網絡安全管理先從入侵信息收集開始

從總體上來說，網絡入侵檢測需要分為兩個部分：一是入侵信息的收集；二是在收集信息的基礎之上，對相關數據進行分析。然后我們網絡管理員再根據相關的結果采取對應的措施。可見，數據收集是入侵檢測、提高企業網絡安全的基礎：是一個必須要經歷的階段。

網絡的安全性。很大程度上依賴于我們收集的信息的準確性。因為現在非法入侵越來越狡猾，不會光明正大地在系統中留下痕跡。他們在攻擊的過程中，往往會采取一些隱蔽的手段，或者在攻擊完成之后刪除一些信息，如可以替換被程序調用的子程序、記錄文件和其他工具等等。經過他們對相關信息的調整，可以讓系統的日志跟正常的差不多。所以，隨著黑客技術的深入，信息收集的難度也比較大。下面筆者就入侵信息的收集這個話題，談談自己的想法。

第一步：收集系統日志以及網絡日志文件。

俗話說，燕過留聲，人過留名。無論技術再怎么高超的黑客，要入侵企業網絡，肯定會在系統日志或者網絡日志中留下一些蛛絲馬跡，只是明不明顯的區別而已。所以，網絡管理員需要對這個系統日志和網絡日志格外關注。

如一些系統或者網絡失敗訪問日志，會記錄一些不尋常的或者不成功的訪問記錄。如當一個帳戶試圖多次用管理員帳戶訪問文件管理系統，當密碼嘗試錯誤三次的時候，就會在文件服務器系統中記錄下這個訪問信息。包括訪問的時間、IP地址等等。當我們網絡管理員收集到這條信息后，就需要注意可能有人在對這臺文件服務器注意了。我們可以根據這個IP地址，找到那臺攻擊的主機。不過，很可能這臺主機不是始作俑者，而是被人家當作肉雞了。總之，我們看到這個信息之后，就需要為文件服務器設置一個比較復雜的管理員密碼了。

再如有些應用系統中，有一個“帳戶活動”日志。這個日志中會記錄這個帳戶在系統中所進行的操作。包括什么時候利用什么角色登錄到系統，進行了哪些操作：并且還會記錄這個帳戶的一些必要的認證信息。通過這些信息，我們可以及時地發現系統入侵的跡象。如系統管理員發現一個管理員帳戶在某個時間登錄了這個應用系統，但是，自己那時候根本沒有登錄。或者普通員工的帳戶在非上班時間多次登錄，那么就說明這個信息化應用系統有可能已經被人攻破了。他們乘我們不注意的時候，在偷偷地竊取系統中的信息。為此，我們必須要采取一些措施找到這個非法的攻擊者，或者及時更改用戶名與密碼，防止損失進一步擴大。

總之，相關的日志信息會記錄某個非法用戶多次嘗試登錄某個系統，以及記錄某個非法用戶多次試圖訪問未經授權的文件或者系統。而這些信息是我們以后做好防治措施的依據。所以，信息收集的第一步，就是要關注相關的日志信息。在這些日志文件中，找到攻擊者的蛛絲馬跡。

第二步：非正常的目錄以及非正常的文件。

當黑客攻擊成功后，取得某個管理員帳戶之后。為了進一步加固自己的成果，會在系統中設置一些目錄或者文件，以進行下一步的攻擊行為。如有一些攻擊者在取得系統的管理員帳戶與密碼之后，會在系統中建立一個文件夾，上傳一些木馬攻擊程序。并且設置相關的任務調度計劃，當某個特定的時間，運行這個文件夾中的程序等等。所以，我們若能夠及早地發現這些非正常的文件夾以及文件信息，就可以及早地發現攻擊的跡象，從而及時采取相關的措施。

所以，操作系統與應用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問的文件夾以及目錄非正常的改變，很可能是一種入侵產生的指示或者信號。

一般來說，有如下幾種情況：

一是應用程序的執行路徑發生了改變。如有些企業通過MSN跟客戶進行聯系。當非法攻擊者侵入企業網絡，取得某臺主機的管理員密碼之后，就可以改變用戶桌面上的MSN程序圖標的路徑。當用戶雙擊打開這個程序時，打開的不是原來的MSN程序，而可能是一個綁有木馬的MSN程序，可以竊取用戶的聊天記錄、帳戶名與密碼等等。

