看看你的愛(ài)機是不是正被別人控制，Windows日志與入侵檢測

系統日志源自航海日志：當人們出海遠行的時(shí)候，總是要做好航海日志，以便為以后的工作做出依據為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。日志文件作為微軟Windows系列操作系統中的一個(gè)比較特殊的文件，在安全方面具有無(wú)可替代的價(jià)值。日志每天為我們忠實(shí)的記錄著(zhù)系統所發(fā)生一切，利用系統日志文件，可以使系統管理員快速對潛在的系統入侵作出記錄和預測，但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為黑客們光臨才會(huì )使我們想起這個(gè)重要的系統日志文件。

　　7.1 日志文件的特殊性

　　要了解日志文件，首先就要從它的特殊性講起，說(shuō)它特殊是因為這個(gè)文件由系統管理，并加以保護，一般情況下普通用戶(hù)不能隨意更改為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。我們不能用針對普通TXT文件的編輯方法來(lái)編輯它。例如WPS系列、Word系列、寫(xiě)字板、Edit等等，都奈何它不得。我們甚至不能對它進(jìn)行“重命名”或“刪除”、“移動(dòng)”操作，否則系統就會(huì )很不客氣告訴你:訪(fǎng)問(wèn)被拒絕。當然，在純DOS的狀態(tài)下，可以對它進(jìn)行一些常規操作(例如Win98狀態(tài)下)，但是你很快就會(huì )發(fā)現，你的修改根本就無(wú)濟于事，當重新啟動(dòng)Windows 98時(shí)，系統將會(huì )自動(dòng)檢查這個(gè)特殊的文本文件，若不存在就會(huì )自動(dòng)產(chǎn)生一個(gè)；若存在的話(huà)，將向該文本追加日志記錄。

　　7.1.1 黑客為什么會(huì )對日志文件感興趣

　　黑客們在獲得服務(wù)器的系統管理員權限之后就可以隨意破壞系統上的文件了，包括日志文件為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。但是這一切都將被系統日志所記錄下來(lái)，所以黑客們想要隱藏自己的入侵蹤跡，就必須對日志進(jìn)行修改。最簡(jiǎn)單的方法就是刪除系統日志文件，但這樣做一般都是初級黑客所為，真正的高級黑客們總是用修改日志的方法來(lái)防止系統管理員追蹤到自己，網(wǎng)絡(luò )上有很多專(zhuān)門(mén)進(jìn)行此類(lèi)功能的程序，例如Zap、Wipe等。

　　7.1.2 Windows系列日志系統簡(jiǎn)介

　　1.Windows 98的日志文件

　　因目前絕大多數的用戶(hù)還是使用的操作系統是Windows 98，所以本節先從Windows 98的日志文件講起為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。Windows 98下的普通用戶(hù)無(wú)需使用系統日志，除非有特殊用途，例如，利用Windows 98建立個(gè)人Web服務(wù)器時(shí)，就會(huì )需要啟用系統日志來(lái)作為服務(wù)器安全方面的參考，當已利用Windows 98建立個(gè)人Web服務(wù)器的用戶(hù)，可以進(jìn)行下列操作來(lái)啟用日志功能。

　　(1)在“控制面板”中雙擊“個(gè)人Web服務(wù)器”圖標；(必須已經(jīng)在配置好相關(guān)的網(wǎng)絡(luò )協(xié)議，并添加“個(gè)人Web服務(wù)器”的情況下)為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　(2)在“管理”選項卡中單擊“管理”按鈕； 　　

　　(3)在“Internet服務(wù)管理員”頁(yè)中單擊“WWW管理”； 　　

　　(4)在“WWW管理”頁(yè)中單擊“日志”選項卡； 　　

　　(5)選中“啟用日志”復選框，并根據需要進(jìn)行更改為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項卡中沒(méi)有指定日志文件的目錄，則文件將被保存在Windows文件夾中。

　　普通用戶(hù)可以在Windows 98的系統文件夾中找到日志文件schedlog.txt為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。我們可以通過(guò)以下幾種方法找到它。在“開(kāi)始”/“查找”中查找到它，或是啟動(dòng)“任務(wù)計劃程序”，在“高級”菜單中單擊“查看日志”來(lái)查看到它。Windows 98的普通用戶(hù)的日志文件很簡(jiǎn)單，只是記錄了一些預先設定的任務(wù)運行過(guò)程，相對于作為服務(wù)器的NT操作系統，真正的黑客們很少對Windows 98發(fā)生興趣。所以Windows 98下的日志不為人們所重視。

