中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之基于安全日志的檢測

       下面是由希賽小編整理的中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之基于安全日志的檢測，希望能幫助學(xué)友們。具體內(nèi)容如下：

       基于安全日志的檢測

       如果入侵行為被iis日志記錄，則基于ns日記可以監(jiān)測相應(yīng)的入侵行為。但是，iis曰志并不能記錄所有的痕跡，在某種情況下甚至不能記錄來自80端口的入侵。IIS只有在一個誚求完成后才會寫入日志，如果一個請求中途失?。ㄖ笍腡CP層上沒有完成HTTP請求，例如POST大量數(shù)據(jù)時異常中斷日志文件中就不會有記錄，入侵者就有可能繞過曰志系統(tǒng)完成大量的活動。

       對于非Web主機，入侵者也可以從其他服務(wù)進(jìn)入服務(wù)器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。

       Windows2000自帶了相當(dāng)強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄。但是，默認(rèn)安裝下安全審核是關(guān)閉的，這種主機被攻擊后根本沒法追蹤入侵者。因此.我們要做的第一步是配置安全審計。

       選擇“管理工具”、“本地安全策略”-“本地策略”-“審核策略”命令，打開必要的審核。

       對審核事件的配置涉及記錄的數(shù)據(jù)量，選擇過多，數(shù)據(jù)量將劇增，過少就達(dá)不到檢測要求。一般來說，“登錄事件”與“賬戶管理”是我們最關(guān)心的事件，同時打開“成功”和“失敗”審核非常必要，其他的審核也要打開失敗審核。除了配置安全審核事件，還要適當(dāng)配置曰志的大小和覆蓋時限，否則，入侵者可以在真正入侵以后，大量偽造入侵請求覆蓋掉以前的記錄。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的曰志。

       設(shè)置了安全日志，還需要制定一個安全日志的檢查機制，養(yǎng)成好的檢査習(xí)慣。推薦的檢査時間是每天上午，因為入侵者喜歡夜間行動。上班第一件事最好看看曰志有沒有異常。

       除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

       返回目錄：中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