国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　系統(tǒng)被是一件非常嚴(yán)重的事情，要想在系統(tǒng)入侵后能夠成功阻止攻擊者進(jìn)一步的入侵行為，以及能夠盡快恢復(fù)系統(tǒng)到正常狀態(tài)，這就要求我們能夠及時(shí)正確地識別出系統(tǒng)入侵事件的發(fā)生。

　　為此，我們必需事先采取一些必要的措施，來幫助我們及時(shí)做出正確的判斷。這些必要措施包括使用相應(yīng)的工具和方法來發(fā)現(xiàn)和記錄系統(tǒng)入侵行為，以及使用相應(yīng)的工具或方法來及時(shí)識別系統(tǒng)入侵事件的真假，并對系統(tǒng)入侵事件的嚴(yán)重程度做出正確的判斷。

　　一、完成有利于發(fā)現(xiàn)和記錄系統(tǒng)入侵行為、加快系統(tǒng)恢復(fù)的安全設(shè)置

　　1、開啟自有的審核功能

　　對于Windows 系統(tǒng)，我們可以通過在“開始”—“運(yùn)行”框中輸入“gpedit.msc”命令來啟動編輯器。在組策略編輯器中打開“計(jì)算機(jī)配置”—“windows設(shè)置”—“安全設(shè)置”—“本地策略”—“審核策略”，然后開啟審核成功的登錄事件、審核成功的對象訪問、審核成功的特殊使用，還可以開啟審核成功的帳戶登錄事件和成功的帳戶管理事件。開啟這些系統(tǒng)審核功能后，通過按時(shí)查看這些審核功能產(chǎn)生的日志，可以了解系統(tǒng)中是否存在非授權(quán)的帳戶登錄事件，以及這些帳戶對系統(tǒng)中哪些對象進(jìn)行了什么樣的操作等信息，也就可以了解系統(tǒng)是否已經(jīng)被入侵或發(fā)生了入侵行為。

　　2、在系統(tǒng)中安裝防火墻

　　現(xiàn)在，一些主流的主機(jī)型能夠防止大部分的網(wǎng)絡(luò)攻擊行為，同時(shí)會將攻擊行為記錄到相應(yīng)的日志文件當(dāng)中，并且，有些防火墻還會將每天的網(wǎng)絡(luò)連接活動全部記錄到相應(yīng)的日志文件中。我們可以通過定期查看這些防火墻日志文件，來了解某個(gè)時(shí)期系統(tǒng)受到了什么樣的網(wǎng)絡(luò)攻擊，以及查看某個(gè)時(shí)期的網(wǎng)絡(luò)連接情況是否異常，來確定是否發(fā)生了系統(tǒng)入侵事件。

　　3、在系統(tǒng)中安裝入侵檢測系統(tǒng)()

　　基于主機(jī)的入侵檢測系統(tǒng)(IDS)，例如SNORT，能夠?qū)M(jìn)入本機(jī)的所有網(wǎng)絡(luò)流量進(jìn)行檢測，然后與自身的攻擊特征庫進(jìn)行對比，當(dāng)檢測到惡意的網(wǎng)絡(luò)流量或攻擊活動時(shí)，就會按設(shè)定的方式發(fā)出警報(bào)，并將這些內(nèi)容記錄到相應(yīng)的日志文件當(dāng)中。我們在通過IDS的警報(bào)發(fā)現(xiàn)系統(tǒng)入侵事件的同時(shí)，還應(yīng)當(dāng)分析此警報(bào)產(chǎn)生的日志文件內(nèi)容來確定這個(gè)警報(bào)是否是真實(shí)的系統(tǒng)入侵事件，以及入侵事件的嚴(yán)重程度。以減少IDS誤報(bào)帶來的錯誤事件響應(yīng)，以及正確了解系統(tǒng)入侵事件的嚴(yán)重程度，為后續(xù)的系統(tǒng)恢復(fù)工作確定正確的恢復(fù)方法，以便能及時(shí)快速地恢復(fù)系統(tǒng)。

　　而且，通過分析IDS的日志文件，可以找到攻擊者的入侵攻擊途徑，以及攻擊者進(jìn)行的攻擊行為，由此可以讓我們了解系統(tǒng)被入侵的主要原因是什么，以便能在恢復(fù)系統(tǒng)后及時(shí)修補(bǔ)這些帶來系統(tǒng)入侵行為的漏洞，防止這類入侵事件的發(fā)生。

