25、利用性能监控工具实现取证准备

于 2025-10-27 09:29:09 发布
阅读量15 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 数字取证前沿探秘 文章标签: 性能监控 数字取证 日志文件嗅探
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kotlin6android/article/details/154270727

利用性能监控工具实现取证准备

1. 引言

数字取证调查人员常常需要从大量数据集中筛选出恶意活动的证据,如日志文件。然而,由于实时系统的存储限制,日志文件经常被轮转,这可能导致有价值的数据丢失。因此,当检测到事件时,生产系统需要停止运行,直到调查人员收集到相关数据。

性能监控系统通常用于收集系统操作的数据,如CPU、内存和硬盘利用率。可以设置自定义探针和报告功能来扩展传统的性能监控。本文将探讨如何使用监控工具记录数据,以支持数字取证调查。

2. 背景

2.1 性能监控

性能监控工具旨在收集软件系统的数据,以报告性能、正常运行时间和可用性。被监控系统的实时数据用于检测系统问题并找出其根源。一些性能监控工具采用简单网络管理协议(SNMP)来连接服务器、防火墙和网络设备并收集数据。

性能监控工具使用的数据可分为实时数据、历史数据或自定义数据:
- 实时数据:在最新完成的收集周期内收集,提供当前系统状态的信息。
- 历史数据:实时数据在一段时间后被重新格式化并移动到历史数据存档,提供系统性能、正常运行时间和可用性的信息。
- 自定义数据:通常以只读格式存储,并在自定义报告中呈现,性能监控工具通常无法解释这些数据。

2.2 数字取证准备

数字取证科学是从法医学发展而来的一个相对较新的研究领域。它是指系统地收集电子设备的信息,这些信息可在法庭上使用。数字取证准备的目标是最大化环境收集数字取证数据的能力,并最小化取证调查的成本。

2.3 协议

  • 轻量级目录访问协议(LDAP):指定了一种访问分布式目录服务的机制。本文使用OpenLDAP作为用户访问网络资源的单点认证。
  • 安全外壳协议(SSH):常用于在不安全的网络上实现安全通信。本文中的性能监控工具使用SSH与探针建立通信,确保数据的完整性。

3. 日志文件嗅探

3.1 测试环境

性能监控工具部署在一个用户登录包含多个Web应用程序的Web系统的环境中。这些Web应用程序使用相同的会话信息来授予用户访问服务的权限。测试环境包括五台服务器:主Web服务器、Java应用服务器、认证服务器、内部代理服务器和监控服务器。

服务器名称 日志文件位置
主Web服务器 1. Web服务器
2. OS
Java应用服务器 1. Java应用程序
2. Java容器(Tomcat)
3. OS
认证服务器 1. 认证应用程序
2. OS

探针安装在主Web服务器、Java应用服务器和认证服务器上,用于嗅探日志文件中的用户登录活动数据和用户会话数据。

3.2 数据收集

3.2.1 自定义探针

探针可以放置在不同位置,用于监控系统性能、数据库数据和日志文件。探针通常不进行任何处理,而是访问“数据点”并定期读取其值。数据点可以是系统值(标准数据点)或软件生成的数据点(扩展数据点)。

探针捕获的数据值被发送到监听代理,监听代理与性能监控工具之间的通信根据配置的定时事件定期建立。

3.2.2 日志文件探针

探针使用日志文件嗅探应用程序访问各种日志文件。每个日志文件都有自己的嗅探应用程序。当探针被轮询数据时,它会查询相关的日志文件嗅探应用程序。

日志文件探针的操作流程如下:
1. 每个应用程序记录从其日志文件中读取的最后一行。
2. 后续读取从最后读取点后的第一行开始,直到文件末尾。
3. 每行根据日期时间戳、日志文件名和服务器名进行验证。
4. 探针将行作为单个字符串发送到性能监控代理。
5. 监听代理将接收到的字符串返回给性能监控服务器。
6. 性能监控服务器将验证后的日志文件信息存储在只读数据库表中。 

graph LR
    A[探针] --> B[日志文件嗅探应用程序]
    B --> C[记录最后一行]
    C --> D[后续读取]
    D --> E[验证每行]
    E --> F[发送字符串到代理]
    F --> G[监听代理]
    G --> H[返回字符串到服务器]
    H --> I[性能监控服务器]
    I --> J[存储到只读表]

