蜜罐系统中日志应用和保护.docVIP

蜜罐系统中日志应用和保护 　　摘 要：本文阐述了蜜罐系统中的重要组成模块日志的格式及其功能，介绍了相关应用软件和工具，提出了远程异地存储日志、伪装传输策略以及基于第三层的日志保护方式，完善了日志功能在蜜罐系统中的应用。 关键词：日志；蜜罐系统；网络安全；格式；存储；伪装 1 引言 日志是描述计算机系统行为的记录，它可以监控系统的使用情况，通过对日志的监测和审计可以寻找可疑的攻击行为或者发现潜在的攻击可能性。[1] 在蜜罐系统中，其功能模块主要包括网络诱骗、数据控制、数据捕获、数据报警、日志存储和数据分析等，日志功能作为该系统的核心功能之一，其主要记录各类网络数据，如时间戳、协议类型、源地址及端口、目的地址及端口等等，其类型有防火墙日志、入侵检测数据包日志、系统自身日志等。[2]我们可以通过分析日志，提取未知攻击的特征码，优化规则库，结合入侵检测系统改进系统设置提升网络系统安全性能。 2 日志格式及分析应用 2.1 日志格式 日志分析需要将各类日志进行综合，常见的日志格式如 EVT、WELF、CSV、TSV、XML、SYSLOG、W3C、IIS、SQL和TPL等。 其中，EVT日志是Windows系列的系统日志文件，它是一种二进制的日志格式。用于保存系统整体性能以及软硬件方面的错误信息和所有用户访问系统时的操作信息和安全信息，主要分为系统日志文件、应用日志文件、安全日志文件三种，保存%systemroot%＼system32＼config＼目录下，分别名为SysEvent.EVT、AppEvent.EVT、SecEvent.EVT。系统日志文件包含诸如在启动时加载驱动程序或其他系统组件失败等系统组件记录的事件；应用日志文件包含由应用程序或系统程序记录的事件；安全日志文件则记录了诸如有效和无效的登录尝试等事件以及与资源使用相关的事件。 WELF是国际通用的防火墙日志规范格式，国外厂商如NetScreen、CheckPoint都支持这种格式。它提供简单易用的GUI操作界面，也可以结合使用专业的第三方防火墙日志分析软件。 通过日志我们可以在开机过程中检测硬件讯息，了解硬件情况；系统登录日志也会记录系统资源耗尽，核心活动发生错误等事件信息；还可以解决网络服务的问题；分析登录日志来查明是否是遭到入侵，并继续追查相关的信息。 2.2 蜜罐中的日志分析及应用 在整个蜜罐系统中，其核心是警报处理模块，日志查询主要只是用于安全人员分析入侵事件时参考其他安全设施的记录，其关系如图1所示。网络环境数据库则可以结合扫描器的日常评估结果、网络拓扑结构、主机系统信息等用于初步过滤IDS的误报。 但各种操作系统或应用程序通常都有自己的日志格式，我们需进行日志格式统一，运用类似Log Parser等日志分析工具可以解决这一问题。步骤包括日志文件数据融合、转化和过滤。 把来源不同的日志文件数据进行融合是日志分析过程中最难和最重要的一环。首先要确定关联数据，这主要取决于蜜罐系统所针对的攻击类型和方式，如果是针对Web攻击的，则需要融合防火墙、Web服务器、操作系统、IDS日志等；如果是针对应用程序攻击的，则需要融合操作系统、特定的应用程序日志等，所有对这些日志的融合相当于提供了蜜罐系统的事件全景图。然后就是对相关日志文件进行转换融合。如果现在的蜜罐系统是专门用来针对IIS攻击的，那么需要融合W3C格式的IIS日志、操作系统事件日志等。此外由于对蜜罐本身的特殊性，不需要进行日志过滤，而且蜜罐一般每天只会收集几兆级别的数据，因此，使用蜜罐日志不仅降低了日志数据存储的消耗，也大大降低了日志的噪声级别。 利用Log Parser等软件将日志文件进行格式统一后生成可读性更强的XML报告。对日志文件的充分了解与分析是防止和跟踪黑客入侵行为的基础，在此基础上提炼出的入侵规则知识库更是一个优秀的安全产品的核心内容。 3 日志存储及保护策略 日志文件是网络安全系统中最重要的资源，它作为日后研究者研究和分析攻击者行为和工具的重要信息来源，是网络安全系统中需要重点保护的对象。 3.1 远程存储日志 蜜罐系统的日志是记录攻击者信息的重要资料。管理员通过对蜜罐日志的分析，回放整个攻击的全过程，了解攻击者使用的手段。但蜜罐主机极易被攻击者入侵，攻击者攻破后通常会对系统日志进行修改或删除，因此，只把这些数据存放在蜜罐主机上是非常危险的。可以考虑在系统中增加一台安全性高、不提供任何服务的主机作为日志服务器用于远程备份虚拟蜜罐捕捉的数据，采用远程日志系统来保障数据存储的安全，远程日志信息如图2所示。 此外，网络设备日志亦可以实现远程存储。网络设备的日志远程存储主要是指路由器、交换