　　2.Windows NT下的日志系統

　　Windows NT是目前受到攻擊較多的操作系統，在Windows NT中，日志文件幾乎對系統中的每一項事務(wù)都要做一定程度上的審計為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。Windows NT的日志文件一般分為三類(lèi)：

　　系統日志 ：跟蹤各種各樣的系統事件，記錄由 Windows NT 的系統組件產(chǎn)生的事件為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。例如，在啟動(dòng)過(guò)程加載驅動(dòng)程序錯誤或其它系統組件的失敗記錄在系統日志中。

　　應用程序日志：記錄由應用程序或系統程序產(chǎn)生的事件，比如應用程序產(chǎn)生的裝載dll(動(dòng)態(tài)鏈接庫)失敗的信息將出現在日志中為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　安全日志 ：記錄登錄上網(wǎng)、下網(wǎng)、改變訪(fǎng)問(wèn)權限以及系統啟動(dòng)和關(guān)閉等事件以及與創(chuàng )建、打開(kāi)或刪除文件等資源使用相關(guān)聯(lián)的事件為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。利用系統的“事件管理器”可以指定在安全日志中記錄需要記錄的事件，安全日志的默認狀態(tài)是關(guān)閉的。

　　Windows NT的日志系統通常放在下面的位置，根據操作系統的不同略有變化為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　C:\systemroot\system32\config\sysevent.evt

　　C:\systemroot\system32\config\secevent.evt

　　C:\systemroot\system32\config\appevent.evt

　　Windows NT使用了一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在“控制面板”中找到，系統管理員可以使用事件查看器選擇要查看的日志條目，查看條件包括類(lèi)別、用戶(hù)和消息類(lèi)型為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　3.Windows 2000的日志系統

　　與Windows NT一樣，Windows 2000中也一樣使用“事件查看器”來(lái)管理日志系統，也同樣需要用系統管理員身份進(jìn)入系統后方可進(jìn)行操作，如圖7-1所示為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　圖7-1

　　在Windows 2000中，日志文件的類(lèi)型比較多，通常有應用程序日志，安全日志、系統日志、DNS服務(wù)器日志、FTP日志、時(shí)，事件日志服務(wù)會(huì )自動(dòng)啟動(dòng)，所有用戶(hù)都可以查看“應用程序日志”，但是只有系統管理員才能訪(fǎng)問(wèn)“安全日志”和“系統日志”。系統默認的情況下會(huì )關(guān)閉“安全日志”，但我們可以使用“組策略”來(lái)啟用“安全日志”開(kāi)始記錄。安全日志一旦開(kāi)啟，就會(huì )無(wú)限制的記錄下去，直到裝滿(mǎn)時(shí)停止運行。

　　Windows 2000日志文件默認位置：

　　應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%\sys tem32\config，默認文件大小512KB，但有經(jīng)驗的系統管理員往往都會(huì )改變這個(gè)默認大小為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT

　　系統日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT

　　應用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT

　　Internet信息服務(wù)FTP日志默認位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　Internet信息服務(wù)文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　Scheduler服務(wù)器日志默認位置：c:\systemroot\schedlgu.txt 為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。該日志記錄了訪(fǎng)問(wèn)者的IP，訪(fǎng)問(wèn)的時(shí)間及請求訪(fǎng)問(wèn)的內容。

　　因Windows2000延續了NT的日志文件，并在其基礎上又增加了FTP和目錄下，默認是每天一個(gè)日志文件，

　　FTP和文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。具體方法本節略。

　　Windows 2000中提供了一個(gè)叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很強的日志管理功能，它可以使用戶(hù)不必在讓人眼花繚亂的日志中慢慢尋找某條記錄，而是通過(guò)分類(lèi)的方式將各種事件整理好，讓用戶(hù)能迅速找到所需要的條目為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。它的另一個(gè)突出特點(diǎn)是能夠對整個(gè)網(wǎng)絡(luò )環(huán)境中多個(gè)系統的各種活動(dòng)同時(shí)進(jìn)行分析，避免了一個(gè)個(gè)單獨去分析的麻煩。

