一种基于过程管控的通信网络中可信安全日志管理的系统的制作方法

1.本发明涉及网络安全、soc(security operation center)、过程管控、加密、前向完整性(forward integrity)、可信日志生成器的技术领域，尤其涉及到一种基于过程管控的通信网络中可信安全日志管理的系统。


背景技术：

2.通信隐私被互联网运营商、固定和移动运营商等通信网络运营商视为一项宝贵资产。事实上，侵犯用户隐私的事件可能会造成严重影响，并产生商业和法律后果。此外，通信网络中的安全事件还可能导致服务滥用和服务运营商的经济损失。出于这些原因，通信网络运营商通常会通过技术和程序措施执行安全审计，验证并维持可接受的安全级别，以保护公民的通信安全和隐私。
3.通信网络通常采用最先进的技术进行保护，该技术保护通信网络周界，并定义访问控制、身份验证和加密机制。虽然在通信网络中有了安全措施，并且有明确的标准，但仍然存在安全漏洞。必须考虑外部入侵、通信拦截、未经授权访问私人数据和内部人员滥用特权等威胁。现有的漏洞，如对安全措施的高估、与安全措施的不一致以及缺乏可靠和安全的日志记录和审计机制，都会增加安全风险。由于并非总是能够防止安全漏洞，因此需要有足够的检测安全措施。
4.系统日志是最重要的检测安全措施的方式。几乎每个系统都维护日志文件，通常在安全审计期间对其进行检查。事实上，在定期安全审计期间，可能会检查日志文件并将其关联起来，以确保拟定的技术措施到位，安全政策和程序得到实施。在非计划安全审计期间，例如作为对安全事件的响应，对日志文件进行分析，以发现事件的原因，如缺乏安全措施、不符合安全程序或系统配置等。因此，研究、设计和实现可信的安全日志管理，以保护通信网络中的通信隐私，显得尤为重要。


技术实现要素：

5.为了解决上述技术问题，本发明提供了一种基于过程管控的通信网络中可信安全日志管理的系统，采用日志参考模型，实现了通信网络通信的可信安全日志管理，从而确保了运营商通信网络的安全隐私。
6.一种基于过程管控的通信网络中可信安全日志管理的系统，其特征在于，采用日志参考模型，实现了通信网络通信的可信安全日志管理，从侦察阶段到恶意代码的权限提升阶段的瞬间，采用了不依赖于特殊的安全硬件或分布式系统的日志防篡改的方案，它使用两种不同的存储设备：α和β，α是日志服务器，采用hmac(key，msg)算法，并将它的输出以仅附加的方式写入日志的末尾，存储到日志服务器α中，β是一个外部存储设备，物理上与系统断开，并保存在安全的地方，将来用于验证日志，所述系统，还包括：采集服务器、日志服务器、签名服务器、网络节点、β设备；
7.所述采集服务器，负责从网络节点nn采集日志数据，它承载一个服务执行软件平
台，即服务执行环境see，see服务于所需的服务逻辑，此逻辑由服务逻辑程序slp实现，每个不同的服务都维护自己的slp，许多涉及相同服务或相同slp的请求可以通过生成相同逻辑的不同实例来并行服务，此外，see中还托管了一个访问管理器，负责实现与所需节点的通信接口；
8.所述日志服务器，即所述的α设备，它还包含一个服务执行环境see，see承载相应的业务逻辑，即日志逻辑程序llp，它实现相应的服务，此外，还托管了一个访问管理器，负责实现与采集服务器的通信接口，日志服务器和采集服务器都拥有服务管理和服务执行的主要逻辑，日志服务器承载用于执行采集服务器调用的命令的特别功能，并通过定义良好的接口进行通信；
9.所述签名服务器，这是一个独立的服务器，它是一个托管密钥的隔离服务器，实现了接收来自采集服务器的签名请求的一个接口；
10.所述网络节点，用于对运营商网络周界内生成日志事件的任何网络设备进行建模，然后将这些事件存储到日志服务器，换句话说，网络节点是日志生成器，由于模型将日志生成器视为部分受信任的，因此每个网络节点都承载一个专用代理，该代理接收来自采集服务器的命令；
11.所述β设备，用于验证日志，而α设备为日志服务器，用于存储日志数据，在α和β上都被初始化为零，生成的密钥流k存储在α和β两个设备中，k
α
密钥流被存储在α中，k
β
密钥流被存储在β中，k
α
header.id表示密钥流的id，k
α
header.off表示密钥流的当前偏移量，文件aseal
log
用来存储日志的身份认证数据和元数据，字段r.loff表示日志文件l的记录r的偏移量，当开始验证时，连接上β设备，并包括以下步骤：
12.(1)密钥流的大小和id均匹配，其烧毁区域在k
α
header.off处结束，否则，验证失败；
13.(2)密钥流烧毁区域，在k
α
header.off之前和在k
α
header.off之后，均不同于在k
α
和k
β
之间，否则，验证失败；
14.(3)给定两个连续的aseal
log
记录，它们对应的分块是连续的，否则，验证失败；
15.(4)日志文件l的记录r通过r.loff来排序文件aseal
log
，则由文件aseal
log
记录r定义的数据区域是连续的，否则，存在空隙，验证失败；
16.(5)上述皆为真，验证成功，则审计员将在侦察、交付、安装、权限提升4个阶段生成的日志条目中查找攻击者入侵的证据。
17.进一步地，所述日志生成器，它成为可信任的另一个措施是支持日志功能的软件实体使用签名代码，所述的软件实体至少包括安装在采集服务器sc中的slp和安装在网络节点nn中的snmp agent。
18.本发明的技术效果在于：
19.在本发明中，提供了一种基于过程管控的通信网络中可信安全日志管理的系统，其特征在于，采用日志参考模型，实现了通信网络通信的可信安全日志管理，从侦察阶段到恶意代码的权限提升阶段的瞬间，采用了不依赖于特殊的安全硬件或分布式系统的日志防篡改的方案，它使用两种不同的存储设备：α和β，α是日志服务器，采用hmac(key，msg)算法，并将它的输出以仅附加的方式写入日志的末尾，存储到日志服务器α中，β是一个外部存储设备，物理上与系统断开，并保存在安全的地方，将来用于验证日志，所述系统，还包括：采
集服务器、日志服务器、签名服务器、网络节点、β设备。通过本发明，能够确保运营商通信网络的安全隐私。
附图说明
20.图1是一种基于过程管控的通信网络中可信安全日志管理的系统的过程管控示意图；
21.图2是一种基于过程管控的通信网络中可信安全日志管理的系统的日志参考模型的示意图；
22.图3是一种基于过程管控的通信网络中可信安全日志管理的系统的日志数据写入算法的示意图；
23.图4是一种基于过程管控的通信网络中可信安全日志管理的系统的日志验证算法的示意图；
24.图5是一种基于过程管控的通信网络中可信安全日志管理的系统的示意图；
具体实施方式
25.下面是根据附图和实例对本发明的进一步详细说明：
26.现有的威胁模型不考虑内部攻击和日志生成器和日志服务器之间的合谋攻击。本技术的威胁模型集成并扩展了现有的威胁模型，以保护日志文件免受在公共通信网络运营商的环境中的网络攻击。例如，一种可能的威胁是日志生成器故意发送修改过的日志消息，或者在日志服务器管理员的积极参与下，在将存储的日志存储到日志服务器后故意修改存储的日志。
27.本技术威胁模型假设日志记录过程中涉及的所有实体都是半可信的，包括日志生成器和存储日志文件的日志服务器。只要攻击者无法访问所使用的密钥，那么攻击者解密消息或伪造签名的概率可以忽略不计。被动的攻击者能够窃听日志生成器和日志服务器之间交换的任何消息。主动的攻击者能够注入错误或任意消息。更具体地说，本技术考虑了如下情况：
28.(1)对来自被破坏日志服务器的存储日志的修改攻击；
29.(2)对来自受损日志生成器的日志事件的修改攻击；
30.(3)来自串通日志生成器和日志服务器的修改攻击。
31.虽然在这些攻击期间，允许串通破坏系统，并且攻击者也可以控制大多数系统，但是假设攻击者无法同时控制所有日志服务器和所有日志生成器。本技术认为这一假设是合理的，因为如果允许攻击者以完全访问权限实际操作所有内部系统，则无法建立安全性，除非可以容忍一些物理假设(如采用防篡改硬件设备)。
32.日志记录信息可向电信运营商的网络提供证据，因为它可用于跟踪可能的误用，主要涉及系统和网络管理功能(如控制操作或配置的命令)。下面，将描述有关安全日志服务操作的基本功能和安全要求。
33.在所述的安全模型中，安全日志管理的基本功能要求如下：
34.(1)实时和连续记录：日志服务应保证连续运行，无中断或过度延迟。日志记录中断可能会导致日志事件丢失，这些事件可能对审核至关重要。
35.(2)完整性：日志文件应包含所有必要的日志事件，以便实现有价值的审核。如果日志信息丢失，则可能导致审核结果无效。
36.(3)透明度：与日志记录相关的任何操作(如采集日志、处理、存储和向第三方分发相关信息)应尽可能透明。
37.(4)性能：高可扩展性和稳定性也是应该考虑的两个重要需求。
