專利名稱:Linux文件系統(tǒng)審計事件合并和優(yōu)化的方法
技術領域:
本發(fā)明屬于計算機系統(tǒng)安全管理技術領域,具體涉及一種Linux文件系統(tǒng)審計事 件合并和優(yōu)化的方法。
背景技術:
安全審計是計算機系統(tǒng)安全管理的一個重要的組成部分。安全審計是記錄用戶的 訪問過程和各種行為形成審計數(shù)據(jù)的過程。對審計數(shù)據(jù)的分析可以發(fā)現(xiàn)系統(tǒng)中的安全問 題、識別系統(tǒng)事故責任者、跟蹤某些用戶和站點,為及時采取相應處理措施提供依據(jù)。設置審計的目的,是在計算機系統(tǒng)中監(jiān)視、記錄和控制用戶活動以便檢測和判定 對系統(tǒng)的惡意攻擊和錯誤操作,將審計日志作為事后分析和追查的證據(jù)。合理地應用審計 技術,可以有效地對影響系統(tǒng)安全的訪問和訪問企圖起到威懾作用,為系統(tǒng)提供進一步的 安全可靠性。安全審計跟蹤的功能是幫助安全人員審計系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng) 運行的明顯企圖及時報告給安全控制臺,及時采取措施。一般要在網(wǎng)絡系統(tǒng)中建立安全保 密檢測控制中心,負責對系統(tǒng)安全的監(jiān)測、控制、處理和審計。所有的安全保密服務功能、網(wǎng) 絡中的所有層次都與審計跟蹤系統(tǒng)有關。審計機制在Linux系統(tǒng)開機后會自動開啟,處于審計狀態(tài),記錄應該記錄的內(nèi)容。 審計機制一般專門由審計管理員進行管理,審計管理員可以隨時關閉審計功能。一旦審計 功能被關閉,任何用戶的動作都將不再處于審計系統(tǒng)的監(jiān)視下,也不再記錄任何審計信息, 因此一般情況下不允許關閉審計功能。審計機制將審計結果的原始記錄存放在審計日志,每次審計進程開啟后,都會按 照已設定好的路徑和命名規(guī)則產(chǎn)生一個新的日志文件。對用戶有用的審計記錄一般包括如 下信息事件發(fā)生的日期和時間、執(zhí)行事件的用戶、發(fā)生事件的類型、事件的狀態(tài)(成功或 失敗)等。本發(fā)明涉及的一些概念介紹如下
定義1 日志記錄日志記錄是通過審計配置文件和審計對象而形成的系統(tǒng)調(diào)用級別原 始記錄,包含所要的發(fā)送服務器的信息。定義2 審計事件記錄審計事件記錄是日志記錄經(jīng)過提取處理出來以后生成的系 統(tǒng)調(diào)用(syscall)級別的將要發(fā)送到服務器的記錄,從而生成相應的字段,也就是處理后 系統(tǒng)調(diào)用級別記錄
定義3 服務器端數(shù)據(jù)庫表中的綜合審計記錄服務器端表中系統(tǒng)調(diào)用級別原始記錄合 并以后事件級別存在表中記錄。即為服務器端數(shù)據(jù)庫中存放事件級別的審計記錄。對于Linux內(nèi)核支持的審計模塊來說,當配置好審計規(guī)則之后,審計守護進程會 根據(jù)配置的規(guī)則對相應的文件或目錄等進行監(jiān)控,但這些監(jiān)控都是基于系統(tǒng)調(diào)用級別,即 對同一個文件或目錄進行了不同的系統(tǒng)調(diào)用時就會產(chǎn)生不同的日志文件記錄,且由于某些 文件操作會產(chǎn)生很多中間文件,如.SWP,. SWX文件等等,在日志文件記錄中對審計有意義的一個文件操作可能對應若干條日志記錄。因此日志記錄非常繁瑣和復雜,無法提供友好 的界面,來清晰地還原對審計監(jiān)控目標進行文件操作的線索。審計事件合并和優(yōu)化的思想 主要針對解決這樣的問題而提出。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種Linux文件系統(tǒng)審計事件合并優(yōu)化方法,以便為日志 記錄提供友好的界面,清晰地還原對審計監(jiān)控目標進行文件操作的線索。本發(fā)明提出的Linux文件系統(tǒng)審計事件合并優(yōu)化方法,涉及到相關字段的合并, 這些相關字段包括
