要求的安勝4.0安全操作系統(tǒng)[8]上開(kāi)發(fā)了審計(jì)報(bào)警模塊使之達(dá)到B3級(jí)安全操作系統(tǒng)對(duì)審計(jì)模塊的要求。

1審計(jì)關(guān)鍵點(diǎn)分析

構(gòu)建B3級(jí)安全操作系統(tǒng)審計(jì)報(bào)警機(jī)制的主要意義有三點(diǎn)：①全面了解系統(tǒng)使用情況與用戶的行為，監(jiān)督系統(tǒng)資源的正常、有效使用；②提供數(shù)據(jù)用于追查入侵，形成威懾；③實(shí)時(shí)中止違反安全策略的事件，提供保護(hù)機(jī)制。

B3級(jí)安全操作系統(tǒng)TCB需記錄的事件主要包括：使用身份鑒別機(jī)制，將客戶引入地址空間，刪除客體，使用隱蔽通道時(shí)的事件，由操作員、系統(tǒng)管理員、系統(tǒng)安全管理員實(shí)施的動(dòng)作以及其他與系統(tǒng)安全相關(guān)的事件。其分為隱蔽通道事件、系統(tǒng)調(diào)用類事件、安全命令相關(guān)事件。

根據(jù)安全操作系統(tǒng)的特點(diǎn)，從安全模型與策略、頂層規(guī)范、源代碼來(lái)分析系統(tǒng)中可能存在的安全風(fēng)險(xiǎn)，以及發(fā)生風(fēng)險(xiǎn)時(shí)系統(tǒng)的使用情況。結(jié)合理論分析與工程實(shí)踐，確定審計(jì)報(bào)警的機(jī)制與相關(guān)閾值。

1．1隱蔽通道事件

B3級(jí)對(duì)審計(jì)最引人注目的要求就是對(duì)隱蔽通道事件的審計(jì)要求[1] 。隱蔽通道是允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的信道[gb17859] ，利用隱蔽通道技術(shù)可繞過(guò)安全操作系統(tǒng)的MAC機(jī)制。給定一個(gè)強(qiáng)制安全策略模型M及其在一個(gè)操作系統(tǒng)中的解釋I(M)。I(M)中的兩個(gè)主體I(Sh)和I(Sl)之間的通信是隱蔽的，當(dāng)且僅當(dāng)模型M中的對(duì)應(yīng)主體Sh和Sl之間的任何通信都是非法的。隱蔽通道分為兩類，即隱蔽存儲(chǔ)通道和隱蔽定時(shí)通道。隱蔽存儲(chǔ)信道涉及到一個(gè)進(jìn)程直接或者間接寫入一個(gè)共享存儲(chǔ)資源，而另外一個(gè)進(jìn)程直接或間接讀這個(gè)存儲(chǔ)資源。隱蔽定時(shí)信道涉及到一個(gè)進(jìn)程采用調(diào)節(jié)自己對(duì)系統(tǒng)資源（如CPU）的使用，從而影響另外一個(gè)進(jìn)程觀察到的真實(shí)響應(yīng)時(shí)間的方式發(fā)送信號(hào)。一般說(shuō)來(lái)，所有未被安全模型控制的信息傳遞方式均屬于隱蔽通道范疇。GB17859對(duì)第四級(jí)只要求初步審計(jì)隱蔽存儲(chǔ)通道事件，而第五級(jí)要求審計(jì)全部隱蔽通道事件。

設(shè)計(jì)隱蔽通道審計(jì)機(jī)制的關(guān)鍵是明確審計(jì)機(jī)制應(yīng)該記錄什么事件、審計(jì)工具應(yīng)該維護(hù)什么數(shù)據(jù)。為保證使用隱蔽通道的事件全部被審計(jì)，必須記錄足夠的數(shù)據(jù)，確保能夠標(biāo)志每次隱蔽通道的使用事件，并且能夠識(shí)別通道的發(fā)送者和接收者。審計(jì)隱蔽存儲(chǔ)通道與審計(jì)隱蔽定時(shí)通道采用的方法有所不同。

通過(guò)提取隱蔽存儲(chǔ)通道特征，并將這些特征列入審計(jì)事件，就能做到審計(jì)所有的隱蔽存儲(chǔ)通道行為。審計(jì)流程如下：

(1)確定PAh， Var， PVi三元組。其中Var是共享存儲(chǔ)資源（變量）；Pah和Pvi分別是讀寫該共享資源變量的系統(tǒng)調(diào)用。

