7. 1 로그 파일의 특수성
로그 파일을 이해하려면 먼저 특수한 것부터 시작해야 합니다. 이 파일은 시스템에 의해 관리되고 보호되며, 일반적으로 일반 사용자는 마음대로 변경할 수 없기 때문입니다. 일반 TXT 파일의 편집 방법으로는 편집할 수 없습니다. 예를 들어 wps 시리즈, Word 시리즈, 워드패드, 에디트 등이 있습니다. 왜 안돼? 우리는 심지어 그것을' 이름 바꾸기' 나' 삭제' 또는' 이동' 할 수도 없다. 그렇지 않으면 시스템이 공손하게 너에게 방문을 거부할 것을 알려줄 것이다. 물론, 순수 DOS 상태에서는 Win98 상태와 같은 일반적인 작업을 할 수 있지만, 수정은 전혀 도움이 되지 않는다는 것을 곧 알게 될 것이다. (윌리엄 셰익스피어, 윈도, DOS, DOS, DOS, DOS, DOS, DOS, DOS) Windows 98 을 다시 시작하면 이 특수 텍스트 파일이 자동으로 검사되고 존재하지 않으면 자동으로 생성됩니다. 있는 경우 로깅이 텍스트에 추가됩니다.
7.1..1해커가 로그 파일에 관심을 갖는 이유는 무엇입니까?
해커는 서버에 대한 시스템 관리자 권한을 얻은 후 로그 파일을 포함한 시스템의 파일을 마음대로 파괴할 수 있다. 그러나 이 모든 것이 시스템 로그에 기록되므로 해커가 침입 흔적을 숨기려면 로그를 수정해야 합니다. 가장 쉬운 방법은 시스템 로그 파일을 삭제하는 것이지만 일반적으로 기본 해커가 수행합니다. 진정한 고급 해커는 항상 로그를 수정하는 방법을 사용하여 시스템 관리자가 자신을 추적하지 못하도록 합니다. 인터넷에는 이런 기능을 전문적으로 하는 프로그램이 많이 있습니다. 예를 들면 Zap 과 Wipe 입니다.
7. 1.2 Windows 시리즈 로그 시스템 소개
1 에 대한 로그 파일입니다. 윈도 98
현재 대부분의 사용자는 여전히 Windows 98 을 운영 체제로 사용하고 있으므로 이 섹션은 Windows 98 로그 파일로 시작합니다. Windows 98 의 일반 사용자는 특별한 용도가 없는 한 시스템 로그를 사용할 필요가 없습니다. 예를 들어, Windows 98 을 사용하여 개인 웹 서버를 구축할 때 서버 보안에 대한 참조로 시스템 로그를 활성화해야 합니다. 사용자가 이미 Windows 98 을 사용하여 개인 웹 서버를 구축한 경우 다음을 수행하여 로깅 기능을 활성화할 수 있습니다.
(1) 제어판에서 개인 웹 서버 아이콘을 두 번 클릭합니다. (관련 네트워크 프로토콜을 구성하고 개인 웹 서버를 추가해야 합니다.)
(2) "관리" 탭에서 "관리" 버튼을 클릭합니다.
(3) "인터넷 서비스 관리자" 페이지에서 "WWW 관리" 를 클릭합니다.
(4) WWW 관리 페이지에서 로그 탭을 클릭합니다.
(5) 로깅 사용 체크박스를 선택하고 필요에 따라 변경합니다. 로그 파일 이름을 Inetserver_event.log 로 지정합니다. 로그 파일의 디렉토리가 로그 탭에 지정되지 않은 경우 파일은 Windows 폴더에 저장됩니다.
일반 사용자는 Windows 98 의 시스템 폴더에서 로그 파일 schedlog.txt 를 찾을 수 있습니다. 우리는 다음과 같은 방법으로 그것을 찾을 수 있다. 시작/찾기에서 찾거나, 작업 스케줄러를 시작하고 고급 메뉴에서 로그 보기를 클릭하여 볼 수 있습니다. Windows 98 일반 사용자의 로그 파일은 매우 간단하며 몇 가지 사전 설정된 작업 실행 프로세스만 기록합니다. 실제 해커는 NT 운영 체제를 서버로 사용하는 것에 비해 Windows 98 에 관심이 거의 없습니다. 그래서 사람들은 Windows 98 의 일지에 관심을 기울이지 않는다.
