具体的入侵检测系统NFR公司的NID系统.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ③syslogd日志，由syslogd生成并维护。各种系统守护进程、内核、模块使用syslogd记录下自己发出的消息。 另外还有许多UNIX程序创建日志，像http 或ftp这样提供网络服务的服务器也保持详细的日志。常用的日志文件如表3-1所示。 utmp、wtmp和lastlog日志文件是多数主要UNIX日志子系统的关键——保持用户登录进入和退出的记录。数据交换、关机和重启也记录在wtmp文件中。所有的记录都包含时间戳。这些文件的规模（除了lastlog）在拥有大量用户的繁忙系统中，将会增长得非常迅速。许多系统以天或周为单位把wtmp配置成循环使用。 utmp、wtmp和lastlog是二进制文件，不能用普通文本查看器查看，只能通过系统命令来查看，主要包括用户名、终端、登录ip、CPU使用时间、正在运行的进程、登录时间和退出时间等内容。 UNIX可以跟踪每个用户运行的每条命令。该功能（称为进程日志）对于跟踪系统问题十分有用。它还对跟踪特定入侵者（或恶意用户）的活动很有帮助，但它的缺点是不能记录命令的参数。进程日志文件的名称和位置在不同UNIX 版本中有所不同。 与连接日志不同，进程日志默认时并不激活，它必须显式地启动。 lastcomm命令报告以前执行的命令。sa命令报告、清理并维护进程日志文件。 syslog可以记录系统事件，可以写消息到一个文件或设备，或是直接给用户发送一个信息。它能记录本地日志或通过网络记录另一个主机上的日志。syslog设备包括两个重要元素： /etc/syslogd（守护程序）和/etc/syslog.conf 配置文件。 syslogd可以处理的消息类型在/usr/include/sys/syslog.h中进行定义。一个消息可以分成两个部分： “设备”和“优先级”。“设备”标识发出消息的子系统，这是内核定义的所有的设备，如表3-2所示。 下面是在内核头文件中定义的所有消息优先级。“优先级”表示消息的重要性，其范围从7（最低）到0（最高）。 LOG_EMERG 0 /* system is unusable */ LOG_ALERT 1 /* action must be taken immediately */ LOG_CRIT 2 /* critical conditions */ LOG_ERR 3 /* error conditions */ LOG_WARNING 4 /* warning conditions */ LOG_NOTICE 5 /* normal but significant condition */ LOG_INFO 6 /* informational */ LOG_DEBUG 7 /* debug-level messages */ syslogd的配置文件syslog.conf定义了根据设备和优先级，消息应该发到哪个日志文件中。在图3-6中可以看到在Slackware 4.0中命令运行的结果。 图3-6 /etc/syslog.conf内容 # /etc/syslog.conf # For info about the format of this file, see ″man syslog.conf″ (the BSD man # page), and /usr/doc/sysklogd/README.linux .*.=info;*.=notice /usr/adm/messages *.=debug /usr/adm/debug *.=err /usr/adm/syslog 编辑完/etc/syslog.conf文件后，还必须执行以下命令： # killall-HUP syslogd 这样所做的改变才会生效。这个命令发送HUP信号给syslogd守护进程，通知守护进程重新读取配置文件。 通过syslogd生成的文件有着如下的统一格式： 时间戳： 主机名： 消息发送者： 消息描述。例如下面一行，名为Invent的主机收到来自passwd的消息，描述用户guest的口令被root改变了。 Jun 12 11∶06∶11 Invent passwd［337］: password for ′progs′ changed by ′root′… 日益复杂化的系统设计，使得单纯从内核底层级别的数据来源来分析判断当前整个系统活动的情况，变得越来越困难；同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用