论文部分内容阅读
审计跟踪是系统活动的记录,这些记录足以重构、评估、审查环境和活动的次序,它是记录用户注册时间、从何处注册、要做什么的文件,这些文件也记录管理员为以后分析保存的任何其它动作。 有关入侵的事件越来越多,虽然我们有日志文件可供查看,但如何从大量的日志记录中提炼出有用信息,如何综合分析以搜寻出可疑行踪,历来是烦扰管理员的一件耗时耗力的事情。 入侵者为了更好地隐藏自己,往往在入侵后修改日志文件,类似的专用工具也越来越多,因而,如何从这些被破坏的日志文件中发现入侵者的踪迹,也是值得考虑的问题。 笔者在对系统的日志文件及一般入侵者的常规行径作了大量分析后,并编制了一个专用的分析工具。主要从几个角度入手:自动完成syslog的配置,以减轻用户的工作;按用户需求进行正常的日志分析,从大量的日志记录中找到用户需要的有用信息;搜寻入侵者留下的蛛丝马迹,分析被破坏后的日志文件找到可疑迹象,生成异常报告。