《操作系统日志的行为挖掘与模式识别.pdf》由会员分享,可在线阅读,更多相关《操作系统日志的行为挖掘与模式识别.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第1 8 卷第1 期电脑与信息技术V 0 1 1 8N o 12010 年2 月C o m p u t e ra n dI n f o r m a t i o nT e c h n o l o g yF e b 2 0 1 0文章编号:1 0 0 5 1 2 2 8(2 0 1 01 0 1-0 0 5 3-0 3操作系统日志的行为挖掘与模式识别杨震宇,邓晓衡(中南大学信息科学与工程学院,长沙4 1 0 0 8 3)摘要:文章提出了对操作系统日志进行用户行为挖掘和系统状态模式识别的设计策略。该设计能够准确细腻的分析A u d i t 二进制日志,对用户的行为包括用户的登录登出,用户身份切换,命
2、令操作等进行高精度挖掘,以及对系统的服务启动与关闭,关键文件状态变化等系统状态进行识别。从而为操作系统的安全、补救、恢复提供有效的支持保障。该系统基于面向对象设计,有良好的扩展性和易部署性,具有广阔的市场应用前景。关键词:行为挖掘;模式i x 另,J:操作系统日志中图分类号:1 下1 3 0 9 2 文献标识码:AAB e h a v i o rM i n i n ga n dP a t t e r nR e c o g n i t i o nf o rO p e r a t i o nS y s t e mL o gY A N GZ h e n y u,D e n gX i a o h e
3、n g(S c h o o lo fI n f o r m a t i o nS c i e n c ea n dE n g i n e e r i n g,C e n t r a lS o u t hU n i v e r s i t y,C h a n g s l n4 1 0 0 8 3,C h i n a)A b s t r a c t:T h i sp a p e rp r o p o s e sad e s i g ns t r a t e g yo fm i n i n gt h e1 B e rb e h a v i o ra n dr e c o g n i z i n gt
4、 h es y s t e ms t a c ep a t t e mi no p e r a t i o ns y s t e ml o g,w h i c hC a l le x a c t l ya n a l y s e st h ea u d i tb i n a r yl o g s m i n e st h eu s e 岱b e h a v i o r si n c l u d i n gu s e l s l o g i na n dI o g o u i d e n t i t yc h a n g e,c o m m a n do p e r a f i o na n d
5、r e c o g n i z e st h es y s t e ms e r v i c e ss t a r ta n ds t o pa n dt h ec h a n g eo ft h ec f i t i c a If i l es t a c es o 越t oe m u r et h eo p e m t i o ns y s t e ms a f e t y r e s u l n ea n dr e s t o r e T h i ss y s t e mw h i c hi sb a s e do nO b j e c tO r i e n t e dP r o g r
6、 a m m i n gM e t h o d,i sw e l le x p a n d a b l ea n de a s i l yd e p l o y a b l e K e yw o r d s:b e h a v i o rm i n i n g;p a t c e mr e c o g n i t i o n;o p e m t i o ns y s t e ml o g随着军队信息化建设持续快速发展,信息安全问题日益凸显,已经成为一个事关军队信息化建设能否顺利进行的全局性问题。本文设计的日志审计系统是一套分布式、跨平台的网络信息安全审计系统,它支持对各种网络设备、服务器、数据
7、库等通用应用服务系统以及各种特定业务系统在运行过程中产生的日志、消息、状态等信息的实时采集,在实时分析的基础上,监测各种软硬件系统的运行状态,发现各种异常事件并发出实时告警,提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高安全等级。最重要的是操作系统的日志审计系统,能够有效的记录用户操作行为以及机器的各种动态信息,为操作系统的安全、补救、恢复提供了有效的支持保障。操作系统中,特别是在l i n u x 系统中有着广泛的应用。A u d i t 日志记录系统所产生的所有的日
8、志记录都是一个统一嵌套的结构,其结构的基本格式如下:s t r u c ta u d _ m e s s a g e u i n t 3 2 _ tm s g _ s e q n r;u i n t l 6 _ tm s g _ t y p e;u i n tl6 _ tm s g _ a r c h;p i d _ tm s g _ p i d;s i z e _ tm s g _ s i z e;u n s i g n e dl o n gm s g _ t i m e s t a m p;u n s i g n e di n tm s g _ a u d i t _ i d;u n s
9、i g n e di n tm s g _ _ l o g i n _ u i d;u n s i g n e di n tm s g _ _ e u i d,m s g _ r u i d,m s g _ s u i d,m s g _ _ f s u i d;u n s i g n e di n tm s g _ e g i d,m s g _ r g i d,m s g _ s g i d,m s g _ f s g i d;c h a rm s g _ e v n a m e A U D _ M A X _ E V N A M E ;u n s i g n e dc h a rI I
