NCSE-信息安全-二级-第十二章

第十二章国家信息化工程师认证考试管理中心审计和日志分析第十二章审计和日志分析第1节信息安全基线的概念和建立第2节操作系统日志第3节CiscoRouter日志第4节Web活动日志第5节防火墙日志第6节IDS日志第7节日志的统一收集与报告第8章攻击回溯案例基线的建立基线是网络活动的参考标准构造信息系统的安全基线是实现系统安全工程的首要步骤建立基线是进行日志分析的开始基线是网络活动的参考标准通过一段长时间对日志的仔细分析，可以建立一条基线安全基线的概念信息系统安全基线是信息系统的最小安全保证是信息系统最基本需要满足的安全要求构造信息系统安全基线是对信息系统及其内外部环境进行系统的安全分析，最终确定系统需要保护的安全目标以及对这些安全目标的保护程度安全基线类别管理安全基线系统实施安全基线物理安全基线逻辑安全基线安全基线的总体模型信息系统安全基线的总体模型包括如下部分系统安全相关信息收集系统范围确定系统外部影响分析系统威胁分析安全视图确定安全基线定义安全基线确定安全基线的总体模型之间的关系系统安全相关信息系统范围系统威胁系统外部影响安全基线安全基线确认安全视图系统安全相关信息收集收集的内容网络环境数据信息业务应用或系统服务用户管理制度相关的政策法规和标准安全事件高层安全目标系统安全要求系统范围确定整个系统中安全基线涉及的对象和考虑的范围系统范围确定是一个划定系统安全边界的过程，该边界界定了安全基线的管辖范围系统安全边界的定义依赖于系统安全相关信息收集的工作成果系统外部影响分析指对目标系统安全产生影响的所有可能的外界因素决定了系统安全的约束、限制和针对的外部防范范围多样性系统威胁分析指确定系统内外部存在的可能对系统构成威胁的各种因素，同时明确这种威胁变为现实后，可能对系统造成的损失识别系统目的系统应用过程分析系统弱点确定威胁分析风险分析记录Unix系统日志Linux系统中，有三个主要的日志子系统：连接时间日志进程统计错误日志几个本地日志工具last--扫描/var/log/lastlog文件并报告信息lastb--提供尝试登录失败的信息lastlog--提供关于所有用户最后一次登录的信息常见的Unix日志access-log 纪录HTTP/web的传输acct/pacct

纪录用户命令Aculog

纪录MODEM的活动Btmp

纪录失败的纪录Lastlog

纪录最近几次成功登录的事件和最后一次不成功的登录Messages 从syslog中记录信息Sudolog

纪录使用sudo发出的命令Sulog

纪录使用su命令的使用Syslog

从syslog中记录信息 Utmp

纪录当前登录的每个用户Wtmp

一个用户每次登录进入和退出时间的永久纪录Xferlog

纪录FTP会话关键日志说明utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键，保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中登录进入和退出纪录在文件wtmp中最后一次登录文件可以用lastlog命令察看数据交换、关机和重起也记录在wtmp文件中。具体命令WhoWho命令查询utmp文件报告当前登录的每个用户W查询utmp文件并显示当前系统中每个用户和它所运行的进程信息Users用单独的一行打印出当前登录的用户 Last往回搜索wtmp来显示自从文件第一次创建以来登录过的用户Ac根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间Lastlog在每次有用户登录时被查询Unix进程统计与监控#touch/var/log/pacct#accton/var/log/pacct#lastcomm以root用户身份运行注意运行顺序syslog设备已被许多日志函数采纳，用在许多保护措施中依据两个重要的文件/etc/syslogd（守护进程）和/etc/syslog.conf配置文件一个典型的syslog纪录生成程序的名字一个文本信息一个设备一个优先级范围Syslog.conf

分析（一）#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#kern.*/dev/console有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了。Syslog.conf

分析（二）#RootandTigergetalertandhighermessages*.alert root,tiger下例：alert消息应该写到root和tiger的个人登陆信息中Syslog.conf

分析（三）#Loganything（exceptmail）oflevelinfoorhigher#Don'tlogprivateauthenticationmessages!*.info:mail.none;autHPriv.none/var/log/messages下面的例子把info或更高级别的消息送到/var/log/messages

Syslog.conf

分析（四）UUCP和news设备能产生许多外部消息。

它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为"err"或更高#Savemailandnewserrorsoflevelerrandhigherinaspecialfile.uucp,news.crit /var/log/spooler记录Windows2000系统日志WindowsNT将日志记录分为三个类别系统日志：记录服务启动和失败，系统关闭和重启·安全日志：记录用户登录，用户权限的使用和变更，对象的访问·程序日志：记录与操作系统有关程序的运行的情况Windows2000的系统日志文件应用程序日志安全日志系统日志DNS服务器日志等Windows2000常见事件529登录失败(在安全日志中)6005Windows2000重新启动(在系统日志中)6006正常关机(在系统日志中)6007因权限不够而不正常的关机请求(在系统日志中)6008称为“不正常关机”事件，当NT被不正常关机时，该信息被记录下来6009记录操作系统的版本号、修建号、补丁号和系统处理器的信息特殊权限的审计绕过验证限制debug程序创建一个象征意义的对象替换过程级别标记生成安全审计备份文件和目录恢复文件和目录开启特殊权限和基础对象审计hive:hkey_local_machine\system\currentcontrolset\control\lsa\fullprivilegeauditingtype:reg_binaryvalue:1

hive:hkey_local_machine\system\currentcontrolset\control\lsa\auditbaseobjectstype:reg_dwordvalue:1

