来自：CSDN　  许舟平 

 

Utilities for enhancing and verifying system logs

 

a. COAST (Computer Operations, Audit, and Security Technology)

http://www.cerias.purdue.edu/coast/coast-tools.html

b. FWanalog (Summarizes IPF & IP tables firewall logs)

http://tud.at/programm/fwanalog/

c. FWlogsum (Summarizes Checkpoint FW1 logs)

http://fwlogsum.sourceforge.net/

d. FWlogwatch (Summarizes firewall & IDS logs)

http://www.kyb.uni-stuttgart.de/boris/software.shtml

e. KLogger (WinNT/Win2K keystroke logger)

http://ntsecurity.nu/toolbox/klogger/

f. Linux Event Logger (For Enterprise-Class Systems)

http://evlog.sourceforge.net/

g. Logsurfer (Monitors logs in real-time)

http://www.cert.dfn.de/eng/logsurf/

h. Swatch (Monitors syslog messages)

http://swatch.sourceforge.net/

i. Secure Remote Syslogger (Encrypted streaming syslog)

http://www.w00w00.org/files/sectools/SRS/

j. SecureNet Pro (monitoring and analyzing)

http://www.mimestar.com/products/index.html

k. SnortSnarf (HTMLized Snort Log Reviewer)

http://www.silicondefense.com/software/snortsnarf/

l. Spector (Monitoring and spy software)

http://www.computer-spy-software.net/spectorpro_windows/

m. Syslog.Org (Vast info on sys logging)

http://www.syslog.org/

n. Throughput Monitor (An event counter per timeframe log analyzer)

http://home.uninet.ee/~ragnar/throughput_monitor/

o. WinZapper (WinNT/Win2K log modifier)

http://www.ntsecurity.nu/toolbox/winzapper/

Host- and network-based systems for monitoring attacks and unauthorized system modifications

 

a. Autopsy (Forensics tools)

http://www.sleuthkit.org/autopsy/index.php

b. Cheops (Network Swiss-knife)

http://www.marko.net/cheops/

c. COAST (Computer Operations, Audit, and Security Technology)

http://www.cerias.purdue.edu/coast/coast-tools.html

d. Computer Forensics – NTI (Training and tools)

http://www.forensics-intl.com/

e. Early Bird (Real-time HTTP worm intrusion detection)

http://www.treachery.net/~jdyson/earlybird/

f. File System Saint (FSS)

http://insecure.dk/fss/

g. GFI (Landguard network scanner)

http://www.gfi.com/lannetscan/index.htm

h. Guidance Software (ENCAS Forensic Software)

http://www.guidancesoftware.com/

i. Grave-Robber (captures information)

http://www.porcupine.org/forensics/tct.html

j. HoneyNet Project (IDS/Forensics data)

http://project.honeynet.org/

k. IANA (Port Numbers)

http://www.iana.org/assignments/port-numbers

l. Key Computer Service (Training and software)

http://www.keycomputer.net/

m. Lazarus (A tool that recover deleted files)

http://www.porcupine.org/forensics/tct.html

n. Linux Intrusion Detection System (LIDS)

http://www.lids.org/

o. Nagios (Network/system monitoring application; formerly known as

NetSaint.)

http://www.nagios.org/

p. NCSA (Network system/monitoring Snooping tools)

http://archive.ncsa.uiuc.edu/People/vwelch/net_perf_tools.htm

q. Opus one (Trace route tool)

http://www.opus1.com/www/traceroute.html

r. Samhain File System Integrity Checker

http://samhain.sourceforge.net/surround.html?main_q.html&2

s. Scanlogd (PortScan detection)

http://www.openwall.com/scanlogd/

t. Snort (Real-time traffic analysis & logging)

http://www.snort.org/

u. Snort IDScenter (Win32 Interface)

http://www.packx.net/

v. The Coroner's Toolkit (TCT)

http://www.porcupine.org/forensics/tct.html

w. TCTUTILs (Forensics toolkit suite for TCT)

http://www.cerias.purdue.edu/homes/carrier/forensics/

x. Tripwire (MD5sum-based file modification monitor)

http://www.tripwire.org/

y. Unrm (recovers deleted files)

http://www.porcupine.org/forensics/tct.html

 

