look你的爱机是不是正被别人控制

看看您的爱机是不是因为正被别人控制
看看您的爱机是不是因为正被别人控制操作操作系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作(Work)做出依据.日志文件作为微软Windows系列操作操作操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值(Worth).日志每天为我们忠实的记录着操作操作系统所发生一切，利用操作操作系统日志文件，可以使操作操作系统管理员快速对潜在的操作操作系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了他的存在.反而不能是是因为黑客们光临才会使我们想起这一个重要的操作操作系统日志文件.
VII.1 日志文件的特殊性
要了解日志文件，最开始就要从他的特殊性讲起，说他特殊是因为这一个文件由操作操作系统管理，并加以保护，一般情况下普通用户不能随意更改.我们不能用针对普通TXT文件的Editor方法来Editor他.比如说是WPS系列,Word系列,写字板,Edit等等，都奈何他不得.我们还超级有可能不能对他进行“重命名”或者是“彻底删除”,“移动”操作，不然的话操作操作系统就会很不客气告诉您:访问被拒绝.当然，在纯DOS的状态下，可以对他进行一些常规操作(比如说是Win98状态下)，但是您很快就会发现，您的修改根本就无济于事，当重新启动操作系统Windows 98时，操作操作系统将会自动认真仔细的检查这一个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录.
VII.I.1 黑客为什么或者说怎么会会对日志文件感兴趣
黑客们在获得服务器(Server)的操作操作系统管理员权限之后就可以随意破坏操作操作系统上的文件了，包括日志文件.但是这一切都将被操作操作系统日志所记录下来，所以黑客们想要隐藏(Hide)自己的入侵踪迹，就必须对日志进行修改.最简单的方法就是彻底删除操作操作系统日志文件，但这样做一般绝大部分的都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止操作操作系统管理员追踪到自己，网络上有很多很多专门进行此类功能的程序(Procedures)(Procedures)，比如说是Zap,Wipe等.
VII.I.2 Windows系列日志操作操作系统简介
I.Windows 98的日志文件
因目前绝大多数的用户还是使用的操作操作操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起.Windows 98下的普通用户无需使用操作操作系统日志，除非有特殊用途，比如说是，利用Windows 98建立个人Web服务器(Server)时，就会需要启用操作操作系统日志来作为服务器(Server)安全方面的参考，当已利用Windows 98建立个人Web服务器(Server)的用户，可以进行下列操作来启用日志功能.
I.在“控制面板”中双击“个人Web服务器(Server)”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器(Server)”的情况下).
II.在“管理”选项卡中单击“管理”按钮；
III.在“Internet服务管理员”页中单击“WWW管理”；
IV.在“WWW管理”页中单击“日志”选项卡；
V.选中“启用日志”复选框，并根据需要进行更改. 将日志文件命名为“Inetserver_event.log”.如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中.
普通用户可以在Windows 98的操作操作系统文件夹中找到日志文件schedlog.txt.我们可以通过以下几种方法找到他.在“开始”/“查找”中查找到他，或者是是启动操作系统“任务计划程序(Procedures)(Procedures)”，在“高级”菜单中单击“查看日志”来查看到他.Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器(Server)的NT操作操作操作系统，真正的黑客们很少对Windows 98发生兴趣.所以Windows 98下的日志不为人们所重视.
II.Windows NT下的日志操作操作系统
Windows NT是目前受到攻击较多的操作操作操作系统，在Windows NT中，日志文件几乎对操作操作系统中的每一项事务都要做一定程度上的审计.Windows NT的日志文件一般分为三类：
操作操作系统日志 ：追踪各种各样各样的操作操作系统事件，记录由 Windows NT 的操作操作系统组件产生的事件.比如说是，在启动操作系统过程加载驱动程序(Procedures)(Procedures)错误或者是其他操作操作系统组件的失败记录在操作操作系统日志中.
应用程序(Procedures)(Procedures)日志：记录由应用程序(Procedures)(Procedures)或者是操作操作系统程序(Procedures)(Procedures)产生的事件，譬如应用程序(Procedures)(Procedures)产生的装载dll(动态链接库)失败的信息将出现在日志中.
