第十二章國家信息化工程師認證考試管理中心審計和日志分析第十二章審計和日志分析第1節信息安全基線的概念和建立第2節操作系統日志第3節CiscoRouter日志第4節Web活動日志第5節防火墻日志第6節IDS日志第7節日志的統一收集與報告第8章攻擊回溯案例基線的建立基線是網絡活動的參考標準構造信息系統的安全基線是實現系統安全工程的首要步驟建立基線是進行日志分析的開始基線是網絡活動的參考標準通過一段長時間對日志的仔細分析，可以建立一條基線安全基線的概念信息系統安全基線是信息系統的最小安全保證是信息系統最基本需要滿足的安全要求構造信息系統安全基線是對信息系統及其內外部環境進行系統的安全分析，最終確定系統需要保護的安全目標以及對這些安全目標的保護程度安全基線類別管理安全基線系統實施安全基線物理安全基線邏輯安全基線安全基線的總體模型信息系統安全基線的總體模型包括如下部分系統安全相關信息收集系統范圍確定系統外部影響分析系統威脅分析安全視圖確定安全基線定義安全基線確定安全基線的總體模型之間的關系系統安全相關信息系統范圍系統威脅系統外部影響安全基線安全基線確認安全視圖系統安全相關信息收集收集的內容網絡環境數據信息業務應用或系統服務用戶管理制度相關的政策法規和標準安全事件高層安全目標系統安全要求系統范圍確定整個系統中安全基線涉及的對象和考慮的范圍系統范圍確定是一個劃定系統安全邊界的過程，該邊界界定了安全基線的管轄范圍系統安全邊界的定義依賴于系統安全相關信息收集的工作成果系統外部影響分析指對目標系統安全產生影響的所有可能的外界因素決定了系統安全的約束、限制和針對的外部防范范圍多樣性系統威脅分析指確定系統內外部存在的可能對系統構成威脅的各種因素，同時明確這種威脅變為現實后，可能對系統造成的損失識別系統目的系統應用過程分析系統弱點確定威脅分析風險分析記錄Unix系統日志Linux系統中，有三個主要的日志子系統：連接時間日志進程統計錯誤日志幾個本地日志工具last--掃描/var/log/lastlog文件并報告信息lastb--提供嘗試登錄失敗的信息lastlog--提供關于所有用戶最后一次登錄的信息常見的Unix日志access-log 紀錄HTTP/web的傳輸acct/pacct

紀錄用戶命令Aculog

紀錄MODEM的活動Btmp

紀錄失敗的紀錄Lastlog

紀錄最近幾次成功登錄的事件和最后一次不成功的登錄Messages 從syslog中記錄信息Sudolog

紀錄使用sudo發出的命令Sulog

紀錄使用su命令的使用Syslog

從syslog中記錄信息 Utmp

紀錄當前登錄的每個用戶Wtmp

一個用戶每次登錄進入和退出時間的永久紀錄Xferlog

紀錄FTP會話關鍵日志說明utmp、wtmp和lastlog日志文件是多數重用UNIX日志子系統的關鍵，保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中登錄進入和退出紀錄在文件wtmp中最后一次登錄文件可以用lastlog命令察看數據交換、關機和重起也記錄在wtmp文件中。具體命令WhoWho命令查詢utmp文件報告當前登錄的每個用戶W查詢utmp文件并顯示當前系統中每個用戶和它所運行的進程信息Users用單獨的一行打印出當前登錄的用戶 Last往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶Ac根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結的時間Lastlog在每次有用戶登錄時被查詢Unix進程統計與監控#touch/var/log/pacct#accton/var/log/pacct#lastcomm以root用戶身份運行注意運行順序syslog設備已被許多日志函數采納，用在許多保護措施中依據兩個重要的文件/etc/syslogd（守護進程）和/etc/syslog.conf配置文件一個典型的syslog紀錄生成程序的名字一個文本信息一個設備一個優先級范圍Syslog.conf

分析（一）#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#kern.*/dev/console有時syslogd將產生大量的消息。例如內核（"kern"設備）可能很冗長。用戶可能想把內核消息紀錄到/dev/console中。下面的例子表明內核日志紀錄被注釋掉了。Syslog.conf

分析（二）#RootandTigergetalertandhighermessages*.alert root,tiger下例：alert消息應該寫到root和tiger的個人登陸信息中Syslog.conf

分析（三）#Loganything（exceptmail）oflevelinfoorhigher#Don'tlogprivateauthenticationmessages!*.info:mail.none;autHPriv.none/var/log/messages下面的例子把info或更高級別的消息送到/var/log/messages

Syslog.conf

分析（四）UUCP和news設備能產生許多外部消息。

它把這些消息存到自己的日志(/var/log/spooler)中并把級別限為"err"或更高#Savemailandnewserrorsoflevelerrandhigherinaspecialfile.uucp,news.crit /var/log/spooler記錄Windows2000系統日志WindowsNT將日志記錄分為三個類別系統日志：記錄服務啟動和失敗，系統關閉和重啟·安全日志：記錄用戶登錄，用戶權限的使用和變更，對象的訪問·程序日志：記錄與操作系統有關程序的運行的情況Windows2000的系統日志文件應用程序日志安全日志系統日志DNS服務器日志等Windows2000常見事件529登錄失敗(在安全日志中)6005Windows2000重新啟動(在系統日志中)6006正常關機(在系統日志中)6007因權限不夠而不正常的關機請求(在系統日志中)6008稱為“不正常關機”事件，當NT被不正常關機時，該信息被記錄下來6009記錄操作系統的版本號、修建號、補丁號和系統處理器的信息特殊權限的審計繞過驗證限制debug程序創建一個象征意義的對象替換過程級別標記生成安全審計備份文件和目錄恢復文件和目錄開啟特殊權限和基礎對象審計hive:hkey_local_machine\system\currentcontrolset\control\lsa\fullprivilegeauditingtype:reg_binaryvalue:1

hive:hkey_local_machine\system\currentcontrolset\control\lsa\auditbaseobjectstype:reg_dwordvalue:1

