表3—7 计算机网络系统的审核日志 异常行为与入侵检测工具举例由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“入侵检测工具的使用”。
表3—7 计算机网络系统的审核日志 异常行为与入侵检测工具举例
审核日志异常行为检测工具多次失败的登录尝试
在不同的时间持续尝试各用户的IDSystemUNIX系统日志尝试获取根特权的失败次数Agent Ex试图访问或改变系统关键文件或程序Tripwire试图改变不同账号的用户或组的权限TCP-Wrapper
文件丢失
进行端口扫描
路由器系统日志从某一源地址或一系列地址发出的大量同一
行为或多次失败的登录尝试Log Parser
多次试图进入enable模式的失败
对路由器节点扫描的尝试
网络监控器日志监控包的TCP/IP类型和已知攻击类型的Netman
包模式ISS
应用日志大量的错误日志内容Log Parser异常接入尝试WINDOWS NT日志----审计日志无效接入日志,应用相关日志Event Viewer
----事件日志
未被发现的未经授权的活动会导致重复的滥用,因此,组织应采取适当的措施对
信息系统访问与使用活动进行监视,探测与访问控制方针的偏离,记录可监控事
件,万一有安全事故发生,能方便的提供客观证据;对监控的结果要进行检查,验证与访问控制方针的符合性。
1、建立并保存事件记录组织应建立审核日志(Audit log)以记录异常情况和其他有关安全事项的事件,审核日志应按规定的时间予以保留,以便支持将来事故调查和访问控制监督。审
核日志一般由系统检测工具按照事先的设置自动生成。审核日志的内容一般包
括:
(1)用户标识符(ID)
(2)登录和注销的日期及时间
(3)(若可能)终端身份(标识)或位置
(4)成功的和被拒绝的对数据和其他资源访问的记录
网络系统的审核日志、异常行为和检测工具如上表所示:
