《日志管理与分析权威指南》一3.3.3 安全主机日志

最新推荐文章于 2021-09-15 14:28:54 发布
最新推荐文章于 2021-09-15 14:28:54 发布
阅读量131 收藏
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/118535
版权

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.3.3 安全主机日志

这一类别包括来自在主机上运行具备安全保护功能的应用程序的主机日志。和上面提到的和安全有关或无关的日志不同,这些安全日志总是有趣的,因为它们与攻击、入侵、感染等相关。但是,在许多情况下,安全机制可能会撒谎,造成各种类型的虚假警报(例如著名的“假阳性”)。
主机入侵检测与预防
从20世纪90年代初第一代商业化系统出现以来,主机入侵检测系统(HIDS)和入侵预防系统(HIPS)的定义和任务已经得到了发展。顺便提一句,最早的系统实际上查看日志,试图对这些日志应用入侵跟踪特征。HIDS的功能已经被扩展,还监控文件系统的变化和其他未授权的系统修改。
现在,这类系统能够检测和拦截各种网络、操作系统和应用程序攻击。HIDS只发出警报,HIPS还可以根据特征、动态规则和其他机制拦截攻击。
这类系统生成的大部分事件记录与如下方面相关:

  • 检测到的侦察或者探查行为。
  • 对可执行文件的修改。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的这条消息说明,通过监控FTP日志,发现了一次Nessus漏洞扫描器探查。

  • 检测到攻击

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测并拦截攻击。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测到成功的入侵。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 不安全的系统重新配置或者损坏。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的消息显示了关键系统文件删除警报。

