看看你的愛機是不是正被別人控制
Windows日志與入侵檢測
系統(tǒng)日志源自航海日志:當人們出海遠行的時候,總是要做好航海日志����,以便為以后的工作做出依據(jù)。日志文件作為微軟Windows系列操作系統(tǒng)中的一個比較特殊的文件��,在安全方面具有無可替代的價值�����。日志每天為我們忠實的記錄著系統(tǒng)所發(fā)生一切����,利用系統(tǒng)日志文件,可以使系統(tǒng)管理員快速對潛在的系統(tǒng)入侵作出記錄和預(yù)測�����,但遺憾的是目前絕大多數(shù)的人都忽略了它的存在�。反而是因為黑客們光臨才會使我們想起這個重要的系統(tǒng)日志文件。
7.1 日志文件的特殊性
要了解日志文件�����,首先就要從它的特殊性講起���,說它特殊是因為這個文件由系統(tǒng)管理�,并加以保護,一般情況下普通用戶不能隨意更改���。我們不能用針對普通TXT文件的編輯方法來編輯它���。例如WPS系列、Word系列����、寫字板、Edit等等��,都奈何它不得����。我們甚至不能對它進行“重命名”或“刪除”、“移動”操作����,否則系統(tǒng)就會很不客氣告訴你:訪問被拒絕�����。當然,在純DOS的狀態(tài)下���,可以對它進行一些常規(guī)操作(例如Win98狀態(tài)下)���,但是你很快就會發(fā)現(xiàn),你的修改根本就無濟于事����,當重新啟動Windows 98時,系統(tǒng)將會自動檢查這個特殊的文本文件����,若不存在就會自動產(chǎn)生一個;若存在的話�,將向該文本追加日志記錄。
7.1.1 黑客為什么會對日志文件感興趣
黑客們在獲得服務(wù)器的系統(tǒng)管理員權(quán)限之后就可以隨意破壞系統(tǒng)上的文件了��,包括日志文件�����。但是這一切都將被系統(tǒng)日志所記錄下來�����,所以黑客們想要隱藏自己的入侵蹤跡,就必須對日志進行修改�。最簡單的方法就是刪除系統(tǒng)日志文件,但這樣做一般都是初級黑客所為�,真正的高級黑客們總是用修改日志的方法來防止系統(tǒng)管理員追蹤到自己,網(wǎng)絡(luò)上有很多專門進行此類功能的程序��,例如Zap����、Wipe等。
7.1.2 Windows系列日志系統(tǒng)簡介
1.Windows 98的日志文件
因目前絕大多數(shù)的用戶還是使用的操作系統(tǒng)是Windows 98��,所以本節(jié)先從Windows 98的日志文件講起�����。Windows 98下的普通用戶無需使用系統(tǒng)日志�����,除非有特殊用途���,例如��,利用Windows 98建立個人Web服務(wù)器時�����,就會需要啟用系統(tǒng)日志來作為服務(wù)器安全方面的參考��,當已利用Windows 98建立個人Web服務(wù)器的用戶�,可以進行下列操作來啟用日志功能�����。
(1)在“控制面板”中雙擊“個人Web服務(wù)器”圖標�����;(必須已經(jīng)在配置好相關(guān)的網(wǎng)絡(luò)協(xié)議��,并添加“個人Web服務(wù)器”的情況下)�����。
(2)在“管理”選項卡中單擊“管理”按鈕�����;
(3)在“Internet服務(wù)管理員”頁中單擊“WWW管理”��;
(4)在“WWW管理”頁中單擊“日志”選項卡;
(5)選中“啟用日志”復(fù)選框���,并根據(jù)需要進行更改���。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項卡中沒有指定日志文件的目錄����,則文件將被保存在Windows文件夾中。
普通用戶可以在Windows 98的系統(tǒng)文件夾中找到日志文件schedlog.txt�。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它��,或是啟動“任務(wù)計劃程序”���,在“高級”菜單中單擊“查看日志”來查看到它����。Windows 98的普通用戶的日志文件很簡單�����,只是記錄了一些預(yù)先設(shè)定的任務(wù)運行過程��,相對于作為服務(wù)器的NT操作系統(tǒng),真正的黑客們很少對Windows 98發(fā)生興趣����。所以Windows 98下的日志不為人們所重視�����。
2.Windows NT下的日志系統(tǒng)