　　4.Windows XP日志文件

　　說(shuō)Windows XP的日志文件，就要先說(shuō)說(shuō)Internet連接防火墻(ICF)的日志，ICF的日志可以分為兩類(lèi)：一類(lèi)是ICF審核通過(guò)的IP數據包，而一類(lèi)是ICF拋棄的IP數據包為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。日志一般存于Windows目錄之下，文件名是pfirewall.log。其文件格式符合W3C擴展日志文件格式(W3C Extended Log File Format)，分為兩部分，分別是文件頭(Head Information)和文件主體(Body Information)。文件頭主要是關(guān)于Pfirewall.log這個(gè)文件的說(shuō)明，需要注意的主要是文件主體部分。文件主體部分記錄有每一個(gè)成功通過(guò)ICF審核或者被ICF所拋棄的IP數據包的信息，包括源地址、目的地址、端口、時(shí)間、協(xié)議以及其他一些信息。理解這些信息需要較多的TCP/IP協(xié)議的知識。ICF生成安全日志時(shí)使用的格式是W3C擴展日志文件格式，這與在常用日志分析工具中使用的格式類(lèi)似。 當我們在WindowsXP的“控制面板”中，打開(kāi)事件查看器，如圖7-2所示。

　　就可以看到WindowsXP中同樣也有著(zhù)系統日志、安全日志和應用日志三種常見(jiàn)的日志文件，當你單擊其中任一文件時(shí)，就可以看見(jiàn)日志文件中的一些記錄，如圖7-3所示為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　圖7-2 圖7-3

　　在高級設備中，我們還可以進(jìn)行一些日志的文件存放地址、大小限制及一些相關(guān)操作，如圖7-4所示為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　圖7-4

　　若要啟用對不成功的連接嘗試的記錄，請選中“記錄丟棄的數據包”復選框，否則禁用為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。另外，我們還可以用金山網(wǎng)鏢等工具軟件將“安全日志”導出和被刪除。

　　5.日志分析

　　當日志每天都忠實(shí)的為用戶(hù)記錄著(zhù)系統所發(fā)生的一切的時(shí)候，用戶(hù)同樣也需要經(jīng)常規范管理日志，但是龐大的日志記錄卻又令用戶(hù)茫然失措，此時(shí)，我們就會(huì )需要使用工具對日志進(jìn)行分析、匯總，日志分析可以幫助用戶(hù)從日志記錄中獲取有用的信息，以便用戶(hù)可以針對不同的情況采取必要的措施為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.2 系統日志的刪除

　　因操作系統的不同，所以日志的刪除方法也略有變化，本文從Windows 98和Windows 2000兩種有明顯區別的操作系統來(lái)講述日志的刪除為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.2.1 Windows 98下的日志刪除

　　在純DOS下啟動(dòng)計算機，用一些常用的修改或刪除命令就可以消除Windows 98日志記錄為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。當重新啟動(dòng)Windows98后，系統會(huì )檢查日志文件的存在，如果發(fā)現日志文件不存在，系統將自動(dòng)重建一個(gè)，但原有的日志文件將全部被消除。

　　7.2.2 Windows 2000的日志刪除

　　Windows 2000的日志可就比Windows 98復雜得多了，我們知道，日志是由系統來(lái)管理、保護的，一般情況下是禁止刪除或修改，而且它還與注冊表密切相關(guān)為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。在Windows 2000中刪除日志首先要取得系統管理員權限，因為安全日志和系統日志必須由系統管理員方可查看，然后才可以刪除它們。

　　我們將針對應用程序日志，安全日志、系統日志、DNS服務(wù)器日志、FTP日志、所示。

　　圖7-5

　　輸入遠程計算機的IP，然后需要等待，選擇遠程計算機的安全性日志，點(diǎn)擊屬性里的“清除日志”按鈕即可為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.3 發(fā)現入侵蹤跡

　　如何當入侵者企圖或已經(jīng)進(jìn)行系統的時(shí)候，及時(shí)有效的發(fā)現蹤跡是目前防范入侵的熱門(mén)話(huà)題之一為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。發(fā)現入侵蹤跡的前題就是應該有一個(gè)入侵特征數據庫，我們一般使用系統日志、防火墻、檢查IP報頭(IP header)的來(lái)源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來(lái)判斷是否有入侵跡象。