4. 使用收集的数据

4.1 收集的数据

  • 主Web服务器的Web服务器日志文件存储Web服务器请求和响应,每行包含日期时间戳、请求地址、请求资源、HTTP请求类型和请求结果。
  • 认证应用程序日志文件存储用户认证和会话管理数据,每行包含日期时间戳、日志级别、用户名、会话ID和认证过程结果。
示例应用程序日志文件数据 详情
30 - Jul - 2011 11:00:00; INFO; s98278178; NULL; Authentication request received 认证请求收到
30 - Jul - 2011 11:00:01; INFO; s98278178; tQy1TRvGm53vbJFRyt11JmRnhCNvyYyq81Fy2Zy8vrn8CPTpt3pz; Authentication request successful 认证请求成功
30 - Jul - 2011 12:15:29; INFO; s12345678; NULL; Authentication request received 认证请求收到
30 - Jul - 2011 12:15:29; INFO; s12345678; NULL; Authentication request failed 认证请求失败

4.2 调查暴力攻击

在日志文件探针部署后,对一个测试账户发起了模拟暴力攻击。通过分析认证应用程序和认证服务器日志文件,发现了可能的暴力攻击证据。具体步骤如下:
1. 在性能监控工具的数据库中搜索包含测试账户ID的认证请求。
2. 将检索到的数据分为两组,分别来自认证应用程序日志文件和认证服务器日志文件。
3. 分析第一组数据,发现从时间戳t0到t1有大量失败的认证请求。
4. 在时间戳t0和t1之间搜索Web服务器日志文件数据,找到发出大量认证资源请求的请求地址。

实验进行了四次,每次攻击从不同位置发起,都能正确确定攻击的起源。

4.3 对用户活动进行分类

通过分析日志文件数据构建用户登录活动的配置文件,以识别异常登录活动。最初选择了一部分用户来创建基线,但发现这不能很好地代表用户活动。因此,为测试组中较小子集的每个用户构建了配置文件。

然而,测试表明用户登录配置文件没有考虑到随时间变化的不同登录活动。因此,要生成用户登录活动配置文件,还需要更多信息来解释登录活动的偶尔变化。

5. 结论

将系统监控和数字取证准备结合在一个系统中是一个很有前景的概念,它有助于系统管理、性能评估和维护,以及取证调查。未来的工作将专注于在其他应用程序中实施该方法,以收集更丰富的取证数据,并支持其他类型的分析,如用户活动分析和入侵检测。

利用性能监控工具实现取证准备

6. 方法优势分析

将系统监控与数字取证准备相结合的方法具有多方面的显著优势,具体如下:
- 成本与复杂性降低 :把系统监控和数字取证功能整合在一个系统里,能够减少管理和维护的成本与复杂度。以往可能需要分别部署和维护系统监控工具与数字取证工具,现在统一为一个系统,减少了人力和物力的投入。
- 增强取证准备能力 :借助性能监控工具收集数据,可在事件发生时迅速获取相关信息,提高了取证的及时性和有效性,增强了整个环境的取证准备能力。
- 数据完整性保障 :在数据收集和存储过程中进行完整性检查和数据验证,同时利用SSH协议确保数据传输的完整性,使得收集到的数据可靠,可用于后续的调查分析。

7. 实际应用场景拓展

除了上述提到的暴力攻击调查和用户活动分类,该方法在其他实际场景中也有广泛的应用前景。

7.1 网络异常流量检测

当网络中出现异常流量时,可通过性能监控工具收集网络设备的日志文件数据。例如,路由器、防火墙的日志文件会记录网络流量的进出情况。按照以下步骤进行分析:
1. 利用日志文件探针收集网络设备日志文件中的流量数据。
2. 在性能监控服务器的只读数据库中存储这些数据。
3. 分析流量数据中的源IP地址、目的IP地址、流量大小、传输时间等信息。
4. 设定正常流量的阈值范围,当检测到超出阈值的流量时,判定为异常流量。
5. 根据异常流量的特征,进一步查找可能的攻击源或异常行为的源头。