用戶名(user)、節(jié)點(node)、審計序列號(serial)、監(jiān)測時間(dtime)、記錄生成時間 (ctime)、目標路徑(target)、操作(operation)、結果(result)、嚴重程度(severity)、錯 誤信息(err)、系統(tǒng)調(diào)用(syscall)、執(zhí)行程序(exe)、詳情(detial)。1、用戶名(user)
用戶名信息為審計記錄中相應操作的操作者,在審計原始記錄中包含了操作者的id 信息,優(yōu)先選擇auid來獲得user名,如果auid無效,則選擇uid來獲取user名。2、節(jié)點(node)
節(jié)點信息即為被監(jiān)控的機器的IP地址信息,通過獲取機器的IP地址即可得到該節(jié)點 fn息ο3、審計序列號(serial)
在產(chǎn)生的審計原始記錄中包含有該記錄的審計序列號來唯一標志同一臺機器上的各 條審計記錄,通過函數(shù)接口可以得到該字段。4、監(jiān)測時間(dtime)
在產(chǎn)生的審計原始記錄中包含有監(jiān)控時的時間戳信息,可以提取出該事件信息,并通 過轉化成服務器端接收的標準格式即可得到該字段信息。5、記錄生成時間(ctime)
記錄生成時間是將審計原始記錄合并成為將要發(fā)送到服務器端的審計記錄時的時間, 通過在合并原始記錄時獲取時間戳并將其轉化成服務器端接收的標準格式即可得到該字 段fe息。6、目標路徑(target)
目標路徑由目標絕對路徑或者是由目錄加相對路徑整合而成。7、操作(operation)
審計原始記錄中包含了一系列系統(tǒng)調(diào)用的參數(shù),系統(tǒng)調(diào)用的操作不能簡單的通過直接 獲取系統(tǒng)調(diào)用操作提取,因為同樣的操作可能是出于不同的需要,例如打開文件和寫入文 件都需要先打開文件,在提取操作信息時要試圖得到真正的用戶操作,因此需要通過一些 列的系統(tǒng)調(diào)用操作的參數(shù)分析最終整合得到最合理的操作字段。8、結果(result)
審計原始記錄中包含了每個系統(tǒng)調(diào)用操作的結果信息,將這些結果信息進行提取和綜 合即可得到該字段來顯示系統(tǒng)調(diào)用是否成功完成。9、嚴重程度(severity)在配置所要監(jiān)控的文件目錄信息時,會要求用戶配置相應的嚴重等級,在產(chǎn)生的審計 原始記錄的key中即會包含severity的字符串,提取出對應的字符串即可得到該字段。10、錯誤信息(err)
當系統(tǒng)調(diào)用失敗時,審計原始記錄中會記錄下調(diào)用失敗的錯誤原因,可以提取到該原 因作為該字段,讓監(jiān)控者知悉調(diào)用失敗的錯誤。11、系統(tǒng)調(diào)用(syscall)
因為審計原始記錄是按系統(tǒng)調(diào)用級別來記錄的,在審計原始記錄中包含了系統(tǒng)調(diào)用的 標識,通過解析這些標識可以得到系統(tǒng)調(diào)用的名稱字段。12、執(zhí)行程序(exe)
在審計原始記錄中包含了執(zhí)行系統(tǒng)調(diào)用命令的執(zhí)行程序信息,可以提取出該信息作為 該字段的內(nèi)容。13、詳情(detial)
詳情字段根據(jù)具體的情況有所不同。對于不同類型的審計記錄,可以根據(jù)實際的需要 將附加信息寫入詳情字段,方便后續(xù)的操作。本發(fā)明提出的對Linux文件審計系統(tǒng)調(diào)用級別的日志記錄進行合并和優(yōu)化的方 法,是在客戶端和服務器端同時進行合并優(yōu)化,將合并優(yōu)化的工作分別分擔在服務器和客 戶端,具體步驟為
(1)根據(jù)用戶自定義的審計規(guī)則,形成配置文件,客戶端對目錄下被監(jiān)控文件通過審計 規(guī)則進行判斷,符合則形成最原始的審計記錄,并通過提取處理后發(fā)送到服務器端;
(2)事件合并對一新的審計記錄與對應的綜合審計記錄根據(jù)匹配規(guī)則進行判斷,若匹 配,則合并進此綜合審計記錄;若不匹配,則新建一條綜合審計記錄,把這條審計記錄合并 進新的綜合審計記錄;
(3)合并優(yōu)化基于自定義過濾規(guī)則,不發(fā)送無審計意義的記錄。本發(fā)明的合并事件方法,具體如下