　　4、在系統(tǒng)中安裝系統(tǒng)監(jiān)控和網(wǎng)絡(luò)監(jiān)控軟件

　　在系統(tǒng)中安裝系統(tǒng)監(jiān)控件，能夠讓我們實(shí)時(shí)了解到系統(tǒng)中正在運(yùn)行的服務(wù)和進(jìn)程的狀況，以便能及時(shí)發(fā)現(xiàn)系統(tǒng)中的異常服務(wù)或系統(tǒng)進(jìn)程，并確認(rèn)是否是攻擊者入侵系統(tǒng)后安裝的后門程序。同樣，在系統(tǒng)中安裝網(wǎng)絡(luò)監(jiān)控軟件，也就是用來了解與系統(tǒng)中實(shí)時(shí)的網(wǎng)絡(luò)連接狀況，以便能及時(shí)發(fā)現(xiàn)異常的網(wǎng)絡(luò)連接和打開的端口。對于普通用戶來說，雪源梅香認(rèn)為使用360安全衛(wèi)士“常用”頁中的“系統(tǒng)全面診斷”可以了解到當(dāng)前系統(tǒng)中運(yùn)行的服務(wù)、進(jìn)程和加載的，通過其“高級”頁中的“網(wǎng)絡(luò)連接狀況”就可以完成監(jiān)控當(dāng)前網(wǎng)絡(luò)連接狀態(tài)的任務(wù)。

　　5、將所有日志文件保存到其它設(shè)備上

　　現(xiàn)在，大多數(shù)的攻擊者在入侵系統(tǒng)之后，在離開系統(tǒng)時(shí)都會使用軟件或命令修改系統(tǒng)、防火墻和IDS等日志文件中的內(nèi)容，有的甚至?xí)⑦@些日志文件全部刪除，以防止有戶發(fā)現(xiàn)他們的行蹤。因此，為了保證我們能從這些日志文件中得到可靠的信息，就必需將它們同步保存到有硬件防火墻保護(hù)的專門的存儲設(shè)備中。同時(shí)，要設(shè)置這些備份的日志文件只能以只讀的方式打開，并且不能被復(fù)制、修改和刪除。

　　另外，如果日志文件體積比較大，可以在同步備份的同時(shí)進(jìn)行壓縮。同樣，由于日志文件的內(nèi)容太多，通過手工的查找的方式很難找到必要的信息，因此，我們可以通過一些日志分析軟件，按設(shè)定的時(shí)間定期對日志文件進(jìn)行分析，以便能及時(shí)發(fā)現(xiàn)系統(tǒng)入侵事件。

　　6、對系統(tǒng)和系統(tǒng)中的重要服務(wù)及數(shù)據(jù)進(jìn)行備份

　　通常，由于成本控制的需要，不可能建立一套與現(xiàn)行系統(tǒng)相似的冗余系統(tǒng)，而系統(tǒng)和數(shù)據(jù)備份是恢復(fù)被入侵系統(tǒng)和數(shù)據(jù)到某個(gè)特定時(shí)期最佳、最快的方式，也是減少損失最好的方法。因此，我們必需對系統(tǒng)和系統(tǒng)中的重要數(shù)據(jù)建立相應(yīng)的備份。

　　對于系統(tǒng)或系統(tǒng)中不經(jīng)常改變狀態(tài)或數(shù)據(jù)的內(nèi)容，可以建立一個(gè)完全備份，對于每天都會更改的數(shù)據(jù)，在建立完全備份的同時(shí)，還應(yīng)當(dāng)進(jìn)行每日的增量備份。如果完全備份的對象某個(gè)時(shí)候發(fā)現(xiàn)改變，例如安裝了新軟件，重新設(shè)置了系統(tǒng)安全選項(xiàng)，更新了系統(tǒng)或軟件補(bǔ)丁包，就應(yīng)當(dāng)對這些內(nèi)容重新做一次完全備份，新的完全備份應(yīng)當(dāng)與舊的完全備份分開存儲。

　　至于備份存儲的媒介，可以是同一網(wǎng)絡(luò)中的處于防火墻保護(hù)下的網(wǎng)絡(luò)存儲設(shè)備，也可以將固定不變的完全備份刻錄到光盤中和磁帶中，將增量備份記錄到磁帶或其它質(zhì)量可靠的移存儲媒介中，還可以對最重要的數(shù)據(jù)進(jìn)行異地備份，或?qū)⒋艓Ш凸獗P保存到另一個(gè)地方，以防止自然災(zāi)害和人為的丟失和損壞備份。無論備份保存在什么媒介上，存放在什么位置，都應(yīng)當(dāng)按日期和內(nèi)容進(jìn)行編號分開存儲，并且，還應(yīng)當(dāng)定期對備份進(jìn)行檢查，以確保在需要時(shí)保證這些備份是可用的。

　　但是，如果當(dāng)我們發(fā)現(xiàn)系統(tǒng)被入侵時(shí)，系統(tǒng)已經(jīng)被控制了相當(dāng)長的一段時(shí)間，那么，在這段時(shí)間內(nèi)產(chǎn)生的系統(tǒng)或數(shù)據(jù)的全盤備份，就有可能包括了攻擊者對系統(tǒng)和數(shù)據(jù)做的修改，也就不能再被信任。這樣系統(tǒng)或數(shù)據(jù)就不可能恢復(fù)到最近的時(shí)期，勢必就會帶來相應(yīng)的損失，這也就是為什么要及時(shí)發(fā)現(xiàn)系統(tǒng)被入侵的主要原因之一。