Windows NT是目前受到攻擊較多的操作系統(tǒng)��,在Windows NT中�,日志文件幾乎對系統(tǒng)中的每一項事務(wù)都要做一定程度上的審計。Windows NT的日志文件一般分為三類:
系統(tǒng)日志 :跟蹤各種各樣的系統(tǒng)事件��,記錄由 Windows NT 的系統(tǒng)組件產(chǎn)生的事件��。例如���,在啟動過程加載驅(qū)動程序錯誤或其它系統(tǒng)組件的失敗記錄在系統(tǒng)日志中�����。
應(yīng)用程序日志:記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件�����,比如應(yīng)用程序產(chǎn)生的裝載dll(動態(tài)鏈接庫)失敗的信息將出現(xiàn)在日志中����。
安全日志 :記錄登錄上網(wǎng)、下網(wǎng)�����、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉等事件以及與創(chuàng)建���、打開或刪除文件等資源使用相關(guān)聯(lián)的事件�。利用系統(tǒng)的“事件管理器”可以指定在安全日志中記錄需要記錄的事件�,安全日志的默認狀態(tài)是關(guān)閉的。
Windows NT的日志系統(tǒng)通常放在下面的位置���,根據(jù)操作系統(tǒng)的不同略有變化�。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一種特殊的格式存放它的日志文件�,這種格式的文件可以被事件查看器讀取,事件查看器可以在“控制面板”中找到����,系統(tǒng)管理員可以使用事件查看器選擇要查看的日志條目,查看條件包括類別、用戶和消息類型���。
3.Windows 2000的日志系統(tǒng)
與Windows NT一樣���,Windows 2000中也一樣使用“事件查看器”來管理日志系統(tǒng),也同樣需要用系統(tǒng)管理員身份進入系統(tǒng)后方可進行操作���,如圖7-1所示。
圖7-1
在Windows 2000中�����,日志文件的類型比較多�,通常有應(yīng)用程序日志,安全日志���、系統(tǒng)日志���、DNS服務(wù)器日志、FTP日志�����、WWW日志等等,可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變化���。啟動Windows 2000時�����,事件日志服務(wù)會自動啟動��,所有用戶都可以查看“應(yīng)用程序日志”���,但是只有系統(tǒng)管理員才能訪問“安全日志”和“系統(tǒng)日志”。系統(tǒng)默認的情況下會關(guān)閉“安全日志”���,但我們可以使用“組策略”來啟用“安全日志”開始記錄���。安全日志一旦開啟,就會無限制的記錄下去�,直到裝滿時停止運行。
Windows 2000日志文件默認位置:
應(yīng)用程序日志���、安全日志�、系統(tǒng)日志����、DNS日志默認位置:%systemroot%\sys tem32\config�����,默認文件大小512KB����,但有經(jīng)驗的系統(tǒng)管理員往往都會改變這個默認大小��。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系統(tǒng)日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
應(yīng)用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服務(wù)FTP日志默認位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\��。
Internet信息服務(wù)WWW日志默認位置:c:\systemroot\sys tem32\logfiles\w3svc1\��。
Scheduler服務(wù)器日志默認位置:c:\systemroot\schedlgu.txt ��。該日志記錄了訪問者的IP�����,訪問的時間及請求訪問的內(nèi)容�。
