九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

看看你的愛機(jī)是不是正被別人控制
Windows日志與入侵檢測

系統(tǒng)日志源自航海日志：當(dāng)人們出海遠(yuǎn)行的時(shí)候，總是要做好航海日志，以便為以后的工作做出依據(jù)。日志文件作為微軟Windows系列操作系統(tǒng)中的一個(gè)比較特殊的文件，在安全方面具有無可替代的價(jià)值。日志每天為我們忠實(shí)的記錄著系統(tǒng)所發(fā)生一切，利用系統(tǒng)日志文件，可以使系統(tǒng)管理員快速對潛在的系統(tǒng)入侵作出記錄和預(yù)測，但遺憾的是目前絕大多數(shù)的人都忽略了它的存在。反而是因?yàn)楹诳蛡児馀R才會(huì)使我們想起這個(gè)重要的系統(tǒng)日志文件。
7.1 日志文件的特殊性
要了解日志文件，首先就要從它的特殊性講起，說它特殊是因?yàn)檫@個(gè)文件由系統(tǒng)管理，并加以保護(hù)，一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等，都奈何它不得。我們甚至不能對它進(jìn)行“重命名”或“刪除”、“移動(dòng)”操作，否則系統(tǒng)就會(huì)很不客氣告訴你:訪問被拒絕。當(dāng)然，在純DOS的狀態(tài)下，可以對它進(jìn)行一些常規(guī)操作(例如Win98狀態(tài)下)，但是你很快就會(huì)發(fā)現(xiàn)，你的修改根本就無濟(jì)于事，當(dāng)重新啟動(dòng)Windows 98時(shí)，系統(tǒng)將會(huì)自動(dòng)檢查這個(gè)特殊的文本文件，若不存在就會(huì)自動(dòng)產(chǎn)生一個(gè)；若存在的話，將向該文本追加日志記錄。
7.1.1 黑客為什么會(huì)對日志文件感興趣
黑客們在獲得服務(wù)器的系統(tǒng)管理員權(quán)限之后就可以隨意破壞系統(tǒng)上的文件了，包括日志文件。但是這一切都將被系統(tǒng)日志所記錄下來，所以黑客們想要隱藏自己的入侵蹤跡，就必須對日志進(jìn)行修改。最簡單的方法就是刪除系統(tǒng)日志文件，但這樣做一般都是初級(jí)黑客所為，真正的高級(jí)黑客們總是用修改日志的方法來防止系統(tǒng)管理員追蹤到自己，網(wǎng)絡(luò)上有很多專門進(jìn)行此類功能的程序，例如Zap、Wipe等。
7.1.2 Windows系列日志系統(tǒng)簡介
1.Windows 98的日志文件
因目前絕大多數(shù)的用戶還是使用的操作系統(tǒng)是Windows 98，所以本節(jié)先從Windows 98的日志文件講起。Windows 98下的普通用戶無需使用系統(tǒng)日志，除非有特殊用途，例如，利用Windows 98建立個(gè)人Web服務(wù)器時(shí)，就會(huì)需要啟用系統(tǒng)日志來作為服務(wù)器安全方面的參考，當(dāng)已利用Windows 98建立個(gè)人Web服務(wù)器的用戶，可以進(jìn)行下列操作來啟用日志功能。
(1)在“控制面板”中雙擊“個(gè)人Web服務(wù)器”圖標(biāo)；(必須已經(jīng)在配置好相關(guān)的網(wǎng)絡(luò)協(xié)議，并添加“個(gè)人Web服務(wù)器”的情況下)。
(2)在“管理”選項(xiàng)卡中單擊“管理”按鈕； 　　
(3)在“Internet服務(wù)管理員”頁中單擊“WWW管理”； 　　
(4)在“WWW管理”頁中單擊“日志”選項(xiàng)卡； 　　
(5)選中“啟用日志”復(fù)選框，并根據(jù)需要進(jìn)行更改。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項(xiàng)卡中沒有指定日志文件的目錄，則文件將被保存在Windows文件夾中。
