《工业互联网安全技术基础》课件- 38-日志分析

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术日志分析0102常见攻击手段日志分析方法目录一、常见攻击手段缓冲区溢出漏洞拒绝服务漏洞内存破坏漏洞本地权限提升漏洞远程代码执行漏洞堆栈溢出漏洞安全限制绕过漏洞信息泄漏漏洞跨站脚本执行漏洞SQL注入漏洞跨站脚本漏洞目录遍历漏洞URL欺骗漏洞1.常见的攻击手段防火墙的局限性关于防火墙防火墙不能安全过滤应用层的非法攻击，如SQL注入防火墙对不通过它的连接无能为力，如内网攻击等防火墙采用静态安全策略技术，无法动态防御新的非法攻击动机转变，安全事件无处不在人，安全意识薄弱漏洞，与日俱增入侵教程，随处可见黑客工具，唾手可得以经济利益为目的的地下黑客产业链……一、常见攻击手段2.常见防火措施的局限性入侵检测系统工作模式一、常见攻击手段Step1：

从系统不同环节收集信息，并向系统的其他部分提供此事件Step2：

分析信息寻找入侵活动特征，并产生分析结果Step3：

自动对检测到的行为做出响应，它可以切断连接、改变文件属性等强烈反应，也可以只是简单的报警Step4：

事件数据库是存放各种中间和最终数据的地方的统称事件产生器EventGenerators事件分析器EventAnalyzers响应单元ResponseUnits网络Network主机Host应用程序Aplication2.常见防火措施的局限性日志分析步骤：确认日志源并备份；通过移除常规、重复的日志记录来降噪；日志时间戳的确定；异常定位：变更、失败、错误、访问等回溯来重现事件发生前后的动作不同日志来关联二、日志分析方法1.确认日志源并备份二、日志分析方法系统日志应用日志（WEB/DB服务器）设备日志（防火墙/防病毒等）边界代理日志和终端应用日志……2.日志处理降噪-EmEditor/LogView二、日志分析方法3.异常日志定位-攻击特征二、日志分析方法系统用户认证日志Acceptedpassword、Faileduserlogin、failedpassword、审核失败、netuser、deleteuser设备类日志access-listpermitted、denyinbound、loginfailed等应用日志400、401、403、500、GET不存在的文件3.异常日志定位-攻击特征二、日志分析方法SQL注入select、where、orderby、union、and等XSS漏洞iframe、src、img、onerror、onload、onmouseover、alert()等暴力破解302、401、同一来源IP4.异常事件定位-暴力破解二、日志分析方法linux暴力破解系统账号密码4.异常事件定位-登陆及状态二、日志分析方法

成功登陆记录及系统启停4.异常事件定位-SQL注入二、日志分析方法2016-01-1516:49:3949GET/article/list.aspid=4%20and%20user>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]将_nvarchar_值_'dbo'_转换为数据类型为_int_的列时发生语法错误。80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)500002016-01-1516:49:4249GET/article/list.aspid=4%20and%20db_name()>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]将_nvarchar_值_'article'_转换为数据类型为_int_的列时发生语法错误。80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)500002016-01-1516:49:4949GET/article/list.aspid=4%20and%20exists%20(select%20*%20from%20admin)|96|800a000d|类型不匹配:_'[string:__4_and_exists_(select_]'80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)50