因Windows2000延續(xù)了NT的日志文件����,并在其基礎(chǔ)上又增加了FTP和WWW日志,故本節(jié)對FTP日志和WWW日志作一個簡單的講述。FTP日志以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件����、來源、文件名等等���。不過由于該日志太明顯��,所以高級黑客們根本不會用這種方法來傳文件��,取而代之的是使用RCP��。FTP日志文件和WWW日志文件產(chǎn)生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目錄下�����,默認是每天一個日志文件�,
FTP和WWW日志可以刪除���,但是FTP日志所記錄的一切還是會在系統(tǒng)日志和安全日志里記錄下來���,如果用戶需要嘗試刪除這些文件,通過一些并不算太復(fù)雜的方法���,例如首先停止某些服務(wù)���,然后就可以將該日志文件刪除����。具體方法本節(jié)略����。
Windows 2000中提供了一個叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具�����,有很強的日志管理功能��,它可以使用戶不必在讓人眼花繚亂的日志中慢慢尋找某條記錄�����,而是通過分類的方式將各種事件整理好��,讓用戶能迅速找到所需要的條目�。它的另一個突出特點是能夠?qū)φ麄€網(wǎng)絡(luò)環(huán)境中多個系統(tǒng)的各種活動同時進行分析�����,避免了一個個單獨去分析的麻煩。
4.Windows XP日志文件
說Windows XP的日志文件�����,就要先說說Internet連接防火墻(ICF)的日志�,ICF的日志可以分為兩類:一類是ICF審核通過的IP數(shù)據(jù)包,而一類是ICF拋棄的IP數(shù)據(jù)包���。日志一般存于Windows目錄之下�,文件名是pfirewall.log���。其文件格式符合W3C擴展日志文件格式(W3C Extended Log File Format)��,分為兩部分�,分別是文件頭(Head Information)和文件主體(Body Information)�����。文件頭主要是關(guān)于Pfirewall.log這個文件的說明�����,需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數(shù)據(jù)包的信息����,包括源地址、目的地址���、端口�����、時間����、協(xié)議以及其他一些信息�����。理解這些信息需要較多的TCP/IP協(xié)議的知識���。ICF生成安全日志時使用的格式是W3C擴展日志文件格式,這與在常用日志分析工具中使用的格式類似���。 當我們在WindowsXP的“控制面板”中�,打開事件查看器,如圖7-2所示��。
就可以看到WindowsXP中同樣也有著系統(tǒng)日志�����、安全日志和應(yīng)用日志三種常見的日志文件����,當你單擊其中任一文件時,就可以看見日志文件中的一些記錄�����,如圖7-3所示���。
圖7-2 圖7-3
在高級設(shè)備中�����,我們還可以進行一些日志的文件存放地址����、大小限制及一些相關(guān)操作�,如圖7-4所示��。
圖7-4
若要啟用對不成功的連接嘗試的記錄�,請選中“記錄丟棄的數(shù)據(jù)包”復(fù)選框�,否則禁用。另外����,我們還可以用金山網(wǎng)鏢等工具軟件將“安全日志”導(dǎo)出和被刪除。
5.日志分析
當日志每天都忠實的為用戶記錄著系統(tǒng)所發(fā)生的一切的時候��,用戶同樣也需要經(jīng)常規(guī)范管理日志���,但是龐大的日志記錄卻又令用戶茫然失措���,此時,我們就會需要使用工具對日志進行分析�����、匯總���,日志分析可以幫助用戶從日志記錄中獲取有用的信息���,以便用戶可以針對不同的情況采取必要的措施。
7.2 系統(tǒng)日志的刪除
因操作系統(tǒng)的不同���,所以日志的刪除方法也略有變化��,本文從Windows 98和Windows 2000兩種有明顯區(qū)別的操作系統(tǒng)來講述日志的刪除���。
7.2.1 Windows 98下的日志刪除
在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows 98日志記錄�����。當重新啟動Windows98后�����,系統(tǒng)會檢查日志文件的存在���,如果發(fā)現(xiàn)日志文件不存在����,系統(tǒng)將自動重建一個����,但原有的日志文件將全部被消除��。
7.2.2 Windows 2000的日志刪除