每一條審計記錄在數(shù)據(jù)庫中都有一個自動生成的序列號auditid來唯一的標識它。每一條審計記錄都有一個auditGid的整數(shù)字段,這個字段中保存的是對應的 綜合審計記錄的auditid,綜合審計記錄的auditgid為-1 ;每一條審計記錄都有一個 integratedOperation的整數(shù)字段,該字段用于表示合并后的事件操作,對于一般的審計 記錄,該字段為-1。通過這兩個字段可以將一般的審計記錄和綜合審計記錄區(qū)分開,同時又 可以在需要查詢時將他們聯(lián)系起來。每一條審計記錄都有一個syscall的字符串字段來保存產(chǎn)生該記錄的系統(tǒng)調(diào)用。一般審計記錄的操作operation用一個整數(shù)字段表示,從0到8依次為讀出,寫 入,執(zhí)行,改變屬性,加載設備,卸載設備,打印,移動介質(zhì)讀出,移動介質(zhì)寫入。當一條審計記錄到達時,將會去數(shù)據(jù)庫中查找是否有對應綜合審計記錄,綜合審 計記錄與該記錄的PID,執(zhí)行程序,目標路徑相同,且兩條記錄的相差時間在一定范圍內(nèi), 例如在前后一秒鐘之內(nèi),如果有這樣的綜合審計記錄,那么就不用新建一條綜合審計記 錄,只需將審計記錄合并進入綜合審計記錄。如果沒有則新建一條綜合審計記錄。將到 達的審計記錄的auditgid設為綜合審計記錄的auditid,將到達的審計記錄的syscall 字段與綜合審計記錄的syscall字段進行合并,將到達的審計記錄的operation合并進綜合審計記錄的intergratedOperation字段,因為總共有九種操作,所以當審計記錄的 operation為η時(n e
),將綜合審計記錄的intergratedOperation字段分別禾口
2" 故“或,,操作(int (intergratedOperation) =intergratedOperation | | 2n ),艮口可審i十
記錄的operation合并進入綜合審計記錄,在要取出該事件進行了哪些操作時,將綜合審
計記錄的integratedOperation字段分別與.2"進行“與”操作,如果“與”操作后大于零,則
說明采取過對應的操作。最后插入到達的審計記錄。本發(fā)明的進一步優(yōu)化方法,具體如下 1、在客戶端。在客戶端方面,對于一些冗余和多余的信息提供了相關的配置給用戶進行選擇, 如用戶可以配置在某個目錄下的匹配規(guī)則,在該目錄下被監(jiān)控的文件只有符合匹配規(guī)則的 才會發(fā)送到服務器端;用戶可以配置過濾規(guī)則來對一些不必要的文件進行過濾,例如將后 綴名為.log的文件過濾而不發(fā)送,只需要配置一條規(guī)則即可。2、在服務器端。在服務器端主要完成對于事件的合并任務。其實現(xiàn)過程如下
對同一個監(jiān)控目標的同一個操作所產(chǎn)生的一系列審計記錄,我們將新增加一條記錄, 這條記錄來實現(xiàn)這些記錄的合并任務,可以稱之為綜合審計記錄。當用戶的一條審計記錄 到達時,首先根據(jù)記錄中的PID,執(zhí)行程序和時間來判斷是否數(shù)據(jù)庫中已經(jīng)有該事件的綜合 審計記錄存在,如果已經(jīng)有綜合審計記錄存在,則將這條審計記錄的信息合并進綜合審計 記錄,同時保存該條信息作為以后的功能擴展。如果沒有對應的綜合審計記錄存在,那么則 新建一條綜合審計記錄。一種基于系統(tǒng)調(diào)用級別的日志記錄對Linux文件審計的系統(tǒng),該系統(tǒng)包括若干被 審計主機,一個審計事件服務器,數(shù)據(jù)存儲裝置,網(wǎng)卡,以及數(shù)據(jù)輸入裝置和輸出裝置。每個 主機包含一個客戶端,客戶端主將系統(tǒng)調(diào)用級別原始記錄進行提取處理,得到可以發(fā)送到 審計服務器端的系統(tǒng)調(diào)用級別記錄。服務器端完成對事件的合并任務。還包括
一個審計規(guī)則單元,用戶自定義一個審計規(guī)則,形成相應的配置文件;
一個匹配規(guī)則單元,通過此規(guī)則對審計記錄進行規(guī)則匹配;
一個過濾規(guī)則單元,通過一個自定義的過濾規(guī)則來對無審計意義的記錄進行過濾。
圖1主機、客戶端和服務器端的作用圖示。圖2為合并事件流程圖。圖3為總流程圖。
具體實施例方式以監(jiān)控用戶對文件/etc/passwd的操作為例
1.在配置好對該文件的審計規(guī)則后,審計系統(tǒng)將根據(jù)這些規(guī)則進行監(jiān)控。例如用Vi 對/etc/passwd進行了寫入操作后,將后產(chǎn)生16條系統(tǒng)調(diào)用級別原始記錄,可以按照審計序列號分為四大條記錄,如下所示 第一條
