日志審計系統應該有以下功能：

• 日志監控功能提供日志監控能力，支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布。

• 日志采集功能：提供全面的日志采集能力，支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志。提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢。

• 日志存儲功能：提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式。

• 日志檢索功能：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等。

• 日志分析功能：提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志。

• 日志轉發功能：支持原始日志、范式化日志轉發。

• 日志事件告警功能：內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等。

• 日志報表管理功能：支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置。

按照數據來源可以將入侵檢測系統分為：

• 基于主機的入侵檢測系統：獲取數據的來源是系統運行所在的主機，保護的目標也是系統運行所在的主機。

• 基于網絡的入侵檢測系統：獲取的數據是網絡傳輸的數據包，保護的目標是網絡的運行。

• 混合型入侵檢測系統：綜合了基于主機的入侵檢測系統和基于網絡的入侵檢測系統技術的優點，實現對網絡和主機的全面檢測。

根據分析數據時采用的檢測方法如下:

• 基于誤用的入侵檢測系統：通過預先精確定義的入侵簽名對觀察到的用戶和資源使用情況進行檢測。

• 基于異常情況的入侵檢測系統：是從審計記錄中抽取一些相關量進行統計，為每個用戶建立一個用戶扼要描述文件，當用戶行為與以前的差異超過設定的值時，就認為有可能有入侵行為發生。

目前對網絡造成重大影響的異常流量主要有以下四種：

• 拒絕服務攻擊：DoS攻擊的目的是使計算機或網絡無法提供正常的服務，最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。入侵者使用非正常的數據流量攻擊網絡設備或其接入的服務器，致使網絡設備或服務器的性能下降，或占用網絡帶寬影響其他相關用戶流量的正常通信，最終可能導致網絡服務的不可用。

• 分布式拒絕服務攻擊：DDoS指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。這種攻擊行為可以協調多臺計算機上的進程，利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。在這種情況下，會有一股拒絕服務洪流沖擊網絡，使被攻擊目標因過載而崩潰。

• 網絡蠕蟲病毒流量：網絡蠕蟲病毒是指包含的程序或一套程序，能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中，其傳播會對網絡產生影響。近年來，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發，不但對用戶主機造成影響，而且對網絡的正常運行也構成危害，因為這些病毒具有掃描網絡、主動傳播病毒的能力，會大量占用網絡帶寬或網絡設備系統資源。

• 其他異常流量：其他能夠影響網絡正常運行的流量都歸為異常流量的范疇，例如：一些網絡掃描工具產生的大量TCP連接請求，很容易使一個性能不高的網絡設備癱瘓。

網絡安全審計系統有以下這些功能：

• 采集多種類型的日志數據

  能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志。

• 日志管理

  多種日志格式的統一管理。自動將其收集到的各種日志格式轉換為統一的日志格式，便于對各種復雜日志信息的統一管理與處理。

• 日志查詢

  支持以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

• 入侵檢測

  使用多種內置的相關性規則，對分布在網絡中的設備產生的日志及報警信息進行相關性分析，從而檢測出單個系統難以發現的安全事件。

• 自動生成安全分析報告

  根據日志數據庫記錄的日志數據，分析網絡或系統的安全性，并輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。

• 網絡狀態實時監視

  可以監視運行有代理的特定設備的狀態、網絡設備、日志內容、網絡行為等情況。

• 事件響應機制

  當審計系統檢測到安全事件時候，可以采用相關的響應方式報警。

• 集中管理

  審計系統通過提供一個統一的集中管理平臺，實現對日志代理、安全審計中心、日志數據庫的集中管理，包括對日志更新、備份和刪除等操作。

預防畸形報文攻擊的方法有以下這些：

• 檢查ICMP應答請求包的目的地址是否為子網廣播地址或子網的網絡地址，若是，則直接拒絕，并將攻擊記錄到日志。

• 對每一個ip報文進行檢測，若其源地址與目的地址相同，或者源地址位環回地址（127.0.0.1），則直接拒絕，并將攻擊記錄到日志中。

• 檢查進入防火墻的UDP報文，如果目的端口號7或者19，則直接拒絕，并將攻擊記錄到日志，負責允許通過。

• 檢查IP報文中與分片有關的字段是否有矛盾，若發現有如下矛盾，則直接丟棄。將攻擊記錄。

• 檢測每個接口流入的ip報文的源地址和目的地址，并對報文的源地址反查路由表，入接口與以該IP地址為目的地址的最佳出接口不相同的ip報文視為IP spoofing攻擊，將被拒絕，并進行記錄。