Windows 2000的日志可就比Windows 98復(fù)雜得多了����,我們知道��,日志是由系統(tǒng)來管理����、保護的,一般情況下是禁止刪除或修改�,而且它還與注冊表密切相關(guān)。在Windows 2000中刪除日志首先要取得系統(tǒng)管理員權(quán)限����,因為安全日志和系統(tǒng)日志必須由系統(tǒng)管理員方可查看,然后才可以刪除它們���。
我們將針對應(yīng)用程序日志��,安全日志�、系統(tǒng)日志���、DNS服務(wù)器日志��、FTP日志���、WWW日志的刪除做一個簡單的講解。要刪除日志文件��,就必須停止系統(tǒng)對日志文件的保護功能�。我們可以使用命令語句來刪除除了安全日志和系統(tǒng)日志外的日志文件,但安全日志就必須要使用系統(tǒng)中的“事件查看器”來控制它���,打開“控制面板”的“管理工具”中的“事件查看器”�。在菜單的“操作”項有一個名為“連接到另一臺計算機”的菜單���,點擊它如圖7-5所示����。
圖7-5
輸入遠程計算機的IP���,然后需要等待��,選擇遠程計算機的安全性日志��,點擊屬性里的“清除日志”按鈕即可��。
7.3 發(fā)現(xiàn)入侵蹤跡
如何當入侵者企圖或已經(jīng)進行系統(tǒng)的時候���,及時有效的發(fā)現(xiàn)蹤跡是目前防范入侵的熱門話題之一��。發(fā)現(xiàn)入侵蹤跡的前題就是應(yīng)該有一個入侵特征數(shù)據(jù)庫�,我們一般使用系統(tǒng)日志���、防火墻��、檢查IP報頭(IP header)的來源地址��、檢測Email的安全性以及使用入侵檢測系統(tǒng)(IDS)等來判斷是否有入侵跡象����。
我們先來學習一下如何利用端口的常識來判斷是否有入侵跡象:
電腦在安裝以后�����,如果不加以調(diào)整���,其默認開放的端口號是139���,如果不開放其它端口的話����,黑客正常情況下是無法進入系統(tǒng)的�����。如果平常系統(tǒng)經(jīng)常進行病毒檢查的話��,而突然間電腦上網(wǎng)的時候會感到有反應(yīng)緩慢���、鼠標不聽使喚、藍屏�、系統(tǒng)死機及其它種種不正常的情況,我們就可以判斷有黑客利用電子信件或其它方法在系統(tǒng)中植入的特洛伊木馬����。此時,我們就可以采取一些方法來清除它�,具體方法在本書的相關(guān)章節(jié)可以查閱。
7.3.1 遭受入侵時的跡象
入侵總是按照一定的步驟在進行����,有經(jīng)驗的系統(tǒng)管理員完全可以通過觀察到系統(tǒng)是否出現(xiàn)異?��,F(xiàn)象來判斷入侵的程度。
1.掃描跡象
當系統(tǒng)收到連續(xù)��、反復(fù)的端口連接請求時��,就可能意味著入侵者正在使用端口掃描器對系統(tǒng)進行外部掃描�。高級黑客們可能會用秘密掃描工具來躲避檢測,但實際上有經(jīng)驗的系統(tǒng)管理員還是可以通過多種跡象來判斷一切����。
2.利用攻擊
當入侵者使用各種程序?qū)ο到y(tǒng)進行入侵時,系統(tǒng)可能報告出一些異常情況���,并給出相關(guān)文件(IDS常用的處理方法)��,當入侵者入侵成功后�,系統(tǒng)總會留下或多或少的破壞和非正常訪問跡象�����,這時就應(yīng)該發(fā)現(xiàn)系統(tǒng)可能已遭遇入侵�。
3.DoS或DDoS攻擊跡象
這是當前入侵者比較常用的攻擊方法,所以當系統(tǒng)性能突然間發(fā)生嚴重下降或完全停止工作時�,應(yīng)該立即意識到�,有可能系統(tǒng)正在遭受拒絕服務(wù)攻擊���,一般的跡象是CPU占用率接近90%以上�,網(wǎng)絡(luò)流量緩慢����、系統(tǒng)出現(xiàn)藍屏、頻繁重新啟動等�����。
7.3.2 合理使用系統(tǒng)日志做入侵檢測
系統(tǒng)日志的作用和重要性大家通過上幾節(jié)的講述�����,相信明白了不少��,但是雖然系統(tǒng)自帶的日志完全可以告訴我們系統(tǒng)發(fā)生的任何事情�,然而��,由于日志記錄增加得太快了����,最終使日志只能成為浪費大量磁盤空間的垃圾����,所以日志并不是可以無限制的使用����,合理、規(guī)范的進行日志管理是使用日志的一個好方法��,有經(jīng)驗的系統(tǒng)管理員就會利用一些日志審核工具�、過濾日志記錄工具,解決這個問題��。
要最大程度的將日志文件利用起來���,就必須先制定管理計劃����。
1.指定日志做哪些記錄工作�����?