2.2 아래의 로그 시스템. Windows 운영 체제
Windows NT 는 현재 공격받고 있는 운영 체제입니다. Windows NT 에서는 시스템의 거의 모든 트랜잭션이 로그 파일을 통해 어느 정도의 감사를 수행해야 합니다. Windows NT 로그 파일은 일반적으로 세 가지 범주로 나뉩니다.
시스템 로그: 다양한 시스템 이벤트를 추적하고 Windows NT 시스템 구성 요소에서 생성된 이벤트를 기록합니다. 예를 들어 부팅 중 드라이버 로드 오류 또는 기타 시스템 구성 요소 오류가 시스템 로그에 기록됩니다.
응용 프로그램 로그: 응용 프로그램에서 생성된 dll (동적 링크 라이브러리) 로드 실패와 같은 응용 프로그램 또는 시스템 프로그램에서 생성된 이벤트를 로그에 기록합니다.
보안 로그: 인터넷 로그인, 인터넷 로그아웃, 액세스 권한 변경, 시스템 시작 및 종료, 파일 작성, 열기 또는 삭제와 같은 리소스 사용과 관련된 이벤트를 기록합니다. 시스템의 이벤트 관리자를 사용하여 보안 로그에 기록할 이벤트를 지정할 수 있습니다. 보안 로그의 기본 상태는 해제입니다.
Windows NT 의 로그 시스템은 일반적으로 운영 체제에 따라 약간 다른 위치에 있습니다.
C: \ systemroot \ system32 \ config \ sysevent.evt
C: \ systemroot \ system32 \ config \ secevent.evt
C: \ systemroot \ system32 \ config \ appevent.evt
Windows NT 는 특수 형식을 사용하여 로그 파일을 저장합니다. 이 형식의 파일은 제어판에 있는 이벤트 뷰어에서 읽을 수 있습니다. 시스템 관리자는 이벤트 뷰어를 사용하여 보려는 로그 항목을 선택할 수 있습니다. 보기 기준에는 범주, 사용자 및 메시지 유형이 포함됩니다.
3.3 로그 시스템. 윈도 2000
Windows NT 와 마찬가지로 Windows 2000 에서도 이벤트 뷰어를 사용하여 로그 시스템을 관리하며, 그림 7- 1 과 같이 운영 전에 시스템 관리자로 시스템에 들어가야 합니다.
그림 7- 1
Windows 2000 에는 애플리케이션 로그, 보안 로그, 시스템 로그, DNS 서버 로그, FTP 로그, WWW 로그 등 여러 유형의 로그 파일이 있습니다. , 서버가 개통한 서비스에 따라 약간 다를 수 있습니다. Windows 2000 이 시작되면 이벤트 로그 서비스가 자동으로 시작되어 모든 사용자가 애플리케이션 로그를 볼 수 있지만 시스템 관리자만 보안 로그와 시스템 로그에 액세스할 수 있습니다. 기본적으로 보안 로그는 꺼져 있지만 그룹 정책을 사용하여 보안 로그를 활성화하여 기록을 시작할 수 있습니다. 보안 로그가 열리면 가득 찰 때까지 무기한으로 기록됩니다.
Windows 2000 로그 파일의 기본 위치:
애플리케이션 로그, 보안 로그, 시스템 로그 및 DNS 로그의 기본 위치는 %systemroot%\sys tem32\config 이고 기본 파일 크기는 5 12KB 이지만 숙련된 시스템 관리자가 이 기본 크기를 자주 변경합니다.
보안 로그 파일: c: \ systemroot \ system32 \ config \ secevent.evt.
시스템 로그 파일: c: \ systemroot \ system32 \ config \ sysevent.evt.
응용 프로그램 로그 파일: c: \ systemroot \ system32 \ config \ appevent.evt.
인터넷 정보 서비스 FTP 로그의 기본 위치는 c: \ systemroot \ system32 \ logfiles \ msftpsvc1\ 입니다.
인터넷 정보 서비스에 대한 WWW 로그의 기본 위치는 c: \ systemroot \ system32 \ logfiles \ w3svc1\ 입니다.
스케줄러 서버 로그 기본 위치: c: \ systemroot \ schedlgu.txt. 로그에는 방문자의 IP, 액세스 시간 및 요청 내용이 기록됩니다.