　　7、準(zhǔn)備一些必要的工具。

　　在對計(jì)算機(jī)進(jìn)行系統(tǒng)入侵阻止和恢復(fù)的過程中，為了提高事件處理的速度和效率，還可能會使用到其它的第三方軟件，例如文件完整性檢測軟件，弱點(diǎn)檢測軟件等等，我們應(yīng)當(dāng)根據(jù)自身的實(shí)際需求，來準(zhǔn)備這些軟件，并將它們保存到移動存儲設(shè)備上妥善保管，以便在發(fā)現(xiàn)系統(tǒng)入侵事件后能夠立即使用。

　　二、及時(shí)識別系統(tǒng)事件及其真假，并迅速判斷入侵事件的嚴(yán)重程度

　　要想成功阻止系統(tǒng)入侵行為，有效恢復(fù)系統(tǒng)到正常運(yùn)行狀態(tài)，最大限度地減少入侵損失，有兩個(gè)重要的因素非常關(guān)鍵：其一就是能及時(shí)識別系統(tǒng)發(fā)生了入侵事件，以及能正確分辨出入侵事件的真假，確定入侵事件發(fā)生的具體時(shí)間。其二就是能迅速判斷系統(tǒng)入侵事件影響的范圍，造成損失的嚴(yán)重程度，以及能對入侵事件按損失的嚴(yán)重程度進(jìn)行分類。

　　假如我們沒有對系統(tǒng)入侵事件做好準(zhǔn)備工作，而且也沒有實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行和網(wǎng)絡(luò)連接狀態(tài)，那么，就不可能及時(shí)發(fā)現(xiàn)系統(tǒng)入侵事件。

　　因此，在系統(tǒng)正常運(yùn)行過程當(dāng)中，我們必需不斷對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控和分析：

　　(1)查看系統(tǒng)中當(dāng)前運(yùn)行的系統(tǒng)服務(wù)和進(jìn)程是否正常;

　　(2)查看與系統(tǒng)建立的網(wǎng)絡(luò)連接是否正常;

　　(3)對系統(tǒng)文件和數(shù)據(jù)進(jìn)行完整性檢測，前提是已經(jīng)建立了文件的完整性檔案;

　　(4)檢查系統(tǒng)帳戶狀態(tài)及權(quán)限;

　　(5)檢查系統(tǒng)資源利用狀況，以及手工或日志實(shí)時(shí)監(jiān)控軟件的方式來實(shí)時(shí)分析系統(tǒng)、、等安全軟件的日志文件等方法，來確定系統(tǒng)目前的運(yùn)行狀況是否正常。

　　所有的這些方法都是及時(shí)發(fā)現(xiàn)系統(tǒng)是否已經(jīng)被入侵的的方法，我們應(yīng)當(dāng)按時(shí)對系統(tǒng)做這樣的一次全面檢查，甚至可以通過弱點(diǎn)檢測軟件對系統(tǒng)進(jìn)行全面的弱點(diǎn)檢測，以快速了解系統(tǒng)的安全狀況。

　　當(dāng)系統(tǒng)入侵被正確確認(rèn)后，接下來要做的就是通過手工分析的方式來確定入侵事件的真實(shí)性。這是由于我們得到系統(tǒng)被入侵的警報(bào)是通過安裝在系統(tǒng)上的防火墻或IDS/來獲取的，由于這些軟件本身存在對入侵事件有誤報(bào)的可能。因此，為了減少由于誤報(bào)而產(chǎn)生的不必要的系統(tǒng)入侵事件處理，就必需在發(fā)現(xiàn)系統(tǒng)被入侵的同時(shí)，確認(rèn)其真實(shí)性。

　　同樣，在確定系統(tǒng)確實(shí)被入侵了以后，就應(yīng)當(dāng)著手分析此次系統(tǒng)入侵事件發(fā)現(xiàn)的具體時(shí)間，確定受損的范圍和嚴(yán)重程度。明確了系統(tǒng)被入侵的具體時(shí)間，才有可能知道攻擊者是利用什么漏洞入侵系統(tǒng)的，才有可能知道應(yīng)當(dāng)檢測系統(tǒng)哪些方面，才有可能知道應(yīng)當(dāng)將系統(tǒng)恢復(fù)到什么時(shí)候，才能確定什么時(shí)候的備份是有效的。只有確定了系統(tǒng)入侵受損的范圍，才有可能知道系統(tǒng)中的哪些數(shù)據(jù)被損壞，需要恢復(fù)什么，才有可能知道應(yīng)當(dāng)立即隔離或備份什么數(shù)據(jù)，才有可能確定系統(tǒng)入侵事件的嚴(yán)重程度。也只有對系統(tǒng)入侵事件的嚴(yán)重程度進(jìn)行了分類，才知道按什么方式向上級領(lǐng)導(dǎo)進(jìn)行報(bào)告，才能讓領(lǐng)導(dǎo)做出正確的處理決定。只有確定了系統(tǒng)入侵事件受損的范圍和嚴(yán)重程度，我們在后面進(jìn)行的系統(tǒng)入侵處理過程中，才知道用什么方式去應(yīng)對此次入侵事件是最快速、最經(jīng)濟(jì)和最有效的。