10、l s g _ d a t a【0】;1日志结构);A u d i t 日志存储系统作为一种典型的操作的系统日志存储系统,具有可配置,可扩展,高精度等特点。在在该结构中,m s g _ t y p e 即为消息的类型,如A U D I T _ M S G _ L O G I N,A U D I T _ M S GT E X T,A U D I T _收稿日期:2 0 0 9-0 9 1 4作者简介:杨震宇(1 9 7 9 一),湖南益阳人,硕士研究生,研究方向:计算机与网络安全;邓晓衡(1 9 7 4 一)。男,博士,副教授,研究方向:可信计算。万方数据5 4-电脑与信息技术2 0 1 0 年
11、2 月M S G _ S Y S C A L L 等类型。M s g _ t i m e s t a m p 即为日志所产生的时间。m s g _ l o g i n i d 即为用户登录所用的i d。m s g _ e v n a m e 即为产生事件的名称。A u d i t 可根据管理的需要提供不同层次的,不同细腻度的系统事件。m s g _ p i d 即为产生该事件的系统进程。最为重要的m s g _ d a t a 即该1 3 志记录的具体信息说明。2用户行为还原方法2 1 用户登入登出通过详细的分析源审计系统日志,发现用户登录登出时系统都会启动一个新的进程,利用这个进程来处理登录
12、登出,所以原型系统利用P I D 来关联登录登出过程,我们从登录的认证(e v n a m e=A U T H S u c c e s s峪u T H f a i l u r e 忱u D I T _ l o g i n)开始,根据进程(P I D)相同抽取日志,并且把日志压人一个向量(m e s s a g ev e c t o r)。把向量传输到日志分析机中分析。分析机从头开始扫描日志向量,如果发现(e v n a m e=A U T n f a i l u r e)即登录失败一次,如果发现(e v n a m e=A U D I T _ l o g i n)即表示登录成功,会话即将开启闭
13、。在审查退出时,如果向量最后一条记录的类型A U D I T _ M S G _ E X I T,则表明是用户退出,当该记录的E X I T 值正常时,表明进程正常退出(n o r m a le x i t),如不是表明非正常退出(a b n o r m a le x i t)。当最后一条记录的类型不是A U D I T _ M S G _ E X I T 时,表明该用户还在会话中,并没有退出。2 2 用户身份切换通过分析身份操作日志,发现身份切换操作系统都会创建一个进程e v n a m e=P R O C _ e x e c u t e)处理,所以原型系统根据日志的进程P I D 关联身份
14、切换过程,即根据P I D 相同抽取日志。压入日志向量传人到分析机中,分析机从日志向量中取得第一条记录且 1(e v n a m c=P R O C _ e x e c u t e)的记录,审查其c m d _ p a t h 是不是b i n s u,如是证明是用户切换,并且提取其参数,如其中非选项参数(“一”开头)的选项为空,则是切换到r o o t 用户,否则就是切换到这个用户名为该参数的用户。对于切换结果,我们继续扫描日志,如果经过系统的三次认证都成功(A U T H _ s u c c e s s),并且没有出现失败(A U T H _ f a i l u r e),我们就认为其切换
15、是成功的。否则即失败。2 3 文件目录操作文件目录操作的日志记录的事件类型属于A U D I T _ M S e j Y S C A L L,通过解析属于A U D I TM S G _ S Y S C A L L 类型的日志,再和配置文件中的文件目录操作比较就可以还原需要审计的文件目录操作。由于考虑系统性能,不能打开O P E N 审计功能。不能得到文件目录的绝对路径。2 4 进程服务启停一个进程,服务的启动的日志类型是(P R O C _ e x e e u t e),同样根据进程号相同从原1 3 志中抽取日志,压入日志向量,传人分析机中,然后把其中日志类型为A U D I T _ M S
16、 G S Y S C A L L 日志进行解析。根据其中的第一条解析记录获取进程服务的执行路径,和配置文件(r u l e x m l)中要审计的进程服务匹配。如匹配成功则说明是要审计的进程服务,进一步打印其参数。2 5 会话关联根据日志记录我们可以检测到所有的会话都以用户的登录(A U D I T _ l o g i n)开始到会话的结束(A U T H _ s u c c e s s:s e s s i o nc l o s e)5 1 0 而其中可以根据L A U S A U D I T1 3 志记录中的m s g _ a u d i t _ i d 关联起来,同一个会话的m s g _
17、 a u d i t _ i d 是相同的。3 系统设计与模块描述整个原型系统分为4 个部分:m a i n 启动人口、日志提取机、日志分析机和配置的审计与安全规则读取部分。整个日志提取机的执行过程如图1 所示:系统人口(m a i n)日志提取机(L o g E x t r a e t o r)审计与安全规则读取(A u d i t R u l e)日志分析机(P a r c r)日常审计分析机I 障全审计分析机(A u d i tP a r s e r)ll(S e c u r i t yP a r r)图1 系统框图下面对具体的模块进行描述。3 1 系统入口主要的源文件即m a i n
18、c p p 是用来启动整个原型系统的。先得到参数列表,并审计执行参数的正确性,然后根据审计选项确定输出文件名,加载配置文件,最后启动日志提取机。3 2 日志提取机主要的源文件包括:L o s e x t r a e t o r e p p,L o g E x t r a c t o r h,用来读取原二进制日志文件,根据审计选项要求提取日志,并保存到日志向量中,启动日志分析机,把日志向量传给日志分析机,日志提取机工作过程如图2所示:万方数据第1 8 卷第1 期杨震字等:操作系统日志的行为挖掘与模式识别5 5 Im a i n 构造口忠提取机(L 嘴E x t m P t o r)m a i n
