安全监视及入侵检测规划指南.docx

1、安全监视及入侵检测规划指南安全监视及入侵检测规划指南第一章：导言概要媒体对于网络恶意软件泛滥的报道主要是网络资源遭受的外部威胁，但是组织的基础架构可能遭受的最大侵害往往来自内网。安全监视系统为受法规限制的组织机构运营所必需。全球众多机构陆续推出各种需求，说明使得监视网络、资源使用审查和用户识别需求大涨。组织机构出于对规则限制的考虑，也要求对指定时长内的安全监视数据进行归档。本指南将介绍在Windows网络中如何规划来自内网和外网的入侵进行监视的系统，以识别恶意行为或程序错误导致的网络异象。挑战大型网络和要求不很复杂的网络的监视规划必须包括以下几点:定义需求管理员与用户权限定义监视政策执行检出事

2、件的处理收益安全监视有助于提高识别入侵的能力以及对事件全程进行分析的能力。可使安全部门快速反应减少实际损失，确定受袭范围，以及控制袭击的影响范围、快速识别反常行为特征以及搜集满足规则要求的审计情报，详见第二章。 适用人群本指南适用于对数据保密要求较严格，需要进行身份保护和数据访问控制组织机构，并对受法规限制的机构特别有用。目标读者是IT经理和IT专员、决策者以及提供相关咨询服务的顾问。对读者的要求读者应理解和熟悉自有网络的安全及风险，熟悉Windows事件日志。本指南采用微软MOF处理模式的操作和支持象限，及MOF安全管理和事件管理方法。规划指南概要本指南涵盖了规划方案的基本内容。主要章节如下

3、：第一章: 导言本章概括性介绍业务挑战和对组织机构的帮助，适合阅读人群并对本文内各章节和所供方案进行了简要介绍。第二章：安全监视方法本章节介绍使用微软及第三方技术实施安全监视和攻击检测的多种可选操作。. 第三章：问题和需求本章介绍如何使安全监视与其他业务需求相配合，如何防范企业网络内已知潜在威胁和袭击。对违规行为监测、外部入侵识别及进行鉴识分析业务及其技术和安全性挑战的讨论。本章还阐述了与组织机构策略发生冲突的处理方法，并在最后列出此系统的方案需求。第四章: 方案设计本章详细介绍如何通过安全监视进行检测入侵及安全审计归档。介绍有效进行安全监视的建议配置，以及组织机构安全策略应进行的调整。对大型

4、组织机构进行安全监视的详细指导，告诉组织机构如何处理大量安全事物存储的审计，以及如何在分布式网络中进行入侵检测的规划。第二章：安全监视方法导言很多企业没有认识到采取安全措施保护网络资产免于内、外部侵袭的必要性，正如使用录像系统发现有人企图进入大厦或某限制区域一样，网络也需要监视网络资产和检测入侵的系统。安全监视是合格网络安全策略的重要部分。2004年8月，美国密勤局与Carnegie Mellon软件工程学院共同发布的白皮书以及2004年电子犯罪调查报告都证明公共机构更容易遭受来自内部用户的攻击。本章将介绍微软的相关技术及如何利用安全日记进行分析和归档，以满足用户对安全监视的需求，使用户了解执

5、行方案所需的技术从而进行有效监视。注：雇员行为产生侵害为内部袭击。来自组织外部的袭击为外部袭击。即使外部人员从网络内部实施侵害依然为外部袭击。执行安全监视Windows很多版本在%systemroot%System32config目录下内置的安全日志文件可对Windows网络进行安全监视，可记录用户、服务或程序的成功信息或类似的未完成的失败信息，配合其他功能和程序构成中央知识库。管理员小组成员和有帐号的用户可用事件浏览器阅读安全事件日志记录的计算机姓名和IP地址等信息。注： 安装Service Pack 1的Microsoft Windows Server 2003 版可为不同用户配置不同安全

6、级别，详见第四章。 下表列出了安全事件目录和相应事件。表2.1: 安全时间审核目录 目录作用帐号登陆事件审核本地帐号登陆请求，如用户使用域帐号则在域控制器中也有体现帐号管理事件审核用户和小组帐号的建立、修改和注销，以及密码的更换和重置目录服务访问事件审核Active Directory目录服务中对象的访问登录事件审核登陆工作站和其成员服务器的企图对象访问事件审核对系统访问控制列表上所列的文件、文件夹、注册口令或打印机的访问要求策略更改事件审核任何用户权利分配、审核、帐号以及信任策略方面的变化特权使用事件审核用户权限的使用，如变更系统时间等程序追踪审核程序开始或结束等应用行为系统事件审核计算机系

