互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)基于安全日志的檢測

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

　　1.基于安全日志的檢測

如果入侵行為被iis日志記錄，則基于ns日記可以監(jiān)測相應(yīng)的入侵行為。但是，iis曰志并不能記錄所有的痕跡，在某種情況下甚至不能記錄來自80端口的入侵。IIS只有在一個誚求完成后才會寫入日志，如果一個請求中途失?。ㄖ笍腡CP層上沒有完成HTTP請求，例如POST大量數(shù)據(jù)時異常中斷日志文件中就不會有記錄，入侵者就有可能繞過曰志系統(tǒng)完成大量的活動。

對于非Web主機，入侵者也可以從其他服務(wù)進入服務(wù)器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。

Windows2000自帶了相當(dāng)強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細的記錄。但是，默認安裝下安全審核是關(guān)閉的，這種主機被攻擊后根本沒法追蹤入侵者。因此.我們要做的第一步是配置安全審計。

選擇“管理工具”、“本地安全策略”-“本地策略”-“審核策略”命令，打開必要的審核。

對審核事件的配置涉及記錄的數(shù)據(jù)量，選擇過多，數(shù)據(jù)量將劇增，過少就達不到檢測要求。一般來說，“登錄事件”與“賬戶管理”是我們最關(guān)心的事件，同時打開“成功”和“失敗”審核非常必要，其他的審核也要打開失敗審核。除了配置安全審核事件，還要適當(dāng)配置曰志的大小和覆蓋時限，否則，入侵者可以在真正入侵以后，大量偽造入侵請求覆蓋掉以前的記錄。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的曰志。

設(shè)置了安全日志，還需要制定一個安全日志的檢查機制，養(yǎng)成好的檢査習(xí)慣。推薦的檢査時間是每天上午，因為入侵者喜歡夜間行動。上班第一件事最好看看曰志有沒有異常。

除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

返回目錄：通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總

編輯相關(guān)推薦：

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點匯總

通信工程師互聯(lián)網(wǎng)技術(shù)考試網(wǎng)絡(luò)操作系統(tǒng)

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)交換技術(shù)教程