Windows2000 은 NT 로그 파일을 계속하고 FTP 및 WWW 로그를 추가했기 때문에 이 섹션에서는 FTP 로그와 WWW 로그에 대해 간략하게 설명합니다. FTP 로그는 FTP 업로드 파일, 소스, 파일 이름 등을 텍스트 파일로 상세하게 기록합니다. 그러나 로그가 너무 뚜렷하기 때문에 고급 해커는 이런 방식으로 파일을 전송하지 않고 RCP 를 사용합니다. FTP 로그 파일 및 WWW 로그 파일에서 생성된 로그는 일반적으로 디렉토리 c: \ sytemroot \ system32 \ log files \ w3svc1에 있으며 기본값은 하루에 한 개의 로그 파일입니다.
FTP 및 WWW 로그를 삭제할 수 있지만 FTP 로그에 기록된 모든 내용은 시스템 로그와 보안 로그에 기록됩니다. 이러한 파일을 삭제해야 하는 경우 먼저 일부 서비스를 중지하는 등 덜 복잡한 방법으로 로그 파일을 삭제할 수 있습니다. 구체적인 방법은 본 절에서 간략하게 설명합니다.
Windows 2000 에는 강력한 로그 관리 기능을 갖춘 cla (cyber safelog analyst) 라는 도구가 제공됩니다. 이를 통해 사용자는 현란한 로그에서 천천히 레코드를 찾는 대신 다양한 이벤트를 분류하여 정리할 수 있으므로 필요한 항목을 신속하게 찾을 수 있습니다. 또 다른 두드러진 특징은 전체 네트워크 환경에서 여러 시스템의 다양한 활동을 동시에 분석하여 하나씩 분석하는 번거로움을 피할 수 있다는 것입니다.
4.Windows XP 로그 파일
Windows XP 로그 파일에 대해 이야기할 때 가장 먼저 말해야 할 것은 ICF (internet connection firewall) 로그입니다. ICF 로그는 ICF 승인 IP 패킷과 ICF 폐기 IP 패킷의 두 가지 범주로 나눌 수 있습니다. 로그는 일반적으로 Windows 디렉토리에 pfirewall.log 로 저장되며, 파일 형식은 W3C 확장 로그 파일 형식과 일치하며 헤더 정보와 파일 본문 정보의 두 부분으로 나뉩니다. 파일 헤더는 주로 Pfirewall.log 파일에 대한 설명이며 파일의 본문 부분에 주의해야 합니다. 파일의 주체 섹션에는 ICF 감사를 통과하거나 ICF 에 의해 중단된 각 IP 패킷에 대한 정보가 기록됩니다. 여기에는 소스 주소, 대상 주소, 포트, 시간, 프로토콜 등의 정보가 포함됩니다. 이 정보를 이해하려면 더 많은 TCP/IP 프로토콜 지식이 필요합니다. ICF 에서 보안 로그를 생성하는 데 사용하는 형식은 일반 로그 분석 도구에서 사용되는 형식과 유사한 W3C 확장 로그 파일 형식입니다. WindowsXP 제어판에 있을 때 그림 7-2 와 같이 이벤트 뷰어를 엽니다.
WindowsXP 에도 시스템 로그, 보안 로그, 어플리케이션 로그의 세 가지 일반적인 로그 파일이 있습니다. 이 파일들 중 하나를 클릭하면 그림 7-3 과 같이 로그 파일에서 몇 가지 기록을 볼 수 있습니다.
그림 7-2 그림 7-3
고급 디바이스에서는 그림 7-4 와 같이 로그 파일의 스토리지 주소, 크기 제한 및 관련 작업도 수행할 수 있습니다.
그림 7-4
실패한 연결 시도 기록을 활성화하려면 삭제된 패킷 기록 확인란을 선택하고 그렇지 않으면 비활성화합니다. 또한 금산 다트와 같은 도구를 사용하여 보안 로그를 내보내고 삭제할 수 있습니다.
5. 로그 분석
저널이 매일 시스템에서 발생하는 모든 것을 충실하게 기록하면 사용자는 정기적으로 로그를 규제하고 관리해야 하지만, 방대한 로깅으로 인해 사용자가 불편할 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언) 이때 로그를 분석하고 요약하는 도구를 사용해야 합니다. 로그 분석을 통해 사용자는 로깅에서 유용한 정보를 얻을 수 있으므로 상황에 따라 필요한 조치를 취할 수 있습니다.