普通用戶可以在Windows 98的系統(tǒng)文件夾中找到日志文件schedlog.txt。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它，或是啟動(dòng)“任務(wù)計(jì)劃程序”，在“高級(jí)”菜單中單擊“查看日志”來查看到它。Windows 98的普通用戶的日志文件很簡單，只是記錄了一些預(yù)先設(shè)定的任務(wù)運(yùn)行過程，相對于作為服務(wù)器的NT操作系統(tǒng)，真正的黑客們很少對Windows 98發(fā)生興趣。所以Windows 98下的日志不為人們所重視。
2.Windows NT下的日志系統(tǒng)
Windows NT是目前受到攻擊較多的操作系統(tǒng)，在Windows NT中，日志文件幾乎對系統(tǒng)中的每一項(xiàng)事務(wù)都要做一定程度上的審計(jì)。Windows NT的日志文件一般分為三類：
系統(tǒng)日志 ：跟蹤各種各樣的系統(tǒng)事件，記錄由 Windows NT 的系統(tǒng)組件產(chǎn)生的事件。例如，在啟動(dòng)過程加載驅(qū)動(dòng)程序錯(cuò)誤或其它系統(tǒng)組件的失敗記錄在系統(tǒng)日志中。
應(yīng)用程序日志：記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件，比如應(yīng)用程序產(chǎn)生的裝載dll(動(dòng)態(tài)鏈接庫)失敗的信息將出現(xiàn)在日志中。
安全日志 ：記錄登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉等事件以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。利用系統(tǒng)的“事件管理器”可以指定在安全日志中記錄需要記錄的事件，安全日志的默認(rèn)狀態(tài)是關(guān)閉的。
Windows NT的日志系統(tǒng)通常放在下面的位置，根據(jù)操作系統(tǒng)的不同略有變化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在“控制面板”中找到，系統(tǒng)管理員可以使用事件查看器選擇要查看的日志條目，查看條件包括類別、用戶和消息類型。
3.Windows 2000的日志系統(tǒng)
與Windows NT一樣，Windows 2000中也一樣使用“事件查看器”來管理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)入系統(tǒng)后方可進(jìn)行操作，如圖7-1所示。
圖7-1
在Windows 2000中，日志文件的類型比較多，通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等，可能會(huì)根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變化。啟動(dòng)Windows 2000時(shí)，事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看“應(yīng)用程序日志”，但是只有系統(tǒng)管理員才能訪問“安全日志”和“系統(tǒng)日志”。系統(tǒng)默認(rèn)的情況下會(huì)關(guān)閉“安全日志”，但我們可以使用“組策略”來啟用“安全日志”開始記錄。安全日志一旦開啟，就會(huì)無限制的記錄下去，直到裝滿時(shí)停止運(yùn)行。
Windows 2000日志文件默認(rèn)位置：
應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%\sys tem32\config，默認(rèn)文件大小512KB，但有經(jīng)驗(yàn)的系統(tǒng)管理員往往都會(huì)改變這個(gè)默認(rèn)大小。
安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT
系統(tǒng)日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT
