教你正確判斷系統(tǒng)入侵事件的嚴重程度

《后會無期》電影海報PPT設計教程模板

• 類型：商務模板大�。�5.0M語言：中文 評分：10.0
• 標簽：

立即下載

不同的系統(tǒng)入侵事件，以及入侵事件的嚴重程度，其處理方式是不相同的。因此，在對系統(tǒng)入侵事件進行處理之前，在系統(tǒng)入侵事件識別之后，還必需進行一個必要的步驟，就是對當前識別的系統(tǒng)入侵事件進行分類。
    這樣做的目的就是對系統(tǒng)入侵事件做出嚴重程度的判斷，以便決定下一步采取什么樣的應對措施。例如，如果攻擊事件是涉及到服務器中的一些機密數據，這肯定是非常嚴重的攻擊事件，就應當立即斷開受到攻擊的服務器的網絡連接，并將其隔離，以防止事態(tài)進一步的惡化及影響網絡中其它重要主機。
    一般來說，我們可以通過確認系統(tǒng)入侵事件發(fā)展到了什么地步，以及造成了什么樣的后果來進行分類，這樣就可以將系統(tǒng)入侵事件分為以下5個類別：
    （1）、試探性入侵事件
    （2）、一般性入侵事件
    （3）、控制系統(tǒng)的入侵事件
    （4）、拒絕服務事件
    （5）、得到機密數據的入侵事件
    對網絡中的主機進行試探性掃描，都可以認為是試探性質的事件，這些都是攻擊者為了確認網絡中是否有可以被攻擊的主機，而進行的最基本的工作。

    當攻擊者確認了要攻擊的目標后，他就會進一步地對攻擊目標進行更加詳細，更加有目的的掃描，這時，所使用的掃描方式就會更加先進和不可識別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現(xiàn)在的一些整合性防火墻和IDS也能夠識別這些方式的掃描，因此，如果在日志文件中找到了與此相應的記錄，就表明攻擊已經發(fā)展到了一般性事件的地步了。
    當攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標進行滲透，這時，如果你沒有及時發(fā)現(xiàn)，滲透的成功性是非常大的，網絡中已經存在有太多的這類滲透工具，使用這些工具進行滲透工作是輕而易舉的事
    在滲透成功后，攻擊者就會想法提高自己在攻擊目標系統(tǒng)中的權限，并安裝后門，以便能隨心所欲地控制已經滲透了的目標，此時，就已經發(fā)展到了控制系統(tǒng)的地步。
    到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那么，你所保護的機密資料將有可能被攻擊者完全得到，事態(tài)的嚴重性就可想而知了。
    攻擊者在控制了攻擊目標后，有時也不一定能夠得到機密數據，由此而產生一些報復性行為，例如進行一些DOS或DDOS攻擊等，讓其他正常用戶也不能夠訪問。或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進行DOS或DDOS攻擊。
    因此，我們必需通過相應的工具（如IDS/IPS），以及對相應的日志文件（如防火墻日志）進行分析，來迅速對上述5種系統(tǒng)入侵事件進行判斷，以便及時決定采取什么樣的應對方法來進行處理，以防止事態(tài)向更加嚴重的程度發(fā)展，并由此盡量減小損失，恢復網絡系統(tǒng)正常運行。
    這也是為什么在此節(jié)之前，雪源梅香會用一個比較長的章節(jié)來描述如何去識別系統(tǒng)入侵事件的關鍵原因。因為只有在一開始就使用了相應的安全工具，例如IDS/IPS或防火墻等，才有可能幫助我們識別系統(tǒng)入侵事件，并對入侵事件的嚴重程度進行正確的判斷。
    另外，在對系統(tǒng)入侵事件的嚴重程度做出正確的判斷之后，還可以將入侵事件的證據收集起來，以便通過這些證據來找到攻擊者，并將其繩之以法。當然，這個步驟并不是必要的，但是，通過法律手段來保護我們，雪源梅香認為這今后我們必需不斷加強的有效手段之一。
    至于如何收集，這要視你所要收集的證據的多少及大小，以及收集的速度要求來定。如果只收集少量的數據，你可以通過簡單的復制方法將這些數據保存到另外一些安全的存儲媒介當中；如果要收集的數據數量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業(yè)的軟件來進行收集。對于這些收集的數據保存到什么樣的存儲媒介之中，也得根據所要收集的數據要求來定的，還得看你現(xiàn)在所擁有的存儲媒介有哪些，一般保存到光盤或硬盤當中為好。
    具體收集哪些數據，你可以將可以為攻擊事件提供證據的數據全部都收集起來，也可以只收集其中最重要的部分，下面是一些應該收集的數據列表：
    （1）、操作系統(tǒng)事件日志
    （2）、操作系統(tǒng)審計日志
    （3）、網絡應用程序日志
    （4）、防火墻日志
    （5）、入侵檢測（IDS）日志
    （6）、受損系統(tǒng)及軟件鏡像
    要了解是，上述這些數據都是依賴我們在上一節(jié)中所做的系統(tǒng)入侵事件識別工作。因此，如果你還沒有做這樣的工作，請在比特網上找到上一篇文章，然后按其中提到的方法做好準備工作。
    在進行這一步之前，如果你的首要任務是將網絡或系統(tǒng)恢復正常，為了防止在恢復系統(tǒng)備份時將這些證據文件丟失，或者你只是想為這些攻擊留個紀念，你可以先使用一些系統(tǒng)鏡像軟件將整個系統(tǒng)做一個鏡像保存后，再進行恢復工作。
    收集的數據不僅是作為指證攻擊者的證據，而且，在事件響應完成后，還應將它們統(tǒng)計建檔，并上報給相關領導及其它合作機構，例如安全軟件提供商，合作伙伴，以及當地的法律機構，同時也可以作為事后分析學習之用。