7.2 시스템 로그 삭제
운영 체제에 따라 로그를 삭제하는 방법도 약간 다릅니다. 이 문서에서는 Windows 98 과 Windows 2000 이 크게 다른 두 운영 체제에서 로그를 삭제하는 방법에 대해 설명합니다.
7. 2. 1 Windows 98 에서 로그 삭제
순수 DOS 에서 컴퓨터를 시작하고 몇 가지 일반적인 수정 또는 제거 명령을 사용하여 Windows 98 로깅을 제거할 수 있습니다. Windows98 이 다시 시작되면 시스템에서 로그 파일이 있는지 확인합니다. 로그 파일이 없는 경우 자동으로 재구성되지만 원래 로그 파일은 모두 제거됩니다.
7. 2. 2 Windows 2000 로그 삭제
Windows 2000 의 로그는 Windows 98 의 로그보다 훨씬 복잡합니다. 우리는 로그가 시스템에 의해 관리되고 보호된다는 것을 알고 있습니다. 일반적으로 삭제 또는 수정을 금지하는 것도 레지스트리와 밀접한 관련이 있습니다. Windows 2000 에서 로그를 삭제하려면 먼저 시스템 관리자의 허가를 받아야 합니다. 보안 로그와 시스템 로그를 삭제하려면 시스템 관리자가 확인해야 하기 때문입니다.
어플리케이션 로그, 보안 로그, 시스템 로그, DNS 서버 로그, FTP 로그 및 WWW 로그 삭제에 대해 간략하게 설명하겠습니다. 로그 파일을 삭제하려면 로그 파일에 대한 시스템 보호를 중지해야 합니다. 명령 문을 사용하여 보안 로그와 시스템 로그를 제외한 로그 파일을 제거할 수 있지만 보안 로그는 시스템의 이벤트 뷰어를 사용하여 제어해야 합니다. 제어판의 관리 도구에서 이벤트 뷰어를 엽니다. 메뉴의 동작 항목에는 "다른 컴퓨터에 연결" 이라는 메뉴가 있습니다. 그림 7-5 와 같이 클릭하십시오.
그림 7-5
원격 컴퓨터의 IP 를 입력하고 기다린 다음 원격 컴퓨터의 보안 로그를 선택하고 속성에서 로그 지우기 버튼을 클릭합니다.
7.3 침입 흔적 발견
침입자가 시스템을 시도하거나 구현했을 때 적시에 흔적을 효과적으로 발견하는 방법은 현재 침입을 방지하는 데 있어 가장 중요한 문제 중 하나입니다. 침입 흔적을 발견하는 전제는 침입 특징 데이터베이스가 있어야 한다는 것이다. 일반적으로 시스템 로그, 방화벽, IP 헤드의 소스 주소 확인, 메시지 보안 감지, 침입 감지 시스템 (IDS) 을 사용하여 침입 징후가 있는지 확인합니다.
포트 상식을 이용하여 침입의 징후가 있는지 판단하는 방법을 알아보겠습니다.
컴퓨터를 설치한 후 조정하지 않으면 기본 포트 번호는 139 입니다. 다른 포트를 열지 않으면 일반적으로 해커가 시스템에 들어갈 수 없습니다. 정상적인 시스템이 바이러스를 자주 검사하면 인터넷을 할 때 갑자기 컴퓨터 반응이 느리거나 마우스가 작동하지 않거나 블루 스크린, 시스템 충돌 등의 이상이 느껴지면 해커가 이메일이나 다른 방법을 이용해 시스템에 트로이 목마를 이식한 것으로 판단할 수 있다. (윌리엄 셰익스피어, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마) 이 시점에서 몇 가지 조치를 취할 수 있는데, 구체적인 방법은 이 책의 관련 장을 참조할 수 있다.
침입의 조짐
침입은 항상 일정한 단계에 따라 진행되며, 숙련된 시스템 관리자는 시스템의 이상 여부를 관찰하여 침입의 정도를 판단할 수 있습니다.
1. 스캔 플래그
시스템이 연속적이고 반복되는 포트 연결 요청을 받으면 침입자가 포트 스캐너를 사용하여 외부에서 시스템을 스캔하고 있음을 나타낼 수 있습니다. 고급 해커는 비밀 스캐닝 도구를 사용하여 검사를 피할 수 있지만, 실제로 숙련된 시스템 관리자는 여전히 다양한 징후를 통해 모든 것을 판단할 수 있습니다.