7、统开机、关机以及影响系统安全的事件或者安全日志审核策略、组策略的设置路径为Computer ConfigurationWindows SettingsSecurity SettingsLocal Policies，通过设置审核策略，或者在地址、域或组织等单位通过组策略和活动目录设置控制安全日志中项的生成设定安全日志审核水平。默认安全设置仅允许管理员使用安全日志。对分散袭击的监视和鉴识分析都需要一个集中关联审核事件的监视系统，可对安全事件进行收集和集中放置。由安全人员分析信息以确定是政策冲突还是外部袭击。这个中央信息库就是鉴识分析的基础。以下将介绍几种具有安全事件日志关联功能的微软产品以及一些第

8、三方产品。Event Comb MTWindows Server 2003提供的一种可解析和收集不同计算机上的事件日志的多线程应用，它可在扫描时定义多种参数，如：*事件标识 (单独或多个)*事件标识范围*事件来源*事件文本确定*事件年龄（分、小时或天）Event Comb中有一些指定搜索目录，如帐号锁定主要搜索以下事件： *529 登陆失败（用户名或密码无效）*644 用户帐号自动锁定*675 预身份验证失败(密码无效)*676 身份验证票证请求失败*681 尝试域帐号登陆 由于管理员帐号无尝试次数锁定限制，因此在系统日志（而非安全日志）中添加安全帐号管理事件12294（超过尝试数量限制即锁定

9、帐号）对保护管理员帐号免于入侵者多次尝试具有重要意义。Event Comb MT 将事件存储在Microsoft SQL Server 表单中供长期的存储和分析。可用SQL Query Analyzer, Microsoft Visual Studio .NET 或其他第三方工具读取。Event Comb MT v10.0具有一个可创建定期自动事件收集的命令语句选项。由于Event Comb MT具有事件收集代理程序或自动推送功能，所以不一定适用于任何威胁发生的情况。Microsoft 操作管理(MOM) 2005(MOM) 2005可在企业级环境下监视数台服务器，通过代理程序搜集安全事件并推

10、送至MOM管理服务器存放于MOM数据库。MOM多种安全监视和攻击检测功能，通过管理规则来确认那些影响服务器运行效率的事件。当事件发生时，立即报警。未来版本的MOM将具有更强大的收集安全日志的功能，无需运行MOM代理程序就可以搜集事件。独立软件厂家解决方案Microsoft的产品并不能对所有安全监视问题提供端到端的解决方案，主要缺陷如下： *实时事件日志报警*安全事件日志搜集系统Microsoft合作伙伴的一些产品（按字母顺序排列）可以弥补这些缺陷：Adiscon公司的EventReporter ：可在单一环境中结合UNIX和Windows事件日志报告并可通过电子邮件报警。详情请查阅。GFI公司

11、的LANguard 安全事件日志监视器：此产品通过记录和分析全网计算机事件日志完成入侵检测和安全日志管理。详情请查阅Lakeside软件公司的Systrack 3： 此产品使用事件日志监视器定期监视，通过对过滤器的设定，监视指定事件的发生并提供接近实时的告警。详情请查阅.。第三章：问题和需求导言对网络风险的准确估计是有效安全策略的重要部分。组织机构对网络数据风险的认识所属行业，数据价值和以前遭袭经历等几个因素决定。 综合多方信息可确定安全监视和攻击检测的三大功能：发现策略冲突 识别外部袭击进行鉴识分析 本文将区分典型行为和异常行为，以帮助识别网络异常行为。为了识别异常行为，请在所有的计算机中设

12、置安全底线，设置方法见发现策略冲突安全事件目录中最多的为策略冲突，包括以下行为： 非正当程序的用户帐号创建 无授权的管理员权限使用 服务帐号用于交互登陆 读取未经许可的文件的尝试 用户删除有读取权限的文件 未获批准的程序的执行 最常见的策略冲突是用户打开未授权目录的企图，不过一般受权限制很少造成损失。管理员有意或无意行为产生的策略冲突才更需要关注。管理员拥有最高级别的系统权限往往给组织机构带来重大威胁。他们有能力并不代表他们有权利，如他们可以看到却无权看到财务数据。业务问题大多数组织机构都应该事先发现策略冲突减少损失，主要需关注以下问题： 招聘和使用员工时进行严格的背景审查和定期检查 对管理员

