文章目录

1.审计系统
2.Windows 审计系统组件
3.审计事件类型
4.审计系统的事件记录
5.审计系统事件记录种类
6.Windows 审计日志
7.记录分析
8.审计系统分类
8.事件分析与跟踪
9.追踪攻击者手段
- 1.检查进程
- 2.检查通信连接
- 3.检查登录用户
- 4.分析日志
- 5.文件系统分析
- 6.地址追踪
- 7.假冒地址追踪:针对Dos攻击，区分僵尸电脑
10.数字取证
11.数字取证特征
12.十大最危险cmd指令(易破坏性，无法取证)
13.数字取证的原则
14.电子取证过程
15.数字指纹
16.追踪码
思考题

1.审计系统

审计系统是一种为事后观察、分析操作或安全违规事件提供支持的系统，它广泛地存在于操作系统、数据库系统和应用系统中，记录、分析并报告系统中的普通或安全事件。

日志( logging ) 可以由任何系统或应用生成，记录了这些系统或应用的事件和统计信息，反映了他们的使用情况和性能情况。
审计( auditing ) 一方面生成审计记录，提供更清晰、简洁、更易于理解的系统事件和统计信息，另一方面记录所定义的审计事件的发生情况。

2.Windows 审计系统组件

安全参考监视（SRM）：监视安全策略运行状况
时间记录器（Event Logger）：记录全局信息
本地安全中心（LSA）：检测是否受到攻击

3.审计事件类型

4.审计系统的事件记录

事件记录是指当审计事件发生时，由审计系统用审计日志记录相关的信息。相比于普通日志，审计日志的生产一般由统一的机制完成，数据存储的结构也更一致、层次更分明，由于受到系统保护，审计数据的存储一般也更安全，这增加了攻击者消除攻击痕迹的困难。

5.审计系统事件记录种类

内核级：由审计系统的内核模块生成
应用级：由用户态生成

6.Windows 审计日志

7.记录分析

系统管理员可以通过分析审计日志得到新的事件定义，这些新的事件可以通过合并已有的事件而简化日志信息或使原来的事件定义更合理。

8.审计系统分类

基于状态的审计系统：记录资源的状态变化，如Windows
记录转移的审计系统：记录资源操作行为

8.事件分析与跟踪

当系统遭受攻击后，可以通过检查进程或线程活动、网络通信、用户活动、审计日志和文件系统等的情况进行事件分析，还可以通过对地址和假冒地址的追踪了解攻击的来源和攻击者所处的物理位置或国家、机构等信息。

9.追踪攻击者手段

1.检查进程

攻击者在入侵了计算机系统后，往往会在操作系统中运行某个进程，这样做的目的可能包括:监听网络通信、向攻击者提供远程控制服务、监视其他用户的操作、等待下一步攻击的时机等。

2.检查通信连接

操作系统一般提供相应的命令查看本机的网络连接状况。当获得当前被监听或正在通信的端口号后，若它是熟知端，需要确定对应的服务是否是由操作系统或合法用户启动的，若不是，则很可能是攻击者在利用熟知端口隐蔽通信的存在;若发现不明端口，则需要查明是否由合法的用户打开。

3.检查登录用户

攻击者在系统中的活动需要在某个账户下得到相应的权限，因此通过监视账户的活动，可能能够发现问题。

4.分析日志

对安全事件调查和追踪有帮助的日志包括系统和应用程序日志、审计日志及网络安全防护设备的日志。

5.文件系统分析

在入侵者攻击过程中，往往会出于一些目的更改文件系统，尤其是对相应日志或文件的修改直接反映了攻击者的目的。因此检查日志文件和审计记录之间不一致的情况来分析攻击者行为也是安全审计中的重要手段。

6.地址追踪

基于主机的追踪： 分析连接的主机名称
基于网络的追踪： 追踪IP地址，IP地址备案情况

7.假冒地址追踪:针对Dos攻击，区分僵尸电脑

10.数字取证

利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中，它们就是电子证据，将这些电子信息作为法律证据进行采集就是数字取证，也称电子取证。

11.数字取证特征

12.十大最危险cmd指令(易破坏性，无法取证)

