freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

入侵檢測技術第3章(編輯修改稿)

2025-06-16 20:43 本頁面
 

【文章內容簡介】 astlog)在擁有大量用戶的繁忙系統中,將會增長得非常迅速。許多系統以天或周為單位把 wtmp配置成循環(huán)使用。 utmp、 wtmp和 lastlog是二進制文件,不能用普通文本查看器查看,只能通過系統命令來查看,主要包括用戶名、終端、登錄 ip、 CPU使用時間、正在運行的進程、登錄時間和退出時間等內容。 UNIX可以跟蹤每個用戶運行的每條命令。該功能(稱為進程日志)對于跟蹤系統問題十分有用。它還對跟蹤特定入侵者(或惡意用戶)的活動很有幫助,但它的缺點是不能記錄命令的參數。進程日志文件的名稱和位置在不同 UNIX 版本中有所不同。 與連接日志不同,進程日志默認時并不激活,它必須顯式地啟動。 lastm命令報告以前執(zhí)行的命令。 sa命令報告、清理并維護進程日志文件。 syslog可以記錄系統事件,可以寫消息到一個文件或設備,或是直接給用戶發(fā)送一個信息。它能記錄本地日志或通過網絡記錄另一個主機上的日志。 syslog設備包括兩個重要元素: /etc/syslogd( 守護程序)和 /etc/ 配置文件。 syslogd可以處理的消息類型在/usr/include/sys/。一個消息可以分成兩個部分: “設備”和“優(yōu)先級”?!霸O備”標識發(fā)出消息的子系統,這是內核定義的所有的設備,如表 32所示。 下面是在內核頭文件中定義的所有消息優(yōu)先級?!皟?yōu)先級”表示消息的重要性,其范圍從 7(最低)到 0(最高)。 LOG_EMERG 0 /* system is unusable */ LOG_ALERT 1 /* action must be taken immediately */ LOG_CRIT 2 /* critical conditions */ LOG_ERR 3 /* error conditions */ LOG_WARNING 4 /* warning conditions */ LOG_NOTICE 5 /* normal but significant condition */ LOG_INFO 6 /* informational */ LOG_DEBUG 7 /* debuglevel messages */ syslogd的配置文件 優(yōu)先級,消息應該發(fā)到哪個日志文件中。在圖 36中可以看到在 Slackware 。 圖 36 /etc/ /etc/ For info about the format of this file, see ″man ″ (the BSD man page), and /usr/doc/sysklogd/ .*.=info。*.=notice /usr/adm/messages *.=debug /usr/adm/debug *.=err /usr/adm/syslog 編輯完 /etc/,還必須執(zhí)行以下命令: killallHUP syslogd 這樣所做的改變才會生效。這個命令發(fā)送 HUP信號給 syslogd守護進程,通知守護進程重新讀取配置文件。 通過 syslogd生成的文件有著如下的統一格式: 時間戳: 主機名: 消息發(fā)送者: 消息描述。例如下面一行,名為 Invent的主機收到來自 passwd的消息,描述用戶 guest的口令被 root改變了。 Jun 12 11∶ 06∶ 11 Invent passwd[ 337] : password for ′progs′ changed by ′root′… 日益復雜化的系統設計,使得單純從內核底層級別的數據來源來分析判斷當前整個系統活動的情況,變得越來越困難;同時,底層級別安全數據的規(guī)模也迅速膨脹,增加了分析的難度。此時,需要采用反映系統活動的較高層次信息,例如應用程序日志,作為分析檢測的數據源。應用程序日志因為是用戶級別的系統活動抽象信息,所以更加容易理解和處理。其次,網絡化計算環(huán)境的普及,導致入侵攻擊行為的目標越來越集中于提供網絡服務的各種特定應用程序。 應用程序的日志信息 同樣,采用應用程序日志作為入侵檢測的輸入數據源,也存在著問題和風險。首要的問題是應用程序的日志信息通常更易遭到惡意的攻擊,包括篡改和刪除等操作。其次,盡管很多操作系統提供應用程序級別的審計功能,但是很多特定的應用程序中并不包括這些審計特性,或者是審計功能并沒有提供足夠詳細的信息。最后,特定應用程序同樣存在是否值得信賴的問題。 下面以 Web服務器為例來介紹應用程序產生的日志信息。 Web服務器通常支持兩種標準格式的日志文件: ① 通用日志格式( CLF) 。 CLF日志包含的字段定義及內容如表 33所示。 典型的 CLF日志記錄舉例如下: –alice [ 10/Aug/2021:20:10:10 + 0800] ″GET /~docs/HTTP /″ 200 2049 ② 擴展日志文件格式( ELFF), 除了 CLF所定義的數據字段外,還擴展包含了其他的附加信息。ELFF日志包含的附加信息如表 34所示。 其他類型應用程序的日志信息,例如 Sendmail郵件服務器、 SQL S
點擊復制文檔內容
畢業(yè)設計相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1