防黑客入侵检测大全(如何检测黑客入侵)
本文目录一览:
怎样预防黑客入侵电脑
在这个技巧中,你将学到:一个简单的网页毁损会显示出一个详尽的突发事件响应计划多么的有价值!
被黑掉的经验类似于得到了一个少的可怜的收入,至少,这是最近我从自己的一个网页被人涂改破坏后学习到的感受。
果真,我们的调查发现被毁损的服务器上运行着一个没有打补丁的PHP论坛程序,黑客使用PHP exploit留下了一条短的、友好的信息标明他曾经占领过这个领地。虽然这是一个相对较小的事件,但它强调了有一个有准备的、明智的突发事件响应计划是多么的重要。
有个谚语说的很对:不到危急时刻,没有人会看到一项策略的价值。
信息响应(IR)计划给出了我们的立即响应、调查分析和恢复的过程,它们就像在我们手中互相交叉的三环,为了保证其成功,我们必须做到以下几个方面:
服务器隔离
这是一台相当重要的服务器,因此我们必须保证其安装性,并将其从网络中隔离。我们在服务器和外部网络之间通过防火墙规则来拦截攻击行为,然后我们就可以关闭响应的交换机端口,将服务器隔离。一旦隔离完成,我们就可以暂停记录发现的时间,这将发现黑客以及黑客所进行的行为,这也是为法庭分析和可能的诉讼行为提供证据的重要步骤。
黑客跟踪
黑客没有删除日志,因此我们花很短的时间就发现黑客多次使用一个固定的脚本尝试攻击PHP。我们真正想知道的是黑客是否得到了root用户的权限,或者他使用此服务器作为垫脚石对其它系统进行攻击。对重要文件的CRC校验告诉我们,它们并没有被更改和损坏,在内存中也没有可疑的进程运行。我们检查了论坛程序供应商的站点,的确,在攻击发生前的一周,供应商已经发表了有关此漏洞的声明,并且已经推出了补丁程序。这就没有问题了――一个星期的时间对黑客来说已经足够了。
我们震惊于在我们的IDS日志中没有发现PHP攻击的证据,我们的IDS供应商告诉我们,在下一次计划中的签名更新之前,签名将有大约两星期的使用时间。也就使说,在漏洞和攻击被发现,和IDS签名变得可用之前,有三个星期的缺口。
响应和恢复
我们的事件响应策略是,不管事件的严重性如何(不留下冒险的机会),任何被破坏的机器都要重新再建。系统根据一般可接受的指南进行安全方面的设置和巩固,我们还通过漏洞扫描器扫描机器的弱点以检查我们的工作。当然,我们还通过攻击软件检测相似的机器。
总结教训
我们从此次事件中总结出了经验教训:确信你的系统管理员跟上了最新的补丁(每个月一次是不够的),并且经常查看日志(一周一次也远远不够)。安全管理员必须知道各台机器都安装了什么软件,以便他们能够提防相关的漏洞和弱点。不要依靠任何唯一的IDS供应商,因为签名对第一防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施Tripwire(一个入侵检测系统),监视重要文件属性的改变。
最后,保持你的突发事件响应策略的实时性,以适应当前系统的要求。让大家知道在紧急状态下应该做什么,这样才能保证补救措施的顺利实行。
预防黑客十绝招
一、使用防病毒软件并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。
二、不允许网上的商家为了便于你以后购物储存你的信用卡资料。
三、使用由数字和字母混排而成、难以被破译的口令密码,并且经常更换。
四、对不同的网站和程序,要使用不同口令,以防止被黑客破译。
五、使用最新版本的万维网浏览器软件、电子邮件软件以及其他程序。
六、只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图示或钥匙形图标。
七、确认你要打交道的网站地址,留意你输入的地址,比如不要把ana-zon.com写成amozon.com。
八、使用有对cookie程序控制权的安全程序,cookie程序会把信息传送回网站。
九、如果你使用数字用户专线或是电缆调制解调器连接英特网,那就要安装防火墙软件,监视数据流动。
十、不要打开电子邮件的附件,除非你知道信息的来源。
个人电脑怎么防止黑客攻击
个人防止黑客攻击的技术分为被动防范技术与主动防范技术两类。
被动防范技术主要包括:防火墙技术、网络隐患扫描技术、查杀病毒技术、分级限权技术、重要数据加密技术、数据备份和数据备份恢复技术等。主动防范技术主要包括:数字签名技术、入侵检测技术、黑客攻击事件响应(自动报警、阻塞和反击)技术、服务器上关键文件的抗毁技术、设置陷阱网络技术、黑客入侵取证技术等。
扩展资料:
利用Windows自带工具杀毒:
1、当你感觉电脑中毒而杀毒软件无能为力而且也不知道所中毒的名称时,你首先想到的应该是查看进程。按住“Ctrl+Alt+Del”打开“windows任务管理器”,检查其中是否有可疑的进程。
2、当系统运行非常缓慢,而在进程中你又可发现某个进程的 CPU 占用率非常高,而在你打开的相应程序中又没有可与其对应的,那么很有可能就是木马。找到可疑进程后,我们就要找出它的位置了并停止该进程。事实上,以上方法对于新的病毒木马一般是无效的,因为目前的木马或病毒的进程和线程都是互相挂钩的。因此我们需要更强大的工具,推荐两个:tasklist和taskill。
利用第三方工具查杀:
1、Hijackthis + killbox。Hijackthis和Icesword可以对系统的整体状况进行查看Killbox可以对进程,线程及各种文件进行修改或删除。
2、i ceSword。I cesword还能对进程等进行监控,能有效防止木马进程反复生成。I cesword可以对进程,线程及各种文件进行修改或删除。
3、aut or uns。Aut or uns则对于注册表的查看与修改有很大帮助。
参考资料来源:百度百科-黑客攻击
简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
扩展资料
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
参考资料来源:百度百科-入侵检测