Utilities for checking and verifying security measures

 

a. AirDefense (Wireless scanner and rogue detection)

http://www.airdefense.net/education/index.shtm

b. Cerberus Internet Scanner (WinNT/Win2K scanner)

http://www.cerberus- infosec.co.uk/cis.shtml

c. BSD Airtools (Wireless Network Auditing)

http://www.dachb0den.com/projects/bsd-airtools.html

d. Check for Rootkit (chkrootkit.org)

http://www/crkrootkit.org/

e. Crack (Password auditor)

http://www.crypticide.org/users/alecm/

f. Default Logins for Networked Devices

http://www.phenoelit.de/dpl/

g. Dsniff (Tools for network auditing and penetration testing)

http://www.monkey.org/~dugsong/dsniff/

h. Ethereal (A network protocol analyzer for Unix and Windows)

http://www/ethereal.com/download.html

i. Fenris (Simplifies auditing & forensic work)

http://razor.bindview.com/tools/fenris/

j. Fragroute (by Dug Song)

http://www.monkey.org/~dugsong/fragroute/

k. GFI (Landguard network scanner)

http://www.gfi.com/lannetscan.index.htm

l. Icon (SNMP Packet Viewer)

http://www.icon- labs.com/product_sniffer.html

m. Incident-Response.Org (Static binaries for auditing)

http://www.incident-response.org/

n. Iris (Packet Sniffer)

http://www.firewall.cx/download-s01-ns.php

o. John The Ripper (Password auditing)

http://www.openwall.com/john/

p. Lost password (Password cracking/recovery)

http://www.lostpassword.com/index.htm

q. Nessus (Robust network scanner)

http://www.nessus.org/

r. Netcat (Feature-rich network debugging & exploration tool)

http://www.atstake.com/research/tools/network_utilities

s. Network Configuration Calculator

http://www.treachery.net/~jdyson/netmask.html

t. SAINT (Enhanced version of SATAN)

http://www.saintcorporation.com/products/saint_engine.html

u. Sam Spade (General Tools)

http://www.samspade.org/

v. Security Administrator's Tool for Analyzing Networks (SATAN)

http://www.fish.com/~zen/satan/satan.html

w. Security Auditor's Research Assistant (SARA)

http://www.arc.com/sara

x. SuperScan3.0 (Network scanner)

http://www.webattack.com/get/superscan.shtml

y. Tiger Analytical Research Assistant (TARA)

http://www-arc.com/tara/

z. Whisker Utility (Web/CGI auditing)