可疑事件舉例一個用戶兩周以來每天半夜二點嘗試登錄系統，并且沒有登錄成功主服務器每天早晨自動地重新啟動在一天中的特定時間段內系統的性能突然下降應該特別核查的事件Cisco日志類型AAA日志，主要收集關于用戶撥入連結、登錄、Http訪問、權限變化等Snmp

trap

日志，發送系統狀態的改變到Snmp

管理工作站系統日志，根據配置記錄大量的系統事件防火墻和邊界保護－－CiscoACL主要基于IP報文格式標準訪問控制列表0~99基于IP地址擴展訪問控制列表100~199可以基于源IP、目的IP和端口等等CiscoACL日志分析CiscoACL日志分析FEB1

00:15:06

rt1

1136:

08:00:42日期時間主機名消息序列號GMT時間List102

denied

icmp

2->

(8,0)

5packets哪一個ACL采取的操作數據流類型源IP目標IPICMP類型及代碼數據包數CiscoRouter的錯誤消息

%Facility

-

subfacility

-

Severity

-

Mnemonic

：

Message

Text

錯誤消息涉及的設備名

僅與通道接口處理器卡有關

數字越小嚴重程度越高

唯一標識錯誤消息的單值代碼

錯誤消息的簡短描述

Cisco日志信息的級別EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebugging日志信息輸出控制logging

｛terminal｝｛level｝

終端控制：可以為console、monitor等級別控制EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebuggingWeb日志默認的W3C擴充日志文件格式（純文本文件）通過ODBC連結后臺數據庫基于logtemp.sql模板IIS日志位置為%systemroot%\system32\LogFiles示例2003-06-2303:00:12-80GET/abc/index.asp\-200–2003-06-2303:00:12-80GET/abc/login.asp\-200–2003-06-2303:00:12-80GET/abc/conn.asp\-400–2003-06-2303:23:20-80GET/abc/global.asa\-200–2003-06-2303:23:20-80GET/abc/xajhdb/abc.mdb-200

異常情況分析安全級別特征注釋與說明1"cmd.exe"cmd.exe可能被調用2"."".."和"..."請求路徑搜索3tftptftp是unix和Windowsnt下的命令，用來下載文件。通常是一些惡意的代碼，例如病毒、木馬、后門程序等420%%20是表示空格的16進制數值5%00%00表示16進制的空字節6"<"和">"">>"請求<>>>通常是I/O重定向符，可能被利用添加數據到在文件中7"echo"這個命令常用于寫數據到文件中8"`"請求這種字符后面常用在perl中執行命令9cc,gcc,perl,python,攻擊者通過wget或者tftp下載exploit，并用cc、gcc這樣的編譯程序進行編譯成可執行程序，進一步獲得特權Web日志分析實施WebServe：客戶端的分析請求CGI程序：把從WebServer傳送過來的請求傳送給日志分析程序，接收日志分析程序分析的結果并以頁面的形式發送給WebServer日志分析程序：接收CGI程序傳送來的分析請求，從日志文件里讀數據，分析后把結果傳給CGI程序防火墻日志MicrosoftISAServer和Proxy日志W3C擴展文件格式ISA服務器文本格式ODBC格式CiscoPIX日志必須下載基于WindowsNT的PIXFirewallSyslogServer才行ISA日志位置WebProxyLogs:c:\winnt\system32\w3plogsWinSockProxyLogs:c:\winnt\system32\wsplogs

大小：可指定尺寸名稱：基于當前日期格式：常規和詳細IDS日志IDMEF為IDS之間共享信息定義數據格式和交換程序異構環境下日志格式必須統一，否則會為統一、集中的日志處理帶來極大不便一個輕量的網絡IDS:snort是一個基于簡單模式匹配的IDS源碼開放，跨平臺(C語言編寫，可移植性好)利用libpcap作為捕獲數據包的工具特點設計原則：性能、簡單、靈活包含三個子系統：網絡包的解析器、檢測引擎、日志和報警子系統內置了一套插件子系統，作為系統擴展的手段模式特征鏈——規則鏈命令行方式運行，也可以用作一個sniffer工具Snort日志和報警子系統當匹配到特定的規則之后，檢測引擎會觸發相應的動作日志記錄動作，三種格式解碼之后的二進制數據包文本形式的IP結構Tcpdump格式如果考慮性能的話，應選擇tcpdump格式，或者關閉logging功能報警動作，包括Syslog記錄到alert文本文件中發送WinPopup消息文本格式Alert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]07/27.13:33:58.3145129:896->5:111①②③④⑤UDPTTL:64TOS:0X0ID:33481⑥⑦⑧⑨LEN:64⑩2.Detectwasgeneratedby.a.Snortintrustiondetectionsystemv.1.6.3onaRedHat6.2Linuxlaptopb.Formatofthealert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]Snort（IDS）日志分析(一)基于Libpcap數據包收集程序開發的IDSSnort警示信息中注意的問題：在警示信息名前后必須有『**』與TCPdump格式相似在警示信息名中可以找到產生Snort警示信息的過濾條件Snort（IDS）日志分析(二)Alert:

[**]IDS024.RPC.Portmap.request.ttdbserv[**]

07/27.13:33:58.3145129:8965:111

UDPTTL:64TOS:0X0ID:33481

LEN:642.Detectwasgeneratedby.

a.Snor