（2）標(biāo)示出共享變量讀寫路徑。在讀寫路徑上加上隱蔽通道審計(jì)標(biāo)記，以這些標(biāo)記是否出現(xiàn)作為是否審計(jì)記錄審計(jì)事件的依據(jù)。

（3）通過(guò)讀、寫監(jiān)視器監(jiān)控資源。

例如設(shè)安全級(jí)別低的用戶是A，安全級(jí)高的用戶是B，文件f1、f2是安全級(jí)別低的文件。準(zhǔn)備就緒后，B用打開(kāi)讀f1發(fā)送1；打開(kāi)讀f2發(fā)送0，A反復(fù)試圖打開(kāi)寫f1、f2，依據(jù)操作是否成功每次發(fā)送1 bit信息，構(gòu)成隱蔽存儲(chǔ)通道；通過(guò)監(jiān)控文件f1、f2實(shí)現(xiàn)審計(jì)。

隱蔽定時(shí)通道的審計(jì)要困難得多。這類通道并不依靠將信息存入共享存儲(chǔ)資源的方式通信，而是靠對(duì)系統(tǒng)性能的影響來(lái)通信。目前對(duì)這種通道的標(biāo)志仍然是世界性難題。但是在研究中發(fā)現(xiàn)了這種信道的一些規(guī)律，即構(gòu)造這種通道，也離不開(kāi)系統(tǒng)調(diào)用，只有某些系統(tǒng)調(diào)用可以被用于構(gòu)造隱蔽定時(shí)通道，并且這些系統(tǒng)調(diào)用被用于構(gòu)造定時(shí)通道時(shí)，必定使用一些特殊的參數(shù)。通過(guò)記錄這些標(biāo)志性參數(shù)的出現(xiàn)情況，可以標(biāo)志和審計(jì)一部分隱蔽定時(shí)通道。

對(duì)于圖1中根據(jù)CPU的調(diào)度策略構(gòu)造的定時(shí)通道（Huskamp），敏感信息的發(fā)送者與接收者共享同一個(gè)CPU，兩者達(dá)成協(xié)議，在相繼的兩個(gè)CPU時(shí)間片之間，發(fā)送者在時(shí)間ti執(zhí)行，表示發(fā)送1，不執(zhí)行，表示發(fā)送0。接收者嘗試同時(shí)執(zhí)行，將接收到的成功與失敗的記號(hào)解釋成0和1。審計(jì)這種隱蔽通道的關(guān)鍵在于識(shí)別隱蔽通道的發(fā)送/接收動(dòng)作。盡管這個(gè)信道場(chǎng)景使用的操作都是系統(tǒng)中常見(jiàn)的操作，但是仍然有其獨(dú)特的特征，即休眠動(dòng)作的高頻使用。為讓出對(duì)CPU的控制權(quán)，發(fā)送方和接收方都會(huì)使用休眠動(dòng)作。每執(zhí)行一次發(fā)送場(chǎng)景，就要進(jìn)行兩次控制權(quán)的切換，即休眠兩次。如果一個(gè)這種信道的帶寬是1 000 bits（常見(jiàn)的隱蔽通道帶寬），則需要調(diào)用休眠指令2 000次/s。為了發(fā)送一個(gè)文件，該通道將反復(fù)高頻地調(diào)用休眠指令。通過(guò)對(duì)這種高頻休眠動(dòng)作的審計(jì)，可以捕捉到這條信道的使用蹤跡。

1．2審計(jì)系統(tǒng)中的其他事件

與安全相關(guān)的系統(tǒng)調(diào)用類事件是最常見(jiàn)的審計(jì)事件（如Open、Exec等系統(tǒng)調(diào)用），還包括比較特殊的對(duì)客體的訪問(wèn)類審計(jì)事件。它們與系統(tǒng)的安全使用有關(guān)，所以要記錄它們的執(zhí)行情況。

