基于网络环境下对日志系统攻击的机理分析与研究

日志系统的安全对计算机安全来说至关重要,分析了日志系统受到攻击的位置和不同类型。并从日志系统的机密性、完整性和可用性三个方面对日志系统受到攻击的机理进行了详细的分析。最后,对日志系统如何防止受到各种攻击进行了总结。对在网络环境下计算机主机避免其日志系统受到攻击具有较强的指导意义。     

Linux环境下syslog日志系统研究

日志对操作系统的安全有着重要的作用,通过它可以查找出系统错误或受到的攻击,syslog作为Linux系统的日志程序具有很强的灵活性。分析了Linux环境下syslog机制,对日志服务器的建立进行了详细的说明。     

自修复数据库系统日志机制研究

选择性恢复使得一个自修复数据库系统在受到恶意攻击后,只需撤销历史中受到恶意事务感染的那部分操作,无需回滚整段历史,但要求日志机制支持对事务间依赖关系的追踪及前像数据的长期保存。通过分析传统日志机制的不足以及现有原型系统实现方法存在的问题,提出了一种新的日志结构。该日志包含事务依赖信息,并以前像表代替传统日志机制中的回滚段。给出了基于该日志结构的数据库恢复方法,并在时间和空间开销方面对本方法与其它方法进行了分析和比较。     

一个基于误用检测的数据库安全审计系统

数据库审计是数据库安全的重要组成部分,包括日志记录和日志分析两部分。在SQL Server数据库中,使用审计功能只能获取审计跟踪的信息,并不具备日志分析的能力。针对SQL Server数据库审计功能的不足,给出了一个数据库安全审计系统MyAudit的设计和实现。MyAudit系统使用误用检测方法进行审计分析,能够检测出攻击企图、伪装攻击两种类型的数据库攻击。     

日志分析在计算机取证中的应用

日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情．用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态．监测和追踪侵入者。本文从操作系统和网络两方面对日志分析在计算机取证中的应用作简单阐述．意在抛砖引玉使大家能重视日志分析的作用。     

一种基于污点追踪的系统审计日志压缩方法

近十年来,高级持续性威胁（APT,advanced persistent threat）越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。     

基于可信计算的安全日志

保护日志免遭攻击对于入侵检测和取证具有重要的意义。本文分析了现有日志保护技术的局限性,提出了基于可信计算的安全日志系统。该系统利用嵌入式安全模块ESM(EmbeddedSecurityModule)保护日志,使得在系统遭到成功入侵的情况下,仍然可以防止入侵者修改、删除、甚至查看日志。     

基于Web应用的安全日志审计系统研究与设计

近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势.目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少.在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备和在攻击事件发生后及时的降低风险,分析审计日志对于事后检测和维护设备的安全是非常必要的.基于此,文章主要对基于Web应用安全日志审计系统进行研究和设计,日志审计系统主要分为三个子系统：日志采集子系统、分析引擎子系统和日志告警子系统.日志采集子系统采用多协议分析对日志进行收集,并进行相应的日志规范化和去重等处理.分析引擎子系统采用规则库和数理统计的方法,对日志特征进行提取和设置相应的统计量参数,进行比较分析.日志告警子系统则是主要配置相应策略并下发任务,对于审计结果进行界面展示或生成报告并以邮件的方式发送给用户等.     

基于虚拟蜜罐的网络安全系统的设计与实现

本文利用目标系统提供的多种网络服务和相关的系统安全漏洞来诱使攻击者发现并攻击蜜罐,通过KFsensor入侵检测系统和honeyd日志服务对所收集信息进行全面分析,对攻击行为发出预警,同时可以在黑客攻击蜜罐期间的行为和过程进行深入的分析研究。     

基于Flume的分布式日志采集分析系统设计与实现

互联网的迅猛发展以及大数据相关技术的兴起,使得日志数据的规模日益剧增,给已有的日志采集及分析系统带来了挑战;同时针对互联网安全的攻击活动也层出不穷,如何在海量的日志中及时提取有效的信息以为企业安全提供信息支撑,也给现有的分析系统提出了新的需求。本文结合使用Flume、Elasticsearch以及Kibana等技术手段提出了一种分布式的日志采集分析系统,从系统设计和架构等方面提出了新的解决思路,并针对Nginx的访问日志进行了实时采集和分析及展示,完成了原型系统的实现,实验证明,基于Flume的分布式的日志采集分析系统方案具有可行性。     

数据挖掘在日志管理中的应用

该文阐述了日志管理中心(LMC)通用模型及实现,通过对各种日志信息进行采集、规整和汇集,生成统一的日志事件,利用事件关联规则进行分析,从而发现系统中的潜在威胁和攻击,采取实时应对措施。特别地,文中还详细介绍了两种数据挖掘算法及如何利用算法发现事件模式,自动生成事件关联规则。     

日志检测技术在计算机取证中的应用

计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程.作为日常安全检测的重要内容和维持系统正常运行不可缺少的工具.日志分析与检测被广泛应用于计算机取证,是评估系统运行状况,检验网络安全策略有效性的必要手段.从日志预解码、日志解码以及日志分析三个方面设计并实现了一个根据日志进行监控及取证的系统.实验结果表明该方法是有效的,能够帮助管理人员及时发现入侵,动态取证.     