應(yīng)用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服務(wù)FTP日志默認(rèn)位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服務(wù)WWW日志默認(rèn)位置：c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服務(wù)器日志默認(rèn)位置：c:\systemroot\schedlgu.txt 。該日志記錄了訪問者的IP，訪問的時(shí)間及請求訪問的內(nèi)容。
因Windows2000延續(xù)了NT的日志文件，并在其基礎(chǔ)上又增加了FTP和WWW日志，故本節(jié)對FTP日志和WWW日志作一個(gè)簡單的講述。FTP日志以文本形式的文件詳細(xì)地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由于該日志太明顯，所以高級(jí)黑客們根本不會(huì)用這種方法來傳文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件產(chǎn)生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目錄下，默認(rèn)是每天一個(gè)日志文件，
FTP和WWW日志可以刪除，但是FTP日志所記錄的一切還是會(huì)在系統(tǒng)日志和安全日志里記錄下來，如果用戶需要嘗試刪除這些文件，通過一些并不算太復(fù)雜的方法，例如首先停止某些服務(wù)，然后就可以將該日志文件刪除。具體方法本節(jié)略。
Windows 2000中提供了一個(gè)叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很強(qiáng)的日志管理功能，它可以使用戶不必在讓人眼花繚亂的日志中慢慢尋找某條記錄，而是通過分類的方式將各種事件整理好，讓用戶能迅速找到所需要的條目。它的另一個(gè)突出特點(diǎn)是能夠?qū)φ麄€(gè)網(wǎng)絡(luò)環(huán)境中多個(gè)系統(tǒng)的各種活動(dòng)同時(shí)進(jìn)行分析，避免了一個(gè)個(gè)單獨(dú)去分析的麻煩。
4.Windows XP日志文件
說Windows XP的日志文件，就要先說說Internet連接防火墻(ICF)的日志，ICF的日志可以分為兩類：一類是ICF審核通過的IP數(shù)據(jù)包，而一類是ICF拋棄的IP數(shù)據(jù)包。日志一般存于Windows目錄之下，文件名是pfirewall.log。其文件格式符合W3C擴(kuò)展日志文件格式(W3C Extended Log File Format)，分為兩部分，分別是文件頭(Head Information)和文件主體(Body Information)。文件頭主要是關(guān)于Pfirewall.log這個(gè)文件的說明，需要注意的主要是文件主體部分。文件主體部分記錄有每一個(gè)成功通過ICF審核或者被ICF所拋棄的IP數(shù)據(jù)包的信息，包括源地址、目的地址、端口、時(shí)間、協(xié)議以及其他一些信息。理解這些信息需要較多的TCP/IP協(xié)議的知識(shí)。ICF生成安全日志時(shí)使用的格式是W3C擴(kuò)展日志文件格式，這與在常用日志分析工具中使用的格式類似。 當(dāng)我們在WindowsXP的“控制面板”中，打開事件查看器，如圖7-2所示。
就可以看到WindowsXP中同樣也有著系統(tǒng)日志、安全日志和應(yīng)用日志三種常見的日志文件，當(dāng)你單擊其中任一文件時(shí)，就可以看見日志文件中的一些記錄，如圖7-3所示。
圖7-2 圖7-3
在高級(jí)設(shè)備中，我們還可以進(jìn)行一些日志的文件存放地址、大小限制及一些相關(guān)操作，如圖7-4所示。
圖7-4
若要啟用對不成功的連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)包”復(fù)選框，否則禁用。另外，我們還可以用金山網(wǎng)鏢等工具軟件將“安全日志”導(dǎo)出和被刪除。
5.日志分析
