當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

網(wǎng)絡(luò)安全從入侵信息收集開(kāi)始

http://m.yibo1263.com　2008/12/18 8:28:04 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　從總體上來(lái)說(shuō)，網(wǎng)絡(luò)入侵檢測(cè)需要分為兩個(gè)部門(mén)，一是入侵信息的收集；二是在收集信息的基礎(chǔ)之上，對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析。然后我們網(wǎng)絡(luò)管理員再根據(jù)相關(guān)的結(jié)果采取對(duì)應(yīng)的措施�？梢�(jiàn)，數(shù)據(jù)收集是入侵檢測(cè)、提高企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)；是一個(gè)必須要經(jīng)歷的階段。

　　網(wǎng)絡(luò)的安全性，很大程度的上依賴于我們收集的信息的準(zhǔn)確性。因?yàn)楝F(xiàn)在非法入侵越來(lái)越狡猾，不會(huì)光明正大的在系統(tǒng)中留下痕跡。他們?cè)诠舻倪^(guò)程中，往往會(huì)采取一些隱蔽的手段，或者在攻擊完成之后刪除一些信息，如可以替換被程序調(diào)用的子程序、記錄文件和其他工具等等。經(jīng)過(guò)他們的對(duì)相關(guān)信息的調(diào)整，可以讓系統(tǒng)的日志跟正常的差不多。所以，隨著黑客技術(shù)的深入，信息收集的難度也比較大。下面筆者就入侵信息的收集這個(gè)話題，談?wù)勛约旱南敕ā?

　　第一步：收集系統(tǒng)日志以及網(wǎng)絡(luò)日志文件。

　　俗話說(shuō)，燕過(guò)留聲，人過(guò)留名。無(wú)論再怎么高超的黑客，要入侵企業(yè)網(wǎng)絡(luò)之前，肯定會(huì)在系統(tǒng)日志或者網(wǎng)絡(luò)日志中留下一些蛛絲馬跡，只是明不明顯的區(qū)別而已。所以，網(wǎng)絡(luò)管理員需要對(duì)這個(gè)系統(tǒng)日志與網(wǎng)絡(luò)日志格外的關(guān)注。

　　如一些系統(tǒng)或者網(wǎng)絡(luò)失敗訪問(wèn)日志，會(huì)記錄一些不尋常的或者不成本的訪問(wèn)記錄。如當(dāng)一個(gè)帳戶試圖多次用管理員帳戶訪問(wèn)文件管理系統(tǒng)，當(dāng)密碼嘗試錯(cuò)誤三次的時(shí)候，就會(huì)在文件服務(wù)器系統(tǒng)中記錄下這個(gè)訪問(wèn)信息，包括訪問(wèn)的時(shí)間、IP地址等等。當(dāng)我們網(wǎng)絡(luò)管理員收集到這條信息后，就需要注意可能有人在再這臺(tái)文件服務(wù)器的注意了。我們可以根據(jù)這個(gè)IP地址，找到那臺(tái)攻擊的主機(jī)。不過(guò)，很可能這臺(tái)主機(jī)不是始作俑者，而是被人家當(dāng)做肉雞了。總之，我們看到這個(gè)信息之后，我們就需要為文件服務(wù)器設(shè)置一個(gè)比較復(fù)雜的管理員密碼了。

　　再如有些應(yīng)用系統(tǒng)中，有一個(gè)“帳戶活動(dòng)”日志。這個(gè)日志中會(huì)記錄這個(gè)帳戶在系統(tǒng)中所進(jìn)行的操作。包括什么時(shí)候利用什么角色登陸到系統(tǒng)，進(jìn)行了哪些操作；并且還會(huì)記錄這個(gè)帳戶的一些必要的認(rèn)證信息。通過(guò)這些信息的話，我們可以及時(shí)的發(fā)現(xiàn)系統(tǒng)入侵的跡象。如系統(tǒng)管理員發(fā)現(xiàn)一個(gè)管理員帳戶在某個(gè)時(shí)間登陸了這個(gè)應(yīng)用系統(tǒng)，但是，自己那時(shí)候根本沒(méi)有登陸�；蛘咂胀▎T工的帳戶在非上班時(shí)間多次登陸，那么就說(shuō)明這個(gè)信息化應(yīng)用系統(tǒng)有可能已經(jīng)被人攻破了。他們乘我們不注意的時(shí)候，在偷偷的竊取系統(tǒng)中的信息。為此，我們必須要通過(guò)一些措施找到這個(gè)非法的攻擊者，或者及時(shí)更改用戶名與密碼，防止進(jìn)一步擴(kuò)大損失，等等。