安全日志 ：记录登录(Logon)上网,下网,改变访问权限以及操作操作系统启动操作系统和关闭等事件以及与创建,打开或者是彻底删除文件等资源使用相关联的事件.利用操作操作系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的.
Windows NT的日志操作操作系统通常放在下面的位置，根据操作操作操作系统的不同略有变化.
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一种特殊的格式存放他的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，操作操作系统管理员可以使用事件查看器选择(Choose)要查看的日志条目，查看条件包括类别,用户和消息类型.
III.Windows XP的日志操作操作系统
与Windows NT一样，Windows XP中也一样使用“事件查看器”来管理日志操作操作系统，也同样需要用操作操作系统管理员身份进入操作操作系统后方可进行操作，如图7-1所示.
图7-1
在Windows XP中，日志文件的类型比较多，通常有应用程序(Procedures)(Procedures)日志，安全日志,操作操作系统日志,DNS服务器(Server)日志,FTP日志,WWW日志等等，可能会根据服务器(Server)所开启的服务不同而不能是略有变化.启动操作系统Windows XP时，事件日志服务会自动启动操作系统，所有用户都可以查看“应用程序(Procedures)(Procedures)日志”，但是只有操作操作系统管理员才能访问“安全日志”和“操作操作系统日志”.操作操作系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录.安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行.
Windows XP日志文件默认位置：
应用程序(Procedures)(Procedures)日志,安全日志,操作操作系统日志,DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的操作操作系统管理员往往都会改变这一个默认大小.
安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT
操作操作系统日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT
应用程序(Procedures)(Procedures)日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\.
Internet信息服务WWW日志默认位置：c:\systemroot\sys tem32\logfiles\w3svc1\.
Scheduler服务器(Server)日志默认位置：c:\systemroot\schedlgu.txt .该日志记录了访问者的IP，访问的时间及请求访问的内容.
因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述.FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件,来源,文件名等等.不过由于该日志太明显，所以高级黑客们根本不怎么会用这种方法来传文件，取而不能是代之的是使用RCP.FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件，
FTP和WWW日志可以彻底删除，但是FTP日志所记录的一切还是会在操作操作系统日志和安全日志里记录下来，如果用户需要尝试彻底删除这些文件，通过一些并不算太复杂的方法，比如说是最开始停止某一些服务，然后就可以将该日志文件彻底删除.具体方法本节略.
Windows XP中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，他可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而不能是是通过分类的方式将各种各样事件整理好，让用户能迅速找到所需要的条目.他的另一个突出特点是能够对整个网络环境中多个操作操作系统的各种各样活动同时进行分析，避免了一个个单独去分析的麻烦.
IV.Windows XP日志文件
说Windows XP的日志文件，就要先说一说Internet连接防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据(Data)包，而不能是一类是ICF抛弃的IP数据(Data)包.日志一般存于Windows目录之下，文件名是pfirewall.log.其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information).文件头主要是关于Pfirewall.log这一个文件的说明，需要注意的主要是文件主体部分.文件主体部分记录有每一个成功通过ICF审核或者是被ICF所抛弃的IP数据(Data)包的信息，包括源地址,目的地址,端口(Port),时间,协议以及其他一些信息.理解这些信息需要较多的TCP/IP协议的知识.ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似. 当我们在WindowsXP的“控制面板”中，打开事件查看器，如图7-2所示.
就可以看到WindowsXP中同样也有着操作操作系统日志,安全日志和应用日志三种常见的日志文件，当您单击当中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示.
图7-2 图7-3
在高级设备中，我们还可以进行一些日志的文件存放地址,大小限制及一些相关操作，如图7-4所示.
图7-4
若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据(Data)包”复选框，不然的话禁用.另外，我们还可以用金山网镖等工具软件(soft)将“安全日志”导出和被彻底删除.
V.日志分析
当日志每天都忠实的为用户记录着操作操作系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析,汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不相同的情况采取必要的措施.
VII.2 操作操作系统日志的彻底删除
因操作操作操作系统的不同，所以日志的彻底删除方法也略有变化，本文从Windows 98和Windows XP两种有明显区别的操作操作操作系统来讲述日志的彻底删除.
