| 中文摘要 | 第1-8页 |
| 绪论 | 第8-10页 |
| 第1章 概述 | 第10-16页 |
| 1.1 审计跟踪 | 第10页 |
| 1.2 入侵者与日志文件 | 第10-11页 |
| 1.3 目前现状与动态 | 第11-12页 |
| 1.4 本论文的研究思路 | 第12-14页 |
| 1.5 本论文涉及的术语、名词 | 第14-16页 |
| 第2章 系统现有日志系统 | 第16-22页 |
| 2.1 LASTLOG——用户最后一次登录记录 | 第16页 |
| 2.2 UTMP——系统当前登录用户 | 第16-17页 |
| 2.3 WTMP——用户登录及退出记录 | 第17-18页 |
| 2.4 SYSLOG——系统日志 | 第18页 |
| 2.5 SULOG——用户切换日志 | 第18-19页 |
| 2.6 CRON——自动任务调度日志 | 第19页 |
| 2.7 SENDMAIL——邮件传输记录 | 第19-20页 |
| 2.8 UUCP——UNIX TO UNIX COPY记录 | 第20页 |
| 2.9 FTP的日志文件 | 第20页 |
| 2.10 HTTPD日志 | 第20-21页 |
| 2.11 HISTORY日志 | 第21-22页 |
| 第3章 黑客行径分析 | 第22-38页 |
| 3.1 黑客入侵一般方式 | 第22-24页 |
| 3.2 黑客开始的工作——获得一个起始帐户 | 第24-25页 |
| 3.3 获取PASSWD密码档 | 第25-26页 |
| 3.4 获取SHADOW密码档 | 第26-27页 |
| 3.5 破解PASSWD文档 | 第27页 |
| 3.6 使用MOUNT得到系统访问权限 | 第27-29页 |
| 3.7 隐藏自己 | 第29-31页 |
| 3.8 清除登录(LOG)文件 | 第31-33页 |
| 3.9 保持在主机上的权限 | 第33-38页 |
| 3.9.1 删除历史文件: | 第33页 |
| 3.9.2 设定一个“藏身”目录 | 第33-34页 |
| 3.9.3 制作新命令 | 第34-35页 |
| 3.9.4 增加或修改登录密码 | 第35-36页 |
| 3.9.5 安装游戏 | 第36页 |
| 3.9.6 保持监视 | 第36-37页 |
| 3.9.7 Root和Demon工具及特洛伊木马 | 第37-38页 |
| 第4章 日志分析工具的设计与实现 | 第38-57页 |
| 4.1 日志配置模块实现 | 第39-46页 |
| 4.1.1 Syslog概述 | 第40-41页 |
| 4.1.2 Syslog.conf配置格式 | 第41-43页 |
| 4.1.3 自动配置syslog.conf | 第43-46页 |
| 4.2 日志分析模块的实现 | 第46-55页 |
| 4.2.1 常规日志报告模块 | 第47-50页 |
| 4.2.1.1 某时间段内登录用户列表 | 第48-49页 |
| 4.2.1.2 最近某用户历史操作记录 | 第49页 |
| 4.2.1.3 某时间段内远程站点登录记录 | 第49页 |
| 4.2.1.4 某时间段内执行过某操作的用户列表 | 第49页 |
| 4.2.1.5 某时间段内以root权限有过操作的记录列表 | 第49-50页 |
| 4.2.1.6 某时间段内某些重要文件被改变过的记录清单 | 第50页 |
| 4.2.2 异常报告模块 | 第50-55页 |
| 4.2.2.1 用户信息异常 | 第51-53页 |
| 4.2.2.2 用户的举动异常 | 第53-54页 |
| 4.2.2.3 其它异常情形 | 第54-55页 |
| 4.3 其他同类工具的比较 | 第55-57页 |
| 结束语 | 第57-58页 |
| 感谢 | 第58-59页 |
| 附录 | 第59-60页 |
| 介绍几个工具及其网址 | 第60页 |