공격을 사용하다
침입자가 다양한 프로그램을 사용하여 시스템을 해킹할 때 시스템은 일부 예외를 보고하고 관련 파일 (IDS 에서 일반적으로 사용하는 처리 방법) 을 제공할 수 있습니다. 침입자가 성공하면 시스템은 항상 어느 정도 손상과 비정상적인 액세스의 흔적을 남기기 때문에 시스템이 침입될 수 있다는 것을 발견할 수 있을 것이다.
3.DoS 또는 DDoS 공격의 표시
이것은 현재 침입자가 자주 사용하는 공격 수단이므로 시스템 성능이 갑자기 크게 저하되거나 완전히 작동을 멈추면 시스템이 서비스 거부 공격을 받고 있을 수 있다는 사실을 즉시 인식해야 합니다. 일반적인 징후는 CPU 사용률이 90% 이상에 육박하고 네트워크 트래픽이 느리며 시스템에 블루 스크린이 나타나고 재시작이 빈번하다는 것입니다.
7.3.2 침입 탐지를 위해 시스템 로그를 합리적으로 사용합니다.
시스템 로그의 역할과 중요성은 위의 장을 통해 이해되었다. 그러나 시스템에 포함된 로그는 시스템에서 발생하는 모든 것을 알려 주지만, 로깅이 너무 빠르게 증가하여 결국 로그가 많은 디스크 공간을 낭비하게 되므로 로그를 무제한으로 사용할 수 있는 것은 아닙니다. 합리적이고 규범적인 로그 관리는 로그를 사용하는 좋은 방법이다. 숙련된 시스템 관리자는 몇 가지 로그 감사 툴과 필터 로깅 툴을 사용하여 이 문제를 해결합니다.
로그 파일을 최대한 활용하려면 먼저 관리 계획을 세워야 한다.
1. 지정된 로그는 무엇을 합니까?
이러한 레코드의 세부 사항을 얻을 수있는 트리거를 개발하십시오.
7.3.3 우수한 로그 관리 소프트웨어
수많은 로그 파일에서 침입 정보를 신속하게 찾으려면 몇 가지 전문 로그 관리 도구를 사용해야 합니다. Surfstats Log Analyzer4.6 은 이러한 전문 로그 관리 도구입니다. 이를 통해 네트워크 관리자는 "로그" 파일을 명확하게 분석하고 웹 사이트의 현재 상태를 볼 수 있으며, 소프트웨어의 "보고서" 에서 얼마나 많은 사람들이 귀하의 웹 사이트를 방문했는지, 어디에서 왔는지, 시스템에서 어떤 검색어를 많이 사용했는지 확인할 수 있습니다. 이를 통해 웹 사이트의 상황을 정확하게 이해할 수 있습니다.
이 소프트웨어의 주요 기능은 다음과 같습니다.
1, 통합 조회 및 출력 기능, 화면, 파일, FTP 또는 전자 메일을 통해 결과를 정기적으로 출력할 수 있습니다.
30 가지 이상의 요약 정보를 제공 할 수 있습니다.
3. 파일 형식을 자동으로 탐지하여 MS IIS 의 W3 확장 로그 형식과 같은 다양한 일반 로그 파일 형식을 지원합니다.
4. 암호 보호 디렉토리에서 인증 사용자에 대한 분석 보고서를 추가합니다.
시간, 주 및 월 패턴으로 분석 할 수 있습니다.
6.6 호. DNS 데이터베이스는 확인 된 IP 주소를 저장합니다.
7. 분석된 각 그림에 대해 다른 배경, 글꼴 및 색상을 설정할 수 있습니다.
침입 흔적을 발견하는 방법에는 여러 가지가 있습니다. 예를 들어, IDS 는 이 일을 잘 할 수 있습니다. 다음 섹션에서는 침입 탐지 시스템에 대해 자세히 설명합니다.
7.4 시스템 침입 탐지 수행
7.4. 1 침입 탐지 시스템이란 무엇입니까?