VII.II.1 Windows 98下的日志彻底删除
在纯DOS下启动操作系统电脑，用一些常用的修改或者是彻底删除系统命令就可以消除Windows 98日志记录.当重新启动操作系统Windows98后，操作操作系统会认真仔细的检查日志文件的存在，如果发现日志文件不存在，操作操作系统将自动重建一个，但原有的日志文件将全部被消除.
VII.II.2 Windows XP的日志彻底删除
Windows XP的日志可就比Windows 98复杂得多了，我们知道，日志是由操作操作系统来管理,保护的，一般情况下是禁止彻底删除或者是修改，而不能是且他还与注册表(Regedit)密切相关.在Windows XP中彻底删除日志最开始要取得操作操作系统管理员权限，因为安全日志和操作操作系统日志必须由操作操作系统管理员方可查看，然后才可以彻底删除他们.
我们将针对应用程序(Procedures)(Procedures)日志，安全日志,操作操作系统日志,DNS服务器(Server)日志,FTP日志,WWW日志的彻底删除做一个简单的讲解.要彻底删除日志文件，就必须停止操作操作系统对日志文件的保护功能.我们可以使用系统命令语句来彻底删除除了安全日志和操作操作系统日志外的日志文件，但安全日志就必须要使用操作操作系统中的“事件查看器”来控制他，打开“控制面板”的“管理工具”中的“事件查看器”.在菜单的“操作”项有一个名为“连接到另一台电脑”的菜单，单击他如图7-5所示.
图7-5
输入远程电脑的IP，然后需要等待，选择(Choose)远程电脑的系统的安全性日志，单击属性里面的“清除日志”按钮就可以了.
VII.3 发现入侵踪迹
如何当入侵者企图或者是已经进行操作操作系统的时候，马上有效的发现踪迹是目前防范入侵的热门话题之一.发现入侵踪迹的前题就是应该有一个入侵特点数据(Data)库，我们一般使用操作操作系统日志,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),认真仔细的检查IP报头(IP header)的来源地址,检测Email的系统的安全性以及使用入侵检测操作操作系统(IDS)等来判断是否有入侵迹像.
我们先来学习一下如何利用端口(Port)的常识来判断是否有入侵迹像：
电脑在安装以后，如果不加以调整，其默认开放的端口(Port)号是139，如果不开放其他端口(Port)的话，黑客正常情况下是根本没有办法进入操作操作系统的.如果平常操作操作系统经常进行病毒认真仔细的检查的话，而不能是突然间电脑上网的时候会感到有反应缓慢,鼠标不听使唤,蓝屏,操作操作系统电脑死机及其他种种不正常的情况，我们就可以判断有黑客利用电子信件或者是其他方法在操作操作系统中植入的特洛伊令人讨厌的电脑木马.此时，我们就可以采取一些方法来清除他，具体方法在本书的相关章节可以查阅.
VII.III.1 遭受入侵时的迹像
入侵总是按照一定的步骤在进行，有经验的操作操作系统管理员完全可以通过观查到操作操作系统是否出现异常现像来判断入侵的程度.
I.扫描迹像
当操作操作系统收到连续,反复的端口(Port)连接请求时，就可能意味着入侵者正在使用端口(Port)扫描器对操作操作系统进行外部扫描.高级黑客们可能会用秘密扫描工具来躲避检测，但实际上有经验的操作操作系统管理员还是可以通过很多种的迹像来判断一切.
II.利用攻击
当入侵者使用各种各样程序(Procedures)(Procedures)对操作操作系统进行入侵时，操作操作系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理方法)，当入侵者入侵成功后，操作操作系统总会留下或者是多或者是少的破坏和非正常访问迹像，这时就应该发现操作操作系统可能已遭遇入侵.
III.DoS或者是DDoS攻击迹像
这是当前入侵者比较常用的攻击方法，所以当操作操作系统性能突然间发生要紧下降或者是完全停止工作(Work)时，应该马上意识到，有可能操作操作系统正在遭受拒绝服务攻击，一般的迹像是CPU占用率接近90%以上，网络流量缓慢,操作操作系统出现蓝屏,频繁重新启动操作系统等.
