《日志管理与分析权威指南》一3.3.3 安全主机日志-阿里云开发者社区

开发者社区> 华章计算机> 正文

《日志管理与分析权威指南》一3.3.3 安全主机日志

简介:
+关注继续查看

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.3.3 安全主机日志

这一类别包括来自在主机上运行具备安全保护功能的应用程序的主机日志。和上面提到的和安全有关或无关的日志不同,这些安全日志总是有趣的,因为它们与攻击、入侵、感染等相关。但是,在许多情况下,安全机制可能会撒谎,造成各种类型的虚假警报(例如著名的“假阳性”)。
主机入侵检测与预防
从20世纪90年代初第一代商业化系统出现以来,主机入侵检测系统(HIDS)和入侵预防系统(HIPS)的定义和任务已经得到了发展。顺便提一句,最早的系统实际上查看日志,试图对这些日志应用入侵跟踪特征。HIDS的功能已经被扩展,还监控文件系统的变化和其他未授权的系统修改。
现在,这类系统能够检测和拦截各种网络、操作系统和应用程序攻击。HIDS只发出警报,HIPS还可以根据特征、动态规则和其他机制拦截攻击。
这类系统生成的大部分事件记录与如下方面相关:

  • 检测到的侦察或者探查行为。
  • 对可执行文件的修改。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的这条消息说明,通过监控FTP日志,发现了一次Nessus漏洞扫描器探查。

  • 检测到攻击

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测并拦截攻击。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测到成功的入侵。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 不安全的系统重新配置或者损坏。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的消息显示了关键系统文件删除警报。

  • 身份认证或者授权失败。

示例(Dragon HIDS):
image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7238 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
8920 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
10522 0
日志服务查询分析支持IP、域名、URL安全识别
日志服务依托全球白帽子共享安全资产库,提供安全检测函数,用户只需要将日志中任意的IP、域名或者URL传给安全检测函数,即可检测是否安全。
1854 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载