• 檢測ICMP請求報文長度是否超過65535kb。

網絡安全等級主要有兩個定級依據要素決定分別是等級保護對象受到破壞時所侵害的客體和客體造成侵害的程度。

• 受侵害的客體：等級保護對象受到破壞時所侵害的客體包括以下三個方面：一是公民、法人和其他組織的合法權益；二是社會秩序、公共利益；三是國家安全。

• 對客體的侵害程度：對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度有三種：一是造成一般損害；二是造成嚴重損害；三是造成特別嚴重損害。

具體的參考國家發布的等級保護劃分內容：

• 第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

• 第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

• 第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

• 第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

• 第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

日志是攻擊者獲得系統權限后首先要清除的對象，通常清除的方式是刪除日志。由于刪除日志會導致日志的缺少，在審計時會被發現，因此部分高明的攻擊者可能會偽造日志，以避免被審計發現。例如，篡改日志文件中的審計信息、改變系統時間造成日志文件數據紊亂、刪除或停止審計服務進程、修改完整性檢測標簽等。

一般攻擊者需要清除操作系統、安全防護設備（如防火墻、IDS等），以及重要系統服務（如WWW服務等）中記錄的日志文件。以UNIX操作系統為例，它包含wtmp/wtmpx、utmp/utmpx和lastlog三個主要日志文件，攻擊者何時進行攻擊、從哪個站點進入、在線時長等信息都會記錄在上述文件中。這些日志文件在不同UNIX操作系統中存放在不同的缺省目錄下，通常只有root權限用戶才有權修改。攻擊者往往先定位攻擊活動相關記錄，再進行修改或刪除，也可以利用特定工具來完成。

防火墻、入侵檢測等安全防護設備都具有審計功能，攻擊者采用欺騙、干擾等手段影響日志審計系統的正常工作，以達到無法記錄攻擊行為的目的。例如，攻擊者可以利用防火墻中的漏洞，暫停其審計功能的運行。對于IDS，攻擊者要避免IDS的發現，通常采用的方法有：偽裝IP地址發起攻擊；改變攻擊方法，使得IDS缺少新的攻擊模式特征，無法發現新的攻擊行為；干擾IDS的運行，使IDS無法辨認真實的攻擊，比如對IDS進行DoS攻擊，使其處于報警狀態，無法判斷真正的攻擊行為。

攻擊者對于攻擊時產生的臨時文件通常也是采取刪除的做法，刪除的臨時文件在系統上標識其硬盤空間已經被釋放，可以用于存儲其他數據，但在其他數據未覆蓋前，這部分數據始終存在硬盤上，可被數據恢復軟件恢復。部分攻擊者會采取向硬盤上反復寫入、擦除數據來確保臨時文件無法被恢復出來。

XSSI被稱為跨站腳本包含攻擊，通常在開發過程中對數據的臨時存儲，存儲在動態javascript文件中，方便全局對數據的調用。攻擊者會嘗試將腳本標簽加載到指向不同來源的頁面，但攻擊者卻無法訪問該頁面的話，那么攻擊者可以誘騙經過身份驗證的用戶訪問處于攻擊者控制之下的頁面，從而間接發動注入攻擊，然后將結果跨域泄漏給攻擊者的JavaScript代碼。

防御XSSI攻擊的必要條件有：

• 如果網站返回“X-Content-Type-Options：nosniff”HTTP頭部的話，那么該攻擊就會偃旗息鼓了。所以，最簡單的防御措施，就是讓它返回這個頭部。服務器可以通過nosniff頭部告訴瀏覽器，“當我說將給你<Content-Type>時，就意味著這是真的<Content-Type>！”。

• 腳本標簽只能用于GET請求。因此，如果端點只接受POST請求，則此攻擊就無能為力了。這個要求看似簡單，但務必要小心。您可能已經設計了只接收POST請求的API，但您的內容管理系統也許仍然可以接收GET請求。

• 如果端點始終返回200，那么也就無法從狀態碼中竊取信息了。但是，狀態碼的存在，不要僅僅為了阻止這種攻擊而簡單粗暴地廢棄了HTTP協議的核心部分。請改用nosniff頭部來阻止該攻擊。

• 如果攻擊者能夠在自己的瀏覽器中加載私密信息，那么他就不需要這種攻擊了。該攻擊主要是設法讓用戶訪問攻擊者的域，然后以用戶在其他域的權限來獲取更多信息，這通常要求用戶已經經過了相應的認證。除此之外，如果您的家庭路由器有此漏洞，那么惡意公共站點可以通過它請求腳本，從而導致信息泄漏。

云計算CCRA分層功能架構包括以下層次：

• 用戶層：用戶層是用戶接口。通過該接口，云服務客戶和云服務提供者及其云服務進行交互，執行與客戶相關的管理活動，監控云服務。

• 訪問層：訪問層提供對服務層進行手動和自動訪問的通用接口，將經過驗證的請求傳遞給服務層組件。訪問層負責將云服務能力通過一種或多種訪問機制展現出來，例如，通過瀏覽器訪問一組Web頁面，或在安全通信的基礎上，通過編程的方式訪問云服務。訪問層還提供云服務能力的安全訪問功能。例如，通過用戶證書來驗證用戶請求是否被授權訪問以及負責加密處理以檢查請求的完整性等。