　　總之，相關(guān)的日志信息會(huì)記錄某個(gè)非法用戶多次嘗登陸某個(gè)系統(tǒng)，以及記錄某個(gè)非法用戶多次試圖訪問(wèn)未經(jīng)授權(quán)的文件或者系統(tǒng)。而這些信息是我們以后作好防治措施的依據(jù)。所以，我們信息收集的第一步，就是要關(guān)注相關(guān)的日志信息。在這些日志文件中，找到攻擊者蛛絲馬跡。

　　第二步：非正常的目錄以及非正常的文件。

　　當(dāng)黑客攻擊成功后，取得某個(gè)管理員帳戶之后，為了進(jìn)一步加固自己的成果，會(huì)在系統(tǒng)中設(shè)置一些文件夾、目錄或者文件，以進(jìn)行下一步的攻擊行為。如有一些攻擊者在取得系統(tǒng)的管理員軋帳戶與密碼之后，會(huì)在系統(tǒng)中建立一個(gè)文件夾，上傳一些木馬攻擊。并且設(shè)置相關(guān)的任務(wù)調(diào)度計(jì)劃，當(dāng)某個(gè)特定的時(shí)間，運(yùn)行這個(gè)文件夾中的程序等等。所以，我們?nèi)裟軌蚣霸绲陌l(fā)現(xiàn)這些非正常的文件夾以及文件信息，就可以及早的發(fā)現(xiàn)攻擊的跡象，從而及時(shí)采取相關(guān)的措施。

　　所以，操作系統(tǒng)與應(yīng)用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問(wèn)的文件夾以及目錄非正常的改變，很可能是一種入侵產(chǎn)生的指示或者信號(hào)。

　　一般來(lái)說(shuō)，有如下幾種情況。

　　一是應(yīng)用程序的執(zhí)行路徑發(fā)生了改變。如有些企業(yè)通過(guò)MSN跟可戶進(jìn)行聯(lián)系。當(dāng)非法攻擊著侵入企業(yè)網(wǎng)絡(luò)，取得某臺(tái)主機(jī)的管理員密碼之后，就可以改變用戶桌面上的MSN程序圖標(biāo)的路徑。當(dāng)用戶雙擊打開(kāi)這個(gè)程序的話，打開(kāi)的不是原來(lái)的MSN程序，而可能是一個(gè)綁有木馬的MSN程序，可以竊取用戶了聊天記錄、帳戶名與密碼等等。

　　二是可疑的文件夾。當(dāng)非法攻擊者取得管理員用戶名與密碼之后，利用TELENT程序遠(yuǎn)程登陸，然后在主機(jī)上建立文件夾，上傳木馬或者其他的非法軟件，然后通過(guò)操作系統(tǒng)本身的任務(wù)調(diào)度命令，在一個(gè)特定的時(shí)刻運(yùn)行這個(gè)文件夾中的程序。這是很多非法攻擊者常用的手段。所以，我們?nèi)裟軌蚣皶r(shí)的發(fā)現(xiàn)這些可疑的文件夾信息，就可以及早的發(fā)現(xiàn)攻擊的行為，從而減少由此帶來(lái)的損失，等等。一般來(lái)說(shuō)，我們借助一些檢測(cè)軟件，就可以收集到這些信息。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·維修電腦也有禮送哦

·美國(guó)國(guó)家網(wǎng)絡(luò)安全中心負(fù)責(zé)人辭職

·三種開(kāi)源方式可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全

·企業(yè)用戶防御網(wǎng)絡(luò)威脅的十大要素

·無(wú)線網(wǎng)絡(luò)安全設(shè)置五種不可不知方法

·用戶容易忽視的網(wǎng)絡(luò)安全錯(cuò)誤操作

·讓網(wǎng)絡(luò)訪問(wèn)時(shí)能兼顧速度與安全

·無(wú)線最大漏洞未安裝所有安全選項(xiàng)

·簡(jiǎn)單六步提高企業(yè)無(wú)線網(wǎng)絡(luò)安全性

·SSL保障企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费