Windows日志与入侵检测浅谈

下面是小编整理的Windows日志与入侵检测浅谈，本文共7篇，欢迎您阅读分享借鉴，希望对您有所帮助。本文原稿由网友“软耳颗粒”提供。

篇1：Windows日志与入侵检测浅谈

系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作做出依据，日志文件作为微软Windows系列操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为 们光临才会使我们想起这个重要的系统日志文件。

7.1 日志文件的特殊性

要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。

7.1.1 为什么会对日志文件感兴趣

们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以 们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级 所为，真正的高级 们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。

7.1.2 Windows系列日志系统简介

1.Windows 98的日志文件

因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。

(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。

(2)在“管理”选项卡中单击“管理”按钮；

(3)在“Internet服务管理员”页中单击“WWW管理”；

(4)在“WWW管理”页中单击“日志”选项卡；

(5)选中“启用日志”复选框，并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。

普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的 们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。

2.Windows NT下的日志系统

Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类：

系统日志 ：跟踪各种各样的系统事件，记录由 Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。

应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。

安全日志 ：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。

Windows NT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。

C:\\systemroot\\system32\\config\\sysevent.evt

C:\\systemroot\\system32\\config\\secevent.evt

C:\\systemroot\\system32\\config\\appevent.evt

Windows NT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。

3.Windows 的日志系统

与Windows NT一样，Windows 2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。

在Windows 2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。

Windows 2000日志文件默认位置：

应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\\sys tem32\\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。

安全日志文件：c:\\sys temroot\\sys tem32\\config\\SecEvent.EVT

系统日志文件：c:\\sys temroot\\sys tem32\\config\\SysEvent.EVT

应用程序日志文件：c:\\sys temroot\\sys tem32\\config\\AppEvent.EVT

Internet信息服务FTP日志默认位置：c:\\systemroot\\sys tem32\\logfiles\\msftpsvc1\\，

Internet信息服务WWW日志默认位置：c:\\systemroot\\sys tem32\\logfiles\\w3svc1\\。

Scheduler服务器日志默认位置：c:\\systemroot\\schedlgu.txt 。该日志记录了访问者的IP，访问的时间及请求访问的内容。

因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级 们根本不会用这种方法来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\\sys temroot\\system32\\LogFiles\\W3SVC1目录下，默认是每天一个日志文件，

FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂的方法，例如首先停止某些服务，然后就可以将该日志文件删除。具体方法本节略。

Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。

4.Windows XP日志文件

说Windows XP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中，打开事件查看器，如图7-2所示。

就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示。

在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作，如图7-4所示。

若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。

5.日志分析

当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。

7.2 系统日志的删除

因操作系统的不同，所以日志的删除方法也略有变化，本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。

7.2.1 Windows 98下的日志删除

在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。

7.2.2 Windows 2000的日志删除

Windows 2000的日志可就比Windows 98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。

我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它如图7-5所示。

输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。

7.3 发现入侵踪迹

如何当入侵者企图或已经进行系统的时候，及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库，我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。

我们先来学习一下如何利用端口的常识来判断是否有入侵迹象：

电脑在安装以后，如果不加以调整，其默认开放的端口号是139，如果不开放其它端口的话， 正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话，而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况，我们就可以判断有 利用电子信件或其它方法在系统中植入的特洛伊木马。此时，我们就可以采取一些方法来清除它，具体方法在本书的相关章节可以查阅。

7.3.1 遭受入侵时的迹象

入侵总是按照一定的步骤在进行，有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。

1.扫描迹象

当系统收到连续、反复的端口连接请求时，就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级 们可能会用秘密扫描工具来躲避检测，但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。

2.利用攻击

当入侵者使用各种程序对系统进行入侵时，系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理方法)，当入侵者入侵成功后，系统总会留下或多或少的破坏和非正常访问迹象，这时就应该发现系统可能已遭遇入侵。