VII.III.2 合理适当使用操作操作系统日志做入侵检测
操作操作系统日志的作用和重要性大家通过上几节的讲述，相信明白了不少，但是虽然操作操作系统自已带的日志完全可以告诉我们操作操作系统发生的任何事情，然而不能是，由于日志记录增加得太快了，最终使日志只能成为浪费大量磁盘空间的垃圾，所以日志并不可能是可以无限制的使用，合理适当,规范的进行日志管理是使用日志的一个好方法，有经验的操作操作系统管理员就会利用一些日志审核工具,过滤日志记录工具，解决这一个问题.
要最大程度的将日志文件利用起来，就必须先制定管理计划.
I.指定日志做哪些记录工作(Work)？
II.制定可以得到这些记录详细资料的触发器.
VII.III.3 一个比较优秀的日志管理软件(soft)
要想迅速的从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具.Surfstats Log AnalyzerIV.6就是这么一款专业的日志管理工具.网络管理员通过他可以清楚的分析“log”文件，从中看出网站目前的状况，并可以从该软件(soft)的“报告”中，看出有多少人来过您的网站,从哪里来,在操作操作系统中大量地使用了哪些搜寻字眼，从而不能是帮您准确地了解网站状况.
这一个软件(soft)最主要的功能有：
1,整合了查阅及输出功能，并可以定期用屏幕,文件,FTP或者是E-mail的方式输出结果；
II.可以提供30很多种的汇总的资料；
III.能自动侦测文件格式，并支持很多种的通用的log文件格式，如MS IIS的W3 Extended log格式；
IV.在“密码保护”的目录里，增加认证(Authenticated)使用者的分析报告；
V.可按每小时(Hour),每星期,或者是每个月的模式来分析；
VI.DNS资料库会储存解析(Resolved)的IP地址；
VII.每个分析的画面都可以设定不相同的背景,字型,颜色.
发现入侵踪迹的方法很多很多，如入侵检测操作操作系统IDS就可以很好的做到这点.下一节我们将讲解详细的讲解入侵检测操作操作系统.
VII.4 做好操作操作系统入侵检测
VII.IV.1 什么是入侵检测操作操作系统
在人们越来越多和网络亲密接触的同时，被动的防御已经不能保证操作操作系统的安全，针对日益繁多的网络入侵事件，我们需要在使用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的基础上选用一种协助防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)进行防患于未然的工具，这种工具要求能对潜在的入侵行为作出实时判断和记录，并能在一定程度上抗击网络入侵，扩展操作操作系统管理员的安全管理能力，保证操作操作系统的绝对系统的安全性.使操作操作系统的防范功能大大增强，还超级有可能在入侵行为已经被证实的情况下，能自动切断网络连接，保护主机的绝对安全.在这种情形下，入侵检测操作操作系统IDS(Intrusion Detection System)应运而不能是生了.入侵检测操作操作系统是基于多年对网络安全防范技术和黑客入侵技术的研究而不能是开发的网络安全产品
他能够实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动，在操作操作系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，最大程度地保障操作操作系统安全.
NestWatch
这是一款运行于Windows NT的日志管理软件(soft)，他可以从服务器(Server)和防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)中导入日志文件，并能以HTML的方式为操作操作系统管理员提供报告.
VII.IV.2 入侵检测操作操作系统和日志的差异
操作操作系统本身自已带的日志功能可以自动记录入侵者的入侵行为，但他不能完善地做好入侵迹像分析记录工作(Work)，而不能是且不能准确地将正常的服务请求和恶意的入侵行为区分开.比如说是，当入侵者对主机进行CGI扫描时，操作操作系统安全日志能提供给操作操作系统管理员的分析数据(Data)少得可怜，几乎全无帮助，而不能是且安全日志文件本身的日益庞大的特性，使操作操作系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹.入侵检测操作操作系统就充分的将这一点做的很好，利用入侵检测操作操作系统提供的报告数据(Data)，操作操作系统管理员将十分轻松的知晓入侵者的某一些入侵企图，并能马上做好防范措施.