　　我們先來(lái)學(xué)習一下如何利用端口的常識來(lái)判斷是否有入侵跡象：

　　電腦在安裝以后，如果不加以調整，其默認開(kāi)放的端口號是139，如果不開(kāi)放其它端口的話(huà)，黑客正常情況下是無(wú)法進(jìn)入系統的為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。如果平常系統經(jīng)常進(jìn)行病毒檢查的話(huà)，而突然間電腦上網(wǎng)的時(shí)候會(huì )感到有反應緩慢、鼠標不聽(tīng)使喚、藍屏、系統死機及其它種種不正常的情況，我們就可以判斷有黑客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時(shí)，我們就可以采取一些方法來(lái)清除它，具體方法在本書(shū)的相關(guān)章節可以查閱。

　　7.3.1 遭受入侵時(shí)的跡象

　　入侵總是按照一定的步驟在進(jìn)行，有經(jīng)驗的系統管理員完全可以通過(guò)觀(guān)察到系統是否出現異?，F象來(lái)判斷入侵的程度為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　1.掃描跡象

　　當系統收到連續、反復的端口連接請求時(shí)，就可能意味著(zhù)入侵者正在使用端口掃描器對系統進(jìn)行外部掃描為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。高級黑客們可能會(huì )用秘密掃描工具來(lái)躲避檢測，但實(shí)際上有經(jīng)驗的系統管理員還是可以通過(guò)多種跡象來(lái)判斷一切。

　　2.利用攻擊

　　當入侵者使用各種程序對系統進(jìn)行入侵時(shí)，系統可能報告出一些異常情況，并給出相關(guān)文件(IDS常用的處理方法)，當入侵者入侵成功后，系統總會(huì )留下或多或少的破壞和非正常訪(fǎng)問(wèn)跡象，這時(shí)就應該發(fā)現系統可能已遭遇入侵為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　3.DoS或DDoS攻擊跡象

　　這是當前入侵者比較常用的攻擊方法，所以當系統性能突然間發(fā)生嚴重下降或完全停止工作時(shí)，應該立即意識到，有可能系統正在遭受拒絕服務(wù)攻擊，一般的跡象是CPU占用率接近90%以上，網(wǎng)絡(luò )流量緩慢、系統出現藍屏、頻繁重新啟動(dòng)等為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.3.2 合理使用系統日志做入侵檢測

　　系統日志的作用和重要性大家通過(guò)上幾節的講述，相信明白了不少，但是雖然系統自帶的日志完全可以告訴我們系統發(fā)生的任何事情，然而，由于日志記錄增加得太快了，最終使日志只能成為浪費大量磁盤(pán)空間的垃圾，所以日志并不是可以無(wú)限制的使用，合理、規范的進(jìn)行日志管理是使用日志的一個(gè)好方法，有經(jīng)驗的系統管理員就會(huì )利用一些日志審核工具、過(guò)濾日志記錄工具，解決這個(gè)問(wèn)題為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　要最大程度的將日志文件利用起來(lái)，就必須先制定管理計劃為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　1.指定日志做哪些記錄工作為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件？

　　2.制定可以得到這些記錄詳細資料的觸發(fā)器為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.3.3 一個(gè)比較優(yōu)秀的日志管理軟件

　　要想迅速的從繁多的日志文件記錄中查找到入侵信息，就要使用一些專(zhuān)業(yè)的日志管理工具為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。Surfstats Log Analyzer4.6就是這么一款專(zhuān)業(yè)的日志管理工具。網(wǎng)絡(luò )管理員通過(guò)它可以清楚的分析“l(fā)og”文件，從中看出網(wǎng)站目前的狀況，并可以從該軟件的“報告”中，看出有多少人來(lái)過(guò)你的網(wǎng)站、從哪里來(lái)、在系統中大量地使用了哪些搜尋字眼，從而幫你準確地了解網(wǎng)站狀況。

　　這個(gè)軟件最主要的功能有：

　　1、整合了查閱及輸出功能為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件，并可以定期用屏幕、文件、FTP或E-mail的方式輸出結果；

　　2.可以提供30多種匯總的資料；

　　3.能自動(dòng)偵測文件格式為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件，并支持多種通用的log文件格式，如MS IIS的W3 Extended log格式；

　　4.在“密碼保護”的目錄里為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件，增加認證(Authenticated)使用者的分析報告；

　　5.可按每小時(shí)、每星期、或每月的模式來(lái)分析；

　　6.DNS資料庫會(huì )儲存解析(Resolved)的IP地址；

　　7.每個(gè)分析的畫(huà)面都可以設定不同的背景、字型、顏色為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　發(fā)現入侵蹤跡的方法很多，如入侵檢測系統IDS就可以很好的做到這點(diǎn)為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。下一節我們將講解詳細的講解入侵檢測系統。