當(dāng)日志每天都忠實(shí)的為用戶記錄著系統(tǒng)所發(fā)生的一切的時(shí)候，用戶同樣也需要經(jīng)常規(guī)范管理日志，但是龐大的日志記錄卻又令用戶茫然失措，此時(shí)，我們就會(huì)需要使用工具對日志進(jìn)行分析、匯總，日志分析可以幫助用戶從日志記錄中獲取有用的信息，以便用戶可以針對不同的情況采取必要的措施。
7.2 系統(tǒng)日志的刪除
因操作系統(tǒng)的不同，所以日志的刪除方法也略有變化，本文從Windows 98和Windows 2000兩種有明顯區(qū)別的操作系統(tǒng)來講述日志的刪除。
7.2.1 Windows 98下的日志刪除
在純DOS下啟動(dòng)計(jì)算機(jī)，用一些常用的修改或刪除命令就可以消除Windows 98日志記錄。當(dāng)重新啟動(dòng)Windows98后，系統(tǒng)會(huì)檢查日志文件的存在，如果發(fā)現(xiàn)日志文件不存在，系統(tǒng)將自動(dòng)重建一個(gè)，但原有的日志文件將全部被消除。
7.2.2 Windows 2000的日志刪除
Windows 2000的日志可就比Windows 98復(fù)雜得多了，我們知道，日志是由系統(tǒng)來管理、保護(hù)的，一般情況下是禁止刪除或修改，而且它還與注冊表密切相關(guān)。在Windows 2000中刪除日志首先要取得系統(tǒng)管理員權(quán)限，因?yàn)榘踩罩竞拖到y(tǒng)日志必須由系統(tǒng)管理員方可查看，然后才可以刪除它們。
我們將針對應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志的刪除做一個(gè)簡單的講解。要?jiǎng)h除日志文件，就必須停止系統(tǒng)對日志文件的保護(hù)功能。我們可以使用命令語句來刪除除了安全日志和系統(tǒng)日志外的日志文件，但安全日志就必須要使用系統(tǒng)中的“事件查看器”來控制它，打開“控制面板”的“管理工具”中的“事件查看器”。在菜單的“操作”項(xiàng)有一個(gè)名為“連接到另一臺(tái)計(jì)算機(jī)”的菜單，點(diǎn)擊它如圖7-5所示。
圖7-5
輸入遠(yuǎn)程計(jì)算機(jī)的IP，然后需要等待，選擇遠(yuǎn)程計(jì)算機(jī)的安全性日志，點(diǎn)擊屬性里的“清除日志”按鈕即可。
7.3 發(fā)現(xiàn)入侵蹤跡
如何當(dāng)入侵者企圖或已經(jīng)進(jìn)行系統(tǒng)的時(shí)候，及時(shí)有效的發(fā)現(xiàn)蹤跡是目前防范入侵的熱門話題之一。發(fā)現(xiàn)入侵蹤跡的前題就是應(yīng)該有一個(gè)入侵特征數(shù)據(jù)庫，我們一般使用系統(tǒng)日志、防火墻、檢查IP報(bào)頭(IP header)的來源地址、檢測Email的安全性以及使用入侵檢測系統(tǒng)(IDS)等來判斷是否有入侵跡象。
我們先來學(xué)習(xí)一下如何利用端口的常識(shí)來判斷是否有入侵跡象：
電腦在安裝以后，如果不加以調(diào)整，其默認(rèn)開放的端口號(hào)是139，如果不開放其它端口的話，黑客正常情況下是無法進(jìn)入系統(tǒng)的。如果平常系統(tǒng)經(jīng)常進(jìn)行病毒檢查的話，而突然間電腦上網(wǎng)的時(shí)候會(huì)感到有反應(yīng)緩慢、鼠標(biāo)不聽使喚、藍(lán)屏、系統(tǒng)死機(jī)及其它種種不正常的情況，我們就可以判斷有黑客利用電子信件或其它方法在系統(tǒng)中植入的特洛伊木馬。此時(shí)，我們就可以采取一些方法來清除它，具體方法在本書的相關(guān)章節(jié)可以查閱。
7.3.1 遭受入侵時(shí)的跡象
入侵總是按照一定的步驟在進(jìn)行，有經(jīng)驗(yàn)的系統(tǒng)管理員完全可以通過觀察到系統(tǒng)是否出現(xiàn)異?，F(xiàn)象來判斷入侵的程度。
1.掃描跡象
當(dāng)系統(tǒng)收到連續(xù)、反復(fù)的端口連接請求時(shí)，就可能意味著入侵者正在使用端口掃描器對系統(tǒng)進(jìn)行外部掃描。高級(jí)黑客們可能會(huì)用秘密掃描工具來躲避檢測，但實(shí)際上有經(jīng)驗(yàn)的系統(tǒng)管理員還是可以通過多種跡象來判斷一切。