VII.IV.3 入侵检测操作操作系统的分类
目前入侵检测操作操作系统根据功能方面，可以分为四类：
I.操作操作系统完整性校验操作操作系统(SIV)
SIV可以自动判断操作操作系统是否有被黑客入侵迹像，并能认真仔细的检查是否被操作操作系统入侵者更改了操作操作系统文件，以及是否留有后门(黑客们为了下一次光顾主机留下的)，监视针对操作操作系统的活动(用户的系统命令,登录(Logon)/退出过程，使用的数据(Data)等等)，这类软件(soft)一般由操作操作系统管理员控制.
II.网络入侵检测操作操作系统(NIDS)
NIDS可以实时的对网络的数据(Data)包进行检测，马上发现端口(Port)是否有黑客扫描的迹像.监视电脑网络上发生的事件，然后对其进行安全分析，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者是代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这一个网络流动的数据(Data)和入侵企图.
III.日志分析操作操作系统(LFM)
日志分析操作操作系统对于操作操作系统管理员进行操作操作系统安全防范来说，非常重要，因为日志记录了操作操作系统每天发生的各种各样各样的事情，用户可以通过日志记录来认真仔细的检查错误发生的原因，或者是受到攻击时攻击者留下的痕迹.日志分析操作操作系统的主要功能有：审计和监测,追踪侵入者等.日志文件也会因大量的记录而不能是导致操作操作系统管理员用一些专业的工具对日志或者是报警文件进行分析.此时，日志分析操作操作系统就可以起作用了，他帮助操作操作系统管理员从日志中获取有用的信息，使管理员可以针对攻击威胁采取必要措施.
IV.欺骗操作操作系统(DS)
普通的操作操作系统管理员日常只会对入侵者的攻击作出预测和识别，而不能是不能进行反击.但是欺骗操作操作系统(DS)可以帮助操作操作系统管理员做好反击的铺垫工作(Work)，欺骗操作操作系统(DS)通过模拟一些操作操作系统漏洞(计算机学习网,极力推荐用迅雷来更新,速度比什么更新软件(soft)都来得快)来欺骗入侵者，当操作操作系统管理员通过一些方法获得黑客企图入侵的迹像后，利用欺骗操作操作系统可以获得很好的效果（Effect）.比如说是重命名NT上的administrator账号，然后设立一个没有权限的虚假账号让黑客来攻击，在入侵者感觉到上当的时候，管理员也就知晓了入侵者的一举一动和他的水（Water）平高低.
VII.IV.4 入侵检测操作操作系统的检测步骤
入侵检测操作操作系统一般使用基于特点码的检测方法和异常检测方法，在判断操作操作系统是否被入侵前，入侵检测操作操作系统最开始需要进行一些信息的收集.信息的收集往往会从各个方面进行.比如说是对网络或者是主机上安全漏洞进行扫描，查找非授权使用网络或者是主机操作操作系统的企图，并从几个方面来判断是否有入侵行为发生.
检测操作操作系统接着会认真仔细的检查网络日志文件，因为黑客非常容易在会在日志文件中留下蛛丝马迹，所以我们可以得出结论网络日志文件信息是通常作为操作操作系统管理员检测是否有入侵行为的主要方法.取得操作操作系统管理权后，黑客们最喜欢做的事，就是破坏或者是修改操作操作系统文件，此时操作操作系统完整性校验操作操作系统(SIV)就会迅速认真仔细的检查操作操作系统是否有异常的改动迹像，从而不能是判断入侵行为的恶劣程度.将操作操作系统运行情况与常见的入侵程序(Procedures)(Procedures)造成的后果数据(Data)进行比较，从而不能是发现是否被入侵.比如说是：操作操作系统遭受DDoS分布式攻击后，操作操作系统会在短时间内性能要紧下降，检测操作操作系统此时就可以判断已经被入侵.