• 服務層：服務層包含對云服務提供者所提供服務的實現。服務層包含和控制實現服務所需的軟件組件（但不包括底層的虛擬機管理程序、主機操作系統、設備驅動程序等），并安排通過訪問層為用戶提供云服務。

• 資源層：資源層駐留各類資源，包括數據中心通常使用的設備（例如服務器、網絡交換機和路由器、存儲設備等）和服務器上運行的非云特有的軟件，以及其他設備，例如主機操作系統、虛擬機監控器、設備驅動程序、通用系統管理軟件。

• 跨層功能：跨層功能包括一系列功能組件。這些功能組件與上述四層的組件進行交互以提供支撐能力。這些支撐能力包括但不限于集成能力（連接不同組件以實現所需的功能）、安全能力（認證、授權、審計、驗證、加密）、運營支撐系統能力（運行時管理、監控、供應和維護）、業務支撐系統能力（產品分類、計費和財務管理）、開發功能能力（包括服務和服務組件的創建、測試和生命周期管理）。

安全物聯網應用程序支撐工具包括以下這些種類：

• 應用程序管理：支持軟件的供應、驗證、更新和其他一般性管理（版本管理、內存管理等），以及應用程序中的微服務、組合微服務的生命周期管理。

• 運行環境：虛擬機、容器、平臺在運行時，程序語言庫和可執行文件將為應用程序和微服務提供執行環境。如Java虛擬機、Node.js、.NET Framework、Python標準庫和運行時可執行文件等。

• 應用程序服務器：包括托管微服務的應用程序、Web服務器或其他支撐基礎架構。如Wildfly/JBoss、Tomcat和Zend Server等。

• 消息和事件：支持基于消息和事件的應用程序，以及微服務之間的通信。通常按照消息中間件、消息代理和消息總線等進行分類。如數據分發服務（Data Distribution Service，DDS）、ActiveMQ和ZeroMQ等。

• 安全服務：支持應用程序安全性的相關組件，例如加密服務、身份代理等。相關安全服務還可能包括深度數據包檢測、入侵檢測和防御系統，以及系統和網絡事件監視、內容過濾和家長控制等。

• 應用程序數據管理/存儲/持久性：此類工具主要支持應用程序的數據轉換功能和存儲功能，從而實現數據的持久化或內存中的高速緩存。持久存儲可能包括SQL和NoSQL數據庫，以及較新的NewSQL數據庫、內存數據庫等緩存形式的管理也較為常用，如SQLite、Cassandra、MongoDB、Redis、Gemfire等。使用這些內存數據庫將能夠有效減輕傳統數據庫的負載，提高數據訪問速度。

數據報方式主要有以下四個特點：

• 同一報文的不同分組可以經過不同的傳輸路徑通過通信子網。

• 同一報文的不同分組到達目的節點時可能出現亂序、重復與丟失現象。

• 每個分組在傳輸過程中都必須帶有目的地址與源地址。

• 數據報方式的傳輸延遲較大，適用于突發性通信，不適用于長報文、會話式通信。

企業實施安全免密認證容易遇到的問題：

• 部署成本和工作量：免密認證不是點點鼠標就能完成的，而是需要按照計劃循序漸進，深入實施新的軟件或硬件，同時培訓員工。制定項目、變更和執行管理計劃也會占用其他任務或戰略項目的時間。部署免密認證也需要一定的成本。如果走硬件部署，企業就必須為每個員工都購買設備、令牌或智能卡，硬件損壞或丟失時還要及時更換。軟件部署的成本可能略低，但還要考慮管理、遷移和維護等隱形成本。

• 安全性問題：免密認證雖然優于傳統密碼方案，但也不是“百毒不侵”，無法完全防護惡意軟件、瀏覽器中間人攻擊和其他攻擊。黑客可以安裝專門攔截動態密碼 （OTP） 的惡意軟件，或者將特洛伊木馬程序植入網頁瀏覽器，攔截 OTP 或魔力鏈接等共享數據。有些攻擊者甚至還能復制錄音或其他生物特征，換句話說，企業遭遇的攻擊取決于所選的驗證因素，因此使用多因素認證（MFA）時，盡可能多采用驗證因素就能提供更強的安全保障。