2.利用攻擊
當(dāng)入侵者使用各種程序?qū)ο到y(tǒng)進(jìn)行入侵時(shí)，系統(tǒng)可能報(bào)告出一些異常情況，并給出相關(guān)文件(IDS常用的處理方法)，當(dāng)入侵者入侵成功后，系統(tǒng)總會(huì)留下或多或少的破壞和非正常訪問跡象，這時(shí)就應(yīng)該發(fā)現(xiàn)系統(tǒng)可能已遭遇入侵。
3.DoS或DDoS攻擊跡象
這是當(dāng)前入侵者比較常用的攻擊方法，所以當(dāng)系統(tǒng)性能突然間發(fā)生嚴(yán)重下降或完全停止工作時(shí)，應(yīng)該立即意識(shí)到，有可能系統(tǒng)正在遭受拒絕服務(wù)攻擊，一般的跡象是CPU占用率接近90%以上，網(wǎng)絡(luò)流量緩慢、系統(tǒng)出現(xiàn)藍(lán)屏、頻繁重新啟動(dòng)等。
7.3.2 合理使用系統(tǒng)日志做入侵檢測
系統(tǒng)日志的作用和重要性大家通過上幾節(jié)的講述，相信明白了不少，但是雖然系統(tǒng)自帶的日志完全可以告訴我們系統(tǒng)發(fā)生的任何事情，然而，由于日志記錄增加得太快了，最終使日志只能成為浪費(fèi)大量磁盤空間的垃圾，所以日志并不是可以無限制的使用，合理、規(guī)范的進(jìn)行日志管理是使用日志的一個(gè)好方法，有經(jīng)驗(yàn)的系統(tǒng)管理員就會(huì)利用一些日志審核工具、過濾日志記錄工具，解決這個(gè)問題。
要最大程度的將日志文件利用起來，就必須先制定管理計(jì)劃。
1.指定日志做哪些記錄工作？
2.制定可以得到這些記錄詳細(xì)資料的觸發(fā)器。
7.3.3 一個(gè)比較優(yōu)秀的日志管理軟件
要想迅速的從繁多的日志文件記錄中查找到入侵信息，就要使用一些專業(yè)的日志管理工具。Surfstats Log Analyzer4.6就是這么一款專業(yè)的日志管理工具。網(wǎng)絡(luò)管理員通過它可以清楚的分析“l(fā)og”文件，從中看出網(wǎng)站目前的狀況，并可以從該軟件的“報(bào)告”中，看出有多少人來過你的網(wǎng)站、從哪里來、在系統(tǒng)中大量地使用了哪些搜尋字眼，從而幫你準(zhǔn)確地了解網(wǎng)站狀況。
這個(gè)軟件最主要的功能有：
1、整合了查閱及輸出功能，并可以定期用屏幕、文件、FTP或E-mail的方式輸出結(jié)果；
2.可以提供30多種匯總的資料；
3.能自動(dòng)偵測文件格式，并支持多種通用的log文件格式，如MS IIS的W3 Extended log格式；
4.在“密碼保護(hù)”的目錄里，增加認(rèn)證(Authenticated)使用者的分析報(bào)告；
5.可按每小時(shí)、每星期、或每月的模式來分析；
6.DNS資料庫會(huì)儲(chǔ)存解析(Resolved)的IP地址；
7.每個(gè)分析的畫面都可以設(shè)定不同的背景、字型、顏色。
發(fā)現(xiàn)入侵蹤跡的方法很多，如入侵檢測系統(tǒng)IDS就可以很好的做到這點(diǎn)。下一節(jié)我們將講解詳細(xì)的講解入侵檢測系統(tǒng)。
7.4 做好系統(tǒng)入侵檢測
7.4.1 什么是入侵檢測系統(tǒng)
在人們越來越多和網(wǎng)絡(luò)親密接觸的同時(shí)，被動(dòng)的防御已經(jīng)不能保證系統(tǒng)的安全，針對日益繁多的網(wǎng)絡(luò)入侵事件，我們需要在使用防火墻的基礎(chǔ)上選用一種協(xié)助防火墻進(jìn)行防患于未然的工具，這種工具要求能對潛在的入侵行為作出實(shí)時(shí)判斷和記錄，并能在一定程度上抗擊網(wǎng)絡(luò)入侵，擴(kuò)展系統(tǒng)管理員的安全管理能力，保證系統(tǒng)的絕對安全性。使系統(tǒng)的防范功能大大增強(qiáng)，甚至在入侵行為已經(jīng)被證實(shí)的情況下，能自動(dòng)切斷網(wǎng)絡(luò)連接，保護(hù)主機(jī)的絕對安全。在這種情形下，入侵檢測系統(tǒng)IDS(Intrusion Detection System)應(yīng)運(yùn)而生了。入侵檢測系統(tǒng)是基于多年對網(wǎng)絡(luò)安全防范技術(shù)和黑客入侵技術(shù)的研究而開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品