2.制定可以得到這些記錄詳細資料的觸發(fā)器�����。
7.3.3 一個比較優(yōu)秀的日志管理軟件
要想迅速的從繁多的日志文件記錄中查找到入侵信息,就要使用一些專業(yè)的日志管理工具����。Surfstats Log Analyzer4.6就是這么一款專業(yè)的日志管理工具。網(wǎng)絡(luò)管理員通過它可以清楚的分析“l(fā)og”文件���,從中看出網(wǎng)站目前的狀況����,并可以從該軟件的“報告”中�,看出有多少人來過你的網(wǎng)站、從哪里來���、在系統(tǒng)中大量地使用了哪些搜尋字眼�����,從而幫你準確地了解網(wǎng)站狀況。
這個軟件最主要的功能有:
1��、整合了查閱及輸出功能���,并可以定期用屏幕�、文件、FTP或E-mail的方式輸出結(jié)果����;
2.可以提供30多種匯總的資料;
3.能自動偵測文件格式��,并支持多種通用的log文件格式��,如MS IIS的W3 Extended log格式���;
4.在“密碼保護”的目錄里�,增加認證(Authenticated)使用者的分析報告��;
5.可按每小時�、每星期、或每月的模式來分析�;
6.DNS資料庫會儲存解析(Resolved)的IP地址;
7.每個分析的畫面都可以設(shè)定不同的背景����、字型、顏色���。
發(fā)現(xiàn)入侵蹤跡的方法很多�,如入侵檢測系統(tǒng)IDS就可以很好的做到這點。下一節(jié)我們將講解詳細的講解入侵檢測系統(tǒng)�����。
7.4 做好系統(tǒng)入侵檢測
7.4.1 什么是入侵檢測系統(tǒng)
在人們越來越多和網(wǎng)絡(luò)親密接觸的同時�����,被動的防御已經(jīng)不能保證系統(tǒng)的安全�,針對日益繁多的網(wǎng)絡(luò)入侵事件,我們需要在使用防火墻的基礎(chǔ)上選用一種協(xié)助防火墻進行防患于未然的工具��,這種工具要求能對潛在的入侵行為作出實時判斷和記錄�,并能在一定程度上抗擊網(wǎng)絡(luò)入侵,擴展系統(tǒng)管理員的安全管理能力�����,保證系統(tǒng)的絕對安全性���。使系統(tǒng)的防范功能大大增強,甚至在入侵行為已經(jīng)被證實的情況下��,能自動切斷網(wǎng)絡(luò)連接,保護主機的絕對安全���。在這種情形下��,入侵檢測系統(tǒng)IDS(Intrusion Detection System)應(yīng)運而生了���。入侵檢測系統(tǒng)是基于多年對網(wǎng)絡(luò)安全防范技術(shù)和黑客入侵技術(shù)的研究而開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品
它能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)傳輸,自動檢測可疑行為�,分析來自網(wǎng)絡(luò)外部入侵信號和內(nèi)部的非法活動,在系統(tǒng)受到危害前發(fā)出警告��,對攻擊作出實時的響應(yīng)�,并提供補救措施,最大程度地保障系統(tǒng)安全�����。
NestWatch
這是一款運行于Windows NT的日志管理軟件�,它可以從服務(wù)器和防火墻中導(dǎo)入日志文件,并能以HTML的方式為系統(tǒng)管理員提供報告�����。
7.4.2 入侵檢測系統(tǒng)和日志的差異
