《网络安全知识体系》

安全运营和事件管理（八）：

系统和内核日志

---

2.5 系统和内核日志

Denning最早的“入侵检测”论文已经将被监控系统生成的审计跟踪包括在模型中。操作系统通常提供用于调试和记帐目的的日志。这些日志在早期的设计中被利用，如Haystack。但是，Denning已经表示，大多数系统日志不足以进行入侵检测，因为它们缺乏所需的精度。例如，Unix记帐系统仅记录用户启动的任何命令的前八个字符（不带路径）。这使得无法区分在不同位置具有相同名称的命令或长命令名称。

入侵检测研究人员和操作系统设计人员追求的另一个趋势是创建特定的审计跟踪，以生成特权用户活动的跟踪，这是橙皮书。这导致了更精确的基于主机的IDS的开发，如STIDE和eXpert-BSM。这些特定的系统跟踪是通过拦截系统调用来获取的，系统调用表示常规程序执行和请求受保护内核资源之间的转换。这通常使用专用的审计跟踪（如橙皮书中指定）或内核/处理器调试访问（如Linux的ptrace）来实现。但是，规范的复杂性导致不同操作系统供应商在实现审计跟踪方面存在分歧。它还对程序执行施加了如此高的性能损失，以至于在激活审计跟踪的情况下无法运行ICT系统。因此，它变得没有什么用处，并且被悄悄地从大多数操作系统中删除。这一因素阻止了标准系统审计跟踪的出现，即使在经过认证的操作系统中也是如此。

内核日志现在专注于监视靠近硬件的操作系统的内部操作。它们也大大多样化，针对广泛的设备。它们已被集成到商业世界中，称为“端点保护”，这已成为防病毒引擎的通用术语。这解决了不仅保护系统而且保护应用程序（如浏览器或邮件客户端）的一般问题，这些应用程序不仅交换数据，而且还交换数据执行外部源提供的不受信任的代码。他们依靠专用的拦截器，这些拦截器仅捕获他们有兴趣分析的活动。这解决了此数据源的主要问题，即非常精细的粒度，可确保捕获所有内容，但使分析和检测非常困难，因为它很难将处理器上正在执行的汇编代码与用户或分析人员可以轻松理解和响应的程序和信息链接起来。恶意软件是恶意软件和攻击技术CyBOK知识区[42]的主题，在SOIM恶意软件检测引擎和端点保护工具的背景下，它们被认为是传感器。

其他日志提供更高级别的信息，例如Unix计算机上的引导过程报告或主内核活动的报告。这些日志通常依赖于Syslog基础结构，如第2.6节所述。

原文始发于微信公众号（河南等级保护测评）：网络安全运营和事件管理（八）：系统和内核日志