• 終端用戶的質疑：人們早已習慣使用密碼，尤其是容易記住的密碼，也因此走進了死胡同。現在，每30天更改一次密碼然后把密碼存儲在瀏覽器中再使用自動填充功能登錄已經成了一種本能，這就阻礙了免密計劃的落地，此外還有很多人質疑免密認證的效果。另一方面，學習新技術、設置新設備以及編寫生物特征驗證因素程序已經是一大難題，如果每次登錄會話還要使用這些新的驗證因素就更難以接受。只是如此多的網絡攻擊遭遇足以讓企業清醒地認識到現有的密碼方案并不奏效，所以雖然免密認證的實施需要花費更長時間，為了更好的防護效果還是值得一試。

GreyEnergy病毒被認為是BlackEnergy的繼任者，其一直被用來攻擊烏克蘭和波蘭的能源公司，以及其他高價值目標。該惡意軟件框架與BlackEnergy有許多相似之處，各模塊均通過攻擊組織確認后上傳，其中，大部分模塊都用于偵察。GreyEnergy的使用者持續瞄準運行SCADA軟件和服務器的工業控制系統控制工作站，這些工作站往往是關鍵任務系統，除了定期維護，幾乎不會進入脫機狀態。

降低計算機病毒危害的措施有以下這些：

• 安裝和維護防病毒軟件：防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站，而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼，因此保持我們使用的防病毒軟件保持最新非常重要。

• 謹慎使用鏈接和附件：在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件，并在單擊電子郵件鏈接時小心謹慎，即使它們貌似來自我們認識的人。

• 阻止彈出廣告：彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能，可以啟用它來阻止彈出廣告。

• 使用權限有限的帳戶：瀏覽網頁時，使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染，受限權限可防止惡意代碼傳播并升級到管理賬戶。

• 禁用外部媒體自動運行和自動播放功能：禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。

• 更改密碼：如果我們認為我們的計算機受到感染，應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼，使攻擊者難以猜測。

• 保持軟件更新：在我們的計算機上安裝軟件補丁，這樣攻擊者就不會利用已知漏洞。如果可用，請考慮啟用自動更新。

• 資料備份：定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染，我們的信息不會丟失。

• 安裝或啟用防火墻：防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻，請啟用它。

• 使用反間諜軟件工具：間諜軟件是一種常見的病毒源，但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項，確保啟用。

• 監控賬戶：尋找任何未經授權的使用或異常活動，尤其是銀行賬戶。如果我們發現未經授權或異常的活動，請立即聯系我們的賬戶提供商。

• 避免使用公共Wi-Fi：不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。

權限提升簡稱提權，顧名思義就是提升自己在目標系統中的權限。現在的操作系統都是多用戶操作系統，用戶之間都有權限控制，比如通過Web漏洞拿到的是Web進程的權限，往往Web服務都是以一個權限很低的賬號啟動的，因此通過Webshell進行一些操作會受到限制，這就需要將其提升為管理甚至是System權限。

提權的方式有以下幾種：

• 系統漏洞提權：查看系統是什么版本、打了什么補丁，然后去網上找存在什么樣的漏洞，然后找對應的提權工具。

• 服務組件漏洞提權：服務組件本身就可能存在漏洞（比如 redis 軟件漏洞），而不同服務組件用了不同權限。例如網站權限低，數據庫權限高，那么我們就可以想辦法從數據庫入手，進行 SQL 注入提升權限。再例如：目標機器上運行了一些其他的服務，然后這些服務只能從內部訪問，然后我們也可以調用過來用。(例如：FTP、Redis 等等) 。

• 利用高權限網站寫 webshell 提權：目標上開了兩個網站，然后 A、B 網站權限不同，利用高權限的網站來寫 webwhell，就能拿到高的權限。

• 通過 CVE-2015-1701 進行提權：一旦發現有漏洞未修復，那么攻擊者就可以對這些漏洞進行利用，就在這個例子中可以發現 MS15-051 沒有修復，我們就可以使用 metasploit 中的模塊進行利用。

• 利用錯誤配置進行提權：在一個完全將補丁打好的機器中，攻擊者就需要利用他們手里的 0day 漏洞進行攻擊。那么如果沒有 0day 就不能提權成功嗎？不存在的，仍可以通過系統的不正確的配置嘗試提權。一個常見的系統錯誤配置就是一些服務并沒有做安全限制，允許攻擊者注入到他們的進程當中，進而實現權限提升。在這種情況下，我們可以使用 powersploit 中的 Powerup 腳本進行快速探測。

三級等保防火墻需要做到以下配置：

• 周期性備份；

• 重命名；

• 修改默認密碼；

• 記錄日志（操作日志、運行日志、安全日志）；

• 策略不能存在any到any；

• 登錄失敗處理（可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施）；

• 更新規則庫和版本更新到最新；

• 用戶權限分離；

• IP限制；

• 關閉不必要的服務盡量能使用https，改端口；