信息安全事件定位中的Web日志分析方法

作者:钱秀槟;李锦川;方星 刊名:信息网络安全 上传者:郭锐

【摘要】随着Web技术使用范围的不断扩展,Web应用已经成为网络攻击的重要目标。当Web应用遭受攻击时,Web系统会对系统访问情况进行记录,因此在开展事件的分析定位时,最直接有效的数据来源即为Web日志。本文根据应急工作的实际经验,提出了Web日志分析的思路和方法。

全文阅读

2010.06 技术研究 79 日志分析方法 钱秀槟,李锦川,方星 (北京市政务信息安全应急处置中心,北京 100101) doi:10.3969/j.issn.1671-1122.2010.06.029 摘 要:随着Web技术使用范围的不断扩展,Web应用已经成为网络攻击的重要目标。当Web应用遭受攻击时, Web系统会对系统访问情况进行记录,因此在开展事件的分析定位时,最直接有效的数据来源即为Web日志。本文根据应急工作的实际经验,提出了Web日志分析的思路和方法。 关键字:Web日志;网络攻击;事件分析;应急响应中图分类号:TP393.08 文献标识码:A 0 引言 B/S架构的应用系统由于不需要对客户端进行特殊的维护,目前已经成为信息化应用的标准和主流模式。与组成应用系统的网络设备、操作系统等相比较,由于应用系统的 需求更为多变和复杂,因此很难有通用的、且经过长期验证的较为安全可靠的成型产品可供直接使用,而必须依照功能需求进行定制开发,因此应用系统存在安全隐患的几率更大,也越来越成为攻击者首选的目标。 在实际工作中,很多单位的网站被成功入侵后很长时间都未能发现,有的单位虽然通过不同渠道发现了网站遭受到攻击并造成内容异常,但其应对措施仅仅是清除异常内容,而没有深入分析事件发生的原因并对根除隐患,这种情况也造成了很多网站在短时间内重复被入侵。对于一次成功的应急处置而言,则必须根据事件表象逐层分析确定内在原因和攻击实施路径,并从原因上根除、从路径上阻断。 目前 Web系统软件发展得较为成熟,日志审计已经作为Web系统软件的基本功能组件。例如使用最为广泛的apache、IIS 等Web系统软件均支持相应功能,能够实时记录用户访问Web资源的详细情况,Web日志数据也因此成为能够直接反映用户行为的关键信息。因此研究日志分析方法也成为分析处置Web 安全事件的重要课题。 1 Web 日志 1.1 用户访问与Web日志记录 纯文字内容的网站是Web 应用发展的原始阶段,在这一阶段网页的组成相对比较简单。但随着 Web 技术的不断发展,目前的 Web 网站以及基于Web 技术的业务系统已经是内容非常丰富的多媒体形式。每一个网页除了纯文字的主体文件外,还附有其他多种配套资源,典型的如用于定义网页字体格式的样式表、在客户端执行的脚本程序、在主体文件内的其他 网页文件,以及图像、音频、 视频等多媒体资源。 当用户使用通用的网页浏览软件访问网页的主体文件时,浏览器会根据浏览器软件设置的策略确定是否同时下载主体文件的其他附属文件。对 于普通用户而言,使用的是浏览器的默认设置,即下载所有附属文件。因此,当用户访问某一个网页,虽然表面上仅访问了一个网页,但实际上浏览器软件会同时下载与该网页相关的所有文件,Web系统软件则会根据浏览器访问Web应用系统的实际情况记录多条记录。 1.2 日志格式 标准的Web日志格式是纯文本格式,每一行为一条记录,对应于浏览器对Web服务器上资源的一次访问。典型的日志格式包括客户端地址、访问日期、访问时间、访问方法、访问目标、使用协议、结果状态、浏览器类型等基本信息,但不同的 Web系统软件的日志组成也有所不同。以 Apache为例,表一列出了其默认的日志组成字段及字段的意义。 表格 1 Apache日志格式字段 字段描述 %h 客户端的主机名,如主机名不能解析获得则显示来源 IP 地址 %l 远程登录名字,来自identd,如不提供则为“-” %u 远程用户,来自auth,如不提供则为“-” %t 访问日期和时间,以“[日/月/年:时:

参考文献

引证文献

问答

我要提问