蓝盾日志分析系统.pptVIP

广东天海威数码技术有限公司 蓝盾日志分析系统 张贺勋 一、入侵检测的过程 1、获取被入侵主机的日志、 进程、注册表等相关信息 2、从中找出所有与入侵行为 相关的信息 3、找出攻击源IP地址 4、获取攻击源主机的日志、 进程、注册表等相关信息 一、入侵检测的过程 5、分析攻击源主机的日志、进程、注册表等相关信息 6、判断攻击源主机是否被控制（肉机） 7、如果是肉机，则找出控制源IP地址 8、如果不是肉机，则为攻击者真实地址 一、入侵检测的难点 一、蓝盾日志分析系统特点 二、系统日志子系统 从系统日志中可找到因攻击而造成服务及应用程序异常的痕迹。 二、系统日志子系统 二、系统日志子系统 蓝盾日志分析系统系统可分析的系统日志包括: 系统日志 应用程序日志 安全日志 DNS日志 二、服务日志子系统 网络服务日志中包含有针对服务漏洞进行攻击的痕迹, 如CGI漏洞等。 二、服务日志子系统 二、服务日志子系统 蓝盾日志分析系统系统可分析的服务日志格式包括: Microsoft IIS日志文件格式 W3C扩充日志文件格式 NCSA公用日志文件格式 APACHE日志文件格式 二、服务日志子系统 蓝盾日志分析系统可分析其日志的网络服务包括: HTTP服务 FTP服务 SMTP服务 NNTP服务 其他网络服务 * 蓝盾安全实验室 肉机？ 攻击发起者地址 被入侵主机 分析日志等信息 攻击源地址 不是 是 蓝盾安全实验室 蓝盾安全实验室 需要检测人员具备丰富的经验和网络安全知识 难于从海量的信息中找出真实的入侵痕迹 有的信息难于手工获取，如进程关联的端口、使用的库文件等 对肉机难于控制, 如当肉机在境外时难于进一步追查 不能快速获取肉机的相关信息 当入侵痕迹被破坏时难于进行侦查 被入侵主机 肉机 攻击发起主机 蓝盾安全实验室 可识别多达1800多种攻击手法留下的痕迹 可获取攻击源的IP地址、攻击时间、攻击效果等攻击行为信息 可给出攻击行为的危害等级 可给出攻击行为采用的攻击手法 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 蓝盾安全实验室 *