入侵檢測(Intrusion Detection),顧名思義,便是對入侵行為的發覺。它通過對計算機網絡或計算機系統中的若幹關鍵點收集信息並對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(Intrusion Detection System,簡稱IDS)。與其他安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,並得出有用的結果。壹個合格的入侵檢測系統能大大的簡化管理員的工作,保證網絡安全的運行。
日誌是使系統順利運行的重要保障。它會告訴我們系統發生了什麽和什麽沒有發生。然而,由於日誌記錄增加得太快了,鋪天蓋地的日誌使系統管理員茫然無措,最終使日誌成為浪費大量磁盤空間的垃圾。日誌具有無可替代的價值,但不幸的是它們經常被忽略,因為系統管理員在並不充裕的時間裏難以查看大量的信息。標準的日誌功能不能自動過濾和檢查日誌記錄,並提供系統管理員所需要的信息。
對於入侵者來說,要做的第壹件事就是清除入侵的痕跡。這需要入侵者獲得root權限,而壹旦系統日誌被修改,就無法追查到攻擊的情況。因此,好的系統管理員應該建立日誌文件檢測。有很多工具可以實現日誌檢測的功能,其中就有Logcheck和Swatch。本文將對Logcheck和Swatch逐壹進行介紹。