　　7.4 做好系統入侵檢測

　　7.4.1 什么是入侵檢測系統

　　在人們越來(lái)越多和網(wǎng)絡(luò )親密接觸的同時(shí)，被動(dòng)的防御已經(jīng)不能保證系統的安全，針對日益繁多的網(wǎng)絡(luò )入侵事件，我們需要在使用防火墻的基礎上選用一種協(xié)助防火墻進(jìn)行防患于未然的工具，這種工具要求能對潛在的入侵行為作出實(shí)時(shí)判斷和記錄，并能在一定程度上抗擊網(wǎng)絡(luò )入侵，擴展系統管理員的安全管理能力，保證系統的絕對安全性為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。使系統的防范功能大大增強，甚至在入侵行為已經(jīng)被證實(shí)的情況下，能自動(dòng)切斷網(wǎng)絡(luò )連接，保護主機的絕對安全。在這種情形下，入侵檢測系統IDS(Intrusion Detection System)應運而生了。入侵檢測系統是基于多年對網(wǎng)絡(luò )安全防范技術(shù)和黑客入侵技術(shù)的研究而開(kāi)發(fā)的網(wǎng)絡(luò )安全產(chǎn)品

　　它能夠實(shí)時(shí)監控網(wǎng)絡(luò )傳輸，自動(dòng)檢測可疑行為，分析來(lái)自網(wǎng)絡(luò )外部入侵信號和內部的非法活動(dòng)，在系統受到危害前發(fā)出警告，對攻擊作出實(shí)時(shí)的響應，并提供補救措施，最大程度地保障系統安全為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　NestWatch

　　這是一款運行于Windows NT的日志管理軟件，它可以從服務(wù)器和防火墻中導入日志文件，并能以HTML的方式為系統管理員提供報告為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.4.2 入侵檢測系統和日志的差異

　　系統本身自帶的日志功能可以自動(dòng)記錄入侵者的入侵行為，但它不能完善地做好入侵跡象分析記錄工作，而且不能準確地將正常的服務(wù)請求和惡意的入侵行為區分開(kāi)為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。例如，當入侵者對主機進(jìn)行CGI掃描時(shí)，系統安全日志能提供給系統管理員的分析數據少得可憐，幾乎全無(wú)幫助，而且安全日志文件本身的日益龐大的特性，使系統管理員很難在短時(shí)間內利用工具找到一些攻擊后所遺留下的痕跡。入侵檢測系統就充分的將這一點(diǎn)做的很好，利用入侵檢測系統提供的報告數據，系統管理員將十分輕松的知曉入侵者的某些入侵企圖，并能及時(shí)做好防范措施。

　　7.4.3 入侵檢測系統的分類(lèi)

　　目前入侵檢測系統根據功能方面為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件，可以分為四類(lèi)：

　　1.系統完整性校驗系統(SIV)

　　SIV可以自動(dòng)判斷系統是否有被黑客入侵跡象，并能檢查是否被系統入侵者更改了系統文件，以及是否留有后門(mén)(黑客們?yōu)榱讼乱淮喂忸欀鳈C留下的)，監視針對系統的活動(dòng)(用戶(hù)的命令、登錄/退出過(guò)程，使用的數據等等)，這類(lèi)軟件一般由系統管理員控制為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　2.網(wǎng)絡(luò )入侵檢測系統(NIDS)

　　NIDS可以實(shí)時(shí)的對網(wǎng)絡(luò )的數據包進(jìn)行檢測，及時(shí)發(fā)現端口是否有黑客掃描的跡象為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。監視計算機網(wǎng)絡(luò )上發(fā)生的事件，然后對其進(jìn)行安全分析，以此來(lái)判斷入侵企圖；分布式IDS通過(guò)分布于各個(gè)節點(diǎn)的傳感器或者代理對整個(gè)網(wǎng)絡(luò )和主機環(huán)境進(jìn)行監視，中心監視平臺收集來(lái)自各個(gè)節點(diǎn)的信息監視這個(gè)網(wǎng)絡(luò )流動(dòng)的數據和入侵企圖。

　　3.日志分析系統(LFM)