점점 더 많은 사람들이 인터넷에 밀접히 접촉함에 따라 수동적인 방어는 더 이상 시스템의 안전을 보장할 수 없다. 점점 더 많은 네트워크 침입을 감안할 때 방화벽을 미리 예방할 수 있는 도구를 선택해야 합니다. 이 도구는 잠재적인 침입에 대한 실시간 판단과 기록이 필요하며, 네트워크 침입에 어느 정도 저항하고 시스템 관리자의 보안 관리 기능을 확장하여 시스템의 절대 보안을 보장할 수 있어야 합니다. 침입이 확인되면 네트워크 연결을 자동으로 차단하여 호스트의 절대 보안을 보호할 수 있도록 시스템의 예방 기능이 크게 향상되었습니다. 이 경우 침입 탐지 시스템 (IDS) 이 등장했습니다. 침입 탐지 시스템은 수년 동안 네트워크 보안 예방 기술 및 해커 침입 기술에 대한 연구를 기반으로 개발된 네트워크 보안 제품입니다.
네트워크 전송을 실시간으로 모니터링하고, 의심스러운 행동을 자동으로 탐지하고, 네트워크 외부의 침입 신호와 내부의 불법 활동을 분석하고, 시스템이 위태로워지기 전에 경고를 보내고, 실시간으로 공격에 응답하고, 시스템 보안을 극대화하는 시정 조치를 제공합니다.
네슬레 시계
이것은 Windows NT 에서 실행되는 로그 관리 소프트웨어입니다. 서버와 방화벽에서 로그 파일을 가져오고 시스템 관리자에게 HTML 형식으로 보고서를 제공합니다.
7.4.2 침입 탐지 시스템과 로그의 차이점
시스템 자체의 로그 기능은 침입자의 침입 행위를 자동으로 기록하지만 침입 징후를 분석하고 기록할 수 없으며 정상적인 서비스 요청과 악의적인 침입 행위를 정확하게 구분할 수 없습니다. 예를 들어, 침입자가 CGI 를 사용하여 호스트를 스캔할 때 시스템 보안 로그가 시스템 관리자에게 제공할 수 있는 분석 데이터는 거의 쓸모가 없고, 보안 로그 파일 자체의 점점 더 큰 특성으로 인해 시스템 관리자가 짧은 시간 내에 도구를 사용하여 공격의 흔적을 찾기가 어려워집니다. 침입 탐지 시스템은 이를 완벽하게 수행할 수 있습니다. 침입 탐지 시스템에서 제공하는 보고 데이터를 사용하여 시스템 관리자는 침입자의 침입 시도를 쉽게 알고 적시에 예방 조치를 취할 수 있습니다.
7.4.3 침입 탐지 시스템 분류
현재 침입 탐지 시스템은 기능에 따라 네 가지 범주로 나눌 수 있습니다.
1. 시스템 무결성 검사 시스템 (SIV)
SIV 는 시스템이 해커에 의해 공격당했는지, 시스템 파일이 시스템 침입자에 의해 변경되었는지, 뒷문 (해커가 다음 호스트 액세스를 위해 남겨둔 상태) 이 있는지, 시스템에 대한 활동 (사용자의 명령, 로그인/로그아웃 프로세스, 사용 데이터 등) 을 자동으로 확인할 수 있습니다. ). 이러한 소프트웨어는 일반적으로 시스템 관리자가 제어합니다.
2. 네트워크 침입 탐지 시스템 (NIDS)
NIDS 는 네트워크 패킷을 실시간으로 감지하여 포트에 해커 스캔의 흔적이 있는지 즉시 확인할 수 있습니다. 컴퓨터 네트워크의 이벤트를 모니터링하고 보안을 분석하여 침입 시도를 판단합니다. 분산 IDS 는 각 노드에 분산된 센서 또는 에이전트를 통해 전체 네트워크 및 호스트 환경을 모니터링하고 중앙 모니터링 플랫폼은 각 노드에서 정보를 수집하여 이 네트워크의 데이터 흐름과 침입 시도를 모니터링합니다.
로그 분석 시스템 (LFM)
로그 분석 시스템은 시스템 관리자가 시스템 보안 예방 조치를 취하는 데 매우 중요합니다. 로그에는 시스템에서 매일 발생하는 다양한 일이 기록되므로 사용자는 로그를 통해 오류의 원인이나 공격자가 남긴 흔적을 확인할 수 있습니다. 로그 분석 시스템의 주요 기능은 감사 및 모니터링, 침입자 추적 등입니다. 로그 파일은 또한 많은 수의 기록으로 인해 시스템 관리자가 로그 또는 경고 파일을 분석하기 위해 몇 가지 전문 도구를 사용하게 됩니다. 이 시점에서 로그 분석 시스템이 작동하고 시스템 관리자가 로그에서 유용한 정보를 얻을 수 있도록 하여 관리자가 공격 위협에 필요한 조치를 취할 수 있도록 합니다.
