网络安全运营和事件管理(七):应用程序日志-Web服务器日志和ILES​

admin 2022年8月4日10:05:35评论31 views字数 1109阅读3分41秒阅读模式

回复“河南等保0727”获取英国“IT基础设施的网络要点要求”PDF版


网络安全知识体系

安全运营和事件管理(七):

应用程序日志-Web服务器日志和ILES


2.4 应用程序日志:Web服务器日志和ILES
在计算堆栈的较高位置,应用程序日志提供了一个事件流,用于记录特定应用程序的活动。与系统日志相比,应用程序日志的主要优点是它们与现实的相似性以及所提信息的精确性和准确性。这些日志最初是为调试和系统管理目的而创建的,因此它们是文本和可理解的。
应用程序可以通过syslog基础结构共享日志文件(第2.6节)。例如,auth.log日志文件将存储用户连接信息,而不管使用的机制(pamssh等)。

2.4.1 网络服务器日志

Web服务器和代理日志(称为通用日志格式(CLF)和扩展通用日志格式(ECLF))提供了频繁的信息源。这种格式是由ApacheWeb服务器和其他服务器提供的事实标准。虽然它与Syslog非常相似,但没有规范格式的标准文档。在此阶段,用于日志记录的W3C标准仍然是一个草稿文档。这种格式非常简单易读。它以代码形式提供有关请求(客户端尝试获取的资源)和服务器响应的信息。因此,多年来它已被广泛用于入侵检测系统。该格式的主要问题是缺少有关服务器的信息,因为日志文件是生成日志的计算机的本地文件。
由于服务器处理请求后就会写入服务器日志,因此当传感器收到日志信息时,攻击已经发生。因此,该信息源不满足入侵检测和防御系统(IDPS)的要求,该系统需要挂接为拦截器以作用于数据流(数据包流,指令流),以阻止请求或修改其内容。

2.4.2 文件和文档

另一个特别有趣的应用程序级信息源,既可以在传输中(在网络中)找到,也可以在静态(在系统中)找到,包括其中一些应用程序生成的文档。丰富的文档格式(如PDFFlash或办公套件)的引入,更不用说当今邮件交换中使用的丰富HTML格式,为攻击者提供了大量包含恶意软件的机会。通过网络或电子邮件进行交换,它们构成了另一种交换痕迹,可以揭示嵌入在这些文档中的恶意代码,例如宏或javascript
解析文档中的信息,无论是简单的文档(如TLS证书)还是复杂的文档(如PDF),都很复杂,并为攻击者提供了大量机会来创建对同一文档的不同解释,从而导致漏洞和恶意软件。同时,应该承认,丰富的文档格式将继续存在,并且像HTML5这样丰富(因此复杂)的规范需要写得很好,以便它们可以被明确地解释,从而在规范本身中为攻击者留下更少的空间。
恶意软件检测越来越需要使用文档作为数据源。

原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(七):应用程序日志-Web服务器日志和ILES​

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月4日10:05:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全运营和事件管理(七):应用程序日志-Web服务器日志和ILES​https://cn-sec.com/archives/1220761.html

发表评论

匿名网友 填写信息