13、行为进行独立的安全审核 对安全监视系统进行定期审核 快速认定违规行为 确认违规范围 减少安全违规导致的损失 组织机构往往对内部用户的危险行为缺乏持续的监视。至少通过协议签署告戒内部用户任何越权企图都会被安全日志记录在案。注意：受数据保护和人权法限制，如果没有证据证明用户明确知道内部安全监视要求，就很难起诉或辞退某个员工。组织机构应建立不具有管理员权限的独立部门监督管理员行为；应每周通过突破或管理员帐号对监视功能进行不定期检测；应建立完善的进行特殊网络操作的程序以快速确认安全违规行为。例如，系统监测发现管理员违反事件624建立用户帐号，就会连接微软身份集成服务器(MIIS)阻止帐号。组织机构应该

14、对可能出现的事故安排响应以减少损失，如快速通知当事人。如果他们知道某个调查将导致安全事故，他们就不会去破坏安全策略。. 尽管媒体大量关注来自外网的安全威胁，但是组织机构始终应该知道来自内部管理员的配置失误可能造成的损失远大于外部入侵造成的危害。 技术问题为了进行基于Windows安全事件日志的安全监视和攻击检测，必须做到以下几点： 仔细考虑如何设置安全审核以管理大量安全数据。 储存和管理中央知识库中的大量事件。本章“进行鉴识分析”段落有详细介绍。 熟悉表明袭击发生的事件模式，以进行快速有效响应。 细分管理员权限并通过安全专家组视察管理员以避免管理员逃避安全审计控制。安全问题安全问题的识别是有效

15、监视和检测的核心内容。有效的监视应注意识别以下事件： 通过改变文件权限浏览资源的企图 通过密码重设来浏览资源的企图 建立新用户 添加新组员 未授权的管理员帐号的使用 使用服务帐号登陆服务台 执行未授权程序 对文件的故意损坏（不包括磁盘错误造成的损坏） 未授权操作系统的使用 信任关系的建立和删除 非法帐号的登陆企图 未授权的安全策略调整 方案需求为了侦测组织级或安全策略冲突，方案应包括： 对覆盖全部网络操作的安全程序的定义 完备的安全审核日志 适当过滤并可用于分析的可靠安全日志的集中 安全审核可调范围 对任何冗长记录、缺失记录等差异的调查 为了识别配置错误，方案应包括： 覆盖全网操作的变动管理程

16、序（包括确认） 有效安全审核日志 可靠的安全日志集中 识别配置变化的安全日志自动分析 详见第四章：方案的设计。 识别外来入侵外来入侵主要有人为袭击和恶意应用攻击两种，各自有不同的特征。人为袭击可根据目标网络调整进攻方式，恶意应用则可影响多个电脑为黑客攻击打开后门。恶意应用包括病毒、蠕虫和木马程序等不同形式，造成的较大麻烦但是易于防治。注：本文所述不包括任何涉及硬件设备的入侵。业务问题本文所述业务问题均由外部入侵所产生。安全监视不适用于识别分布式拒绝服务攻击。恶意应用的识别对于金融领域或受法规限制的组织机构来说意义重大，比如间谍软件可能泄露保密信息。恶意应用主要问题在于不知道他们藏身网络何处。如

17、果恶意软件带有rookit等程序就可能偷偷控制电脑。技术问题大量入侵事件是由缺乏经验使用现成脚本寻找漏洞的人造成，而真正的危险来自技术高超可以使用很多不同方式渗入网络的黑客。 注：文中攻击者专指故意造成入侵的人，而非病毒、蠕虫和木马等的行为。识别恶意应用的主要方式是追踪程序的进程，但是追踪往往产生大量无意义的事件。以下两个领域中进程追踪会有所不同： 使用通用门户界面的网络服务器每次点击都产生新的进程。 工作站的使用这些因素在短时间产生大量事件，有效的过滤可以将袭击事件从大量事件中提取出来。安全问题外部入侵者可以通过以下方式实施入侵： 盗取密码 改变或重设密码 发掘缺陷 欺骗用户或使用恶意应用

18、扩大授权使用范围侵入其他电脑 安装rootkit或木马程序 使用未授权工作站 使用网络钓鱼实施侵害检测袭击和恶意应用的基本方法是在组策略中严格而精心的配置来追踪进程。注：软件限制策略可对移动电脑或在网络内部造成无意的影响。每次使用新的组策略目标管理软件限制策略，并且不要在默认域策略中应用软件限制策略。方案需求方案要能够区分外部入侵者和来自内部的威胁，要求如下： 一个足够深入的安全执行方法 有效的安全审核日志. 可靠的安全日志的集中 识别袭击特征的自动安全日志分析还有一些用于识别内部威胁的方案需求： 审计网络中所有未授权软件的有效步骤 合理配置安全审核日志 可信赖的安全日志集中和过滤 识别可疑行