http://sourceforge.net/projects/whisker/

      目前国内信息安全技术的研究热点、现状与趋势，以及我国推动信息安全工作的政策建议。
　　一、“信息安全”的内涵
　　“信息安全”最初是指信息的保密性。在20世纪的“主机时代”，人们需要保护的主要是设在专用机房内的主机以及重要数据，信息安全主要是指信息的保密性、完整性和可用性。80年代以后，特别是进入90年代，互联网的飞速发展，使人与计算机的关系发生了质的变迁，与此相适应，信息安全的内涵也发生了巨大变化，它既面向数据、设备、网络、环境，也面向使用者，不但包含以前信息安全内涵的延续，例如面向数据的安全概念拥有前述的保密性、完整性和可用性；也包含新内涵内容的提出，例如面向使用者、设备、网络、环境的安全概念拥有可控性、不可否认性、可靠性等等。目前的信息安全已涉及攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术，其中，密码技术和管理技术是信息安全的核心；安全标准和系统评估是信息安全的基础。可以说，现代信息安全是一个综合利用了数学、物理、管理、通信和计算机等诸多学科成果的交叉学科领域，是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全、国家信息安全的总和。
　　二、信息安全技术研究热点、现状与趋势
　　信息安全技术研究主要以提高安全防护、隐患发现、应急响应及信息对抗能力为目标。针对现代信息安全内涵概念，目前国内外在该领域的技术研究热点主要包括以下几个方面：信息安全基础设施关键技术、信息攻防技术、信息安全服务技术及安全体系。
　　1.信息安全基础设施关键技术涉及密码技术、安全协议、安全操作系统、安全数据库、安全服务器、安全路由器等等。
　　密码技术主要包括公钥密码、序列密码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等基于数学的密码技术与量子密码、DNA密码等基于非数学的密码技术。对于前者，目前国外一些主要研究热点包括基于椭圆曲线的公钥密码体制、自同步流密码、混沌序列密码、数字签名、密钥管理、Hash函数，并已制定了椭圆曲线公钥密码标准IEEEP1363、数字签名标准DSS、密钥管理X.509标准、Hash标准SHA－1，且正在制定新标准或对已有标准进行更新。这些方向的研究成果已得到一定程度的应用。此外，PKI技术成为应用前景非常看好的实用密码技术，并在国外开始得到应用。然而该技术仍处在发展阶段，PKI系统仅仅在做示范工程。
　　对基于非数学的密码技术，近年来，国外许多大学和研究机构已竞相展开量子密码技术及基于手形、指纹、语音、视网膜、虹膜等生物特征的身份识别技术研究，一些机构也已展开了DNA密码技术研究。目前，在基于生物特征的身份识别技术研究方面国外已取得一些初步成果，但由于价格昂贵等原因未被普及使用。量子密码和DNA密码方面的研究还处于探索阶段，与实用化尚有一段距离，需要研究的问题还很多，例如，量子和DNA加密理论的形成和完善、量子和DNA加密算法的开发、量子密码和DNA密码的实用化等。密码技术是信息安全的核心技术，国家关键基础设施中不可能引进或采用别人的加密技术，只能自主开发。虽然我国在密码基础理论某些方面的研究已有所突破（如RSA的快速实现和椭圆曲线公钥密码的快速实现等），并且正在跟踪研究量子密码、DNA密码等前沿热点问题，但在实际应用方面却与国外的差距较大，并且几乎没有自己的标准规范。
　　目前国外对安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究、各种实用安全协议的设计与分析研究及其标准化。对是者，分析方法主要有两类，一类是攻击检验方法，一类是形式化分析方法，其中安全协议的形式化分析方法是安全协议研究中的最关键问题之一，并已成为目前的研究热点。近年来，安全协议形式化分析方面已取得大量成果，例如，Schneider用进程代数CSP规范了大量的安全性质；Lowe和Roscoe基于进程代数CSP分别发展了不同的理论和方法，将大系统中协议安全性质的研究约化为小系统中协议安全性质的研究等，但这方面研究还存在如何把分析小系统协议的思想与方法扩充到大系统协议等许多工作需要完成。在各种实用安全协议设计、分析研究与标准化方面，目前已提出的具有代表性的安装盘安全协议有：电子商务协议、IPSec协议、TLS协议、简单网络管理协议（SNMP）、PGP协议、PEM协议、S－HTTP协议等。实用安全协议的安全性分析，特别是电子商务协议、IPSec协议、TLS协议是当前协议研究中的另一个热点。此外，实用安全协议的标准化也是当前受到重点关注的问题。我国学者虽然在理论研究、国际上已有协议的分析方面做了一些工作，但在实际应用方面与国际先进水平还有一定差距。当然，其主要原因是我国的信息化进程还远落后于发达国家。