入侵检测操作操作系统还可以使用一些操作操作系统系统命令来认真仔细的检查,搜索操作操作系统本身是否被攻击.当收集到足够的信息时，入侵检测操作操作系统就会自动与本身数据(Data)库中设定的已知入侵方式和相关参数匹配，检测准确率相当的高，让用户感到不方便的是，需要不断的升级数据(Data)库.不然的话，根本没有办法跟上网络时代入侵工具的步伐.入侵检测的实时保护功能很强，作为一种“主动防范”的检测技术，检测操作操作系统能迅速提供对操作操作系统攻击,网络攻击和用户误操作的实时保护，在预测到入侵企图时本身进行拦截和提醒管理员预防和防止.
VII.IV.5 发现操作操作系统被入侵后的步骤
I.仔细寻找入侵者是如何进入操作操作系统的，设法堵住这一个安全漏洞.
II.认真仔细的检查所有的操作操作系统目录和文件是否被篡改过，尽快修复.
III.改变操作操作系统中的部分密码，防止再一次因密码被暴力破解而不能是生产的漏洞.
VII.IV.6 常用入侵检测工具介绍
I.NetProwler
作为世界级的互联网安全技术厂商，赛门铁克公司的产品涉及到网络安全的方方面面，特别是在安全漏洞检测,入侵检测,互联网内容/电子邮件过滤,远程管理技术和安全服务方面，赛门铁克的先进技术的确让人惊叹！NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件(soft)，NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术，使用户能够设计独特的攻击定义.即使最复杂的攻击也可以由他直观的攻击定义界面产生.
I.NetProwler的体系结构
NetProwler具有多层体系结构，由Agent,Console和Manager三部分组成.Agent负责监视所在网段的网络数据(Data)包.将检测到的攻击及其所有相关数据(Data)发送给管理器，安装时应与企业的网络结构和安全策略相结合.Console负责从代理处收集信息，显示所受攻击信息，使您能够配置和管理隶属于某个管理器的代理.Manager对配置和攻击警告信息响应，执行控制台发布的系统命令，将代理发出的攻击警告传递给控制台.
当NetProwler发现攻击时，马上会把攻击事件记入日志并中断网络连接,创建一个报告，用文件或者是E-mail通知操作操作系统管理员，最后将事件通知主机入侵检测管理器和控制台.
II.NetProwler的检测技术
NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特点检测)入侵检测技术.在这种设计中，每个攻击特点绝大部分的都是一组系统指令集，这些系统指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据(Data)包的办法执行.每一个被监测的网络服务器(Server)都有一个小的相关攻击特点集，这些攻击特点集绝大部分的都是基于服务器(Server)的操作和服务器(Server)所支持的应用而不能是建立的.Stateful根据监视的网络传输内容，进行上下文比较，能够对复杂事件进行有效的分析和记录
基于SDSI技术的NetProwler工作(Work)过程如下：
第一步：SDSI虚拟处理器从网络数据(Data)中获取当今的数据(Data)包；
第二步：把获取的数据(Data)包放入属于当前用户或者是应用会话的状态缓冲中；
第三步：从特别为优化服务器(Server)性能的特点缓冲中执行攻击特点；
第四步：当检测到某种攻击时，处理器马上触发响应模块，以执行相应的响应措施.
III.NetProwler工作(Work)模式
因为是网络型IDS，所以NetProwler根据不相同的网络结构，其数据(Data)采集部分(即代理)有很多种的不相同的连接形式：如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口(Port)上就可以了.
IV.操作操作系统安装要求
用户将NetProwler Agent安装在一台专门的Windows NT工作(Work)站上，如果NetProwler和其他应用程序(Procedures)(Procedures)运行在同一台主机上，则两个程序(Procedures)(Procedures)的性能都将受到要紧影响.网络入侵检测操作操作系统占用大量的资源，所以我们可以得出结论制造商一般推荐使用专门的操作操作系统运行驱动引擎，要求他有128M RAM和主频为400MHz的Intel Pentium II或者是Pentium-------
给个原始连接，看不到图阿.-------
谢提供！-------
呵呵，我的端口(Port)全关了的，没事-------
还是瞒详细的呀对日志分析的也不错-------
过长，，掠过-------
只开了80，22，EMULE，BT等端口(Port)，其他端口(Port)全关鸟=v=