19、 启动日志提取机(e x t r a c t)图2 臼志提取机工作过程3 3 日志分析机E t 志分析机主要包括的文件有:分析机抽象类:P a r s e r c p p,P a r s e r h1 3 常审计分析机:A u d i t P a r s e r c p p,A u d i t P a r s e r h安全审计分析机:S e c u r i t y P a r s e r e p p,S e c u r i t y P a r s e r l a分析数据:A u d i t D a t a c p p,A u d i t D a t a h各类1 3 志解析:b i a r
20、c h c p p,n e t l i n k c p p,s y s c a l l _ p a r s e h,s y s c a l l _ p a r s e c p p下面分别说明:分析机抽象类它主要是定义好分析机的架构,对外提供统一的接口函数,按照统一的过程分析日志。这个统一的过程为:(1)构造分析机根据日志向量初始化系统调用日志数据组、认证分析数据组,初始化输出文件指针。(2)启动分析机即p a r s e _ v e c t o r _ m e s s a g e 此过程把系统调用日志转化为系统调用日志数据组,把用户登录,认证数据转化为认证分析数据组后,调用a n a l y
21、s i s _ d a t a 开始分析数据。(3)分析机分析数据即a n a l y s i s _ d a t a,先根据审计选项打印c a p t i o n,然后根据不同的审计选项分别调用不同的子方法。(4)分析机具体分析数据即具体实现的子函数如:a n a l y s i s _ a c c e s s _ d a t a,a n a l y s i ss ud a t a 等等。日常审计分析机它继承于分析机,常审计方法实现了各个具体分析函数。安全审计分析机也继承于分析机,全审计方法实现了各个具体分析函数。3 4 配置审计文件读取根据前面的日根据前面的安为了提交审计系统的可配置性和可
22、扩展性,我们采用X M L 文件来配置审计和安全规则,这个部分包括的源文件有:配置文件:r u l e x m lx m l 读取:M a r k u p S T L h,M a r k u p S T L c p p审计和安全规则解析:A u d i t R u l e h,A u d i t R u l e c p p其中x m l 读取采用的是开源的M a r k u p S T L 工具,具体的信息请查看其资料翻。审计和安全规则的读取是在X M L 读取的基础上,把各种规则读入到多重映射中,其中审计规则读入到m u l t i m a p c o r n-m a n d _ r u l
23、 e _ m m a p 中,而安全规则则读入到m u l t i m a p s e c u r i t y _ r u l e _ m m a p 中,审计时可从里面直接提取。4 结论本文设计了一个基于A u d i t 日志记录的审计系统,该系统应用了最新的信息安全理论与技术,建立了先进的分析审计模型;能够对系统进行实时监控与统计,对用户行为进行安全审计与分析,对特定价值信息进行挖掘与提取;并且能够在一定程度上对用户行为进行回放与跟踪,对系统进行备份与还原。从而真正的从底层发现系统漏洞,全面监控用户的行为,保证了系统的信息安全。参考文献:1 1 T h eI n t r n a f i
24、o n a lO r s a n i z a t i o nf o rS t a n d a r d i z a t i o n,C o m m o nC f i t e f i aI n-f o r m a t i o nT e c h n o l o g yS e c u r i t yE v a l u a t i o n S 1 S O I E C1 5 4 0 8:1 9 9 9【2】布拉格网络安全完全手册【M】北京:电子工业出版社2 0 0 5 1 3 8-1 3 9【3】戴英侠,连一峰王航系统安全与入侵检测【M】北京:清华大学出版社,2 0 0 2,4 l 4 3 4 1W i
25、e r z c h o nST D i s c r i m i n a t i v eP o w e r0 ft h eR e c e p t o r sA c f i v m e db yK 一1 瑚t i g u sB i t sR u l e J J o u r n a lo f C o m p u t e rS c i e n c ea n dT e c l m d o g y,2 0 0 0,1(3):6 5 6 7【5】齐建东数据挖掘技术在入侵检测中的应用叽计算机工程与应用,2 0 0 4 4 0(6):1 3 1 4 万方数据操作系统日志的行为挖掘与模式识别操作系统日志的行为挖掘
26、与模式识别作者:杨震宇,邓晓衡作者单位:中南大学信息科学与工程学院,长沙,410083刊名:电脑与信息技术英文刊名:COMPUTER AND INFORMATION TECHNOLOGY年,卷(期):2010,18(1)参考文献(5条)参考文献(5条)1.齐建东 数据挖掘技术在入侵检测中的应用期刊论文-计算机工程与应用 2004(06)2.Wierzchon S T Discriminative Power of the Receptors Activated by K-contiguous Bits Rule 2000(03)3.戴英侠;连一峰 王航系统安全与入侵检测 20024.布拉格 网络安全完全手册 20055.1SO/IEC 15408:1999.The Intrnarion,Organization for Standardization,Common Criteria InformationTechnology Security Evaluation 本文链接:http:/