表3—7 计算机网络系统的审核日志异常行为与入侵检测工具举例

第一篇：表3—7 计算机网络系统的审核日志异常行为与入侵检测工具举例

审核日志异常行为检测工具多次失败的登录尝试

在不同的时间持续尝试各用户的IDSystemUNIX系统日志尝试获取根特权的失败次数Agent Ex试图访问或改变系统关键文件或程序Tripwire试图改变不同账号的用户或组的权限TCP-Wrapper

文件丢失

进行端口扫描

路由器系统日志从某一源地址或一系列地址发出的大量同一

行为或多次失败的登录尝试Log Parser

多次试图进入enable模式的失败

对路由器节点扫描的尝试

网络监控器日志监控包的TCP/IP类型和已知攻击类型的Netman

包模式ISS

应用日志大量的错误日志内容Log Parser异常接入尝试WINDOWS NT日志----审计日志无效接入日志，应用相关日志Event Viewer

----事件日志

未被发现的未经授权的活动会导致重复的滥用，因此，组织应采取适当的措施对

信息系统访问与使用活动进行监视，探测与访问控制方针的偏离，记录可监控事

件，万一有安全事故发生，能方便的提供客观证据；对监控的结果要进行检查，验证与访问控制方针的符合性。

1、建立并保存事件记录组织应建立审核日志（Audit log）以记录异常情况和其他有关安全事项的事件，审核日志应按规定的时间予以保留，以便支持将来事故调查和访问控制监督。审

核日志一般由系统检测工具按照事先的设置自动生成。审核日志的内容一般包

括：

（1）用户标识符（ID）

（2）登录和注销的日期及时间

（3）（若可能）终端身份（标识）或位置

（4）成功的和被拒绝的对数据和其他资源访问的记录

网络系统的审核日志、异常行为和检测工具如上表所示：