可疑事件举例一个用户两周以来每天半夜二点尝试登录系统，并且没有登录成功主服务器每天早晨自动地重新启动在一天中的特定时间段内系统的性能突然下降应该特别核查的事件Cisco日志类型AAA日志，主要收集关于用户拨入连结、登录、Http访问、权限变化等Snmp

trap

日志，发送系统状态的改变到Snmp

管理工作站系统日志，根据配置记录大量的系统事件防火墙和边界保护－－CiscoACL主要基于IP报文格式标准访问控制列表0~99基于IP地址扩展访问控制列表100~199可以基于源IP、目的IP和端口等等CiscoACL日志分析CiscoACL日志分析FEB1

00:15:06

rt1

1136:

08:00:42日期时间主机名消息序列号GMT时间List102

denied

icmp

2->

(8,0)

5packets哪一个ACL采取的操作数据流类型源IP目标IPICMP类型及代码数据包数CiscoRouter的错误消息

%Facility

-

subfacility

-

Severity

-

Mnemonic

：

Message

Text

错误消息涉及的设备名

仅与通道接口处理器卡有关

数字越小严重程度越高

唯一标识错误消息的单值代码

错误消息的简短描述

Cisco日志信息的级别EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebugging日志信息输出控制logging

｛terminal｝｛level｝

终端控制：可以为console、monitor等级别控制EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebuggingWeb日志默认的W3C扩充日志文件格式（纯文本文件）通过ODBC连结后台数据库基于logtemp.sql模板IIS日志位置为%systemroot%\system32\LogFiles示例2003-06-2303:00:12-80GET/abc/index.asp\-200–2003-06-2303:00:12-80GET/abc/login.asp\-200–2003-06-2303:00:12-80GET/abc/conn.asp\-400–2003-06-2303:23:20-80GET/abc/global.asa\-200–2003-06-2303:23:20-80GET/abc/xajhdb/abc.mdb-200

异常情况分析安全级别特征注释与说明1"cmd.exe"cmd.exe可能被调用2"."".."和"..."请求路径搜索3tftptftp是unix和Windowsnt下的命令，用来下载文件。通常是一些恶意的代码，例如病毒、木马、后门程序等420%%20是表示空格的16进制数值5%00%00表示16进制的空字节6"<"和">"">>"请求<>>>通常是I/O重定向符，可能被利用添加数据到在文件中7"echo"这个命令常用于写数据到文件中8"`"请求这种字符后面常用在perl中执行命令9cc,gcc,perl,python,攻击者通过wget或者tftp下载exploit，并用cc、gcc这样的编译程序进行编译成可执行程序，进一步获得特权Web日志分析实施WebServe：客户端的分析请求CGI程序：把从WebServer传送过来的请求传送给日志分析程序，接收日志分析程序分析的结果并以页面的形式发送给WebServer日志分析程序：接收CGI程序传送来的分析请求，从日志文件里读数据，分析后把结果传给CGI程序防火墙日志MicrosoftISAServer和Proxy日志W3C扩展文件格式ISA服务器文本格式ODBC格式CiscoPIX日志必须下载基于WindowsNT的PIXFirewallSyslogServer才行ISA日志位置WebProxyLogs:c:\winnt\system32\w3plogsWinSockProxyLogs:c:\winnt\system32\wsplogs

大小：可指定尺寸名称：基于当前日期格式：常规和详细IDS日志IDMEF为IDS之间共享信息定义数据格式和交换程序异构环境下日志格式必须统一，否则会为统一、集中的日志处理带来极大不便一个轻量的网络IDS:snort是一个基于简单模式匹配的IDS源码开放，跨平台(C语言编写，可移植性好)利用libpcap作为捕获数据包的工具特点设计原则：性能、简单、灵活包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统内置了一套插件子系统，作为系统扩展的手段模式特征链——规则链命令行方式运行，也可以用作一个sniffer工具Snort日志和报警子系统当匹配到特定的规则之后，检测引擎会触发相应的动作日志记录动作，三种格式解码之后的二进制数据包文本形式的IP结构Tcpdump格式如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能报警动作，包括Syslog记录到alert文本文件中发送WinPopup消息文本格式Alert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]07/27.13:33:58.3145129:896->5:111①②③④⑤UDPTTL:64TOS:0X0ID:33481⑥⑦⑧⑨LEN:64⑩2.Detectwasgeneratedby.a.Snortintrustiondetectionsystemv.1.6.3onaRedHat6.2Linuxlaptopb.Formatofthealert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]Snort（IDS）日志分析(一)基于Libpcap数据包收集程序开发的IDSSnort警示信息中注意的问题：在警示信息名前后必须有『**』与TCPdump格式相似在警示信息名中可以找到产生Snort警示信息的过滤条件Snort（IDS）日志分析(二)Alert:

[**]IDS024.RPC.Portmap.request.ttdbserv[**]

07/27.13:33:58.3145129:8965:111

UDPTTL:64TOS:0X0ID:33481

LEN:642.Detectwasgeneratedby.

a.Snor