4. 스푸핑 시스템
일반 시스템 관리자는 매일 침입자의 공격만 예측하고 식별할 수 있을 뿐 반격할 수는 없다. 그러나 스푸핑 시스템 (DS) 은 시스템 관리자가 반격을 위한 길을 닦는 데 도움이 될 수 있습니다. 스푸핑 시스템 (DS) 은 일부 시스템 취약점을 시뮬레이션하여 침입자를 속인다. 시스템 관리자가 해킹을 시도하는 몇 가지 방법을 통해 해킹을 시도할 때 스푸핑 시스템을 사용하면 좋은 결과를 얻을 수 있습니다. 예를 들어 nt 에서 관리자 계정의 이름을 바꾼 다음 권한이 없는 가짜 계정을 설정하여 해커가 공격할 수 있도록 합니다. 침입자가 속았다고 느낄 때, 관리자는 침입자의 일거수일투족과 그의 수준을 알게 될 것이다.
7.4.4 침입 탐지 시스템 탐지 단계
침입 탐지 시스템은 일반적으로 피쳐 기반 탐지 및 예외 탐지 방법을 사용합니다. 시스템이 침입되었는지 판단하기 전에 침입 탐지 시스템은 먼저 몇 가지 정보를 수집해야 합니다. 정보는 종종 모든 방면에서 수집된다. 예를 들어, 네트워크나 호스트의 보안 취약점을 검사하여 네트워크 또는 호스트 시스템을 무단 사용하려는 시도를 찾고 여러 가지 방법으로 침입이 있는지 여부를 판단할 수 있습니다.
그런 다음 감지 시스템은 네트워크 로그 파일을 확인합니다. 해커가 로그 파일에 실마리를 남기기 쉽기 때문에 네트워크 로그 파일 정보가 시스템 관리자가 침입을 감지하는 주요 방법으로 사용되는 경우가 많습니다. 시스템 관리권을 얻은 후 해커가 가장 좋아하는 일은 시스템 파일을 파괴하거나 수정하는 것이다. 이때 SIV 는 시스템에 비정상적인 변화의 징후가 있는지 신속하게 검사하여 침입의 심각성을 판단합니다. 시스템 작동을 일반적인 침입 프로그램의 결과 데이터와 비교하여 침입 여부를 파악합니다. 예를 들어, 시스템이 DDoS 공격을 받은 후 단기간에 시스템 성능이 크게 저하될 수 있으며, 이 경우 감지 시스템은 침입된 것으로 판단할 수 있습니다.
침입 탐지 시스템은 또한 시스템 자체가 공격당했는지 확인하고 검색하기 위해 몇 가지 시스템 명령을 사용할 수 있습니다. 충분한 정보가 수집되면 침입 감지 시스템은 알려진 침입 패턴과 자체 데이터베이스에 설정된 관련 매개 변수를 자동으로 일치시키며, 감지 정확도가 상당히 높기 때문에 사용자가 불편함을 느끼고 데이터베이스를 지속적으로 업그레이드해야 합니다. 그렇지 않으면 우리는 인터넷 시대 침입 도구의 속도를 따라갈 수 없다. 침입 탐지의 실시간 보호 기능은 매우 강력합니다. 사전 예방 감지 기술인 이 감지 시스템은 시스템 공격, 네트워크 공격 및 사용자 오작동을 신속하게 보호하고 침입 시도가 예측될 때 자체 차단을 수행하고 관리자에게 예방을 경고합니다.
7.4.5 시스템 침입 발견 후 단계
1. 침입자가 어떻게 시스템에 들어왔는지 자세히 조사하여 이 보안 취약점을 막으려고 한다.
2. 모든 시스템 디렉토리와 파일이 변조되었는지 확인하고 가능한 한 빨리 복구합니다.
3. 시스템의 일부 비밀번호를 수정하여 비밀번호의 재폭력으로 인한 허점을 방지하다.