與安全命令相關(guān)的審計(jì)事件是由應(yīng)用層的命令所產(chǎn)生的與系統(tǒng)安全相關(guān)的事件，不涉及系統(tǒng)調(diào)用。由于其中包括一些與系統(tǒng)安全相關(guān)的系統(tǒng)命令和特權(quán)命令（如Login），審計(jì)系統(tǒng)也需詳細(xì)記錄這些命令的使用情況。與安全命令相關(guān)的事件的審計(jì)點(diǎn)處于用戶態(tài)，不能直接訪問(wèn)內(nèi)核的進(jìn)程與數(shù)據(jù)結(jié)構(gòu)，所以在審計(jì)數(shù)據(jù)收集時(shí)引入一個(gè)新的系統(tǒng)調(diào)用Auditdmp來(lái)傳遞事件的相關(guān)信息。

1．3審計(jì)數(shù)據(jù)收集

在Linux系統(tǒng)中，用戶程序與操作系統(tǒng)唯一的接口是系統(tǒng)調(diào)用，當(dāng)用戶請(qǐng)求系統(tǒng)服務(wù)時(shí)必須經(jīng)過(guò)系統(tǒng)調(diào)用。在此處增加審計(jì)控制，可保證所有安全相關(guān)事件被審計(jì)。

對(duì)于特權(quán)命令，由于一個(gè)特權(quán)命令使用多個(gè)系統(tǒng)調(diào)用，逐個(gè)審計(jì)所用到的系統(tǒng)調(diào)用會(huì)使審計(jì)數(shù)據(jù)復(fù)雜而難以理解。進(jìn)行審計(jì)分析時(shí)需要綜合多條審計(jì)記錄才能進(jìn)行正確的審計(jì)跟蹤。在被審計(jì)的特權(quán)命令的每個(gè)可能的出口處增加一個(gè)新的系統(tǒng)調(diào)用專門用于該命令的審計(jì)。

LSM提供的通用訪問(wèn)控制框架并不完全適用于本文的設(shè)計(jì)。因此，對(duì)Hook函數(shù)的添加點(diǎn)主要集中在內(nèi)核對(duì)客體的訪問(wèn)控制以及系統(tǒng)的安全信息管理上。在LSM提供的Hook點(diǎn)上進(jìn)行安全審計(jì)，會(huì)出現(xiàn)收集到的信息不完備等問(wèn)題。根據(jù)最小擴(kuò)展原則，采取審計(jì)系統(tǒng)添加自己的Hook函數(shù)的方法。審計(jì)Hook函數(shù)分為審計(jì)事件Hook函數(shù)和審計(jì)記錄Hook函數(shù)。審計(jì)事件Hook函數(shù)主要集中在系統(tǒng)調(diào)用的入口處；而審計(jì)記錄Hook函數(shù)主要安插在系統(tǒng)調(diào)用的出口處，用來(lái)保證審計(jì)的完備性。為提高其他安全策略模塊和審計(jì)自身的效率，避免了與其他安全策略共同使用同樣的安全操作集。在系統(tǒng)中定義安全審計(jì)操作集合Audit_operations，在Audit_operations中包含審計(jì)Hook函數(shù)。

1．4報(bào)警機(jī)制

在安全事件處理方面，B3級(jí)要求收集到審計(jì)數(shù)據(jù)后通過(guò)對(duì)數(shù)據(jù)檢測(cè)增加報(bào)警機(jī)制。高等級(jí)系統(tǒng)審計(jì)報(bào)警研究較少，相關(guān)的研究集中在IDS方面。Forrest提出通過(guò)監(jiān)視特權(quán)進(jìn)程的系統(tǒng)調(diào)用序列進(jìn)行檢測(cè)[2]，其只關(guān)注系統(tǒng)調(diào)用，很少記錄有用的信息。Kruegel根據(jù)系統(tǒng)調(diào)用參數(shù)建立檢測(cè)方案[7]，但沒(méi)有進(jìn)行關(guān)聯(lián)分析會(huì)影響誤報(bào)率。由于應(yīng)用場(chǎng)景不同，IDS在安全策略控制與隱蔽通道方面具有局限性。本文參考改進(jìn)的IDS，設(shè)計(jì)了符合B3級(jí)操作系統(tǒng)需求的審計(jì)報(bào)警。