收集安全日志 选择适当的日志管理工具，正确使用

日志对于安全来说非常重要。它记录了系统每天发生的各种活动。管理员可以通过日志来检查错误发生的原因。或者在受到攻击时找到攻击者留下的痕迹等。那么。既然日志这么重要。对它的管理也自然非常重要。你现在使用什么工具来管理日志呢？应该如何选择日志管理工具？本文可以为你答疑解惑。[编者按]     

数据库事务恢复日志和入侵响应模型研究

数据库日志记录数据元素的变迁历史,是维护数据库系统正确性和一致性的重要依据.现有的日志模式无法体现事务间依赖关系,系统在遭到恶意攻击时只得让所有数据元素恢复到出错点的状态,容忍入侵的能力差.提出一种新型的事务恢复日志模型,采用抽象状态机描述了日志生成规则和入侵响应模型,对事务之间的依赖关系进行了形式化的定义,并对入侵响应模型的完整性和正确性进行了分析.配置事务恢复日志和入侵响应机制的数据库系统在遭受攻击时,可以仅恢复受恶意事务影响的后继而无需回滚所有事务,从而提高了数据库系统的生存性.     

不可信环境下的客户端日志保护机制

现有的日志文件保护技术大多集中于保护日志文件不被外来攻击者攻击,而无法抵御恶意的合法用户的攻击。为此,在分析日志技术安全需求的基础上,提出一种在不可信环境下的客户端日志保护机制,基于USB Key对日志文件进行加密和签名处理。给出日志文件的生成、存储及上传过程。安全性与性能分析结果证明了该机制的有效性。     

利用PowerShell更方便地访问安全日志

安全事件日志中包含了很有价值的信息。例如试图进行系统攻击、账户和组策略修改等。利用Power Shell可以更方便地访问安全日志。我们还可以根据需要,对获取到的数据进行处理。     

基于Netflow的网络安全大数据可视化分析

近年来网络安全日志数据呈现出爆炸式的增长,但现有的可视化技术难以支持高维度、多粒度的Netflow日志实现完善的可视化分析.因此本文提出了一种全新的网络安全可视化框架设计方案,采用三维柱状图展示Netflow日志的流量时序图,以帮助用户快速了解和掌握网络中的异常时刻.引用信息熵算法针对平行坐标轴的维度数据进行处理,便于用户对多维度图形的理解,利用矩阵图、气泡图和流量时序图进行细节分析,最后利用该系统实现了对DDOS攻击和端口扫描攻击的网络异常案例分析.研究证明本系统丰富的可视化图形以及简单易用的协同交互,能较好的支撑网络安全人员从网络整体运行状态分析,到定位异常时刻、监测网络行为细节的全部过程.     

基于日志的网络背景流量模拟仿真

入侵检测系统（IDS）的开发与评估需要一个仿真的网络环境，网络流量模拟仿真技术是其中关键技术之一．在详细分析了网络流量的模拟仿真技术及其相关软件基础上，设计并实现了一种基于日志的网络背景流量模拟仿真软件，解决了入侵检测系统测试中的攻击类型定义和背景流量问题，并使用谊软件模拟真实的网络环境对入侵检测系统进行测试分析，实验结果表明，基于日志的网络背景流量仿真软件能够在日志信息的基础上以不同速度动态回放网络流量仿真数据，并能够对日志数据进行修改．增加了对入侵检测系统测试的灵活性．     

防内部攻击的文件监测技术

总结了文件变化监测方法，提出了采用附加日志防范内部攻击的曰志相互守护法，监测日志和附加日志的相互守护能够检测来自内部的高技术攻击者的恶意攻击，相对多级曰志方法更节省资源、系统开销更少、更高效。     

网络日志管理分析系统构建技术研究

日志对于系统的日常运维、审计及入侵检测等具有重要作用,如何对日志进行有效的管理和分析是日志系统的重要课题.当前,对日志进行远程集中化管理和分析是普遍认同的有效手段.完整的日志系统包括日志源、日志服务器、日志存储和日志分析四个环节,其中日志服务器具有核心地位.首先介绍了常见的日志服务器系统、客户端软件及前端分析系统,详细说明了功能特性.最后分析了日志系统的部署架构和基本处理流程.