  • 身份认证或者授权失败。

示例(Dragon HIDS):
image

weixin_34253539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mongodb入门级权威指南
qqxhb 资源共享
05-25 539
1、 NoSQL简介 1.1 什么是NoSQL? NoSQL,指的是非关系型的数据库。NoSQL有时也称作Not Only SQL的缩写,是对不同于传统的关系型数据库的数据库管理系统的统称。 NoSQL用于超大规模数据的存储。(例如谷歌或Facebook每天为他们的用户收集万亿比特的数据)。这些类型的数据存储不需要固定的模式,无需多余操作就可以横向扩展。 1.2 为什么使用NoSQL ? 今天我们...
系统安全日志
12-06
所谓系统安全日志就是每次开关机、运行程序、系统报错时,这些信息都会被记录下来,保存在日志文件中。
日志安全
18年3月萌新白帽子
05-31 1297
/etc/login.defs 在这个文件里我们可以设置密码最大最小使用时间之类的PASS_MAX_DAYS   90                       密码最大使用天数PASS_MIN_DAYS   5                          密码最小使用天数PASS_MIN_LEN    8                            密码最小位数PASS_WAR...
【应用安全主机日志安全分析
翼安研习社的博客
03-12 726
作者|卢梦予 信息收集|卢梦予 本文部分信息来源出处:《Linux信息安全实用教程》 目录0. 前言1. 日志分类1.1 连接时间日志1.2 进程统计日志1.3 错误日志2. 常见的日志文件及查看方式3. 日志消息的级别4. 日志安全分析实例 0. 前言 要维持Linux系统的安全,必须清楚地知道系统一直在忙碌什么。Linux日志对于安全来说非常重要,它记录了系统每天发生的各种各样的事情,可以通过日志来检查错误发生的原因,或者找出受到攻击时攻击者留下的痕迹。 1. 日志分类 1.1 连接时间.
读取系统日志安全日志审核配置
trents的专栏
12-12 4315
1、使用API  LsaQueryInformationPolicy,测试Win2003,2008,Win7都可以,应该和Windows版本无关。 上代码: LSA_HANDLE CDlgSysInfo::GetPolicyHandle() {   LSA_OBJECT_ATTRIBUTES ObjectAttributes;  // WCHAR SystemName[] = TAR
虚拟服务器的安全日志,虚拟主机日志分析方法
weixin_33941859的博客
08-11 542
1、登录主机管理控制台,选择目标主机,下载日志2、将下载到本地的所有日志合并成一个.log文件。3、下载并安装WebLog Expert Lite工具。4、开始分析日志,新建分析:运行WebLog Expert Lite工具,单击主界面的New按钮 ,在弹出的窗口中,填写Profile(配置名称)、Domain(添加日志:单击窗口中的Log Files标签,选取之前合并好的日志文件,单击确定进行导...
2021陇剑杯网络安全大赛wp-简单日志分析(详细题解)
偷一个月亮
09-15 5706
7.1 日志中均为404,没有200,发现还有500,发下参数 7.2 参数值base64解码 7.3 base64解码
Nginx 安全日志分析可视化
leonnew的博客
04-27 546
之前介绍过 ModSecurity 这款优秀的开源 WAF,它是一个入侵检测与阻止的引擎,原本是Apache的一个模块,现在可作为单独模块编译添加到 Nginx 服务中 虽然这款 WAF 很优秀,但是使用起来并没有那么容易,之前也整理了文章介绍它的原理和规则,然而还有一个问题,就是它的日志分析,之前介绍原理规则的时候,也介绍了它的日志规则,但是在使用过程中,纯文本的记录方式,对于入侵分析太不友好了 所以今天介绍一款管理 ModSecurity 日志的开源项目 WAF-FLE WAF-FLE是专门用来处
态势感知大数据安全重要一环,实时日志分析上线!
weixin_33725807的博客
10-04 3168
背景 网络信息安全形势 信息时代越来越发达,黑客或者恶意员工攻击系统、盗取数据的利益也越来越大。然而单点单面的防护已经无法有效的降低系统安全、数据泄露的风险了。 2018年,网络信息安全形势愈加严峻,安全事件频发且非常严重。国外,3月份Facebook被暴出3000万客户资料被泄露,同月黑客利用漏洞感染了欧洲欧洲40万台机器;国内5月份,某快递公司被暴...
[转]Linux日志管理详解
heiyeluren的blog(黑夜路人的开源世界)
12-16 2053
Linux日志管理详解from: http://kunming.cyberpolice.cn/aqjs/20001.html          日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和
分析安全日志
luminous_you的博客
11-29 1643
定位有多少IP在爆破主机的root帐号: grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more 定位有哪些IP在爆破: grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][09]|[01]?[0-9.
如何选择日志审计系统
weixin_33807284的博客
08-04 1203
【摘要】本文分析日志审计的需求,并针对日志审计系统的选型给出了一套基本的评价指标。 日志审计系统的需求分析 日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。 当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的***和***,也有来自于企业和组织内部的违规和泄漏。 为了不断应对新的安全挑战,企业和...
Linux日志安全分析,Linux日志分析场景(一)
weixin_31859277的博客
05-04 667
随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响。高级持续性威胁(APT***)、鱼叉***、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。如何检测安全威胁事件?通过海量日志分析能有效发现安全威胁事件的蛛丝马迹,触发告警,...
网络安全日志留存合规解决方案
junge_sys的博客
07-07 3772
背景概述 网络的近年的飞速发展已经和经济社会高度融合,不论是日常出行打车、买票看电影、点个外卖打包,还是早餐结账、菜市买菜等等都离不开网络的支持。 在这个大的时代背景下也突显了网络安全的重要性,一旦网络受到不法分子的攻击破坏轻则对日常生活造成不变,重则对国计民生产生破坏的影响。例如伊朗电站被攻击事件,造成了当地大规模的停电事故,对伊朗的经济建设影响严重。 我国为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,于2017年颁布..
Windows登录日志详解
weixin_33901641的博客
10-07 4738
2019独角兽企业重金招聘Python工程师标准>>> ...
Python 3.3.3 版本更新日志
5. Python Launcher for Windows(PEP 397):引入了 Python 启动器 for Windows,提供了更方便的 Python 环境配置和管理。 **改进** Python 3.3.3 版本还引入了一些改进,包括: 1. 重新设计的 OS 和 IO 异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值