NCSE-信息安全-二級(jí)-第十二章

第十二章國(guó)家信息化工程師認(rèn)證考試管理中心審計(jì)和日志分析第十二章審計(jì)和日志分析第1節(jié)信息安全基線的概念和建立第2節(jié)操作系統(tǒng)日志第3節(jié)CiscoRouter日志第4節(jié)Web活動(dòng)日志第5節(jié)防火墻日志第6節(jié)IDS日志第7節(jié)日志的統(tǒng)一收集與報(bào)告第8章攻擊回溯案例基線的建立基線是網(wǎng)絡(luò)活動(dòng)的參考標(biāo)準(zhǔn)構(gòu)造信息系統(tǒng)的安全基線是實(shí)現(xiàn)系統(tǒng)安全工程的首要步驟建立基線是進(jìn)行日志分析的開始基線是網(wǎng)絡(luò)活動(dòng)的參考標(biāo)準(zhǔn)通過一段長(zhǎng)時(shí)間對(duì)日志的仔細(xì)分析，可以建立一條基線安全基線的概念信息系統(tǒng)安全基線是信息系統(tǒng)的最小安全保證是信息系統(tǒng)最基本需要滿足的安全要求構(gòu)造信息系統(tǒng)安全基線是對(duì)信息系統(tǒng)及其內(nèi)外部環(huán)境進(jìn)行系統(tǒng)的安全分析，最終確定系統(tǒng)需要保護(hù)的安全目標(biāo)以及對(duì)這些安全目標(biāo)的保護(hù)程度安全基線類別管理安全基線系統(tǒng)實(shí)施安全基線物理安全基線邏輯安全基線安全基線的總體模型信息系統(tǒng)安全基線的總體模型包括如下部分系統(tǒng)安全相關(guān)信息收集系統(tǒng)范圍確定系統(tǒng)外部影響分析系統(tǒng)威脅分析安全視圖確定安全基線定義安全基線確定安全基線的總體模型之間的關(guān)系系統(tǒng)安全相關(guān)信息系統(tǒng)范圍系統(tǒng)威脅系統(tǒng)外部影響安全基線安全基線確認(rèn)安全視圖系統(tǒng)安全相關(guān)信息收集收集的內(nèi)容網(wǎng)絡(luò)環(huán)境數(shù)據(jù)信息業(yè)務(wù)應(yīng)用或系統(tǒng)服務(wù)用戶管理制度相關(guān)的政策法規(guī)和標(biāo)準(zhǔn)安全事件高層安全目標(biāo)系統(tǒng)安全要求系統(tǒng)范圍確定整個(gè)系統(tǒng)中安全基線涉及的對(duì)象和考慮的范圍系統(tǒng)范圍確定是一個(gè)劃定系統(tǒng)安全邊界的過程，該邊界界定了安全基線的管轄范圍系統(tǒng)安全邊界的定義依賴于系統(tǒng)安全相關(guān)信息收集的工作成果系統(tǒng)外部影響分析指對(duì)目標(biāo)系統(tǒng)安全產(chǎn)生影響的所有可能的外界因素決定了系統(tǒng)安全的約束、限制和針對(duì)的外部防范范圍多樣性系統(tǒng)威脅分析指確定系統(tǒng)內(nèi)外部存在的可能對(duì)系統(tǒng)構(gòu)成威脅的各種因素，同時(shí)明確這種威脅變?yōu)楝F(xiàn)實(shí)后，可能對(duì)系統(tǒng)造成的損失識(shí)別系統(tǒng)目的系統(tǒng)應(yīng)用過程分析系統(tǒng)弱點(diǎn)確定威脅分析風(fēng)險(xiǎn)分析記錄Unix系統(tǒng)日志Linux系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：連接時(shí)間日志進(jìn)程統(tǒng)計(jì)錯(cuò)誤日志幾個(gè)本地日志工具last--掃描/var/log/lastlog文件并報(bào)告信息lastb--提供嘗試登錄失敗的信息lastlog--提供關(guān)于所有用戶最后一次登錄的信息常見的Unix日志access-log 紀(jì)錄HTTP/web的傳輸acct/pacct