type=SYSCALL msg=audit(1295245487. 625:813) arch=40000003 syscall=38 success=yes exit=0 a0=907b238 al=90881e0 a2=907b238 a3=90881e0 items=4 ppid=18994 pid=19595 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 Sgid=O f sgi d=0 tty=pt s3 ses = 2 comm=〃vi〃 exe = 〃/bin/vi〃 subj=kernel key=//audit-f ile-normal"
type=CWD msg=audit (1295245487.625:813): cwd=〃/mnt/hgfs/E/WangLuo/ SourceCode/audit-1. 7. 18/audisp/plugiris/hbaudit〃
type=PATH msg=audit(1295245487. 625:813): item=0 n£ime="/etc/" inode=65409 dev=fd:00 mode=040755 ouid=0 Ogid=O rdev=00:00 obj=unlabeled
type=PATH msg=audit(1295245487. 625:813) : item=l n£ime="/etc/" inode=65409 dev=fd:00 mode=040755 ouid=0 Ogid=O rdev=00:00 obj=unlabeled
type=PATH msg=audit (1295245487. 625:813) : item=2 n£ime="/etc/p£isswd" inode=205621 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unlabeled
type=PATH msg=audit (1295245487. 625:813) : item=3 n£ime="/etc/p£isswcr" inode=205621 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unlabeled 第二條
type=SYSCALL msg=audit(1295245487. 625:815) : arch=40000003 syscall=5 success=yes exit=3 a0=907b238 al=8241 a2=la4 a3=81a4 items=2 ppid=18994 pid=19595 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 Sgid=O fSgid=O tty=pts3 ses=2 comm=〃vi〃 exe=〃/bin/vi〃 subj=kernel key=〃audit_file_normal〃
type=CWD msg=audit (1295245487.625:815): cwd=〃/mnt/hgfs/E/WangLuo/ SourceCode/audit-1. 7. 18/audisp/plugiris/hbaudit〃
type=PATH msg=audit(1295245487. 625:815): item=0 n£ime="/etc/" inode=65409 dev=fd:00 mode=040755 ouid=0 Ogid=O rdev=00:00 obj=unlabeled
type=PATH msg=audit (1295245487. 625:815) : item=l n£ime="/etc/p£isswd" inode=205050 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unlabeled 第三條