它能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測可疑行為，分析來自網(wǎng)絡(luò)外部入侵信號(hào)和內(nèi)部的非法活動(dòng)，在系統(tǒng)受到危害前發(fā)出警告，對攻擊作出實(shí)時(shí)的響應(yīng)，并提供補(bǔ)救措施，最大程度地保障系統(tǒng)安全。
NestWatch
這是一款運(yùn)行于Windows NT的日志管理軟件，它可以從服務(wù)器和防火墻中導(dǎo)入日志文件，并能以HTML的方式為系統(tǒng)管理員提供報(bào)告。
7.4.2 入侵檢測系統(tǒng)和日志的差異
系統(tǒng)本身自帶的日志功能可以自動(dòng)記錄入侵者的入侵行為，但它不能完善地做好入侵跡象分析記錄工作，而且不能準(zhǔn)確地將正常的服務(wù)請求和惡意的入侵行為區(qū)分開。例如，當(dāng)入侵者對主機(jī)進(jìn)行CGI掃描時(shí)，系統(tǒng)安全日志能提供給系統(tǒng)管理員的分析數(shù)據(jù)少得可憐，幾乎全無幫助，而且安全日志文件本身的日益龐大的特性，使系統(tǒng)管理員很難在短時(shí)間內(nèi)利用工具找到一些攻擊后所遺留下的痕跡。入侵檢測系統(tǒng)就充分的將這一點(diǎn)做的很好，利用入侵檢測系統(tǒng)提供的報(bào)告數(shù)據(jù)，系統(tǒng)管理員將十分輕松的知曉入侵者的某些入侵企圖，并能及時(shí)做好防范措施。
7.4.3 入侵檢測系統(tǒng)的分類
目前入侵檢測系統(tǒng)根據(jù)功能方面，可以分為四類：
1.系統(tǒng)完整性校驗(yàn)系統(tǒng)(SIV)
SIV可以自動(dòng)判斷系統(tǒng)是否有被黑客入侵跡象，并能檢查是否被系統(tǒng)入侵者更改了系統(tǒng)文件，以及是否留有后門(黑客們?yōu)榱讼乱淮喂忸欀鳈C(jī)留下的)，監(jiān)視針對系統(tǒng)的活動(dòng)(用戶的命令、登錄/退出過程，使用的數(shù)據(jù)等等)，這類軟件一般由系統(tǒng)管理員控制。
2.網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)
NIDS可以實(shí)時(shí)的對網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測，及時(shí)發(fā)現(xiàn)端口是否有黑客掃描的跡象。監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)生的事件，然后對其進(jìn)行安全分析，以此來判斷入侵企圖；分布式IDS通過分布于各個(gè)節(jié)點(diǎn)的傳感器或者代理對整個(gè)網(wǎng)絡(luò)和主機(jī)環(huán)境進(jìn)行監(jiān)視，中心監(jiān)視平臺(tái)收集來自各個(gè)節(jié)點(diǎn)的信息監(jiān)視這個(gè)網(wǎng)絡(luò)流動(dòng)的數(shù)據(jù)和入侵企圖。
3.日志分析系統(tǒng)(LFM)
日志分析系統(tǒng)對于系統(tǒng)管理員進(jìn)行系統(tǒng)安全防范來說，非常重要，因?yàn)槿罩居涗浟讼到y(tǒng)每天發(fā)生的各種各樣的事情，用戶可以通過日志記錄來檢查錯(cuò)誤發(fā)生的原因，或者受到攻擊時(shí)攻擊者留下的痕跡。日志分析系統(tǒng)的主要功能有：審計(jì)和監(jiān)測、追蹤侵入者等。日志文件也會(huì)因大量的記錄而導(dǎo)致系統(tǒng)管理員用一些專業(yè)的工具對日志或者報(bào)警文件進(jìn)行分析。此時(shí)，日志分析系統(tǒng)就可以起作用了，它幫助系統(tǒng)管理員從日志中獲取有用的信息，使管理員可以針對攻擊威脅采取必要措施。
4.欺騙系統(tǒng)(DS)