38.(5)互操作性：日志机制应该能够与大多数网络和系统商业技术一起运行，因此通用接口应该是主要关注点。
39.(6)一致性：日志文件的内容结构应组织为离散日志文件，避免语法复杂性，提供通用日志信息类别，并为所有运营商的网络提供通用格式。
40.图1是一种基于过程管控的通信网络中可信安全日志管理的系统的过程管控模型的示意图。所述过程管控模型，包括三个阶段；进一步地，所述过程管控，包括：侦察阶段、交付阶段、安装阶段、权限提升阶段、横向移动阶段、操作目标阶段和撤出阶段；所述三个阶段，具体描述如下：
41.第一阶段：网络阶段(包括：侦察阶段、交付阶段)，企业网络系统正常运营，无任何入侵；在此阶段，黑客或攻击者会采用诸如网络钓鱼攻击来侦察目标网络；而本技术提供了一种反侦察技术，用于检测所述的网络钓鱼攻击。
42.第二阶段：端点阶段(包括：安装阶段、权限提升阶段)，自它开始时，系统始终会受到威胁，攻击者在企业网络内，但没有完全控制企业网络。
43.第三阶段：域阶段或撤离阶段(包括：横向移动阶段、操作目标阶段和撤出阶段)，攻击者提升权限并完全控制机器，攻击者可以删除和操纵日志，以使攻击痕迹消失。
44.就所述的侦察阶段而言，包括攻击者主动或被动收集可用于支持目标定位的信息。此类信息可能包括受害者企业、关键基础设施或工作人员的详细信息。攻击者可以利用这些信息在攻击者生命周期的其它阶段中提供帮助，例如使用采集的信息来规划和执行交付，确定入侵后目标的范围和优先级，或者推动和领导进一步的侦察工作。
45.进一步地，建设可信的日志管理系统，至少应满足以下安全要求：
46.(1)保密性：日志文件不应披露给未经授权的实体，因为它们包含与通信相关的信息。
47.(2)前向保密：如果一段时间内的所有机密都泄露给外部攻击者，则不应影响过去日志信息的保密性。
48.(3)完整性：应对日志文件进行保护，防止内部或外部实体对其进行未经授权的修改。
49.(4)前向完整性：如果向外部或内部攻击者泄露了与某个时间段有关的所有机密，则不应影响过去日志信息的完整性。
50.(5)访问控制：应控制对日志文件的访问，并且只有经授权的实体才应有权访问特定的日志条目。
51.(6)可追溯性：对日志文件的任何读或写访问都应该是可跟踪的，以便能够跟踪非法操作的来源。
52.如果日志文件是重要证据，则需要一个安全框架来保证日志操作和日志文件的可用性、机密性和完整性。基于上述要求，本技术在半可信环境下提出了一种基于过程管控的
通信网络中可信安全日志管理的系统(如图5所示)，并假设存在一个可信的β设备，负责确保运营商保护通信的安全和隐私。在定期审计或安全事件发生后，β设备可能会检查运营商的日志文件，以确定事件的原因。所述系统包括以下几个阶段：
53.一、定义应该记录的内容
54.在采取任何安全措施之前，明确定义要记录的重要内容是非常重要的一件事情。该决定涉及运营商和β设备。从运营商的角度来看，有效的日志记录支持系统维护、故障排除和内部安全审计。从β设备的角度来看，记录信息有助于调查安全事件的原因，并在法庭上作为证据。
55.图2是一种基于过程管控的通信网络中可信安全日志管理的系统的日志参考模型的示意图，可以通过实现通信网络中可信的安全日志管理，来确保通信网络的通信隐私。为了确定必须提供程序中记录的事件，定义了日志参考模型，如图2所示。该模型是一种抽象表示，将功能(即网络和操作事件)链接到相应的日志文件上，通过实现这些功能的服务，以监控这些功能。该模型从三个不同的视图(称为平面)分析日志记录需求。这些平面是：
56.(1)功能面：它对网络和网络内的操作事件进行建模，而不考虑实现细节、架构或拓扑约束以及设计要求。在运营商的环境中，应记录以下类别的功能，这具有启发性，但不限于此。
57.(a)安全功能(例如系统访问控制、密码管理、用户管理、合法拦截、数据保留)。
58.(b)服务管理功能(例如监控、故障排除、管理服务)。
59.(c)网络管理功能(例如网络配置、网络连接、路由)。
60.(2)服务面：它描述了在网络或it节点中执行的所有特定服务。它区分系统和应用服务，同时考虑操作系统平台、通信协议、互连和硬件。此平面的服务示例为snmp服务、dsl服务、密码管理服务或aaa服务。
61.(3)日志面：它描述了每个已使用服务的特定命令和事件，这些命令和事件可以分组到单独的日志文件中。例如，命令“show user”(显示用户名)将记录在名为“密码管理”的日志文件中。此日志文件将对应于密码管理服务，该服务实现部分安全管理功能。