type=SYSCALL msg=audit(1295245487. 625:816) : arch=40000003 syscall = 15 success=yes exit=0 a0=907b238 al=81a4 a2=907a670 a3=l items=l ppid=18994 pid=19595 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 Sgid=O fsgid=0 tty=pts3 ses=2 comm=〃vi〃 exe=〃/bin/vi〃 subj=kernel key=〃audit_file_normal〃
type=CWD msg=audit (1295245487.625:816): cwd=〃/mnt/hgfs/E/WangLuo/ SourceCode/audit-1. 7. 18/audisp/plugiris/hbaudit〃
type=PATH msg=audit (1295245487. 625:816) : item=0 n£ime="/etc/p£isswd" inode=205050 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unlabeled 第四條
type=SYSCALL msg=audit(1295245487. 630:817) : arch=40000003 syscall=226success=yes exit=。 a0=907b238 al=2e749e3 a2=90859f8 a3=lc items=l ppid=18994 pid=19595 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 Sgid=O fSgid=O tty=pts3 ses=2 comm=〃vi〃 exe=〃/bin/vi〃 subj=kernel key=〃audit_file_normal〃
type=CWD msg=audit (1295245487. 630:817): cwd=〃/mnt/hgfs/E/WangLuo/ SourceCode/audit-1. 7. 18/audisp/plugiris/hbaudit〃
type=PATH msg=audit (1295245487. 630:817) : item=0 n£ime="/etc/p£isswd" inode=205050 dev=fd:00 mode=0100644 ouid=0 Ogid=O rdev=00:00 obj=unlabeled
2.經(jīng)過對記錄的過濾合并,形成處理后的系統(tǒng)調(diào)用級別的記錄,各條處理后系統(tǒng)調(diào)用 級別記錄分別如下
第一條處理后系統(tǒng)調(diào)用級別記錄
root%72.6. 67. 8%813%Mon Jan 17 14:24:47 2011%Mon Jan 17 14:24:47 2011%/ etc/passwd%l %0 %0 %%rename%[19595][/bin/vi]vi%/etc/passwd rename to /etc/ passwd %
第二條處理后系統(tǒng)調(diào)用級別記錄
root%120. 14. 67. 8%815%Mon Jan 17 14:24:47 2011%Mon Jan 17 14:24:47 2011%/ etc/passwd%l %0 %0 %%open%[19595][/bin/vi]νi%flags=0_ffRONLY|0_CREAT|0_TRUNC ,mode=file, 644%
第三條處理后系統(tǒng)調(diào)用級別記錄
root%0. 17.67.8%816%Mon Jan 17 14:24:47 2011%Mon Jan 17 14:24:47 2011%/ etc/passwd%3 %0 %0 %%chmod%[19595][/bin/vi]vi%mode=file, 644 % 第四條處理后系統(tǒng)調(diào)用級別記錄
root%72.6.67.8%817%Mon Jan 17 14:24:47 2011%Mon Jan 17 14:24:47 2011%/ etc/passwd%3 %0 %0 %%setxattr%[19595][/bin/vi]vi%%
