| |
三是日志文件的非法修改。上面我们说过,非法攻击者拜访过企业的网络主机之后,肯定会在系统日志或者网络日志中留下蛛丝马迹。在他们攻击得手之后,为了隐藏他们在系统中的表现以及攻击的痕迹,都会尽力的去替换系统日志中的相关内容。为此,若能够及时的收集这些信息的话,则即使他们更改了日志中的内容,我们也能够及早的发现,从而采取对应的措施。
第三步:非正常程序的运行信息。
黑客攻击企业网络信息的话,往往不会只是取得管理员权限那么简单。他们攻击系统的最终目的,是为了窃取相关的信息,如密码等等;或者把企业的网络主机当作肉鸡,作为攻击其他网络的跳板等等。无论是出于哪种目的,除非直接窃取电脑上的文件,不然的话,一般都需要通过在被攻击的主机后台运行一些程序,如键盘记录工具软件等等,才能够达到类似的目的。
所以,及时的收集这些非正常程序运行的信息,可以及早的发现企业网络被攻击的迹象。而一般来说,收集这些非正常的程序,就是需要收集一些进程信息。
因为在每个系统上执行的程序都是由一到几个进程来实现的。而且,一个进程的执行行为又是由他运行时执行的操作来表现的。操作执行的方式不同,利用系统资源也就不同。若在系统进程中,出现了一个我们不希望看到的进程,或者个这个进程出现了我们网络管理员不期望的行为,如试图往注册表中加入一些非法的信息等等,如建立隐形帐户等等,这就表示有攻击者存在。
若我们感到网络速度明显变慢的时候,可以通过查看系统的进程来了解相关的信息。但是,若靠手工收集这些进程信息的话,是不怎么现实的。一方面工作量比较大,另一方面这些非法的进程往往不会时刻都运行着。当他执行完一定的任务之后,就会迅速的退出,防止为我们发现。所以,我们就需要通过一些工具,实时的收集这些进程信息。如此的话,我们就可以迅速的找到入侵者的踪迹,在他们在还没有造成更大的破坏之前,把他们消灭掉。
总之,入侵信息的收集是一个比较复杂的体系。需要在计算机网络系统中若干不同关键点,如不同网段与不同主机之间收集信息。这主要是为了全方位的了解相关的入侵信息。而且非法攻击者往往善于寻找企业网络中的薄弱环节。故,网络入侵信息的收集,还需要注意一个全面性。
但是,全面收集网络入侵信息的话,往往工作量比较大。若单纯的靠手工去收集这些信息的话,是不怎么现实的;工作量大而且容易漏掉。所以,我们需要采用一些工具,来帮助我们收集这些内容。现在市面上的一些入侵检测工具,就都带有这些信息的收集功能。以为只有在这些信息的基础之上,这些工具才能够对此加以分析,得出可能的入侵结果。
另外一些系统也带有自动警告功能,可以自动把一些他们认为可疑的信息发送给我们网络安全管理员。如当有人多次试图利用管理员帐户登陆路由器的时候,若密码错了三次,则就会自动发送邮件给网络安全管理人员,提醒他们存在这个非正常的登陆事件。让我们判断这个是否是正常的。这也是一个很实用的功能,不过这需要占用额外的资源,所以,默认情况下这个功能都是没有打开的。若需要的话,则要由管理员进行手工的配置。对于一些重要的网络设备,还是建议开启这项功能。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