　　以前，操作系统、数据库、服务器和跟由器很少考虑安全问题。随着信息安全问题的日益突出，近年来国外开始研究安全操作系统、安全数据库、安全服务器和安全跟由器。为保证自主的安全功能，各国都在寻求出路，包括设置安全外壳、打安全补丁、设置统一的安全接口界面、优化操作系统内核、发展自由软件等。我国在这些方面与先进国家和地区存在很大差距。近几年来，我国在一定程度上进行了安全操作系统、安全数据库、安全服务器、安全路由器及多级安全机制的研究，但由于自主安全内核受控于人，难以保证没有漏洞。在这些方面，我国的理论基础和自主技术手段有待发展和强化。
　　2.信息攻防技术
　　由于在广泛应用的国际互联网上，黑客、病毒入侵破坏事件不断发生，不良信息大量传播，以及国家、组织出于政治、经济、军事目的而日益兴起的信息战、信息攻防技术已是当前国内外的重要研究热点。信息攻防技术涉及信息安全防御和信息安全攻击两方面，主要技术研究内容包括：黑客攻防技术、病毒攻防技术、信息分析与监控技术、入侵监测技术、防火墙、信息隐藏及发现技术、数据挖掘技术、安全资源管理技术、预警、网络隔离等。
　　该领域正处在发展阶段，目前的研究还比较零散。国外在入侵检测、病毒攻防、黑客攻防、防火墙、网络隔离、安全资源管理等方面取得了较多研究成果，并在此基础上开发了众多相关产品，如PRC公司的ISOA入侵检测系统、Ultimate Firewall公司的防火墙产品、Symantec公司的NORTON病毒防杀软件等。国内在这些方面也取得了相当的成果，并已形成一些实用产品，如金辰公司的KILL2000杀毒软件、三零卫士的鹰眼入侵检测系统等。由于攻击和防卫本身是矛与盾的问题，一方面的研究无疑会刺激另一方面的研究，“道高一尺，魔高一丈”，所以相关研究还远未停止。包括实时高性能防火墙、实时防病毒防杀技术、分布式拒绝服务攻击与防御技术、人工免疫系统、大规模网络实时入侵检测技术、网络积极防御技术等在内的诸多研究课题，仍是人们不断深入探索的对象。
　　在信息分析与监控技术、信息隐藏与发现技术、数据挖掘技术、预警等方面，由于通常涉及文本信息理解、图像信息理解等相关技术领域，所以研究实时高效的解决方案相对来说要困难得多。目前，无论是国内还是国外，这些领域主要还处于理论研究阶段，即使已有为数不多的相关产品，但离成熟还有一段距离。然而，由于其在信息攻防方面所占据的重要位置，相关研究已成为热点课题。
　　3.信息安全服务技术
　　信息安全服务技术包括系统风险分析和评估、应急响应和灾难恢复技术等。系统风险分析和评估是有效保证信息安全的前提条件，也是制定信息安全策略和措施的重要依据，其包含网络基本情况分析、信息系统基本安全状况调查、网络安全技术实施使用情况分析、动态安全管理状况分析、数据及应用加密情况分析、网络系统访问控制状况分析等等。绝对安全可靠的信息系统并不存在。一个所谓的安全系统实际上就是使入侵者为了闯入不得不花费不可接受的时间与金钱，并且承受很高的风险。为此，研究系统风险分析和评估方法，以便为安全策略的制定提供依据是必要的。
　　应急响应和故障恢复技术包含黑客事件应急响应、计算机病毒应急响应、受损数据修复等等。鉴于信息系统遭受攻击时，经常会导致系统、文件和数据受损，因此，为建立信息安全服务体系提供有效的应急响应和故障恢复技术手段也是非常必要的。
　　近年来，国际上已将信息安全服务技术作为另一热门研究课题。众多研究机构、厂商都参与了上面两方面的研究开发并取得了大量成果。例如，在系统风险分析和评估方面，美国安氏公司、TrueSecure公司、SUN公司等进行了系统风险分析和评估技术研究，并开发了COBRA等风险分析与评估工具，并已取得了一定成果。在应急响应和灾难恢复方面，许多国家都基于其所拥有的相关技术成立了信息安全应急响应与灾难恢复中心，比如我国成立的计算机病毒应急响应中心等。
　　目前的系统风险分析与评估技术研究主要针对单一具体目标，采用问卷调查、访谈、文档审查、黑盒测试、操作系统漏洞检查与分析、网络服务安全漏洞和隐患的检查与分析、抗攻击测试等途径来实现；而应急响应和灾难恢复技术随着新出现的具体情况需要不断更新和完善。因此，可以说，该两方面的研究还“任重而道远”，而且我国在这一领域与国外存在较大差距。未来相关研究的发展趋势是从定性分析、定量分析、泄漏分析、方案分析等几个方面研究通用性强的系统安全风险分析和评估方法，并开发相应软件，研究故障分析诊断技术、攻击避免与故障隔离技术、系统快速恢复技术等。
　　4.安全体系