普通的系統(tǒng)管理員日常只會(huì)對入侵者的攻擊作出預(yù)測和識(shí)別，而不能進(jìn)行反擊。但是欺騙系統(tǒng)(DS)可以幫助系統(tǒng)管理員做好反擊的鋪墊工作，欺騙系統(tǒng)(DS)通過模擬一些系統(tǒng)漏洞來欺騙入侵者，當(dāng)系統(tǒng)管理員通過一些方法獲得黑客企圖入侵的跡象后，利用欺騙系統(tǒng)可以獲得很好的效果。例如重命名NT上的administrator賬號(hào)，然后設(shè)立一個(gè)沒有權(quán)限的虛假賬號(hào)讓黑客來攻擊，在入侵者感覺到上當(dāng)?shù)臅r(shí)候，管理員也就知曉了入侵者的一舉一動(dòng)和他的水平高低。
7.4.4 入侵檢測系統(tǒng)的檢測步驟
入侵檢測系統(tǒng)一般使用基于特征碼的檢測方法和異常檢測方法，在判斷系統(tǒng)是否被入侵前，入侵檢測系統(tǒng)首先需要進(jìn)行一些信息的收集。信息的收集往往會(huì)從各個(gè)方面進(jìn)行。例如對網(wǎng)絡(luò)或主機(jī)上安全漏洞進(jìn)行掃描，查找非授權(quán)使用網(wǎng)絡(luò)或主機(jī)系統(tǒng)的企圖，并從幾個(gè)方面來判斷是否有入侵行為發(fā)生。
檢測系統(tǒng)接著會(huì)檢查網(wǎng)絡(luò)日志文件，因?yàn)楹诳头浅Ｈ菀自跁?huì)在日志文件中留下蛛絲馬跡，因此網(wǎng)絡(luò)日志文件信息是常常作為系統(tǒng)管理員檢測是否有入侵行為的主要方法。取得系統(tǒng)管理權(quán)后，黑客們最喜歡做的事，就是破壞或修改系統(tǒng)文件，此時(shí)系統(tǒng)完整性校驗(yàn)系統(tǒng)(SIV)就會(huì)迅速檢查系統(tǒng)是否有異常的改動(dòng)跡象，從而判斷入侵行為的惡劣程度。將系統(tǒng)運(yùn)行情況與常見的入侵程序造成的后果數(shù)據(jù)進(jìn)行比較，從而發(fā)現(xiàn)是否被入侵。例如：系統(tǒng)遭受DDoS分布式攻擊后，系統(tǒng)會(huì)在短時(shí)間內(nèi)性能嚴(yán)重下降，檢測系統(tǒng)此時(shí)就可以判斷已經(jīng)被入侵。
入侵檢測系統(tǒng)還可以使用一些系統(tǒng)命令來檢查、搜索系統(tǒng)本身是否被攻擊。當(dāng)收集到足夠的信息時(shí)，入侵檢測系統(tǒng)就會(huì)自動(dòng)與本身數(shù)據(jù)庫中設(shè)定的已知入侵方式和相關(guān)參數(shù)匹配，檢測準(zhǔn)確率相當(dāng)?shù)母?，讓用戶感到不方便的是，需要不斷的升?jí)數(shù)據(jù)庫。否則，無法跟上網(wǎng)絡(luò)時(shí)代入侵工具的步伐。入侵檢測的實(shí)時(shí)保護(hù)功能很強(qiáng)，作為一種“主動(dòng)防范”的檢測技術(shù)，檢測系統(tǒng)能迅速提供對系統(tǒng)攻擊、網(wǎng)絡(luò)攻擊和用戶誤操作的實(shí)時(shí)保護(hù)，在預(yù)測到入侵企圖時(shí)本身進(jìn)行攔截和提醒管理員預(yù)防。
7.4.5 發(fā)現(xiàn)系統(tǒng)被入侵后的步驟
1.仔細(xì)尋找入侵者是如何進(jìn)入系統(tǒng)的，設(shè)法堵住這個(gè)安全漏洞。
2.檢查所有的系統(tǒng)目錄和文件是否被篡改過，盡快修復(fù)。
3.改變系統(tǒng)中的部分密碼，防止再次因密碼被暴力破解而生產(chǎn)的漏洞。
7.4.6 常用入侵檢測工具介紹
1.NetProwler
作為世界級(jí)的互聯(lián)網(wǎng)安全技術(shù)廠商，賽門鐵克公司的產(chǎn)品涉及到網(wǎng)絡(luò)安全的方方面面，特別是在安全漏洞檢測、入侵檢測、互聯(lián)網(wǎng)內(nèi)容/電子郵件過濾、遠(yuǎn)程管理技術(shù)和安全服務(wù)方面，賽門鐵克的先進(jìn)技術(shù)的確讓人驚嘆！NetProwler就是一款賽門鐵克基于網(wǎng)絡(luò)入侵檢測開發(fā)出的工具軟件，NetProwler采用先進(jìn)的擁有專利權(quán)的動(dòng)態(tài)信號(hào)狀態(tài)檢測(SDSI)技術(shù)，使用戶能夠設(shè)計(jì)獨(dú)特的攻擊定義。即使最復(fù)雜的攻擊也可以由它直觀的攻擊定義界面產(chǎn)生。
