安全运维之日志分析.pptxVIP

谁动了我的服务器(windows篇) 深圳市极限网络科技有限公司 2017-3-28 1 深圳市极限网络科技有限公司 运维安全监控切入点 对一个企业的运维人员来说，监控工作基本上算是工作中的核心，通过实时监控。运维人员可以不断的优化系统性能，及时地备份数据，在服务器出现故障时能够及时的修复，确保企业的服务能够正常开展。 但目前来说，大部分的运维人员并不是专业的网络信息安全人员，服务器被入侵以后不能及时的发现和修补漏洞，甚至有些系统被入侵了好长时间运维人员都一无所知，最终的结果导致内网的核心信息资料泄漏造成严重损失。 从传统防护的角度来说，防火墙是大部分运维人员接触最多的。但由于很多企业采购的防火墙只是起到网络隔离的作用（放行/拒绝），并不能针对已经信任的应用进行行为审计，从而导致攻击事件的发生。 据不完全统计，75%的入侵事件是通过WEB服务进来的，所以我们今天着重讨论下WEB服务器针对入侵行为的几个要点： 1、对网站的日志产生记录进行分析 2、监控网站目录的文件变更 3、监控所有可执行文件及命令的创建 4、对剪贴板的实时监控 深圳市极限网络科技有限公司 一、什么是网站日志 网站日志是WEB服务器接受和处理请求及运行时错误等等各种原始通讯信息的记录文件。通常存放在WEB服务器安装目录的logs目录中，一般以.log为后缀，网站日志一般都是采用比较有规律的名字来命名的，通常为文件名+日期的方式，也有只有一个日志的情况，这个一般是根据系统的设定来自动生成的。 深圳市极限网络科技有限公司 二、日志的生成过程 深圳市极限网络科技有限公司 三、为什么要分析网站日志 通过分析网站日志，我们可以清楚的得知用户是什么IP、什么时间、用什么操作系统、什么浏览器、什么分辨率显示器的情况下访问了你网站的哪个页面，是否访问成功。 无论什么类型的网站日志，有几个记录是最基本的： 1、访问的IP 2、访问的页面 3、访问的时间 4、访问是否成功（HTTP状态吗） 深圳市极限网络科技有限公司 四、如何去触发自动化的日志分析呢 由于手工分析日志效率太慢，已经慢慢被半自动化或者全自动化分析给替代了，我们今天主要将的是自动化分析这种。 如果我们需要实时分析日志，那么就需要针对日志的文件变更进行检测：那么外面可以采用filelength 函数来实现，可以通过每一段时间就获取一次文件的大小，建议不要太短时间，我们可以采取每10秒就读一次！或者20秒，30秒，不建议太频繁 深圳市极限网络科技有限公司 五、如何高效的去读这些日志文件呢 日志文件通常是由WEB服务器占有打开，所以我们必须使用共享样式打开日志文件。例如下面采用VB.NET使用共享锁方式打开日志文件。常规FileOpen会导致“The process cannot access the file xxx.log because it is being used by another process.” Dim fs As New FileStream(“xxx.log, FileMode.Open, FileAccess.Read, FileShare.ReadWrite) Dim read As New IO.StreamReader(fs, System.Text.Encoding.Default) Dim txt As String If log_all_Len 0 Then read.BaseStream.Seek(log_all_Len, IO.SeekOrigin.Begin) End If While read.Peek 0 txt = read.ReadLine If txt.Length = 0 Then Continue While log_all_Len += txt.Length + 2 ListBox1.Items.Add(txt | log_all_Len) End While read.Close() 深圳市极限网络科技有限公司 六、如何判断是攻击行为呢 通常，无论是任何型号的行为监控设备，安全预警设备，IDS,IPS，防火墙等等，都会有一个特征库，特征库也就是根据特定的关键字，或者特定行为进行判断这个是属于哪种活动，由于我们主要是分析日志，所以外面的主要特征是采用关键字分析这种，更灵活的也可以采用正则，但是正则的贪婪模式也觉决定了匹配效率的性能下降，但是这个已经足够日常的特征匹配分析了。 下面列举一些常见的关键字，当然，实际上规则可能非常多，这里就不一一列举 注入类型的关键字