2025年电信行业网络安全部专员入侵检测日志手册.docxVIP

2025年电信行业网络安全部专员入侵检测日志手册

第1章系统基础与访问控制

1.1主机登录审计与异常会话分析

登录审计是衡量主机安全基线的第一道防线，需重点记录所有基于用户名和密码的认证尝试，包括成功登录、失败尝试及暴力破解记录。对于正常场景，应包含登录时间、源IP、目标主机名、登录成功状态及成功会话ID的完整日志；对于异常场景，需重点捕捉非工作时间、非工作IP或密码错误次数超过5次的登录行为。异常会话分析需结合会话上下文进行深度研判，不仅关注登录瞬间，还要分析会话生命周期。例如，若检测到某用户从00登录成功，但3分钟内该IP未进行任何网络交互即断开会话，