系統(tǒng)本身自帶的日志功能可以自動記錄入侵者的入侵行為���,但它不能完善地做好入侵跡象分析記錄工作�,而且不能準確地將正常的服務(wù)請求和惡意的入侵行為區(qū)分開。例如���,當入侵者對主機進行CGI掃描時�,系統(tǒng)安全日志能提供給系統(tǒng)管理員的分析數(shù)據(jù)少得可憐����,幾乎全無幫助,而且安全日志文件本身的日益龐大的特性��,使系統(tǒng)管理員很難在短時間內(nèi)利用工具找到一些攻擊后所遺留下的痕跡����。入侵檢測系統(tǒng)就充分的將這一點做的很好,利用入侵檢測系統(tǒng)提供的報告數(shù)據(jù)����,系統(tǒng)管理員將十分輕松的知曉入侵者的某些入侵企圖,并能及時做好防范措施���。
7.4.3 入侵檢測系統(tǒng)的分類
目前入侵檢測系統(tǒng)根據(jù)功能方面�,可以分為四類:
1.系統(tǒng)完整性校驗系統(tǒng)(SIV)
SIV可以自動判斷系統(tǒng)是否有被黑客入侵跡象�����,并能檢查是否被系統(tǒng)入侵者更改了系統(tǒng)文件����,以及是否留有后門(黑客們?yōu)榱讼乱淮喂忸欀鳈C留下的),監(jiān)視針對系統(tǒng)的活動(用戶的命令��、登錄/退出過程��,使用的數(shù)據(jù)等等)��,這類軟件一般由系統(tǒng)管理員控制�。
2.網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)
NIDS可以實時的對網(wǎng)絡(luò)的數(shù)據(jù)包進行檢測,及時發(fā)現(xiàn)端口是否有黑客掃描的跡象���。監(jiān)視計算機網(wǎng)絡(luò)上發(fā)生的事件�����,然后對其進行安全分析�����,以此來判斷入侵企圖��;分布式IDS通過分布于各個節(jié)點的傳感器或者代理對整個網(wǎng)絡(luò)和主機環(huán)境進行監(jiān)視�����,中心監(jiān)視平臺收集來自各個節(jié)點的信息監(jiān)視這個網(wǎng)絡(luò)流動的數(shù)據(jù)和入侵企圖����。
3.日志分析系統(tǒng)(LFM)
日志分析系統(tǒng)對于系統(tǒng)管理員進行系統(tǒng)安全防范來說,非常重要����,因為日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事情,用戶可以通過日志記錄來檢查錯誤發(fā)生的原因����,或者受到攻擊時攻擊者留下的痕跡。日志分析系統(tǒng)的主要功能有:審計和監(jiān)測�、追蹤侵入者等。日志文件也會因大量的記錄而導(dǎo)致系統(tǒng)管理員用一些專業(yè)的工具對日志或者報警文件進行分析�����。此時��,日志分析系統(tǒng)就可以起作用了���,它幫助系統(tǒng)管理員從日志中獲取有用的信息�����,使管理員可以針對攻擊威脅采取必要措施��。
4.欺騙系統(tǒng)(DS)
普通的系統(tǒng)管理員日常只會對入侵者的攻擊作出預(yù)測和識別�����,而不能進行反擊�����。但是欺騙系統(tǒng)(DS)可以幫助系統(tǒng)管理員做好反擊的鋪墊工作�����,欺騙系統(tǒng)(DS)通過模擬一些系統(tǒng)漏洞來欺騙入侵者��,當系統(tǒng)管理員通過一些方法獲得黑客企圖入侵的跡象后����,利用欺騙系統(tǒng)可以獲得很好的效果���。例如重命名NT上的administrator賬號���,然后設(shè)立一個沒有權(quán)限的虛假賬號讓黑客來攻擊�����,在入侵者感覺到上當?shù)臅r候����,管理員也就知曉了入侵者的一舉一動和他的水平高低����。