記錄的各個字段之間用”%”號分割,各個字段的含義依次為用戶名(user)、節(jié) 點(node)、審計序列號(serial)、監(jiān)測時間(dtime)、記錄生成時間(ctime)、目標路徑 (target)、操作(operation)、結果(result)、嚴重程度(severity)、錯誤信息(err)、系 統(tǒng)調(diào)用(syscall)、執(zhí)行程序(exe)、詳情(detial)。以第一條為例,進行操作的用戶名為 “root” ;被監(jiān)控的機器節(jié)點IP為“72. 6. 67. 8” ;審計代理產(chǎn)生的審計序列號為“813” ;監(jiān)測 時間為“ Mon Jan 17 14:24:47 2011” ;記錄生成時間為“ Mon Jan 17 14:24:47 2011”; 監(jiān)控的目標路徑為“ /etc/passwd”;操作為“1”,代表“寫入”操作;結果為“0”,代表成功; 嚴重程度為“0”,代表normal ;錯誤信息為空,代表沒有發(fā)生錯誤;系統(tǒng)調(diào)用為“rename”;執(zhí) 行程序為“[19595] [/bin/vi]vi”,代表執(zhí)行該操作的進程號為“19595”,執(zhí)行的程序為“ [/ bin/vi] vi,,;詳情為 “/etc/passwd rename to /etc/passwd ,,。3.將處理后的系統(tǒng)調(diào)用級別的審計記錄發(fā)送到服務器端,并形成服務器端數(shù)據(jù)庫 中存放的事件級別的審計記錄。如果是第一條審計記錄,則在數(shù)據(jù)庫中查找沒有發(fā)現(xiàn)該記錄對應的綜合審計記 錄,于是新建一條綜合審計記錄,該記錄的auditgid為-1,并將第一條記錄的對應字段合 并到綜合審計記錄中,這時綜合審計記錄的intergratedOperation字段的值為OPi =2 ;如 果是第二條審計記錄到達時,根據(jù)PID,執(zhí)行程序,目標路徑和時間范圍查詢到已經(jīng)存在與它對應的審計綜合記錄,于是直接將該記錄插入數(shù)據(jù)庫,它的auditgid字段的值為綜合審 計記錄的auditid,它的intergratedOperation字段的值為_1,同時將它的對應字段合 并到綜合審計記錄中,此時綜合審計記錄的intergratedOperation字段的值為2II21 =2 ;同 理,當?shù)谌龡l,第四條審計記錄到達時采取更第二條類似的操作,intergratedOperation字 段的值依次為2IRs =10,IOP3 =10,最終的綜合記錄intergratedOperation字段的值為10, syscall 字段的值為 rename, open, chmod, setxattr.
4.當審計記錄存入數(shù)據(jù)庫后,即可進行可視化的web呈現(xiàn)及提高高級查詢功能,呈現(xiàn) 給用戶綜合審計記錄中的相關字段的信息,同時用戶還可以選擇查看更加詳細的系統(tǒng)調(diào)用 級別的審計記錄信息。
權利要求
行了哪些操作時,將綜合審計記錄的integratedOperation字段分別與2如果“與”操作后大于零,則說明米取過對應的操作;最后插入到達的審計記錄。2
1.一種對Linux文件審計系統(tǒng)調(diào)用級別的日志記錄進行合并和優(yōu)化的方法,其特征 在于在客戶端和服務器端同時進行合并優(yōu)化,將合并優(yōu)化的工作分別分擔在服務器和客戶 端,具體步驟為(1)根據(jù)用戶自定義的審計規(guī)則,形成配置文件,客戶端對目錄下被監(jiān)控文件通過審計 規(guī)則進行判斷,符合則形成最原始的審計記錄,并通過提取處理后發(fā)送到服務器端;(2)事件合并對一新的審計記錄與對應的綜合審計記錄根據(jù)匹配規(guī)則進行判斷,若匹 配,則合并進此綜合審計記錄;若不匹配,則新建一條綜合審計記錄,把這條審計記錄合并 進新的綜合審計記錄;(3)合并優(yōu)化基于自定義過濾規(guī)則,不發(fā)送無審計意義的記錄。