7.4.6 공통 침입 탐지 도구 소개
1. 인터넷 배회자
세계적 수준의 인터넷 보안 기술 제조업체인 시만텍의 제품은 특히 보안 취약성 탐지, 침입 탐지, 인터넷 콘텐츠/이메일 필터링, 원격 관리 기술 및 보안 서비스 등 네트워크 보안의 모든 측면을 다룹니다. 시만텍의 선진 기술은 정말 신기하다! NetProwler 는 사이버 침입 감지를 기반으로 개발된 시만텍의 도구 소프트웨어입니다. NetProwler 는 고급 특허 동적 신호 상태 감지 (SDSI) 기술을 사용하여 사용자가 고유한 공격 정의를 설계할 수 있도록 합니다. 가장 복잡한 공격도 직관적인 공격 정의 인터페이스를 통해 생성할 수 있습니다.
(1)NetProwler 의 아키텍처
NetProwler 는 에이전트, 콘솔 및 관리자의 세 부분으로 구성된 다중 계층 아키텍처를 갖추고 있습니다. 에이전트는 네트워크 세그먼트의 네트워크 패킷을 모니터링합니다. 탐지된 공격과 모든 관련 데이터를 관리자에게 보내며, 설치 시 기업의 네트워크 구조와 보안 정책을 결합해야 한다. 콘솔은 에이전트에서 정보를 수집하고 관리자에 속한 에이전트를 구성하고 관리할 수 있도록 공격에 대한 정보를 표시합니다. 관리자는 구성 및 공격 경고 메시지에 응답하고, 콘솔에서 실행된 명령을 실행하며, 에이전트에서 보낸 공격 경고를 콘솔로 보냅니다.
NetProwler 는 공격을 발견하면 즉시 공격 이벤트를 기록하고, 네트워크 연결을 끊고, 보고서를 만들고, 파일 또는 e-메일을 통해 시스템 관리자에게 통지하며, 마지막으로 호스트 침입 감지 관리자와 콘솔에 이벤트를 알립니다.
(2) 사이버 도둑 탐지 기술.
NetProwler 는 특허 기술을 갖춘 sdsi (stateful dynamic signature inspection stateful dynamic feature detection) 침입 탐지 기술을 사용합니다. 이 설계에서 각 공격 기능은 SDSI 가상 프로세서가 캐시 항목을 사용하여 현재 사용자 상태와 네트워크에서 현재 수신되는 패킷을 설명함으로써 실행하는 명령 세트입니다. 모니터링되는 각 네트워크 서버에는 서버 운영 및 서버 지원 어플리케이션을 기반으로 하는 일련의 관련 공격 기능이 있습니다. Stateful 은 모니터링되는 네트워크 전송 내용에 따라 컨텍스트를 비교하여 복잡한 이벤트를 효과적으로 분석하고 기록할 수 있습니다.
SDSI 기술을 기반으로 한 NetProwler 워크플로우는 다음과 같습니다.
단계 1: SDSI 가상 프로세서는 네트워크 데이터에서 오늘의 패킷을 가져옵니다.
2 단계: 얻은 패킷을 현재 사용자 또는 응용 프로그램 세션에 속한 상태 버퍼에 넣습니다.
세 번째 단계: 서버 성능 최적화를 위해 특별히 설계된 피쳐 버퍼에서 공격 기능을 수행합니다.
4 단계: 공격이 감지되면 프로세서는 즉시 응답 모듈을 트리거하여 적절한 응답 조치를 수행합니다.
(3)NetProwler 작동 모드
네트워크 기반 IDS 이기 때문에 네트워크 구조에 따라 NetProwler 의 데이터 수집 부분 (에이전트) 에는 여러 가지 연결 형태가 있습니다. 네트워크 세그먼트가 버스 기반 hub 를 통해 연결된 경우 hub 의 한 포트에 간단히 연결할 수 있습니다.
(4) 시스템 설치 요구 사항
사용자는 특수 Windows NT 워크스테이션에 NetProwler 에이전트를 설치합니다. NetProwler 와 다른 애플리케이션이 같은 호스트에서 실행되는 경우 두 프로그램의 성능에 심각한 영향을 미칩니다. 네트워크 침입 탐지 시스템은 많은 리소스를 사용하므로 공급업체는 일반적으로 128M RAM 및 인텔 펜티엄 ii 또는 400MHz 속도의 펜티엄 전용 시스템을 사용하여 구동 엔진을 실행하는 것이 좋습니다.