　　日志分析系統對于系統管理員進(jìn)行系統安全防范來(lái)說(shuō)，非常重要，因為日志記錄了系統每天發(fā)生的各種各樣的事情，用戶(hù)可以通過(guò)日志記錄來(lái)檢查錯誤發(fā)生的原因，或者受到攻擊時(shí)攻擊者留下的痕跡為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。日志分析系統的主要功能有：審計和監測、追蹤侵入者等。日志文件也會(huì )因大量的記錄而導致系統管理員用一些專(zhuān)業(yè)的工具對日志或者報警文件進(jìn)行分析。此時(shí)，日志分析系統就可以起作用了，它幫助系統管理員從日志中獲取有用的信息，使管理員可以針對攻擊威脅采取必要措施。

　　4.欺騙系統(DS)

　　普通的系統管理員日常只會(huì )對入侵者的攻擊作出預測和識別，而不能進(jìn)行反擊為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作，欺騙系統(DS)通過(guò)模擬一些系統漏洞來(lái)欺騙入侵者，當系統管理員通過(guò)一些方法獲得黑客企圖入侵的跡象后，利用欺騙系統可以獲得很好的效果。例如重命名NT上的administrator賬號，然后設立一個(gè)沒(méi)有權限的虛假賬號讓黑客來(lái)攻擊，在入侵者感覺(jué)到上當的時(shí)候，管理員也就知曉了入侵者的一舉一動(dòng)和他的水平高低。

　　7.4.4 入侵檢測系統的檢測步驟

　　入侵檢測系統一般使用基于特征碼的檢測方法和異常檢測方法，在判斷系統是否被入侵前，入侵檢測系統首先需要進(jìn)行一些信息的收集為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。信息的收集往往會(huì )從各個(gè)方面進(jìn)行。例如對網(wǎng)絡(luò )或主機上安全漏洞進(jìn)行掃描，查找非授權使用網(wǎng)絡(luò )或主機系統的企圖，并從幾個(gè)方面來(lái)判斷是否有入侵行為發(fā)生。

　　檢測系統接著(zhù)會(huì )檢查網(wǎng)絡(luò )日志文件，因為黑客非常容易在會(huì )在日志文件中留下蛛絲馬跡，因此網(wǎng)絡(luò )日志文件信息是常常作為系統管理員檢測是否有入侵行為的主要方法為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。取得系統管理權后，黑客們最喜歡做的事，就是破壞或修改系統文件，此時(shí)系統完整性校驗系統(SIV)就會(huì )迅速檢查系統是否有異常的改動(dòng)跡象，從而判斷入侵行為的惡劣程度。將系統運行情況與常見(jiàn)的入侵程序造成的后果數據進(jìn)行比較，從而發(fā)現是否被入侵。例如：系統遭受DDoS分布式攻擊后，系統會(huì )在短時(shí)間內性能?chē)乐叵陆担?檢測系統此時(shí)就可以判斷已經(jīng)被入侵。

　　入侵檢測系統還可以使用一些系統命令來(lái)檢查、搜索系統本身是否被攻擊為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。當收集到足夠的信息時(shí)，入侵檢測系統就會(huì )自動(dòng)與本身數據庫中設定的已知入侵方式和相關(guān)參數匹配，檢測準確率相當的高，讓用戶(hù)感到不方便的是，需要不斷的升級數據庫。否則，無(wú)法跟上網(wǎng)絡(luò )時(shí)代入侵工具的步伐。入侵檢測的實(shí)時(shí)保護功能很強，作為一種“主動(dòng)防范”的檢測技術(shù)，檢測系統能迅速提供對系統攻擊、網(wǎng)絡(luò )攻擊和用戶(hù)誤操作的實(shí)時(shí)保護，在預測到入侵企圖時(shí)本身進(jìn)行攔截和提醒管理員預防。

　　7.4.5 發(fā)現系統被入侵后的步驟

　　1.仔細尋找入侵者是如何進(jìn)入系統的，設法堵住這個(gè)安全漏洞為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　2.檢查所有的系統目錄和文件是否被篡改過(guò)，盡快修復為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　3.改變系統中的部分密碼，防止再次因密碼被暴力破解而生產(chǎn)的漏洞為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　7.4.6 常用入侵檢測工具介紹