3.DoS或DDoS攻击迹象

这是当前入侵者比较常用的攻击方法，所以当系统性能突然间发生严重下降或完全停止工作时，应该立即意识到，有可能系统正在遭受拒绝服务攻击，一般的迹象是CPU占用率接近90%以上，网络流量缓慢、系统出现蓝屏、频繁重新启动等。

篇2：入侵检测

入侵检测(eTrustIntrusionDetection简称eID)提供了全面的网络保护功能，其内置主动防御功能可以防止破坏的发生，

入侵检测

，

这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法URL探测和阻塞、警告、记录和实时响应。

篇3：入侵检测

入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的'若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 这些都通过它执行以下任务来实现： ・监视、分析用户及系统活动 ・ 系统构造和弱点的审计 ・ 识别反映已知进攻的活动模式并向相关人士报警 ・ 异常行为模式的统计分析 ・ 评估重要系统和数据文件的完整性 ・操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

1)基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠住，所能检测的攻击类型受限。不能检测网络攻击。

2)基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简．单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.

3)分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

篇4：入侵检测及网络安全

随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求，作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。     一、入侵检测系统（IDS）诠释IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。在本质上，入侵检测系统是一种典型的窥探设备。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流     目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析，

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。     二、IDS存在的问题     1．误/漏报率高     IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，网络的成本将无法承受。     2．没有主动防御能力IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。     3．缺乏准确定位和处理机制     IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。     4．性能普遍不足     现在市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。

篇5：Windows 服务器入侵前兆检测方法技巧服务器教程

入侵检测系统（IDS）是防火墙的合理补充，它帮助安全系统发现可能的入侵前兆，并对付网络攻击，入侵检测系统能在不影响网络性能的情况下对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护，能够扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。但是，入侵检测系统并不是万能的，高昂的价格也让人退却，而且，单个服务器或者小型网络配置入侵检测系统或者防火墙等投入也太大了。

一、对于WWW服务入侵的前兆检测

对于网络上开放的服务器来说，WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的，

很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多，流量相对来说都很高，同时WWW服务的漏洞和相应的入侵方法和技巧也非常多，并且也相对容易，很多“ ”使用的漏洞扫描器就能够扫描80端口的各种漏洞，比如wwwscan 、X-scanner等，甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断，成为系统管理员头疼的一部分。

虽然80端口入侵和扫描很多，但是80端口的日志记录也非常容易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务管理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%System32LogFiles，按照每天保存在exyymmdd.log文件中。这些都可以进行相应配置，包括日志记录的内容。

在配置IIS的时候应该让IIS日志尽量记录得尽量详细，可以帮助进行入侵判断和分析。现在我们要利用这些日志来发现入侵前兆，或者来发现服务器是否被扫描。打开日志文件，我们能够得到类似这样的扫描记录（以Unicode漏洞举例）：

篇6：入侵检测与入侵防御将长期共存

近日，“IDS/IPS应用与发展趋势”研讨会在京召开，业内很多安全专家及行业用户代表参加，从市场的实际应用出发，探讨IDS（入侵检测系统）与IPS（入侵防御系统）的产品价值和部署目标。

自从IPS面市之日起，围绕IPS和IDS之间关系的讨论就不断升温，成为安全业界的一大热点。一派认为“IPS将取代IDS”，一派认为“IDS会和IPS共存”，直至IDC年度安全市场报告明确指出IDS和IPS是两个独立的市场，这场讨论才趋于平淡。

来自中国人民银行的专家表示，从用户角度来讲，目前已经基本认同IDS和IPS是两类产品，并不存在IPS要替代IDS的可能，但在选择产品和具体部署时，有相当一部分的用户还是存在疑惑。“在实际应用中应如何选择和区分两类产品”成为广大用户关心的话题。

