本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.3.3 安全主机日志
这一类别包括来自在主机上运行具备安全保护功能的应用程序的主机日志。和上面提到的和安全有关或无关的日志不同,这些安全日志总是有趣的,因为它们与攻击、入侵、感染等相关。但是,在许多情况下,安全机制可能会撒谎,造成各种类型的虚假警报(例如著名的“假阳性”)。
主机入侵检测与预防
从20世纪90年代初第一代商业化系统出现以来,主机入侵检测系统(HIDS)和入侵预防系统(HIPS)的定义和任务已经得到了发展。顺便提一句,最早的系统实际上查看日志,试图对这些日志应用入侵跟踪特征。HIDS的功能已经被扩展,还监控文件系统的变化和其他未授权的系统修改。
现在,这类系统能够检测和拦截各种网络、操作系统和应用程序攻击。HIDS只发出警报,HIPS还可以根据特征、动态规则和其他机制拦截攻击。
这类系统生成的大部分事件记录与如下方面相关:
- 检测到的侦察或者探查行为。
- 对可执行文件的修改。
示例(Dragon HIDS):
来自Dragon主机传感器(以前称为Dragon Squire)的这条消息说明,通过监控FTP日志,发现了一次Nessus漏洞扫描器探查。
- 检测到攻击
示例(Linux syslog):
来自Linux syslog的这条消息说明:
- 检测并拦截攻击。
示例(Linux syslog):
来自Linux syslog的这条消息说明:
- 检测到成功的入侵。
示例(Linux syslog):
来自Linux syslog的这条消息说明:
- 不安全的系统重新配置或者损坏。
示例(Dragon HIDS):
来自Dragon主机传感器(以前称为Dragon Squire)的消息显示了关键系统文件删除警报。
- 身份认证或者授权失败。
示例(Dragon HIDS):