62.二、定义每个日志文件的操作要求
63.在将要记录的功能列表映射到服务和日志文件之后，必须确定每个日志文件的操作要求。特别是，此类要求定义了每个日志文件、日志文件的结构(即日志文件中包含的字段)、生成频率、存储要求(即存储的形式、持续时间和位置)或与审计目的日志文件使用相关的任何其它要求。
64.三、保护日志文件免受外部攻击和内部攻击
65.安全日志系统的总体目标是维护日志文件的可用性和完整性。系统创建的记录还应具有不可否认性，这意味着记录可验证地对应于通信网络上发生的事件，以保护日志文件免受外部攻击和内部攻击。在安全日志记录中，验证是发生在争议解决期间。当发生入侵并记录在日志文件中时，会发生争议解决。入侵者和受害者都可能试图否认证据的真实性。然后，审计员必须能够验证日志自生成以来未被任何人修改。
66.本技术的方法很简单(如图3所示)，它使用两种不同的存储设备：α和β。β是一个外部存储设备，将来将用于验证日志。以下是一些配置参数：
67.(1)生成一个随机密钥流k。
68.(2)k存储在两个设备中(以二进制格式存储在一个文件中，该文件包含一个头)。k
α
是存储在α中的密钥流，k
β
是存储在β中的密钥流。
69.(3)初始化k
α
和k
β
头。它们有两个字段：k
α
header.id是密钥流的id号，k
α
和k
β
将共享以配对它们；k
α
header.off是密钥流的当前偏移量，在α和β上都初始化为零。
70.(4)β从物理上与系统断开，并保存在安全的地方。
71.(5)系统创建一个文件aseal
log
来存储日志的身份认证数据和元数据。
72.hmac(key，msg)是一种安全密钥哈希消息认证码算法。该函数的输入是一个密钥和一条消息。输出是依赖于密钥的消息的安全摘要。只允许附加写入操作(即日志末尾的写入操作)。当一些大小为dszi的数据di必须附加到偏移量loffi处的日志文件l时，执行以下操作：
73.(1)数据将附加到日志中。
74.(2)k
α
的当前偏移量从其头读取。
75.(3)读取k
α
的块(ci)。区块大小(决定每次写入所消耗的密钥长度)是常量(csz)，与写入日志的大小无关。
76.(4)k
α
的相应区域被烧毁。
77.(5)k
α
的更新偏移量写入其头。
78.(6)计算唯一标识日志文件的日志id(l)、日志中的偏移量(loffi)、数据长度(dszi)、ci(coffi)和数据(di)的k
α
偏移量的hmac。块ci用作密钥。
79.(7)该块将从内存中删除。
80.(8)创建一个包含字段l、loffi、dszi、coffi和hmac的记录r。
81.(9)记录r被附加到aseal
log
中。
82.步骤(2)—(9)必须以原子方式执行，以保持k
α
header.off的完整性和aseal
log
的顺序。这是从算法并发性的角度考虑的。如果无法保留此不变量，则仍会在审核中检测到它。
83.系统需要额外的空间来存储每个写入操作的四个整数值和一个hmac摘要(独立于每个附加操作写入日志文件的字节数)。
84.当审核员需要验证日志l时，为了查看它是否被操纵(或修改)，他必须连接β装置并执行如图4所示的验证算法。
85.首先，检查密钥流：它们的大小和id号必须匹配，烧毁的区域必须在k
α
header.off处结束。然后，依次验证aseal
log
的所有记录。请注意：
86.(1)密钥流按顺序烧毁。k
α
header.off之前的密钥流在k
α
和k
β
之间必须不同，并且之后必须相同(未烧毁)。
87.(2)给定两个连续的记录，它们对应的块必须是连续的。ok用于检查这一点。
88.(3)属于日志l的记录在aseal
log
(由r.loff)中排序。因此，由其记录定义的数据区域必须是连续的：如果存在间隙，验证将失败。使用一个数组(每个日志文件的位置为o[])来检查这一点。
[0089]
从k
β
(偏移量r.coff处)读取密钥流的相应区块，从l(位置r.loff，长度r.dsz处)读取记录描述的数据，并使用区块作为密钥重新生成hmac。比较了新的hmac和存储在r中的hmac。如果它们不相等，则l的验证失败。
[0090]
如果hmac是安全的，攻击者就无法推断aseal
log