“IDS入侵检测系统注重全面检测、有效呈现；IPS则更擅长深层防御、精确阻断。”国内入侵检测领袖企业启明星辰这样描述IDS与IPS的区别，

从实际应用来说，IPS既非IDS的替代品，更非IDS的延伸者，而是术业有专攻，侧重不同的方面，是为了满足企业风险管理需求的两种不同解决方案。启明星辰从长时间的用户调查和实际应用状况中，总结出了IDS和IPS的应用条件。如果一个企业属于低风险的类别，他们往往只关注风险控制，不关注检测与监控，风险管理要求不高，选择IPS产品即可；高风险行业如金融、电信等，不仅关注风险控制，而且关注风险管理，这样的企业既需要IDS，也需要IPS；对于一些监管机构/部门来说，往往更关注风险管理的检测与监控，监督风险控制的改进状况，因此IDS是比较合适的产品。

启明星辰产品管理中心总工万卿说：“IDS和IPS将继续共存，这已经是一个不争的事实。这个观点是从客户的实际应用中得来的。启明星辰目前拥有完善的IDS和IPS产品线，将根据客户的不同需求，为客户设计不同的解决方案组合，达到风险管理和风险控制并举的目的。”

与会专家表示，由于各行业客户不同的应用环境和实际需求，IDS和IPS 在国内都呈现出繁荣发展的前景，因此二者之间的关系并非简单的升级和替代，长期来看，IDS和IPS将出现共同发展、和平共存的局面。

篇7：如何检查系统入侵Windows系统

像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等. (1)记帐 UNIX记帐软件包可用作 安全 检查工具,除最后登录时间的记录外,记帐系 统还能保存全天

像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等.

(1)记帐

UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系 统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括 UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程 是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命 令中指定文件名:

acctcom /usr/adm/pacct? /usr/adm/pacct

要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登 录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系 统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统 启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell), cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.

由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数据.

(2)其它检查命令

*du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的 磁盘块数.可用于检查用户对文件系统的使用情况.

*df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的 使用和管理. *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程, 同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进 程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).

*who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用 户的登录时间,登录终端.

*su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操 作信息,则表明了可能有人企图破译root口令.

*login:在一些系统中,login程序记录了无效的登录企图(若本系统的 login程序不做这项工作而系统中有login源程序,则应修改login). 每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表 明可能有人企图通过猜测登录名和口令,非法进入系统.

这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯, 就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人 窃密.

(3)安全检查程序的问题

关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防 诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或 大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管 理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有 find命令指定搜索哪种文件的功能.

如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而 用户用su命令时,除非用参数-,否则su不读用户的.profile. 有三种方法可寻找久未登录的帐户:

UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最 后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全 肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新 loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可 能就被清除了.

. /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是 否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的 好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效, 而且这一方法仅在口令的最大有效期(只有几周)才是准确的.

系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp, 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序, 并且时间准确,缺点是要自己写程序.

以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登录户头的最后登录时间 如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者 将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐 文件,使系统管理员不能发现破坏者干了些什么.

(4)系统泄密后怎么办?

发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对 肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于“破坏安全”的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复 到原来的状态.

如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root 且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他 造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和 SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:

关系统,然后重新引导,不要进入多用户方式,进入单用户方式.

安装含有本系统原始UNIX版本的带和软盘.

将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.

将暂存目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和,不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比 较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如 果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有命令.

在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目录中的shell,并将PATH设置为仅在暂存目录中搜索命令.

根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取 许可.

检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否 被窜改过.

如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员 从未修改过核心,则应当认为,一个非法者“很能干”,从暂存缓冲区重新 装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文件,但是在检查备份中的“有趣”文件之前,不能做文件恢复.

改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员 得到新口令当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己 的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的目录),并报告系统管理员任何异乎寻常的情况. 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可能弄清的如果能发现肇事者如何进入系统,设法堵住这个安全漏洞.

第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在 安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再 从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计 算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保 存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁起来.

原文转自：www.ltesting.net

一次入侵检测

入侵检测系统（IDS）简介

防患未然 juniper入侵防护系统入侵检测

检测Unix是否被入侵的快捷方法

基于遗传神经网络的入侵检测研究

Windows日志与入侵检测浅谈.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档