7.4.4 入侵檢測系統(tǒng)的檢測步驟
入侵檢測系統(tǒng)一般使用基于特征碼的檢測方法和異常檢測方法,在判斷系統(tǒng)是否被入侵前��,入侵檢測系統(tǒng)首先需要進行一些信息的收集��。信息的收集往往會從各個方面進行�����。例如對網(wǎng)絡(luò)或主機上安全漏洞進行掃描�,查找非授權(quán)使用網(wǎng)絡(luò)或主機系統(tǒng)的企圖,并從幾個方面來判斷是否有入侵行為發(fā)生。
檢測系統(tǒng)接著會檢查網(wǎng)絡(luò)日志文件�����,因為黑客非常容易在會在日志文件中留下蛛絲馬跡��,因此網(wǎng)絡(luò)日志文件信息是常常作為系統(tǒng)管理員檢測是否有入侵行為的主要方法��。取得系統(tǒng)管理權(quán)后����,黑客們最喜歡做的事��,就是破壞或修改系統(tǒng)文件���,此時系統(tǒng)完整性校驗系統(tǒng)(SIV)就會迅速檢查系統(tǒng)是否有異常的改動跡象����,從而判斷入侵行為的惡劣程度���。將系統(tǒng)運行情況與常見的入侵程序造成的后果數(shù)據(jù)進行比較�,從而發(fā)現(xiàn)是否被入侵�。例如:系統(tǒng)遭受DDoS分布式攻擊后,系統(tǒng)會在短時間內(nèi)性能嚴重下降,檢測系統(tǒng)此時就可以判斷已經(jīng)被入侵���。
入侵檢測系統(tǒng)還可以使用一些系統(tǒng)命令來檢查�����、搜索系統(tǒng)本身是否被攻擊���。當收集到足夠的信息時,入侵檢測系統(tǒng)就會自動與本身數(shù)據(jù)庫中設(shè)定的已知入侵方式和相關(guān)參數(shù)匹配�,檢測準確率相當?shù)母撸層脩舾械讲环奖愕氖?���,需要不斷的升級?shù)據(jù)庫。否則�,無法跟上網(wǎng)絡(luò)時代入侵工具的步伐。入侵檢測的實時保護功能很強���,作為一種“主動防范”的檢測技術(shù)�����,檢測系統(tǒng)能迅速提供對系統(tǒng)攻擊���、網(wǎng)絡(luò)攻擊和用戶誤操作的實時保護��,在預(yù)測到入侵企圖時本身進行攔截和提醒管理員預(yù)防���。
7.4.5 發(fā)現(xiàn)系統(tǒng)被入侵后的步驟
1.仔細尋找入侵者是如何進入系統(tǒng)的,設(shè)法堵住這個安全漏洞��。
2.檢查所有的系統(tǒng)目錄和文件是否被篡改過���,盡快修復(fù)����。
3.改變系統(tǒng)中的部分密碼�,防止再次因密碼被暴力破解而生產(chǎn)的漏洞��。
7.4.6 常用入侵檢測工具介紹
1.NetProwler
作為世界級的互聯(lián)網(wǎng)安全技術(shù)廠商�,賽門鐵克公司的產(chǎn)品涉及到網(wǎng)絡(luò)安全的方方面面,特別是在安全漏洞檢測����、入侵檢測、互聯(lián)網(wǎng)內(nèi)容/電子郵件過濾�����、遠程管理技術(shù)和安全服務(wù)方面,賽門鐵克的先進技術(shù)的確讓人驚嘆�����!NetProwler就是一款賽門鐵克基于網(wǎng)絡(luò)入侵檢測開發(fā)出的工具軟件�����,NetProwler采用先進的擁有專利權(quán)的動態(tài)信號狀態(tài)檢測(SDSI)技術(shù)����,使用戶能夠設(shè)計獨特的攻擊定義。即使最復(fù)雜的攻擊也可以由它直觀的攻擊定義界面產(chǎn)生�����。
(1)NetProwler的體系結(jié)構(gòu)