19、为的安全日志自动分析（可能需要第三方程序的帮助） 进行鉴识分析鉴识分析必须包括以下几点： 侵袭的时间 侵袭的过程 受影响的电脑 侵袭对网络的改变 业务问题鉴识分析进行事后调查，需要对一个或多个电脑提供详细事件列表。鉴识分析系统需要处理和归档大量数据，关键问题之一是确定多长时间以后数据可以作废。下表可为参考：表3.1: 鉴识分析数据存储时限存储类别存储时限注释在线存储（数据库）21天提供最近事件的快速浏览离线存储（备份）180天适用于大多数组织机构受法规限制的环境7年情报代理永久保存注：医院或政府部门一类机构一般没有固定时限而是规定保存时间“不要超过”某时限。方法之一是在线存储最近三周的事件，超

20、过时限的压缩后离线保存。无论任何系统，都应满足快速调查最近事件并可恢复较早事件的要求。技术问题进行鉴识分析的安全监视系统需要更大量、更可靠的数据库存储和更高效的数据管理。技术方面面临的挑战包括 网络数据的可靠和安全的存储 大量高性能在线存储磁盘空间 可靠的旧事件备份归档媒介 较早的归档存储备份动向的管理 来自旧备份的信息的再存储这些挑战在数据库管理方面有更多考虑。鉴识分析数据库相比读取，需要有更大的写文件的空间。安全问题鉴识分析数据不断增加，应该保证只有一两个可以高度信赖的人可以读取安全数据，不破坏收集进程。方案需求鉴识分析方案需求包括: 安全日志的正确配置. 安全日志项的安全校验 安全日志的

21、安全和集中 安全监视信息的可靠存储 高效归档机制总结本章按三部分描述了方案需求。第四章“方案设计”将介绍如何利用这些要素创建自己的安全监视和攻击检测计划。 第四章：设计解决方案导言安全监视和攻击检测规划的最后一步是设计满足方案需求的系统。系统应可达成以下目标： 发现策略冲突 识别外部袭击 进行鉴识分析 方案要素方案设计主要根据上面三个主要内容。鉴识分析需要额外的在线、离线和归档存储资源，方案结构与另两方面没有很大的差异。方案内容方案要求对以下领域进行适当的安全审核：: 帐号管理行为,如创建用户或在组中添加用户 浏览被保护文档 安全策略变更 信任状的创建和删除 用户权利的使用 系统重启和系统时间

22、改变 注册表设置 未知程序的执行 安全监视和攻击检测系统收集比较安全事件日志，分析可以行为的数据，并将信息储存归档供日后的鉴识分析。次方案的主要部分为分别为用户设置不同级别审核标准的帐号。方案前提Active Directory 目录服务域系统为Windows Server 2003 SP1 或更高级版本。Active Directory域内客户端计算机系统为Windows XP Service Pack 2 或更高版本。 注：由于外围网络中的计算机可能是工作组成员而不是域成员，因此不能用活动目录组策略来配置，不过可以使用本地策略和模板文件进行配置。方案规划实施监视和检测项目前，应该首先回顾现

23、在有效的安全审核设置、明确设置适用的级别、弄清现有日志文件的设置以及额外的安全审核设置，在按本文进行改进之前掌握一条底线（可参考附件B）；然后评估管理员职能搞清楚管理员的职责，评估用户任务；回顾组织策略和程序确保与管理员职能保持一致；找出那些最容易遭到外部黑客袭击的计算机对其采取打补丁、安全升级、取消无用服务和用户帐号、配置服务以及应用更高级别安全计算机策略等补救措施；列出价值高的资产；识别敏感或可疑的帐号列出更高的审核标准，帐号包括默认管理员帐号，所有企业、计划和域管理小组以及服务所用登录帐号等；以及列出合法程序以减少外来袭击等。方案结构安全监视和攻击检测方案包括几个相互配合提供安全告警的部

24、分，如下： 活动目录域控制器 事件关联基础架构 监视和分析工作站 在线存储数据库 备份媒体 短期实时归档存储 长期远程归档存储 活动目录域控制器不是必须部分，因为可以通过本地安全设置来配置安全审核级别。不过，如果需要使用组策略来进行安全审核，活动目录就是方案的必需部分。 方案的工作原理方案结构按以下方式工作1.管理员设置组策略来对应审核水平的需求。参见附录B。2.组策略将变化传递到指定计算机。 3.管理员将改变应用于域外计算机的本地安全策略。 4.安全事件日志按照组策略搜集事件。 5.事件关联系统定时扫描安全事件日志并将信息保存到适当的数据库中。 6.安全管理员可以直接分析数据库中的信息或者使