中存储的任何记录的密钥(c)。因此，她将无法伪造aseal
log
的任何hmac。
[0091]
如果攻击者从aseal
log
中删除日志l的任何记录，则验证失败(第14行)。如果任何日志文件被截断或缩短，它也会失败(第14行)。如果攻击者修改了属于l或其数据的任何记录的任何字段，验证将失败，因为hmac不匹配(第21行)。
[0092]
模块化日志验证(即仅验证l的一部分)将以类似方式进行。在这种情况下，只检查特定日志文件对应区域的记录。注意，在这种情况下，只能声明此日志文件的检查区域未被篡改。此日志文件(或任何其他日志文件)的其他区域可能被篡改，文件可能被截断。
[0093]
图5是一种基于过程管控的通信网络中可信安全日志管理的系统的示意图。日志签名过程的实现需要具有专用服务的分布式体系结构。图5提出了涉及运营商和β设备的通用实现设计，其中包括以下实体：
[0094]
采集服务器，负责从网络节点nn采集日志数据，它承载一个服务执行软件平台，即服务执行环境see，see服务于所需的服务逻辑，此逻辑由服务逻辑程序slp实现，每个不同的服务都维护自己的slp，许多涉及相同服务或相同slp的请求可以通过生成相同逻辑的不同实例来并行服务，此外，see中还托管了一个访问管理器，负责实现与所需节点的通信接口；
[0095]
日志服务器，即所述的α设备，它还包含一个服务执行环境see，see承载相应的业务逻辑，即日志逻辑程序llp，它实现相应的服务，此外，还托管了一个访问管理器，负责实现与采集服务器的通信接口，日志服务器和采集服务器都拥有服务管理和服务执行的主要逻辑，日志服务器承载用于执行采集服务器调用的命令的特别功能，并通过定义良好的接口进行通信；
[0096]
签名服务器，这是一个独立的服务器，它是一个托管密钥的隔离服务器，实现了接收来自采集服务器的签名请求的一个接口；
[0097]
网络节点，用于对运营商网络周界内生成日志事件的任何网络设备进行建模，然后将这些事件存储到日志服务器，换句话说，网络节点是日志生成器，由于模型将日志生成器视为部分受信任的，因此每个网络节点都承载一个专用代理，该代理接收来自采集服务器的命令。
[0098]
β设备，用于验证日志，在α和β上都被初始化为零，生成的密钥流k存储在α和β两个设备中，k
α
密钥流被存储在α中，k
β
密钥流被存储在β中，k
α
header.id表示密钥流的id，k
α
header.off表示密钥流的当前偏移量，文件aseal
log
用来存储日志的身份认证数据和元数据，字段r.loff表示日志文件l的记录r的偏移量，当开始验证时，连接上β设备，并包括以下步骤：
[0099]
(1)密钥流的大小和id均匹配，其烧毁区域在k
α
header.off处结束，否则，验证失败；
[0100]
(2)密钥流烧毁区域，在k
α
header.off之前和在k
α
header.off之后，均不同于在k
α
和k
β
之间，否则，验证失败；
[0101]
(3)给定两个连续的aseal
log
记录，它们对应的分块是连续的，否则，验证失败；
[0102]
(4)日志文件l的记录r通过r.loff来排序文件aseal
log
，则由文件aseal
log
记录r定义的数据区域是连续的，否则，存在空隙，验证失败；
[0103]
(5)上述皆为真，验证成功，则审计员将在侦察、交付、安装、权限提升4个阶段(如图1所示的过程管控模型)生成的日志条目中查找攻击者入侵的证据。
[0104]
为了保护不同实体之间的通信，实现了二个安全接口。网络节点和采集服务器之间的通信基于简单网络管理协议(snmp)。为了保护日志事件向采集服务器的传输，可以应用协议(v3)的安全版本。最后，可以通过应用安全版本的ip(v6)来保护网络节点和日志服务器之间的通信。
[0105]
最后，跟踪日志生成器中的非法行为的另一个措施是为支持日志功能的软件实体使用签名代码，例如安装在采集服务器中的slp和安装在网络节点nn中的snmp agent。这样，如果有人试图操纵或修改这些snmp agent的代码，所述的系统将能够跟踪，因为这样的操作将生成告警事件。然后将通过检查或验证正在运行的snmp agent的签名代码来验证它们是否已被修改。
[0106]
以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。