NetProwler具有多層體系結(jié)構(gòu)��,由Agent����、Console和Manager三部分組成。Agent負責監(jiān)視所在網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包�����。將檢測到的攻擊及其所有相關(guān)數(shù)據(jù)發(fā)送給管理器,安裝時應(yīng)與企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和安全策略相結(jié)合��。Console負責從代理處收集信息���,顯示所受攻擊信息���,使你能夠配置和管理隸屬于某個管理器的代理。Manager對配置和攻擊警告信息響應(yīng)�,執(zhí)行控制臺發(fā)布的命令,將代理發(fā)出的攻擊警告?zhèn)鬟f給控制臺����。
當NetProwler發(fā)現(xiàn)攻擊時,立即會把攻擊事件記入日志并中斷網(wǎng)絡(luò)連接�、創(chuàng)建一個報告,用文件或E-mail通知系統(tǒng)管理員�����,最后將事件通知主機入侵檢測管理器和控制臺��。
(2)NetProwler的檢測技術(shù)
NetProwler采用具有專利技術(shù)的SDSI(Stateful Dynamic Signature Inspection狀態(tài)化的動態(tài)特征檢測)入侵檢測技術(shù)���。在這種設(shè)計中�,每個攻擊特征都是一組指令集����,這些指令是由SDSI虛處理器通過使用一個高速緩存入口來描述目前用戶狀態(tài)和當前從網(wǎng)絡(luò)上收到數(shù)據(jù)包的辦法執(zhí)行。每一個被監(jiān)測的網(wǎng)絡(luò)服務(wù)器都有一個小的相關(guān)攻擊特征集��,這些攻擊特征集都是基于服務(wù)器的操作和服務(wù)器所支持的應(yīng)用而建立的��。Stateful根據(jù)監(jiān)視的網(wǎng)絡(luò)傳輸內(nèi)容�����,進行上下文比較�,能夠?qū)?fù)雜事件進行有效的分析和記錄
基于SDSI技術(shù)的NetProwler工作過程如下:
第一步:SDSI虛擬處理器從網(wǎng)絡(luò)數(shù)據(jù)中獲取當今的數(shù)據(jù)包;
第二步:把獲取的數(shù)據(jù)包放入屬于當前用戶或應(yīng)用會話的狀態(tài)緩沖中����;
第三步:從特別為優(yōu)化服務(wù)器性能的特征緩沖中執(zhí)行攻擊特征;
第四步:當檢測到某種攻擊時��,處理器立即觸發(fā)響應(yīng)模塊����,以執(zhí)行相應(yīng)的響應(yīng)措施��。
(3)NetProwler工作模式
因為是網(wǎng)絡(luò)型IDS����,所以NetProwler根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)��,其數(shù)據(jù)采集部分(即代理)有多種不同的連接形式:如果網(wǎng)段用總線式的集線器相連����,則可將其簡單的接在集線器的一個端口上即可。
(4)系統(tǒng)安裝要求
用戶將NetProwler Agent安裝在一臺專門的Windows NT工作站上�,如果NetProwler和其他應(yīng)用程序運行在同一臺主機上,則兩個程序的性能都將受到嚴重影響����。網(wǎng)絡(luò)入侵檢測系統(tǒng)占用大量的資源,因此制造商一般推薦使用專門的系統(tǒng)運行驅(qū)動引擎�,要求它有128M RAM和主頻為400MHz的Intel Pentium II或Pentium