二是可疑的文件夾。當非法攻擊者取得管理員用戶名與密碼之后，利用TELNET程序遠程登錄，然后在主機上建立文件夾，上傳木馬或者其他的非法程序，然后通過操作系統本身的任務調度命令。在一個特定的時刻運行這個文件夾中的程序。這是很多非法攻擊者常用的手段。所以，我們若能夠及時地發現這些可疑的文件夾信息，就可以及早地發現攻擊的行為，從而減少由此帶來的損失。一般來說，我們借助一些檢測軟件，就可以收集到這些信息。

三是日志文件的非法修改。上面我們說過，非法攻擊者拜訪過企業的網絡主機之后，肯定會在系統日志或者網絡日志中留下蛛絲馬跡。在他們攻擊得手之后，為了隱藏他們在系統中的表現以及攻擊的痕跡，都會盡力地去替換系統日志中的相關內容。為此，若能夠及時地收集這些信息的話，則即使他們更改了日志中的內容，我們也能夠及早地發現，從而采取對應的措施。

第三步：非正常程序的運行信息。

黑客攻擊企業網絡信息時，往往不會只是取得管理員權限那么簡單。他們攻擊系統的最終目的，是為了竊取相關的信息，如密碼等等：或者把企業的網絡主機當作肉雞。作為攻擊其他網絡的跳板等等。無論是出于哪種目的。除非直接竊取電腦上的文件，不然的話，一般都需要通過在被攻擊的主機后臺運行一些程序，如鍵盤記錄工具等等，才能夠達到類似的目的。

所以，及時地收集這些非正常程序運行的信息，可以及早地發現企業網絡被攻擊的跡象。而一般來說。收集這些非正常的程序，就是需要收集一些進程信息。

因為在每個系統上執行的程序都是由一到幾個進程來實現的。而且，一個進程的執行行為又是由他運行時執行的操作來表現的。操作執行的方式不同，利用系統資源也就不同。若在系統進程中。出現了一個我們不希望看到的進程，或者這個進程出現了我們網絡管理員不期望的行為，如試圖往注冊表中加入一些非法的信息，建立隱形帳戶等等，這就表示有攻擊者存在。

若我們感到網絡速度明顯變慢的時候，可以通過查看系統的進程來了解相關的信息。但是，若靠手工收集這些進程信息的話，是不怎么現實的。一方面工作量比較大，另一方面這些非法的進程往往不會時刻都運行著。當他執行完一定的任務之后，就會迅速地退出，防止被我們發現。所以，我們就需要通過一些工具，實時地收集這些進程信息。如此的話，我們就可以迅速地找到入侵者的蹤跡，在他們還沒有造成更大的破壞之前，把他們消滅掉。

總之，入侵信息的收集是一個比較復雜的體系。需要在計算機網絡系統中若干不同關鍵點收集，如在不同網段與不同主機之間收集信息。這主要是為了全方位地了解相關的入侵信息。而且非法攻擊者往往善于尋找企業網絡中的薄弱環節。所以。網絡入侵信息的收集，還需要注意一個全面性。

但是，全面收集網絡入侵信息的話。往往工作量比較大。若單純地靠手工去收集這些信息。是不怎么現實的，工作量大而且容易漏掉。所以，我們需要采用一些工具，來幫助我們收集這些內容。現在市面上的一些入侵檢測工具。就都帶有這些信息的收集功能。只有在這些信息的基礎之上，這些工具才能夠對此加以分析。得出可能的入侵結果。

另外一些系統也帶有自動警告功能，可以自動把一些他們認為可疑的信息發送給我們網絡管理員。如當有人多次試圖利用管理員帳戶登錄路由器的時候，若密碼錯了三次，則就會自動發送郵件給網絡管理員，提醒他們存在這個非正常的登錄事件。讓我們判斷這個是否是正常的。這也是一個很實用的功能，不過這需要占用額外的資源。所以，默認情況下這個功能都是沒有打開的。若需要的話，則要由管理員進行手工的配置。對于一些重要的網絡設備。還是建議開啟這項功能。(MAxi)