網絡安全從入侵信息收集開始

http://m.yibo1263.com　2008/12/18 8:28:04 　來源:東北IT網　編輯:葉子

　　三是日志文件的非法修改。上面我們說過，非法攻擊者拜訪過企業(yè)的網絡主機之后，肯定會在系統日志或者網絡日志中留下蛛絲馬跡。在他們攻擊得手之后，為了隱藏他們在系統中的表現以及攻擊的痕跡，都會盡力的去替換系統日志中的相關內容。為此，若能夠及時的收集這些信息的話，則即使他們更改了日志中的內容，我們也能夠及早的發(fā)現，從而采取對應的措施。

　　第三步：非正常程序的運行信息。

　　黑客攻擊企業(yè)網絡信息的話，往往不會只是取得管理員權限那么簡單。他們攻擊系統的最終目的，是為了竊取相關的信息，如密碼等等；或者把企業(yè)的網絡主機當作肉雞，作為攻擊其他網絡的跳板等等。無論是出于哪種目的，除非直接竊取電腦上的文件，不然的話，一般都需要通過在被攻擊的主機后臺運行一些程序，如鍵盤記錄工具軟件等等，才能夠達到類似的目的。

　　所以，及時的收集這些非正常程序運行的信息，可以及早的發(fā)現企業(yè)網絡被攻擊的跡象。而一般來說，收集這些非正常的程序，就是需要收集一些進程信息。

　　因為在每個系統上執(zhí)行的程序都是由一到幾個進程來實現的。而且，一個進程的執(zhí)行行為又是由他運行時執(zhí)行的操作來表現的。操作執(zhí)行的方式不同，利用系統資源也就不同。若在系統進程中，出現了一個我們不希望看到的進程，或者個這個進程出現了我們網絡管理員不期望的行為，如試圖往注冊表中加入一些非法的信息等等，如建立隱形帳戶等等，這就表示有攻擊者存在。

　　若我們感到網絡速度明顯變慢的時候，可以通過查看系統的進程來了解相關的信息。但是，若靠手工收集這些進程信息的話，是不怎么現實的。一方面工作量比較大，另一方面這些非法的進程往往不會時刻都運行著。當他執(zhí)行完一定的任務之后，就會迅速的退出，防止為我們發(fā)現。所以，我們就需要通過一些工具，實時的收集這些進程信息。如此的話，我們就可以迅速的找到入侵者的蹤跡，在他們在還沒有造成更大的破壞之前，把他們消滅掉。

　　總之，入侵信息的收集是一個比較復雜的體系。需要在計算機網絡系統中若干不同關鍵點，如不同網段與不同主機之間收集信息。這主要是為了全方位的了解相關的入侵信息。而且非法攻擊者往往善于尋找企業(yè)網絡中的薄弱環(huán)節(jié)。故，網絡入侵信息的收集，還需要注意一個全面性。

　　但是，全面收集網絡入侵信息的話，往往工作量比較大。若單純的靠手工去收集這些信息的話，是不怎么現實的；工作量大而且容易漏掉。所以，我們需要采用一些工具，來幫助我們收集這些內容�，F在市面上的一些入侵檢測工具，就都帶有這些信息的收集功能。以為只有在這些信息的基礎之上，這些工具才能夠對此加以分析，得出可能的入侵結果。

　　另外一些系統也帶有自動警告功能，可以自動把一些他們認為可疑的信息發(fā)送給我們網絡安全管理員。如當有人多次試圖利用管理員帳戶登陸路由器的時候，若密碼錯了三次，則就會自動發(fā)送郵件給網絡安全管理人員，提醒他們存在這個非正常的登陸事件。讓我們判斷這個是否是正常的。這也是一個很實用的功能，不過這需要占用額外的資源，所以，默認情況下這個功能都是沒有打開的。若需要的話，則要由管理員進行手工的配置。對于一些重要的網絡設備，還是建議開啟這項功能。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

·SSL保障企業(yè)網絡傳輸的穩(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费