紀(jì)錄用戶命令A(yù)culog

紀(jì)錄MODEM的活動(dòng)Btmp

紀(jì)錄失敗的紀(jì)錄Lastlog

紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄Messages 從syslog中記錄信息Sudolog

紀(jì)錄使用sudo發(fā)出的命令Sulog

紀(jì)錄使用su命令的使用Syslog

從syslog中記錄信息 Utmp

紀(jì)錄當(dāng)前登錄的每個(gè)用戶Wtmp

一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄Xferlog

紀(jì)錄FTP會(huì)話關(guān)鍵日志說明utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵，保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中登錄進(jìn)入和退出紀(jì)錄在文件wtmp中最后一次登錄文件可以用lastlog命令察看數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。具體命令WhoWho命令查詢utmp文件報(bào)告當(dāng)前登錄的每個(gè)用戶W查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息Users用單獨(dú)的一行打印出當(dāng)前登錄的用戶 Last往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶Ac根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來報(bào)告用戶連結(jié)的時(shí)間Lastlog在每次有用戶登錄時(shí)被查詢Unix進(jìn)程統(tǒng)計(jì)與監(jiān)控#touch/var/log/pacct#accton/var/log/pacct#lastcomm以root用戶身份運(yùn)行注意運(yùn)行順序syslog設(shè)備已被許多日志函數(shù)采納，用在許多保護(hù)措施中依據(jù)兩個(gè)重要的文件/etc/syslogd（守護(hù)進(jìn)程）和/etc/syslog.conf配置文件一個(gè)典型的syslog紀(jì)錄生成程序的名字一個(gè)文本信息一個(gè)設(shè)備一個(gè)優(yōu)先級(jí)范圍Syslog.conf

分析（一）#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#kern.*/dev/console有時(shí)syslogd將產(chǎn)生大量的消息。例如內(nèi)核（"kern"設(shè)備）可能很冗長(zhǎng)。用戶可能想把內(nèi)核消息紀(jì)錄到/dev/console中。下面的例子表明內(nèi)核日志紀(jì)錄被注釋掉了。Syslog.conf

分析（二）#RootandTigergetalertandhighermessages*.alert root,tiger下例：alert消息應(yīng)該寫到root和tiger的個(gè)人登陸信息中Syslog.conf

分析（三）#Loganything（exceptmail）oflevelinfoorhigher#Don'tlogprivateauthenticationmessages!*.info:mail.none;autHPriv.none/var/log/messages下面的例子把info或更高級(jí)別的消息送到/var/log/messages

Syslog.conf

分析（四）UUCP和news設(shè)備能產(chǎn)生許多外部消息。

它把這些消息存到自己的日志(/var/log/spooler)中并把級(jí)別限為"err"或更高#Savemailandnewserrorsoflevelerrandhigherinaspecialfile.uucp,news.crit /var/log/spooler記錄Windows2000系統(tǒng)日志W(wǎng)indowsNT將日志記錄分為三個(gè)類別系統(tǒng)日志：記錄服務(wù)啟動(dòng)和失敗，系統(tǒng)關(guān)閉和重啟·安全日志：記錄用戶登錄，用戶權(quán)限的使用和變更，對(duì)象的訪問·程序日志：記錄與操作系統(tǒng)有關(guān)程序的運(yùn)行的情況Windows2000的系統(tǒng)日志文件應(yīng)用程序日志安全日志系統(tǒng)日志DNS服務(wù)器日志等Windows2000常見事件529登錄失敗(在安全日志中)6005Windows2000重新啟動(dòng)(在系統(tǒng)日志中)6006正常關(guān)機(jī)(在系統(tǒng)日志中)6007因權(quán)限不夠而不正常的關(guān)機(jī)請(qǐng)求(在系統(tǒng)日志中)6008稱為“不正常關(guān)機(jī)”事件，當(dāng)NT被不正常關(guān)機(jī)時(shí)，該信息被記錄下來6009記錄操作系統(tǒng)的版本號(hào)、修建號(hào)、補(bǔ)丁號(hào)和系統(tǒng)處理器的信息特殊權(quán)限的審計(jì)繞過驗(yàn)證限制debug程序創(chuàng)建一個(gè)象征意義的對(duì)象替換過程級(jí)別標(biāo)記生成安全審計(jì)備份文件和目錄恢復(fù)文件和目錄開啟特殊權(quán)限和基礎(chǔ)對(duì)象審計(jì)hive:hkey_local_machine\system\currentcontrolset\control\lsa\fullprivilegeauditingtype:reg_binaryvalue:1