　　1.NetProwler

　　作為世界級的互聯(lián)網(wǎng)安全技術(shù)廠(chǎng)商，賽門(mén)鐵克公司的產(chǎn)品涉及到網(wǎng)絡(luò )安全的方方面面，特別是在安全漏洞檢測、入侵檢測、互聯(lián)網(wǎng)內容/電子郵件過(guò)濾、遠程管理技術(shù)和安全服務(wù)方面，賽門(mén)鐵克的先進(jìn)技術(shù)的確讓人驚嘆！NetProwler就是一款賽門(mén)鐵克基于網(wǎng)絡(luò )入侵檢測開(kāi)發(fā)出的工具軟件，NetProwler采用先進(jìn)的擁有專(zhuān)利權的動(dòng)態(tài)信號狀態(tài)檢測(SDSI)技術(shù)，使用戶(hù)能夠設計獨特的攻擊定義為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。即使最復雜的攻擊也可以由它直觀(guān)的攻擊定義界面產(chǎn)生。

　　(1)NetProwler的體系結構

　　NetProwler具有多層體系結構，由Agent、Console和Manager三部分組成為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。Agent負責監視所在網(wǎng)段的網(wǎng)絡(luò )數據包。將檢測到的攻擊及其所有相關(guān)數據發(fā)送給管理器，安裝時(shí)應與企業(yè)的網(wǎng)絡(luò )結構和安全策略相結合。Console負責從代理處收集信息，顯示所受攻擊信息，使你能夠配置和管理隸屬于某個(gè)管理器的代理。Manager對配置和攻擊警告信息響應，執行控制臺發(fā)布的命令，將代理發(fā)出的攻擊警告傳遞給控制臺。

　　當NetProwler發(fā)現攻擊時(shí)，立即會(huì )把攻擊事件記入日志并中斷網(wǎng)絡(luò )連接、創(chuàng )建一個(gè)報告，用文件或E-mail通知系統管理員，最后將事件通知主機入侵檢測管理器和控制臺為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　(2)NetProwler的檢測技術(shù)

　　NetProwler采用具有專(zhuān)利技術(shù)的SDSI(Stateful Dynamic Signature Inspection狀態(tài)化的動(dòng)態(tài)特征檢測)入侵檢測技術(shù)為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。在這種設計中，每個(gè)攻擊特征都是一組指令集，這些指令是由SDSI虛處理器通過(guò)使用一個(gè)高速緩存入口來(lái)描述目前用戶(hù)狀態(tài)和當前從網(wǎng)絡(luò )上收到數據包的辦法執行。每一個(gè)被監測的網(wǎng)絡(luò )服務(wù)器都有一個(gè)小的相關(guān)攻擊特征集，這些攻擊特征集都是基于服務(wù)器的操作和服務(wù)器所支持的應用而建立的。Stateful根據監視的網(wǎng)絡(luò )傳輸內容，進(jìn)行上下文比較，能夠對復雜事件進(jìn)行有效的分析和記錄

　　基于SDSI技術(shù)的NetProwler工作過(guò)程如下：

　　第一步：SDSI虛擬處理器從網(wǎng)絡(luò )數據中獲取當今的數據包；

　　第二步：把獲取的數據包放入屬于當前用戶(hù)或應用會(huì )話(huà)的狀態(tài)緩沖中；

　　第三步：從特別為優(yōu)化服務(wù)器性能的特征緩沖中執行攻擊特征；

　　第四步：當檢測到某種攻擊時(shí)，處理器立即觸發(fā)響應模塊，以執行相應的響應措施為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　(3)NetProwler工作模式

　　因為是網(wǎng)絡(luò )型IDS，所以NetProwler根據不同的網(wǎng)絡(luò )結構，其數據采集部分(即代理)有多種不同的連接形式：如果網(wǎng)段用總線(xiàn)式的集線(xiàn)器相連，則可將其簡(jiǎn)單的接在集線(xiàn)器的一個(gè)端口上即可為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。

　　(4)系統安裝要求

　　用戶(hù)將NetProwler Agent安裝在一臺專(zhuān)門(mén)的Windows NT工作站上，如果NetProwler和其他應用程序運行在同一臺主機上，則兩個(gè)程序的性能都將受到嚴重影響為什么AI文件打開(kāi)總會(huì )出現無(wú)法打開(kāi)鏈接文件。網(wǎng)絡(luò )入侵檢測系統占用大量的資源，因此制造商一般推薦使用專(zhuān)門(mén)的系統運行驅動(dòng)引擎，要求它有128M RAM和主頻為400MHz的Intel Pentium II或Pentium