7.2 应用程序性能故障排查

对于企业中的关键应用程序,当出现性能故障时,性能监控工具可以发挥重要作用。以Java应用程序为例:
1. 探针收集Java应用服务器和相关容器的日志文件数据,包括应用程序的启动时间、响应时间、错误信息等。
2. 分析日志文件中的数据,找出可能导致性能故障的原因,如内存泄漏、数据库连接问题等。
3. 根据分析结果,对应用程序进行优化和修复,提高其性能和稳定性。

8. 实施建议

要成功实施利用性能监控工具实现取证准备的方法,需要注意以下几点:
- 合理规划探针部署 :根据实际需求和系统架构,合理确定探针的部署位置。例如,在关键服务器、网络设备上部署探针,确保能够全面收集到所需的数据。
- 定期维护和更新 :对性能监控工具、探针以及相关的日志文件嗅探应用程序进行定期维护和更新,保证其正常运行和数据收集的准确性。
- 人员培训 :对相关的技术人员进行培训,使其熟悉性能监控工具的使用和日志文件数据分析方法,能够有效地进行取证调查和问题排查。

9. 对比分析

与传统的数字取证方法相比,利用性能监控工具实现取证准备的方法具有明显的优势,具体对比如下:
| 对比项 | 传统数字取证方法 | 利用性能监控工具的方法 |
| — | — | — |
| 数据收集及时性 | 事件发生后才开始收集数据,可能导致部分关键数据丢失 | 实时收集数据,可在事件发生时迅速获取相关信息 |
| 成本与复杂度 | 需要单独部署和维护取证工具,成本高、复杂度大 | 整合系统监控和数字取证功能,降低成本和复杂度 |
| 数据完整性保障 | 数据收集和传输过程中可能存在数据被篡改的风险 | 通过完整性检查、数据验证和SSH协议保障数据完整性 |

10. 未来发展趋势

随着信息技术的不断发展,利用性能监控工具实现取证准备的方法也将不断演进。未来可能会朝着以下几个方向发展:
- 智能化分析 :引入人工智能和机器学习技术,对收集到的大量日志文件数据进行智能化分析,自动识别异常行为和攻击模式,提高取证调查的效率和准确性。
- 多源数据融合 :不仅局限于日志文件数据,还将融合其他数据源,如网络流量数据、系统性能指标数据等,进行更全面的分析和取证。
- 云平台应用 :借助云平台的强大计算和存储能力,实现大规模数据的高效处理和存储,同时方便不同地区的用户进行数据共享和协同调查。

综上所述,利用性能监控工具实现取证准备是一种具有创新性和实用性的方法,在数字取证领域有着广阔的应用前景和发展空间。通过不断地完善和拓展该方法,能够更好地应对日益复杂的网络安全挑战。