(1)NetProwler的體系結(jié)構(gòu)
NetProwler具有多層體系結(jié)構(gòu)，由Agent、Console和Manager三部分組成。Agent負(fù)責(zé)監(jiān)視所在網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包。將檢測到的攻擊及其所有相關(guān)數(shù)據(jù)發(fā)送給管理器，安裝時(shí)應(yīng)與企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和安全策略相結(jié)合。Console負(fù)責(zé)從代理處收集信息，顯示所受攻擊信息，使你能夠配置和管理隸屬于某個(gè)管理器的代理。Manager對配置和攻擊警告信息響應(yīng)，執(zhí)行控制臺(tái)發(fā)布的命令，將代理發(fā)出的攻擊警告?zhèn)鬟f給控制臺(tái)。
當(dāng)NetProwler發(fā)現(xiàn)攻擊時(shí)，立即會(huì)把攻擊事件記入日志并中斷網(wǎng)絡(luò)連接、創(chuàng)建一個(gè)報(bào)告，用文件或E-mail通知系統(tǒng)管理員，最后將事件通知主機(jī)入侵檢測管理器和控制臺(tái)。
(2)NetProwler的檢測技術(shù)
NetProwler采用具有專利技術(shù)的SDSI(Stateful Dynamic Signature Inspection狀態(tài)化的動(dòng)態(tài)特征檢測)入侵檢測技術(shù)。在這種設(shè)計(jì)中，每個(gè)攻擊特征都是一組指令集，這些指令是由SDSI虛處理器通過使用一個(gè)高速緩存入口來描述目前用戶狀態(tài)和當(dāng)前從網(wǎng)絡(luò)上收到數(shù)據(jù)包的辦法執(zhí)行。每一個(gè)被監(jiān)測的網(wǎng)絡(luò)服務(wù)器都有一個(gè)小的相關(guān)攻擊特征集，這些攻擊特征集都是基于服務(wù)器的操作和服務(wù)器所支持的應(yīng)用而建立的。Stateful根據(jù)監(jiān)視的網(wǎng)絡(luò)傳輸內(nèi)容，進(jìn)行上下文比較，能夠?qū)?fù)雜事件進(jìn)行有效的分析和記錄
基于SDSI技術(shù)的NetProwler工作過程如下：
第一步：SDSI虛擬處理器從網(wǎng)絡(luò)數(shù)據(jù)中獲取當(dāng)今的數(shù)據(jù)包；
第二步：把獲取的數(shù)據(jù)包放入屬于當(dāng)前用戶或應(yīng)用會(huì)話的狀態(tài)緩沖中；
第三步：從特別為優(yōu)化服務(wù)器性能的特征緩沖中執(zhí)行攻擊特征；
第四步：當(dāng)檢測到某種攻擊時(shí)，處理器立即觸發(fā)響應(yīng)模塊，以執(zhí)行相應(yīng)的響應(yīng)措施。
(3)NetProwler工作模式
因?yàn)槭蔷W(wǎng)絡(luò)型IDS，所以NetProwler根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)，其數(shù)據(jù)采集部分(即代理)有多種不同的連接形式：如果網(wǎng)段用總線式的集線器相連，則可將其簡單的接在集線器的一個(gè)端口上即可。
(4)系統(tǒng)安裝要求
用戶將NetProwler Agent安裝在一臺(tái)專門的Windows NT工作站上，如果NetProwler和其他應(yīng)用程序運(yùn)行在同一臺(tái)主機(jī)上，則兩個(gè)程序的性能都將受到嚴(yán)重影響。網(wǎng)絡(luò)入侵檢測系統(tǒng)占用大量的資源，因此制造商一般推薦使用專門的系統(tǒng)運(yùn)行驅(qū)動(dòng)引擎，要求它有128M RAM和主頻為400MHz的Intel Pentium II或Pentium