結(jié)合安全操作系統(tǒng)審計(jì)實(shí)際特點(diǎn)與需求，引入審計(jì)事件。根據(jù)系統(tǒng)調(diào)用號(hào)、系統(tǒng)調(diào)用參數(shù)、用戶安全級(jí)別和客體安全級(jí)別等與安全相關(guān)的信息定義的審計(jì)事件已經(jīng)蘊(yùn)涵了系統(tǒng)調(diào)用參數(shù)信息并進(jìn)行了擴(kuò)展，在豐富語(yǔ)義的同時(shí)效率更高、更精確。以審計(jì)事件為出發(fā)點(diǎn)增加安全信息參數(shù)控制。根據(jù)事件關(guān)聯(lián)性，由單個(gè)記錄擴(kuò)展到審計(jì)序列，進(jìn)行連續(xù)事件關(guān)聯(lián)分析，實(shí)現(xiàn)了違反安全策略的報(bào)警設(shè)計(jì)。隱蔽通道報(bào)警引入抽樣分析與時(shí)間戳，并根據(jù)閾值進(jìn)行控制。

1．4．1違反安全策略觸發(fā)的報(bào)警

違反安全策略的報(bào)警決策按照下列步驟依次進(jìn)行：

（1）審計(jì)事件長(zhǎng)度分析

（4）審計(jì)事件序列關(guān)聯(lián)

進(jìn)程經(jīng)常傳遞給系統(tǒng)調(diào)用參數(shù)相同的值，如標(biāo)記、句柄。攻擊者通過(guò)改變正常的執(zhí)行流，進(jìn)入惡意代碼跳過(guò)安全約束。

對(duì)于單個(gè)審計(jì)事件，首先收集正常情況下的參數(shù)來(lái)源，組成標(biāo)準(zhǔn)集合，在檢測(cè)過(guò)程中分析審計(jì)記錄中的系統(tǒng)調(diào)用參數(shù)是否來(lái)自標(biāo)準(zhǔn)集合。隨機(jī)變量與枚舉的認(rèn)定通過(guò)觀察不同的參數(shù)值產(chǎn)生的次數(shù)是否接受閾值的限制（隨機(jī)變量不受限制）;對(duì)標(biāo)志符與枚舉通過(guò)非參Kolmogorov－Smirnov檢驗(yàn)判別，如果相異變量數(shù)量的增長(zhǎng)符合標(biāo)準(zhǔn)遞減增長(zhǎng)曲線，就可以認(rèn)為是枚舉。儲(chǔ)存鑒別過(guò)程中收集到的枚舉變量進(jìn)行組合以在隨后的檢測(cè)階段進(jìn)行利用。對(duì)審計(jì)序列進(jìn)行連續(xù)判別，當(dāng)認(rèn)定參數(shù)的值來(lái)自枚舉并且不屬于已知變量組的次數(shù)達(dá)到閾值t，則返回0；否則返回1。

（5）審計(jì)事件安全字段檢測(cè)

根據(jù)審計(jì)事件的相關(guān)安全信息（安全級(jí)別、事件成功與否）進(jìn)行分析；通過(guò)對(duì)違反安全策略的事件進(jìn)行跟蹤記錄，設(shè)定閾值，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控。超越閾值則視為違反系統(tǒng)設(shè)定的安全策略，返回0；否則返回1。

（6）報(bào)警決策

1．4．2隱蔽通道報(bào)警

隱蔽存儲(chǔ)通道報(bào)警不斷跟蹤讀、寫監(jiān)視器的Count值的變化情況。當(dāng)讀、寫監(jiān)視器的Count值都達(dá)到審計(jì)閾值（發(fā)生次數(shù)）時(shí)，審計(jì)系統(tǒng)認(rèn)為系統(tǒng)中已經(jīng)發(fā)生了隱蔽通道活動(dòng)，產(chǎn)生相應(yīng)的審計(jì)記錄，寫入審計(jì)日志文件，并及時(shí)報(bào)警。定時(shí)通道通過(guò)標(biāo)志性參數(shù)的出現(xiàn)情況判斷是否達(dá)到閾值。

隱蔽通道分為資源耗盡通道、事件計(jì)數(shù)通道、定時(shí)通道。對(duì)于產(chǎn)生海量信息的通道事件，如通過(guò)共享系統(tǒng)隱蔽通道變量表中的148個(gè)全局?jǐn)?shù)據(jù)中某些變量的隱蔽通道事件會(huì)涉及到大量的操作，對(duì)信息進(jìn)行完全監(jiān)控會(huì)影響系統(tǒng)性能。考慮到事件發(fā)生間隔問(wèn)題，設(shè)計(jì)采取以下措施：①間隔進(jìn)行數(shù)據(jù)采樣，通過(guò)讀、寫監(jiān)視器進(jìn)行抽樣數(shù)據(jù)檢測(cè)。②管理員通過(guò)調(diào)整抽樣時(shí)間間隔進(jìn)行粒度控制。③維護(hù)一個(gè)環(huán)形時(shí)間戳緩沖區(qū)來(lái)計(jì)算隱蔽通道被利用次數(shù)。添加當(dāng)前事件的時(shí)間戳到這個(gè)主體的環(huán)形緩沖區(qū)，通過(guò)時(shí)間戳進(jìn)行控制。這樣不但降低了復(fù)雜度，而且基本不會(huì)影響漏報(bào)率。