hive:hkey_local_machine\system\currentcontrolset\control\lsa\auditbaseobjectstype:reg_dwordvalue:1

可疑事件舉例一個(gè)用戶兩周以來每天半夜二點(diǎn)嘗試登錄系統(tǒng)，并且沒有登錄成功主服務(wù)器每天早晨自動(dòng)地重新啟動(dòng)在一天中的特定時(shí)間段內(nèi)系統(tǒng)的性能突然下降應(yīng)該特別核查的事件Cisco日志類型AAA日志，主要收集關(guān)于用戶撥入連結(jié)、登錄、Http訪問、權(quán)限變化等Snmp

trap

日志，發(fā)送系統(tǒng)狀態(tài)的改變到Snmp

管理工作站系統(tǒng)日志，根據(jù)配置記錄大量的系統(tǒng)事件防火墻和邊界保護(hù)－－CiscoACL主要基于IP報(bào)文格式標(biāo)準(zhǔn)訪問控制列表0~99基于IP地址擴(kuò)展訪問控制列表100~199可以基于源IP、目的IP和端口等等CiscoACL日志分析CiscoACL日志分析FEB1

00:15:06

rt1

1136:

08:00:42日期時(shí)間主機(jī)名消息序列號(hào)GMT時(shí)間List102

denied

icmp

2->

(8,0)

5packets哪一個(gè)ACL采取的操作數(shù)據(jù)流類型源IP目標(biāo)IPICMP類型及代碼數(shù)據(jù)包數(shù)CiscoRouter的錯(cuò)誤消息

%Facility

-

subfacility

-

Severity

-

Mnemonic

：

Message

Text

錯(cuò)誤消息涉及的設(shè)備名

僅與通道接口處理器卡有關(guān)

數(shù)字越小嚴(yán)重程度越高

唯一標(biāo)識(shí)錯(cuò)誤消息的單值代碼

錯(cuò)誤消息的簡(jiǎn)短描述

Cisco日志信息的級(jí)別EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebugging日志信息輸出控制logging

｛terminal｝｛level｝

終端控制：可以為console、monitor等級(jí)別控制EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebuggingWeb日志默認(rèn)的W3C擴(kuò)充日志文件格式（純文本文件）通過ODBC連結(jié)后臺(tái)數(shù)據(jù)庫(kù)基于logtemp.sql模板IIS日志位置為%systemroot%\system32\LogFiles示例2003-06-2303:00:12-80GET/abc/index.asp\-200–2003-06-2303:00:12-80GET/abc/login.asp\-200–2003-06-2303:00:12-80GET/abc/conn.asp\-400–2003-06-2303:23:20-80GET/abc/global.asa\-200–2003-06-2303:23:20-80GET/abc/xajhdb/abc.mdb-200