25、用SysTrack 3这样的工具来识别可疑行为。 为鉴识分析进行的安全监视还要有以下动作1.事件相关系统定期抽取相关事件并在线存入数据库。 2.在线数据库备份系统按设定间隔（一般按天进行）保存和移动在线数据库中的旧记录。3.备份媒体按指定时间在线进行短期存储。 4.按规定间隔（一般按周进行）将数据进行长期远程存储。 5.管理员负责按月进行实验性再存储以确保备份可用。 进行选择性审核Windows Server 2003 SP 1 的新功能支持对用户帐号进行选择性审核水平设置。可以只对用户帐号进行选择性审核而不审核组的安全和分配。可以使用auditusr.exe语句设定选择性审核水平。Windo

26、ws Server 2003 SP1 和Windows XP SP2都有此功能。注：按用户审核不能将内置管理员小组排除在外。发现策略冲突 第三章中说到网络最大威胁来自内部用户。本章将谈到主要的内部威胁以及如何发现这些威胁。无意中的系统和网络配置错误经常来自管理员的动作。安全监视的实施如果能事先建立和执行一个合适的变更管理程序就可以更为有效。如果没有管理程序就无从校验。发现策略冲突包括以下行动： 改变文件许可访问资源 重设密码来访问资源 创建、改变和删除用户帐号 添加组员 使用未授权帐号的企图 使用服务帐号进行交互登录 运行未授权程序 访问未授权资源 损坏授权文件 (不包括冲突导致的磁盘错误)

27、引入未授权操作系统 获取其他用户的信任状 逃避审核的企图 创建或取消信任关系 非法改变安全策略 改变文件许可来访问资源管理员可以通过文件所有或将自己加入许可列表来浏览未授权的文件。应该设置安全审核水平来审核重要文件和文件夹的任何变化。ACL项本身不足以防范未授权的访问。为了阻止非法行为，应对所有重要文件确认以下因素： 访问目标是什么？ 提出访问的用户是谁? 用户是否有权访问？ 用户企图进行能够何种访问? 事件是否成功? 用户从哪台电脑发起访问？ 时间浏览器不能进行有效过滤，还需使用EventComb MT 或第三方产品进行分析。下表列出了改变文件许可能够产生的审核事件，审核目录为目标访问：表4

28、.1: 文件许可改变事件事件IDs事件说明560获得现有目标访问权限本事件表明一个目标成功获得访问许可。校验主登录ID， 客户端用户名和用户名字段来发现改变授权的企图。校验访问字段来确认操作类型。这一事件仅表示申请访问或获得许可，并不表示访问发生，进行的用户是客户端用户，或者主用户。 567与操作相关的许可本事件出现在对某一目标的某重访问（列表、读取、创建等）第一次发生时。与560相关，可以比较两种事件的操作ID字段。通过重设密码来访问资源密码重设只在批准的框架内进行。正确配置的安全审核标准将记录安全日志中的密码重设事件，并识别不符合正确程序的重设。下表列出了重设密码引起的审核事件，审核目录为

29、帐号管理。表4.2: 密码重设事件事件ID事件说明627变更密码的企图当用户提交旧密码要求改变密码时会产生此事件。通过比较主帐号名和目标帐号名来确认是帐号所有者还是他人企图变更密码。不过，一般申请者会被要求提供旧密码，所以安全风险不大。628用户帐号密码设置和重设当用户或进程通过管理界面而不是密码改变程序重设密码时产生此事件。只有授权用户或进程可以进行此操作。698改变目录服务恢复模式密码当有人企图在域控制器上改变目录服务恢复模式密码时会生成此事件。核对工作站IP和帐号名称并马上进行调查。创建、改变和删除用户帐号创建新帐号必须按程序进行。大型组织中一般需要经理登录来批准经过多个步骤才可以建立。小组织中，通过活动目录建立新帐号也必须通过正式申请。所有动作必须符合要求。不可靠的管理员可以轻易创建假用户来进行非法或恶意行为。应该限制帐号建立和密码修改的时间间隙，如果新帐号迟迟不修改密码就应该马上停止帐号并进行调查。使用安全监视和和入侵检测需要识别用户帐号事项需要进行如下配置： 发现不规则或不正常的网络帐号行为 识别滥用特权创建或修改帐号的管理员 发现破坏组织机构安全策略的帐号活动特征下表所列为识别用户帐号改变产生的事件，属于帐号管理审核目录