1．4．3中止事件的措施

按照設(shè)計(jì)要求，如果發(fā)生的安全相關(guān)事件繼續(xù)發(fā)生或積累，系統(tǒng)應(yīng)能以最小的代價(jià)中止它們。針對(duì)存在隱蔽通道容易產(chǎn)生錯(cuò)誤報(bào)警的問(wèn)題，遵循最小代價(jià)的原則，提出通過(guò)干擾相關(guān)進(jìn)程阻止非法信息傳遞的方法。

(1)引入噪聲與延時(shí)干擾進(jìn)程。如前文中的定時(shí)通道、管理員通過(guò)延時(shí)進(jìn)行信息流干擾。

(2)終止事件進(jìn)程。

(3)殺死該進(jìn)程用戶的所有進(jìn)程，系統(tǒng)停止對(duì)該用戶的服務(wù)。

(4)關(guān)閉整個(gè)系統(tǒng)。可通過(guò)內(nèi)核來(lái)調(diào)用系統(tǒng)關(guān)機(jī)程序/usr/bin/shutdown。

2應(yīng)用設(shè)計(jì)

2．1安全策略

安全操作系統(tǒng)的安全策略是對(duì)安全要求的描述，包括機(jī)密性、完整性、可用性等方面的要求。安全策略是報(bào)警的依據(jù)，設(shè)計(jì)遵循的安全模型包括機(jī)密性模型、完整性模型、特權(quán)控制模型。系統(tǒng)中與審計(jì)報(bào)警模塊相關(guān)的安全機(jī)制如下：

(1)用戶標(biāo)志和鑒別機(jī)制;

(2)對(duì)文件/目錄/設(shè)備等的訪問(wèn)受DTE、MAC、ACL和特權(quán)的共同控制;

(3)對(duì)IPC等課題的訪問(wèn)受MAC、ACL和特權(quán)的控制;

(4)信息流路徑受強(qiáng)制安全策略控制;

(5)對(duì)違反安全的事件進(jìn)行審計(jì)。

存取控制表（ACL）是讀、寫、執(zhí)行權(quán)限位的匹配；進(jìn)程以X權(quán)限訪問(wèn)客體，X必須在客體相應(yīng)的ACL項(xiàng)中；進(jìn)程搜索路徑，進(jìn)程必須具有路徑名中對(duì)每一目錄分量的搜索權(quán)。MAC通過(guò)嚴(yán)格設(shè)置安全屬性進(jìn)行控制。DTE權(quán)限分為讀、寫、創(chuàng)建、連接、目錄搜索，針對(duì)不同的域與型進(jìn)行匹配；DTE通過(guò)定義不同域?qū)Σ煌偷脑L問(wèn)權(quán)限，以及主體在不同域中進(jìn)行轉(zhuǎn)換的規(guī)則來(lái)達(dá)到保護(hù)信息完整性的目的。通過(guò)對(duì)信息流路徑進(jìn)行控制以限制隱蔽通道的使用。

2．2審計(jì)模塊結(jié)構(gòu)

審計(jì)報(bào)警模塊應(yīng)具備四個(gè)功能：①審計(jì)事件的收集及過(guò)濾；②審計(jì)事件的記錄、審計(jì)日志維護(hù)及查詢；③審計(jì)機(jī)制的整體控制，如參數(shù)的設(shè)置；④決策報(bào)警，分析審計(jì)數(shù)據(jù)，為干預(yù)用戶行為提供決策。

根據(jù)對(duì)審計(jì)報(bào)警模塊的分析結(jié)果，設(shè)計(jì)安全審計(jì)報(bào)警模塊體系結(jié)構(gòu)如圖2所示。

