网络安全中最富挑战性的工作是网络日志分析。这种工作过程通过对各种日志文件进行严密监控和分析来识别出入侵或入侵的企图,该过程还包含归一化的日志安全事件进行关联分析。这需要进行检查的网络日志文件有许多不同的类型,但是设备(包括交换机、防火墙、路由器等)。
尽管分析日志文件是一件单调乏味且容易让人疲劳的工作,但是在《Unix/Linux网络日志分析和流量监控》一书中给出的技术和有趣的案例,可以帮助你在短时间内从日志文件中获取大量有价值的经验。
这本日志分析图书从日志文件的作用和特征讲起逐步深入到日志文件分析的基础,尤其提各类系统服务的日志格式,目的是尽可能地对日志分析过程进行自动化处理。
1.网络日志的重要性
在繁杂的日常运维工作中,系统管理员容易忽略各类网络日志文件,大家经常忙于解决问题,而没有时间和精力用在日志文件的收集和检查上,往往是黑熊掰玉米一手掰一手扔或捡了芝麻,丢了西瓜。在发生故障之前,一直就没有关注过这些文件直到日志被删或清空,然后在试图挽回,便仓促地进行查找,试图找出发生了什么事情,此时为时已晚。
通常,这种查找工作包括了对日志文件的检查,日志文件的检查工作往往是由系统管理员来执行的,但管理员不太熟悉日志文件格式,或者不熟悉日志文件分析的步骤。甚至管理员发现,没有启用详细日志,因而不存在事件发生的记录。日志文件就可以为你提供很多的有价值的信息,或许你现在还不清楚这些它们的作用,那么在网络日志分析这本书中将详细进行介绍。
2 了解日志的特征
在Unix/Linux/Windows系统中存在许多不同类型的日志文件,并且产生这些日志文件的来源有多种。对我们而言,最关心的是网络日志文件的分析;为了解在网络上发生的事件,希望将注意力放在记录网络事件(如成功的和失败的连接)或数据库的访问的日志文件上。这些信息可以用来同网络活动进行关联。通常这些日志的格式完全不同。书中将介绍一些最常遇到的日志格式。尽管这些日志格式存在差别是重要的,但是了解不同的设备和应用程序可能记录很不相同的信息则更为重要。
初学者刚开始,网络日志分析会让人感觉到有些畏惧,这主要是因为,日志的格式繁杂且日志记录的信息很多。下面我们简单分析在网络日志文件中需要进行查找的信息。利用网络日志文件的大多数系统对信息的几个核心部分进行记录,这些信息与系统认为应该引起注意的内容如下;
时间戳,典型情况下包括日期,以及以s或ms为单位的时间。 基本的IP特征,如源地址、目标地址和IP协议(TCP、UDP、ICMP等)。 此外,大多数日志给出了对于事件为什么被记录的某种理由。然而不同的日志格式中会有差异:
- 描述文本信息。
- 匹配流量的规则号。
- 执行的动作,如接收、丢弃或者拒绝连接。
可以通过这些仅有的少量数据,来分析识别端口扫描、主机扫描或其他失败的连接尝试的异常行为。
另外还有许多网络日志记录的信息不只包括关键的数据。可能出现的其他类型的数据包括:其他IP特征,特别是IP标识号和存活时间(TTL)。其他TCP特有的特征,如标志(SYN、ACK等),TCP窗口大小及TCP顺序号,有效负载内容。从日志分析的角度来讲,这些附加的字段可以提供存活时间和TCP窗口大小可用于执行操作系统指纹鉴别,这样可以大致分析出攻击者可能使用的操作系统。
3.综合故障诊断
网络日志文件最重要的作用是综合故障诊断例如,假设某个用户抱怨某个应用程序不能从外部服务器下载数据。通过获取此用户机器的IP地址,然后找出他是在什么时候使用这个应用程序的,就可以快速搜索防火墙的日志,从日志中寻找为建立所需连接而被拒绝的尝试。如果防火墙对所有允许的连接也进行了日志记录,而你能够从日志中找到到达此远程站点的有效连接,那么,从这个事件中可看出问题最有可能与远程服务器或那个程序有关,具体案例大家还是参考网络日志分析这本书。要想学习网络日志分析,没有捷径可走,还是要多学多练多看书!下面推荐一本被全国985高校图书馆收藏的日志分析畅销书。
https://book.51cto.com/art/201411/458126.htm