入侵检测技术第3章.pptVIP

尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。UNIX操作系统提供门类齐全的系统日志文件，并且能够通过通用日志服务后台程序syslogd来提供标准化的日志服务。UNIX操作系统的主要日志文件可以分成3类：①二进制连接时间日志文件，由多个程序生成，消息写入到/var/log/wtmp和/var/run/utmp，login等系统程序负责更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。②进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（pacct或acct）中写入一条记录。syslogd日志，由syslogd生成并维护。各种系统守护进程、内核、模块使用syslogd记录下自己发出的消息。1另外还有许多UNIX程序创建日志，像http或ftp这样提供网络服务的服务器也保持详细的日志。常用的日志文件如表3-1所示。2utmp、wtmp和lastlog日志文件是多数主要UNIX日志子系统的关键——保持用户登录进入和退出的记录。数据交换、关机和重启也记录在wtmp文件中。所有的记录都包含时间戳。这些文件的规模（除了lastlog）在拥有大量用户的繁忙系统中，将会增长得非常迅速。许多系统以天或周为单位把wtmp配置成循环使用。3utmp、wtmp和lastlog是二进制文件，不能用普通文本查看器查看，只能通过系统命令来查看，主要包括用户名、终端、登录ip、CPU使用时间、正在运行的进程、登录时间和退出时间等内容。UNIX可以跟踪每个用户运行的每条命令。该功能（称为进程日志）对于跟踪系统问题十分有用。它还对跟踪特定入侵者（或恶意用户）的活动很有帮助，但它的缺点是不能记录命令的参数。进程日志文件的名称和位置在不同UNIX版本中有所不同。与连接日志不同，进程日志默认时并不激活，它必须显式地启动。123lastcomm命令报告以前执行的命令。sa命令报告、清理并维护进程日志文件。4syslog可以记录系统事件，可以写消息到一个文件或设备，或是直接给用户发送一个信息。它能记录本地日志或通过网络记录另一个主机上的日志。syslog设备包括两个重要元素：/etc/syslogd（守护程序）和/etc/syslog.conf配置文件。syslogd可以处理的消息类型在/usr/include/sys/syslog.h中进行定义。一个消息可以分成两个部分：“设备”和“优先级”。“设备”标识发出消息的子系统，这是内核定义的所有的设备，如表3-2所示。下面是在内核头文件中定义的所有消息优先级。“优先级”表示消息的重要性，其范围从7（最低）到0（最高）。LOG_EMERG0/*systemisunusable*/LOG_ALERT1/*actionmustbetakenimmediately*/LOG_CRIT2/*criticalconditions*/LOG_ERR3/*errorconditions*/LOG_WARNING4/*warningconditions*/LOG_NOTICE5/*normalbutsignificantcondition*/LOG_INFO6/*informational*/LOG_DEBUG7/*debug-levelmessages*/syslogd的配置文件syslog.conf定义了根据设备和优先级，消息应该发到哪个日志文件中。在图3-6中可以看到在Slackware4.0中命令运行的结果。图3-6/etc/syslog.conf内容#/etc/syslog.conf#Forinfoabouttheformatofthisfile,see″mansyslog.conf″(theBSDman#page),and/usr/doc/sysklogd/README.linux.*.=info;*.=notice/usr/adm/messages*.=debug/usr/adm/debug*.=err/usr/adm/syslog编辑完/etc/syslog.conf文件后，还必须执行以下命令：#killall-HUPsyslogd这样所做的改变才会生效。这个命令发送HUP信号给syslogd守护进程，通知守护进程重新读取配置文件。通过syslogd生成的文件有着如下的统一格式：时间戳：主机名：消息发送者：消息描述。例如下面一行，名为Invent的主机收到来自passwd的