17、数字取证与虚拟机监控器取证工具深度解析
vodka的博客
07-23 50
本文深入解析了数字取证与虚拟机监控器取证工具在网络安全中的关键作用,探讨了如何利用ATT&CK知识库和网络杀伤链模型构建APT攻击步骤,并介绍了基于Prolog工具的改进方法。同时,文章涵盖了虚拟机监控器的基本概念、常见攻击漏洞及取证工具分类,提出了应对虚拟机监控器攻击的策略,并展望了未来取证工具的发展趋势,为保障云环境和网络安全提供参考。
NetFlow 监控工具
ITmoster的博客
04-22 2044
NetFlow 是流量数据统计使用最广泛的标准,它是由思科公司开发,用于监控和记录传入或传出接口的所有流量,NetFlow 分析其收集的流量数据,以提供流量和流量的可见性,并跟踪流量的来源、去向以及随时产生的流量。记录的信息可用于使用情况监视、异常检测和各种其他网络管理任务。
Linux 网络流量监控工具
ITmoster的博客
12-16 7025
NetFlow Analyzer是一个全面的网络流量监控解决方案,提供广泛的带宽和网络流量监控功能。它是一种基于 Web 的网络流量监控工具,可在 Windows 和 Linux 系统上运行,并分析流数据以跟踪网络流量。NetFlow 分析器通过提供流量、速度、数据包、最高用量者、带宽利用率、网络异常等指标,让您深入了解网络的带宽使用情况。
Dshell性能监控工具:跟踪框架资源使用的实用脚本
gitblog_00570的博客
09-24 315
Dshell作为网络取证分析框架(Network Forensic Analysis Framework),在处理大规模数据包时需要高效的资源管理。本文将介绍如何构建实用的性能监控脚本,实时跟踪Dshell的CPU、内存和网络I/O使用情况,帮助用户优化插件配置和识别性能瓶颈。 ## 性能监控的必要性 网络取证分析通常涉及GB级别的数据包处理,Dshell的插件链架构(如[dshell/cor...
网络带宽监控,带宽监控工具哪个好
ITmoster的博客
08-03 655
NetFlow Analyzer,基于流的网络带宽监控软件,集成了多款等采集分析引擎。NetFlow导出由带宽监控器收集、关联和分析,以获得粒度细节,以监控跨每个WAN链路的网络上的带宽使用情况。有了NetFlow Analyzer,就不需要通过硬件探针监控带宽使用情况,并且它适用于Windows和Linux环境。...
2022 年最佳 15 款网络监控工具
网络技术联盟站
04-20 7385
随着过去几十年企业网络的兴起,以及近年来随着虚拟、云和边缘网络的增加,监控工具已经显得越来越重要。在当今大多数企业中,监控混合 IT 环境中的网络流量对于主动网络管理至关重要。无论是检测行为异常、占用带宽、应对新威胁,还是使用历史数据绘制趋势图,监控工具在未来仍将是必不可少的。 本文将介绍 15 种 2022 年最佳网络监控工具。 我们先来看一下有哪15种: Auvik Broadcom Catchpoint Datadog Dynatrace Extrahop Kentik LogicMonitor M
2024 年度最佳15款网络监控工具,运维人员不要错过_网络异常监控管理
2401_86394145的博客
09-03 3925
官网 Broadcom Inc. | Connecting EverythingDX NetOps由Broadcom子公司CA Technologies组装,提供网络可见性和可操作的情报,用于监控数字用户体验。Broadcom广泛的IT解决方案堆栈包括一些基于AI的可观察性产品,用于运营智能、应用程序性能和统一基础架构管理以及网络监控。鉴于博通的监控服务与赛铁克更广泛的网络安全套件之间的捆绑潜力,AIOps值得考虑。在Gartner Peer Insights中,Broadcom在IT基础设施和网络性能监控
13 个最好用的免费服务器和网络监控工具,不看吃亏!
热门推荐
click_idc的博客
05-23 4万+
1、GangliaGanglia是伯克利开发的一个集群监控软件。可以监视和显示集群中的节点的各种状态信息,比如如:cpu 、mem、硬盘利用率, I/O负载、网络流量情况等,同时可以将历史数据以曲线方式通过php页面呈现。Ganglia监控软件主要是用来监控系统性能的软件,如:cpu 、mem、硬盘利用率, I/O负载、网络流量情况等,通过曲线很容易见到每个节点的工作状态,对合理调整、分配系统资源...
snmp连接工具_2020好用的综合性网络监控工具
weixin_39799565的博客
12-06 1092
网络监控是企业最为重要的网络管理方法之一,也是网络工程师和网络管理员持续关注和优化的操作。2019年,我们介绍了不少网络监控、性能监控和应用性能监控工具。此文将从选择供应商的视角,梳理出一些综合性的网络监控工具,以便大家做筛选,以及后续功能、成本方面的深入选择。Accedian平台:Accedian Skylight PVXAccedian Skylight PVX是一个统一的网络和应用性能管理...