異常情況分析安全級(jí)別特征注釋與說明1"cmd.exe"cmd.exe可能被調(diào)用2"."".."和"..."請(qǐng)求路徑搜索3tftptftp是unix和Windowsnt下的命令，用來下載文件。通常是一些惡意的代碼，例如病毒、木馬、后門程序等420%%20是表示空格的16進(jìn)制數(shù)值5%00%00表示16進(jìn)制的空字節(jié)6"<"和">"">>"請(qǐng)求<>>>通常是I/O重定向符，可能被利用添加數(shù)據(jù)到在文件中7"echo"這個(gè)命令常用于寫數(shù)據(jù)到文件中8"`"請(qǐng)求這種字符后面常用在perl中執(zhí)行命令9cc,gcc,perl,python,攻擊者通過wget或者tftp下載exploit，并用cc、gcc這樣的編譯程序進(jìn)行編譯成可執(zhí)行程序，進(jìn)一步獲得特權(quán)Web日志分析實(shí)施WebServe：客戶端的分析請(qǐng)求CGI程序：把從WebServer傳送過來的請(qǐng)求傳送給日志分析程序，接收日志分析程序分析的結(jié)果并以頁面的形式發(fā)送給WebServer日志分析程序：接收CGI程序傳送來的分析請(qǐng)求，從日志文件里讀數(shù)據(jù)，分析后把結(jié)果傳給CGI程序防火墻日志MicrosoftISAServer和Proxy日志W(wǎng)3C擴(kuò)展文件格式ISA服務(wù)器文本格式ODBC格式CiscoPIX日志必須下載基于WindowsNT的PIXFirewallSyslogServer才行ISA日志位置WebProxyLogs:c:\winnt\system32\w3plogsWinSockProxyLogs:c:\winnt\system32\wsplogs

大?。嚎芍付ǔ叽缑Q：基于當(dāng)前日期格式：常規(guī)和詳細(xì)IDS日志IDMEF為IDS之間共享信息定義數(shù)據(jù)格式和交換程序異構(gòu)環(huán)境下日志格式必須統(tǒng)一，否則會(huì)為統(tǒng)一、集中的日志處理帶來極大不便一個(gè)輕量的網(wǎng)絡(luò)IDS:snort是一個(gè)基于簡(jiǎn)單模式匹配的IDS源碼開放，跨平臺(tái)(C語言編寫，可移植性好)利用libpcap作為捕獲數(shù)據(jù)包的工具特點(diǎn)設(shè)計(jì)原則：性能、簡(jiǎn)單、靈活包含三個(gè)子系統(tǒng)：網(wǎng)絡(luò)包的解析器、檢測(cè)引擎、日志和報(bào)警子系統(tǒng)內(nèi)置了一套插件子系統(tǒng)，作為系統(tǒng)擴(kuò)展的手段模式特征鏈——規(guī)則鏈命令行方式運(yùn)行，也可以用作一個(gè)sniffer工具Snort日志和報(bào)警子系統(tǒng)當(dāng)匹配到特定的規(guī)則之后，檢測(cè)引擎會(huì)觸發(fā)相應(yīng)的動(dòng)作日志記錄動(dòng)作，三種格式解碼之后的二進(jìn)制數(shù)據(jù)包文本形式的IP結(jié)構(gòu)Tcpdump格式如果考慮性能的話，應(yīng)選擇tcpdump格式，或者關(guān)閉logging功能報(bào)警動(dòng)作，包括Syslog記錄到alert文本文件中發(fā)送WinPopup消息文本格式Alert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]07/27.13:33:58.3145129:896->5:111①②③④⑤UDPTTL:64TOS:0X0ID:33481⑥⑦⑧⑨LEN:64⑩2.Detectwasgeneratedby.a.Snortintrustiondetectionsystemv.1.6.3onaRedHat6.2Linuxlaptopb.Formatofthealert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]Snort（IDS）日志分析(一)基于Libpcap數(shù)據(jù)包收集程序開發(fā)的IDSSnort警示信息中注意的問題：在警示信息名前后必須有『**』與TCPdump格式相似在警示信息名中可以找到產(chǎn)生Snort警示信息的過濾條件Snort（IDS）日志分析(二)Alert:

[**]IDS024.RPC.Portmap.request.ttdbserv[**]

07/27.13:33:58.3145129:8965:111

UDPTTL:64TOS:0X0ID:33481

LEN:642.Detectwasgeneratedby.

a.Snor