網絡安全從入侵信息收集開始

http://m.yibo1263.com　2008/12/18 8:28:04 　來源:東北IT網　編輯:葉子

　　從總體上來說，網絡入侵檢測需要分為兩個部門，一是入侵信息的收集；二是在收集信息的基礎之上，對相關數據進行分析。然后我們網絡管理員再根據相關的結果采取對應的措施。可見，數據收集是入侵檢測、提高企業(yè)網絡安全的基礎；是一個必須要經歷的階段。

　　網絡的安全性，很大程度的上依賴于我們收集的信息的準確性。因為現在非法入侵越來越狡猾，不會光明正大的在系統(tǒng)中留下痕跡。他們在攻擊的過程中，往往會采取一些隱蔽的手段，或者在攻擊完成之后刪除一些信息，如可以替換被程序調用的子程序、記錄文件和其他工具等等。經過他們的對相關信息的調整，可以讓系統(tǒng)的日志跟正常的差不多。所以，隨著黑客技術的深入，信息收集的難度也比較大。下面筆者就入侵信息的收集這個話題，談談自己的想法。

　　第一步：收集系統(tǒng)日志以及網絡日志文件。

　　俗話說，燕過留聲，人過留名。無論再怎么高超的黑客，要入侵企業(yè)網絡之前，肯定會在系統(tǒng)日志或者網絡日志中留下一些蛛絲馬跡，只是明不明顯的區(qū)別而已。所以，網絡管理員需要對這個系統(tǒng)日志與網絡日志格外的關注。

　　如一些系統(tǒng)或者網絡失敗訪問日志，會記錄一些不尋常的或者不成本的訪問記錄。如當一個帳戶試圖多次用管理員帳戶訪問文件管理系統(tǒng)，當密碼嘗試錯誤三次的時候，就會在文件服務器系統(tǒng)中記錄下這個訪問信息，包括訪問的時間、IP地址等等。當我們網絡管理員收集到這條信息后，就需要注意可能有人在再這臺文件服務器的注意了。我們可以根據這個IP地址，找到那臺攻擊的主機。不過，很可能這臺主機不是始作俑者，而是被人家當做肉雞了�？傊�，我們看到這個信息之后，我們就需要為文件服務器設置一個比較復雜的管理員密碼了。

　　再如有些應用系統(tǒng)中，有一個“帳戶活動”日志。這個日志中會記錄這個帳戶在系統(tǒng)中所進行的操作。包括什么時候利用什么角色登陸到系統(tǒng)，進行了哪些操作；并且還會記錄這個帳戶的一些必要的認證信息。通過這些信息的話，我們可以及時的發(fā)現系統(tǒng)入侵的跡象。如系統(tǒng)管理員發(fā)現一個管理員帳戶在某個時間登陸了這個應用系統(tǒng)，但是，自己那時候根本沒有登陸。或者普通員工的帳戶在非上班時間多次登陸，那么就說明這個信息化應用系統(tǒng)有可能已經被人攻破了。他們乘我們不注意的時候，在偷偷的竊取系統(tǒng)中的信息。為此，我們必須要通過一些措施找到這個非法的攻擊者，或者及時更改用戶名與密碼，防止進一步擴大損失，等等。

　　總之，相關的日志信息會記錄某個非法用戶多次嘗登陸某個系統(tǒng)，以及記錄某個非法用戶多次試圖訪問未經授權的文件或者系統(tǒng)。而這些信息是我們以后作好防治措施的依據。所以，我們信息收集的第一步，就是要關注相關的日志信息。在這些日志文件中，找到攻擊者蛛絲馬跡。

　　第二步：非正常的目錄以及非正常的文件。

　　當黑客攻擊成功后，取得某個管理員帳戶之后，為了進一步加固自己的成果，會在系統(tǒng)中設置一些文件夾、目錄或者文件，以進行下一步的攻擊行為。如有一些攻擊者在取得系統(tǒng)的管理員軋帳戶與密碼之后，會在系統(tǒng)中建立一個文件夾，上傳一些木馬攻擊。并且設置相關的任務調度計劃，當某個特定的時間，運行這個文件夾中的程序等等。所以，我們若能夠及早的發(fā)現這些非正常的文件夾以及文件信息，就可以及早的發(fā)現攻擊的跡象，從而及時采取相關的措施。

　　所以，操作系統(tǒng)與應用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問的文件夾以及目錄非正常的改變，很可能是一種入侵產生的指示或者信號。

　　一般來說，有如下幾種情況。

　　一是應用程序的執(zhí)行路徑發(fā)生了改變。如有些企業(yè)通過MSN跟可戶進行聯系。當非法攻擊著侵入企業(yè)網絡，取得某臺主機的管理員密碼之后，就可以改變用戶桌面上的MSN程序圖標的路徑。當用戶雙擊打開這個程序的話，打開的不是原來的MSN程序，而可能是一個綁有木馬的MSN程序，可以竊取用戶了聊天記錄、帳戶名與密碼等等。

　　二是可疑的文件夾。當非法攻擊者取得管理員用戶名與密碼之后，利用TELENT程序遠程登陸，然后在主機上建立文件夾，上傳木馬或者其他的非法軟件，然后通過操作系統(tǒng)本身的任務調度命令，在一個特定的時刻運行這個文件夾中的程序。這是很多非法攻擊者常用的手段。所以，我們若能夠及時的發(fā)現這些可疑的文件夾信息，就可以及早的發(fā)現攻擊的行為，從而減少由此帶來的損失，等等。一般來說，我們借助一些檢測軟件，就可以收集到這些信息。

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

·SSL保障企業(yè)網絡傳輸的穩(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费