SkeyeRTSPLive传统视频监控互联网实现利器解决方案
OpenSkeye的博客
05-20 5750
随着互联网的发展,传统安防行业已不再满足于仅仅通过一台PC机器,或者一台NVR接入摄像机源进行录像和监控的基本要求,人们迫切的需要利用目前相当便利的网络环境,以便能实现随时随地的观看到适应各种网络环境和各种终端设备的低延时的音视频视频监控,录像取证和应急处理,而不再受到时间和地域的限制。 同样,对于互联网服务,PC电脑也不再是唯一选择,智能手机、平板电脑、特定的移动终端等都是可选择的用户终端硬件方式;因此,我们需要一款能将安防协议,电视广播协议以及其他各种格式的流媒体协议接入到互联网上来,通过一种统一格式的
Coze智能体性能监控:实时监控系统性能的工具和策略
[Coze智能体性能监控:实时监控系统性能的工具和策略](https://network-king.net/wp-content/uploads/2023/05/ManageEngine_vmware-monitor-dashboard-1024x458.png) # 1. Coze智能体性能监控概述 在当今信息时代,...
CESA-2022-1-016软件组织能力成熟度模型(征求意见稿).pdf
11-27
CESA-2022-1-016软件组织能力成熟度模型(征求意见稿)
子牙河山区.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
AIP我的个人资料+AIP我的个人资料
最新发布
11-27
AIP我的个人资料+AIP我的个人资料
51单片机c源码-用函数型指针控制P1口灯花样
11-27
51单片机c源码-用函数型指针控制P1口灯花样
【评估多目标跟踪方法】9个高度敏捷目标在编队中的轨迹和测量研究(Matlab代码实现
11-27
【评估多目标跟踪方法】9个高度敏捷目标在编队中的轨迹和测量研究(Matlab代码实现)内容概要:本文围绕“评估多目标跟踪方法”,重点研究9个高度敏捷目标在编队飞行中的轨迹生成与测量过程,并基于Matlab提供完整的代码实现。通过模拟高度动态的目标运动轨迹,生成相应的测量数据,用于验证和评估多目标跟踪算法的性能,如目标关联、轨迹连续性和跟踪精度等关键指标。该研究适用于复杂、高机动场景下的雷达、无人机编队或智能监控系统中的目标跟踪任务,强调算法在密集目标环境下的鲁棒性与准确性。; 适合人群:具备一定Matlab编程基础,从事雷达信号处理、智能交通、无人机编队控制、计算机视觉或多目标跟踪相关研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①用于多目标跟踪算法(如JPDA、IMM-UKF、GM-PHD等)的仿真验证与性能对比;②为高机动目标轨迹建模与传感器测量仿真提供参考实现;③支持后续在雷达系统、空中交通管制或智能监控中的算法开发与优化。; 阅读建议:建议读者结合文中提供的Matlab代码,深入理解轨迹建模与测量生成机制,调试并可视化结果,进一步在此基础上引入噪声、遮挡或目标交叉等复杂因素,以提升实际应用场景下的算法鲁棒性。
【Linux系统运维】CentOS 7.9环境下NVIDIA RTX 4090显卡驱动安装与内核升级指南
11-27
内容概要:本文详细介绍了在CentOS 7.9系统上安装NVIDIA RTX 4090显卡的完整流程,重点包括内核升级至6.9.4版本的操作步骤和显卡驱动的安装方法。文中首先强调了关闭主板安全启动的必要性,随后依次讲解了安装编译环境、升级GCC工具链、下载并编译Linux内核源码、配置GRUB引导以及重启生效新内核的过程。完成内核升级后,提供了执行NVIDIA官方驱动安装命令的具体方式,并推荐使用特定参数避免冲突。整个过程涵盖系统准备、内核编译、引导配置和显卡驱动安装等关键环节。; 适合人群:具备Linux系统管理经验,熟悉命令行操作,有一定运维或深度学习环境搭建需求的技术人员;适用于需要在CentOS 7.9上部署高性能GPU计算环境的研发或运维人员。; 使用场景及目标:①为支持RTX 4090显卡在老旧CentOS 7.9系统上运行而进行高版本内核升级;②解决因内核过旧导致的驱动兼容性问题,实现NVIDIA显卡成功识别与使用;③构建可用于AI训练、科学计算等场景的稳定GPU服务器环境。; 阅读建议:操作涉及内核编译与系统引导修改,存在一定风险,建议在测试环境中先行验证,备份重要数据,并确保网络和电源稳定。严格按照文档顺序执行,注意CPU核心数对编译参数的影响。
最新版本 Notepad++ x64
11-27
最新版本 Notepad++ x64
网络监控工具:实时提取URL地址
此类工具特别适用于网络安全、网络监控和网络分析领域,可以让用户了解网络访问行为,以便进行安全审计、性能监控或是数据取证。 知识点二:Wireshark工具概述 Wireshark是一款广泛使用的网络协议分析工具,它可以...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值