BiBili视频链接
1 蓝屏死机
2 更改文件后缀名
3 删除system32
4 使PC永久崩溃
5 删除所以的注册表
6 永远禁用网络
7 一直按回车
8 启动电脑后自动关机
9 开启CD蜂鸣器
10 格式化硬盘

13.数字取证的原则

14.电子取证过程

15.数字指纹

数字指纹从技术上看类似于鲁棒数字水印，但这里的指纹水印内容承载了数字多媒体内容购买者的基本信息，用于在发现非授权散布版本时，追查散布源头。
数字指纹的有效性在于∶若攻击者消除数字指纹，由于数字指纹具有鲁棒性，而其嵌入过程有密钥参与，因此攻击者也将降低数字媒体的感知质量，这样会使盗版制品在质量方面处于劣势。

16.追踪码

由于同一个数字内容制品需要根据不同的购买者嵌入不同的指纹水印，因此存在多个发布版本，当这些版本的购买者联合起来时，有可能生成一个指纹难以检测的版本,这个版本可以作为盗版制品发售。
当w个用户实施合谋攻击时，仍然可以推知其中至少一个用户的指纹编码，这种追踪码被称为w-可识别父码，简称w-IPP码。

思考题

1.什么是审计系统？
2.什么是事件记录？
3.什么是数字取证？
4.数字取证的原则有哪些？

信息安全技术——（十）安全审计与责任认定相关推荐

全国计算机等级考试三级信息安全技术考试大纲（２０１８年版）
考试大纲基本要求 1. 了解信息安全保障工作的总体思路和基本实践方法 2. 掌握信息安全技术的基本概念.原理.方法和技术 3. 熟练掌握计算机网络安全.系统软件安全和应用软件安全的基本知识和实践技能 ...
NCRE | 三级信息安全技术笔记
第一章信息安全保障概述 1.1信息安全保障背景 1.1.1信息技术及其发展阶段信息技术两个方面:生产:信息技术产业:应用:信息技术扩散信息技术核心:微电子技术,通信技术,计算机技术,网络技术第一 ...
信息安全技术——（一）绪论
文章目录 1.信息安全的基本概念 2.信息安全的发展历程 3.信息安全威胁和需求 3.1信息安全威胁: 3.2信息安全威胁细分类 4.信息安全技术体系 4.1核心基础安全技术 4.2安全基础设施技术 ...
计算机三级信息安全技术知识点总结
文章目录前言一.信息安全保障概述二.信息安全基础技术与原理对称密码与非对称密码哈希函数数字签名密钥管理消息认证(**消息认证不能预防发送方否认和接收方否认**) 身份认证访问控制模型 ...
计算机等级考试信息安全技术三级笔记（1）
第一章信息安全保障概述 1.1信息安全保障背景 1.信息的定义:事物运动的状态和状态变化的方式 2.区别概念: 信息与消息:消息是信息的外壳,信息是消息的内核,消息是信息的笼统概念,信息则是消息的 ...
计算机弹奏卡布奇诺,计算机学院信息安全技术协会卡布奇诺加糖队在第十二届全国大学生信息安全竞赛中喜获佳绩...
7月27号,第十二届全国大学生信息安全竞赛--创新实践能力赛在电子科技大学圆满结束.我校信息安全技术协会卡布奇诺实验室派出2支队伍参加本次竞赛,并在指导老师刘朝晖的精心指导下获得全国三等奖的好成绩. ...
头歌-信息安全技术-安全审计
头歌-信息安全技术-安全审计一.第1关:配置环境 1.编程要求 2.评测代码二.第2关:使用lynis进行安全审计 1.编程要求 2.评测代码 (1)输入vim /data/workspace/m ...
三万字-计算机三级-信息安全技术-信息安全保障概述
今年五月份报的信息安全技术,考试时间为2022.9.26,因为封校和疫情原因,没有参加上:在这些期间准备时间只能说是10天,10天好像就有点多,大概一周吧,能考个及格,所以当大家备考时一定要老早准备, ...
GBT 35273-2020 信息安全技术个人信息安全规范
GBT 35273-2020 信息安全技术个人信息安全规范全文下载 ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273-2020 代替 GB/T 352 ...

信息安全技术——（十）安全审计与责任认定