　　信息安全涉及到技术、管理等诸多方面，是一个人、网、环境相结合的复杂大系统。针对这样的复杂系统，研究其安全体系比较困难，但却非常必要。其对规划具体安全措施具有指导、检验作用。信息安全体系研究涉及安全体系结构和系统模型研究、安全策略和机制研究、检验和评估系统安全性的方法和规则的建立。目前，国内外都很重视这方面的研究，我国863计划已将其作为重要研究课题。
　　1983年，美国国防部颁布了第一个将保密性作为安全重点的计算机安全测评标准――TCSEC，用以指导信息安全产品的制造和应用。在此基础上，1991年，英、法、德、荷等西欧四国提出了信息技术安全评价准则――ITSEC。与TCSEC相比，ITSEC并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能，并首次提出了信息安全的保密性、完整性、可用性概念，但是该准则并没有给出综合解决安全问题的理论模型和方案。1999年，国际标准化组织ISO在综合国际上已有的测评准则和技术标准的基础上，提出了信息技术安全评价通用准则――CC。该准则对安全的内容和级别做了更完整的规范，为用户对安全需求的选取提供了充分的灵活性，但它仍然缺少综合解决信息多种安全属性的理论模型依据。此外，1997年美国国家安全局、国防部和加拿大通信安全局还联合提出了系统安全工程能力成熟模型――SSE－CMM。该模型既可用于对一个工程队伍能力的评定，又可用于一个工程队伍能力的自我改善，还可对一个安全系统或安全产品信任度进行测量和改善。然而，过程能力成熟性评定不能完全取代安全系统或产品的测试和认证。我国1999年10月发布了“计算机信息系统安全保护等级划分准则”，该准则为我国安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导，但相关研究与先进国家和地区仍存在很大差距，有待于进一步深化。未来在安全体系方面，各国仍将加强制定测评系统安全性的完善的科学方法和准则，研究科学的综合满足安全需要的安全体系结构模型，以及研究清晰的、完整的安全策略和机制。
　　三、加强我国信息安全工作的政策建议
　　信息安全与我国的经济安全，社会安全和国家安全紧密相连，是我国信息化进程中具有重大战略意义的课题。近年来，信息安全已受到我国政府的高度重视，党和国家领导人多次强调加强信息安全工作的重要性。国家自然科学基金、973、863等计划已将信息安全列为重要研究方向，许多科研机构及企业也开展了相关研究，并取得一定成果。然而与发达国家相比尚存在不小差距，相关产业的发展也比较落后。目前存在的主要问题是：低水平分散、重复研究，整体技术创新能力不足，信息安全产业规模相对较小且缺乏联合和集中，一些关键软硬件系统还不能自主研制生产等等。为了推动我国信息安全工作的发展，应采取如下政策措施：
　　1.加强信息安全管理
　　我国信息安全领域所表现出的不足，在很大程度上归因于管理体制不健全。为此，应在中央和地方两级建立高效的信息安全领导机构，制定和实施重大决策并协调各方关系，振兴信息安全产业。此外，应建立完善的信息安全标准、法律法规体系，以便规范信息安全领域的行为。
　　2.加强信息安全基础设施建设
信息安全基础设施是信息安全得以实现的基本条件，包含PKI、密码等关键技术及产品，以及包括信息安全检测评估中心、应急响应中心等在内的信息安全服务体系。目前，我国信息安全基础设施尚不健全，需要加强建设。
　　3.开展信息安全关键技术研发
　　在信息安全技术和产品研发方面，应坚持“有所为、有所不为、重点突破，技术创新”的方针，开展关键安全芯片、安全操作系统、密码技术等方面的重点自主研发；并跟踪国外研究状况，进行关键技术创新研究，力求保障我国信息安全不受制于人。
　　4.发展信息安全产业
　　信息安全产业的强劲发展是提高国家信息安全水平的必然途径。我国需要大力发展信息安全产业，以振兴国家信息安全综合实力。
　　5.加强信息安全专业人才培养
　　目前，国内信息安全人才紧缺，不适应国家信息安全建设的需要和未来发展的需要，急需加大安全技术、安全管理、安全教育及复合型人才的培养，造就一批能够解决信息安全重大系统工程技术难题的高级专家，以及一批适应市场竞争的科技创新人才。

暂时扒啦几个放这儿：

LSM (Linux Security Module) http://lsm.immunix.org/
SELinux http://www.nsa.gov/selinux/
LIDS http://www.lids.org/
RSBAC http://www.rsbac.de/
Medusa http://medusa.terminus.sk/
Lomac http://freshmeat.net/projects/lomac
Linux ACL http://acl.bestbits.at/
Syscalltrak http://syscalltrak.sf.net/