《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 38-日志分析

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第4章工控網(wǎng)絡(luò)安全技術(shù)日志分析0102常見(jiàn)攻擊手段日志分析方法目錄一、常見(jiàn)攻擊手段緩沖區(qū)溢出漏洞拒絕服務(wù)漏洞內(nèi)存破壞漏洞本地權(quán)限提升漏洞遠(yuǎn)程代碼執(zhí)行漏洞堆棧溢出漏洞安全限制繞過(guò)漏洞信息泄漏漏洞跨站腳本執(zhí)行漏洞SQL注入漏洞跨站腳本漏洞目錄遍歷漏洞URL欺騙漏洞1.常見(jiàn)的攻擊手段防火墻的局限性關(guān)于防火墻防火墻不能安全過(guò)濾應(yīng)用層的非法攻擊，如SQL注入防火墻對(duì)不通過(guò)它的連接無(wú)能為力，如內(nèi)網(wǎng)攻擊等防火墻采用靜態(tài)安全策略技術(shù)，無(wú)法動(dòng)態(tài)防御新的非法攻擊動(dòng)機(jī)轉(zhuǎn)變，安全事件無(wú)處不在人，安全意識(shí)薄弱漏洞，與日俱增入侵教程，隨處可見(jiàn)黑客工具，唾手可得以經(jīng)濟(jì)利益為目的的地下黑客產(chǎn)業(yè)鏈……一、常見(jiàn)攻擊手段2.常見(jiàn)防火措施的局限性入侵檢測(cè)系統(tǒng)工作模式一、常見(jiàn)攻擊手段Step1：

從系統(tǒng)不同環(huán)節(jié)收集信息，并向系統(tǒng)的其他部分提供此事件Step2：

分析信息尋找入侵活動(dòng)特征，并產(chǎn)生分析結(jié)果Step3：

自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng)，它可以切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警Step4：

事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱事件產(chǎn)生器EventGenerators事件分析器EventAnalyzers響應(yīng)單元ResponseUnits網(wǎng)絡(luò)Network主機(jī)Host應(yīng)用程序Aplication2.常見(jiàn)防火措施的局限性日志分析步驟：確認(rèn)日志源并備份；通過(guò)移除常規(guī)、重復(fù)的日志記錄來(lái)降噪；日志時(shí)間戳的確定；異常定位：變更、失敗、錯(cuò)誤、訪問(wèn)等回溯來(lái)重現(xiàn)事件發(fā)生前后的動(dòng)作不同日志來(lái)關(guān)聯(lián)二、日志分析方法1.確認(rèn)日志源并備份二、日志分析方法系統(tǒng)日志應(yīng)用日志（WEB/DB服務(wù)器）設(shè)備日志（防火墻/防病毒等）邊界代理日志和終端應(yīng)用日志……2.日志處理降噪-EmEditor/LogView二、日志分析方法3.異常日志定位-攻擊特征二、日志分析方法系統(tǒng)用戶認(rèn)證日志Acceptedpassword、Faileduserlogin、failedpassword、審核失敗、netuser、deleteuser設(shè)備類日志access-listpermitted、denyinbound、loginfailed等應(yīng)用日志400、401、403、500、GET不存在的文件3.異常日志定位-攻擊特征二、日志分析方法SQL注入select、where、orderby、union、and等XSS漏洞iframe、src、img、onerror、onload、onmouseover、alert()等暴力破解302、401、同一來(lái)源IP4.異常事件定位-暴力破解二、日志分析方法linux暴力破解系統(tǒng)賬號(hào)密碼4.異常事件定位-登陸及狀態(tài)二、日志分析方法

成功登陸記錄及系統(tǒng)啟停4.異常事件定位-SQL注入二、日志分析方法2016-01-1516:49:3949GET/article/list.aspid=4%20and%20user>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]將_nvarchar_值_'dbo'_轉(zhuǎn)換為數(shù)據(jù)類型為_(kāi)int_的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)500002016-01-1516:49:4249GET/article/list.aspid=4%20and%20db_name()>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]將_nvarchar_值_'article'_轉(zhuǎn)換為數(shù)據(jù)類型為_(kāi)int_的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)500002016-01-1516:49:4949GET/article/list.aspid=4%20and%20exists%20(select%20*%20from%20admin)|96|800a000d|類型不匹配:_'[string:__4_and_exists_(select_]'80-3Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+.NET+CLR+3.0.04506.648;+InfoPath.2)50