安全審計(jì)報(bào)警模塊包括六個(gè)部分：①主模塊。控制信息管理整個(gè)審計(jì)機(jī)制。②審計(jì)事件采集模塊，即擴(kuò)展LSM中的審計(jì)事件Hook函數(shù)和審計(jì)記錄Hook函數(shù)。③安全事件監(jiān)控模塊。從安全事件采集模塊接收安全相關(guān)信息，識(shí)別威脅系統(tǒng)安全策略的行為，并向安全事件響應(yīng)模塊報(bào)警。④審計(jì)日志查詢模塊。⑤響應(yīng)模塊。主要根據(jù)審計(jì)信息進(jìn)行實(shí)時(shí)報(bào)警。⑥存儲(chǔ)模塊。實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)與保護(hù)。

3結(jié)束語(yǔ)

在設(shè)計(jì)中，通過(guò)系統(tǒng)文件/etc/security/TCB/audit/classes一共定義了23個(gè)事件類及84個(gè)事件，新的事件也能方便地添加進(jìn)來(lái)，從而有效地實(shí)現(xiàn)了審計(jì)數(shù)據(jù)的獲取。加入審計(jì)機(jī)制的系統(tǒng)調(diào)用有130個(gè)，隱蔽通道方面分析全局變量為148個(gè)。

對(duì)于報(bào)警模塊，根據(jù)實(shí)際經(jīng)驗(yàn)，為取得誤操作與準(zhǔn)確率之間的均衡，閾值在理論均值基礎(chǔ)上提高了10%。在性能方面，通過(guò)實(shí)驗(yàn)驗(yàn)證，系統(tǒng)的性能也受到一定的影響，CPU負(fù)荷與系統(tǒng)調(diào)用比率增長(zhǎng)了8%左右。經(jīng)過(guò)多次在正常情況下學(xué)習(xí)并進(jìn)行矯正后，檢測(cè)效果有一定的提高，誤報(bào)率有所下降。

通過(guò)對(duì)B3級(jí)安全操作系統(tǒng)審計(jì)報(bào)警的分析研究，在審計(jì)點(diǎn)的設(shè)置、審計(jì)面的擴(kuò)展、隱蔽通道審計(jì)、報(bào)警策略、最小代價(jià)中止事件等關(guān)鍵問(wèn)題上進(jìn)行改進(jìn)與設(shè)計(jì)；完善了審計(jì)的功能，增強(qiáng)了系統(tǒng)的安全性。下一步的研究重點(diǎn)包括兩方面：①在海量信息過(guò)濾方面，Robert Schweller與Ashish Gupta等人提出的Sketch方法在隱蔽通道信息處理方面值得進(jìn)行深入探討；②研究加入報(bào)警機(jī)制后系統(tǒng)性能與功能的優(yōu)化，具體實(shí)現(xiàn)也有待進(jìn)一步地經(jīng)受應(yīng)用的考驗(yàn)。

參考文獻(xiàn)：

［1］National Computer Security Center.A guide to understanding audit in trusted systems，NCSCTG2001， ver2[R].[S.l.]:[s.n.]，1988.

[2]WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls:alternative data models:proceedings of the IEEE Symposium on Security and Privacy[C].Los Alamitos:[s.n.]，1999: 133－145.

[3]BISKUP J，F(xiàn)LEGEL U.Transaction－based pseudonyms in audit data for privacy respecting intrusion detection:LNCS 1907[C].Berlin: Springer－Verlag，2000:28－48.

[4]LEE S Y，LOW W L， WONG Peiyuen.Learning fingerprints for a database intrusion detection system:proc.of the 7th European Symposium on Research in Computer Security (ESORICS)[C].[S.l.]:[s.n.]， 2002:264－280.

[5]訾小超，姚立紅，曾慶凱，等.操作系統(tǒng)安全增強(qiáng)技術(shù)研究進(jìn)展[J].高技術(shù)通信，2003，13（7）：106－110.

[6]卿斯?jié)h，劉文清，溫紅子，等.操作系統(tǒng)安全[M].北京:清華大學(xué)出版社，2004：73－114.

[7]KRUEGEL C， MUTZ D，VALEUR F，et al. On the detection of anomalous system call arguments:proceedings of the 8th European Symposium on Research in Computer Security(ESORICS)[C].Gjovik:[s.n.]，2003:101－118.

[8]SCHWELLER R，GUPTA A，CHEN Y，et al. Reversible sketches for efficient and accurate change detection over network data streams:proceedings of ACM SIGCOMM Internet Measurement Conference[C].[S.l.]:[s.n.]，2004:207－212.

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”