2.根據(jù)權利要求1所述的對Linux文件審計系統(tǒng)調(diào)用級別的日志記錄進行合并和優(yōu)化 的方法,其特征在于所述事件合并的具體過程為每一條審計記錄在數(shù)據(jù)庫中都有一個自動生成的序列號auditid來唯一的標識它;每一條審計記錄都有一個auditGid的整數(shù)字段,這個字段中保存的是對應的綜 合審計記錄的auditid,綜合審計記錄的auditgid為-1 ;每一條審計記錄都有一個 integratedOperation的整數(shù)字段,該字段用于表示合并后的事件操作,對于一般的審計 記錄,該字段為-ι ;通過這兩個字段將一般的審計記錄和綜合審計記錄區(qū)分開,同時又可 以在需要查詢時將他們聯(lián)系起來;每一條審計記錄都有一個syscall的字符串字段來保存產(chǎn)生該記錄的系統(tǒng)調(diào)用;一般審計記錄的操作operation用一個整數(shù)字段表示,從0到8依次為讀出,寫入,執(zhí) 行,改變屬性,加載設備,卸載設備,打印,移動介質(zhì)讀出,移動介質(zhì)寫入;當一條審計記錄到達時,去數(shù)據(jù)庫中查找是否有對應綜合審計記錄,綜合審計 記錄與該記錄的PID,執(zhí)行程序,目標路徑相同,且兩條記錄的相差時間在一定范圍 內(nèi);如果有這樣的綜合審計記錄,那么就不用新建一條綜合審計記錄,只需將審計記 錄合并進入綜合審計記錄;如果沒有則新建一條綜合審計記錄;將到達的審計記錄 的auditgid設為綜合審計記錄的auditid,將到達的審計記錄的syscall字段與綜 合審計記錄的syscall字段進行合并,將到達的審計記錄的operation合并進綜合 審計記錄的intergratedOperation字段;因為總共有九種操作,所以當審計記錄的 operation為η時,η e
,Mf綜合審計記錄的intergratedOperation字段分別禾口2n做“或”操作,即可將審計記錄的operation合并進入綜合審計記錄,在要取出該事件進
3.根據(jù)權利要求1所述的對Linux文件審計系統(tǒng)調(diào)用級別的日志記錄進行合并和優(yōu)化 的方法,其特征在于所述合并優(yōu)化方法,具體如下 (1)、在客戶端對于一些冗余和多余的信息提供相關的配置給用戶進行選擇,如用戶可以配置在某個 目錄下的匹配規(guī)則,在該目錄下被監(jiān)控的文件只有符合匹配規(guī)則的才會發(fā)送到服務器端; 用戶通過配置過濾規(guī)則來對一些不必要的文件進行過濾;(2)、在服務器端主要完成對于事件的合并任務,其實現(xiàn)過程如下對同一個監(jiān)控目標的同一個操作所產(chǎn)生的一系列審計記錄,將新增加一條記錄,用這 條記錄來實現(xiàn)這些記錄的合并任務,稱之為綜合審計記錄;當用戶的一條審計記錄到達時, 首先根據(jù)記錄中的PID,執(zhí)行程序和時間來判斷是否數(shù)據(jù)庫中已經(jīng)有該事件的綜合審計記 錄存在,如果已經(jīng)有綜合審計記錄存在,則將這條審計記錄的信息合并進綜合審計記錄,同 時保存該條信息作為以后的功能擴展;如果沒有對應的綜合審計記錄存在,那么則新建一 條綜合審計記錄。
4. 一種基于系統(tǒng)調(diào)用級別的日志記錄對Linux文件審計的系統(tǒng),包括一個審計事件主 機,一個終端服務器,數(shù)據(jù)存儲裝置,網(wǎng)卡,以及數(shù)據(jù)輸入裝置和輸出裝置,其特征在于還包 括一個審計規(guī)則單元,用戶自定義一個審計規(guī)則,形成相應的配置文件;一個匹配規(guī)則單元,通過此規(guī)則對審計記錄進行規(guī)則匹配;一個過濾規(guī)則單元,通過一個自定義的過濾規(guī)則來對無審計意義的記錄進行過濾。
全文摘要
本發(fā)明屬于計算機系統(tǒng)安全管理技術領域,具體涉及一種Linux文件系統(tǒng)審計事件合并和優(yōu)化的方法。本發(fā)明方法是在客戶端和服務器端同時進行合并優(yōu)化,客戶端對目錄下被監(jiān)控文件通過審計規(guī)則進行判斷,符合則形成最原始的審計記錄,并通過提取處理后發(fā)送到服務器端;基于自定義過濾規(guī)則,不發(fā)送無審計意義的記錄;服務器端對一新的審計記錄與對應的綜合審計記錄根據(jù)匹配規(guī)則進行判斷。若匹配,則合并進此綜合審計記錄;若不匹配,則新建一條綜合審計記錄,把這條審計記錄合并進新的綜合審計記錄。從而清晰地還原對審計監(jiān)控目標進行文件操作的線索。
文檔編號H04L29/06GK102073579SQ20111002525
公開日2011年5月25日 申請日期2011年1月24日 優(yōu)先權日2011年1月24日
發(fā)明者張濤, 朱東來, 李景濤, 楊珉, 毛迪林, 臧斌宇, 謝鵬 申請人:復旦大學