龔春鳳

（湖南商務職業(yè)技術(shù)學院，湖南 長沙 410205）

1.引言。在網(wǎng)絡技術(shù)日新月異的今天，基于網(wǎng)絡的計算機應用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet，全社會信息共享已逐步成為現(xiàn)實。然而，近年來，網(wǎng)上黑客的攻擊活動增長很快。因此，保證計算機系統(tǒng)、網(wǎng)絡系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

2.網(wǎng)絡入侵的途徑。計算機病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統(tǒng)修改型和外殼附加型四種方式，而對網(wǎng)絡入侵來講主要分為主動入侵和被動入侵。

主動入侵主要是指用戶主動去執(zhí)行病毒以及木馬程序，例如瀏覽網(wǎng)站中植入了惡意病毒及其木馬程序的網(wǎng)頁，這些木馬程序（病毒）大多是利用操作系統(tǒng)的漏洞，當用戶訪問網(wǎng)頁時，將會主動下載該類木馬程序并執(zhí)行；還有就是目前比較流行的優(yōu)盤病毒，通過優(yōu)盤來進行傳播和執(zhí)行，這種類型的攻擊非常隱蔽，不易察覺，當用戶連接互聯(lián)網(wǎng)時，木馬（病毒）的服務端可以對感染木馬（病毒）的客戶端進行控制。被動入侵主要是指由入侵者主動發(fā)動的攻擊，例如掃描系統(tǒng)口令，利用系統(tǒng)存在的遠程溢出漏洞進行溢出攻擊，SQL注入攻擊等。如果用戶具有一定安全意識，被成功入侵的幾率較低。

3.入侵后的保護措施。不管是個人普通電腦還是公司用電腦，保護好入侵現(xiàn)場是十分必要的，入侵現(xiàn)場作為經(jīng)濟損失評估和追蹤入侵者的重要證據(jù)。發(fā)生網(wǎng)絡入侵后，如果有安全事件應急方案，應當按照應急方案或者措施執(zhí)行。

3.1 報告上司、網(wǎng)警、公安部門或國家安全局。在計算機被入侵后，一般采用三種方式處理：一種就是徹底格式化硬盤，重新安裝操作系統(tǒng)和軟件；另外一種方法是安裝一些木馬查找軟件，查殺木馬和病毒后繼續(xù)使用，最后一種就是利用原來系統(tǒng)中的Ghost備份進行恢復。正確的方法應該是評估計算機中資料的價值，根據(jù)其計算機的重要情況，一旦發(fā)現(xiàn)計算機被入侵后，應立刻將網(wǎng)絡斷開，并報告公司安全部門或網(wǎng)警或國家安全局等處理網(wǎng)絡安全事件的部門，然后再做相應的處理。

3.2 保留證據(jù)。在發(fā)生網(wǎng)絡入侵后，一個很重要的步驟就是保留證據(jù)，面對入侵，最可能留下證據(jù)的就是硬盤，下面給出一些可供參考的保留證據(jù)步驟：

①使用軟驅(qū)啟動并克隆整個硬盤。在選擇克隆硬盤時通過軟盤啟動并克隆是為了保證系統(tǒng)的時間不被更改。操作系統(tǒng)的一些文件會在啟動計算機時進行時間的更新，為了保證時間的準確性，應該從軟驅(qū)啟動并通過軟盤來克隆硬盤中的系統(tǒng)盤以及其它物理盤。②將被入侵硬盤存封，保留最直接證據(jù)。③還原操作系統(tǒng)使被攻擊服務器或者個人電腦恢復正常。④修改在本機上使用的相關(guān)軟件以及操作系統(tǒng)賬號的登錄密碼。⑤如果是服務器，則需要通知網(wǎng)絡用戶更改相應的密碼。

4.具體的安全檢查方法

4.1 檢查計算機用戶。在被入侵的計算機中，極有可能添加了新用戶或者對用戶進行了克隆。

4.2 查看網(wǎng)絡連接情況。使用"netstat-an->netlog-1.txt"命令將目前端口開放情況以及網(wǎng)絡連接情況生成netlog-1文本文件，便于查看網(wǎng)絡開放的端口和連接的IP地址等，可以用來追蹤入侵者。

4.3 查看遠程終端服務。Windows2000/XP/2003默認的遠程終端服務都是手動的。

4.4Web服務器的安全檢查

①SQLServer2000等數(shù)據(jù)庫安全檢查。目前對Web服務器進行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQLServer2000等數(shù)據(jù)庫中的臨時表，通過HDSI等軟件進行SQL注入攻擊，在數(shù)據(jù)庫中會留下臨時表。因此可以通過數(shù)據(jù)庫的企業(yè)管理器或者查詢處理器進行表的瀏覽，直接查看最新創(chuàng)建表的情況。

②Web日志文件檢查。如果Web服務設(shè)置日志記錄，則系統(tǒng)會在缺省的"%SystemRoot%system32Logfiles"目錄下對用戶訪問等信息進行記錄。日志文件能夠記錄入侵者所進行的操作以及入侵者的IP地址等。

4.5 使用事件查看器查看安全日志等。事件查看器中有安全性、系統(tǒng)和應用程序三類日志文件，可以通過在運行"eventvwr.msc"調(diào)用事件查看器。安全性日志中包含了特權(quán)使用、用戶、時間和計算機等信息，這些信息可以作為判斷入侵者入侵時間以及采用什么方式進行登陸等信息。不過默認情況下，日志文件記錄的選項較少，需要通過組策略進行設(shè)置。

4.6 查看硬盤以及系統(tǒng)所在目錄新近產(chǎn)生的文件。如果及時發(fā)現(xiàn)入侵，則可以通過以下一些方法來查看入侵者所上傳或安裝的木馬程序文件。

①查看系統(tǒng)目錄文件，可以使用DOS命令"dir/od/a"或者資源管理器查看最新文件。DOS命令"dir/od/a"查看系統(tǒng)最新文件（包含隱藏文件）以日期進行排序。

②查看系統(tǒng)盤下用戶所在文件的臨時目錄temp，如 "D:Documents and SettingssimeonLocal SettingsTemp"，該目錄下會保留操作的一些臨時文件。

③查看歷史文件夾，歷史文件夾中會保留一些入侵者訪問網(wǎng)絡的一些信息，可以通過訪問用戶所在的目錄如"D:DocumentsandSettingssimeonLocal SettingsHistory"進行查看。

④查看回收站，回收站可能會存在入侵者刪除的一些文件記錄。通過查看文件創(chuàng)建日期和跟蹤文件所在位置來進行入侵時間等判斷。

⑤查看recent文件夾，recent文件夾中會保留一些最近操作時的一些快捷方式。通過這些快捷方式可以了解入侵者進行的一些操作。

4.7 使用port/mport/fport等工具檢查端口開放情況。port/mport/fport等都是用來檢查端口開放情況以及端口由哪些程序打開。

4.8 檢查Rootkit。Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具，利用Rootkit技術(shù)而編寫的木馬程序，功能強大，且具有較高的隱蔽性，危害非常大，目前可以通過Rootkit Revealer、Blacklight以及 Klister等 Rootkit檢測工具檢測系統(tǒng)是否存在Rootkit類型的木馬。

結(jié)束語。入侵檢測作為一種積極主動的安全防護技術(shù)，本文給出了一些計算機被入侵后的一些常規(guī)的安全檢查方法，通過這些安全檢查方法可以檢測入侵者留在被入侵計算機上的"痕跡"，為網(wǎng)絡安全增加一道屏障。隨著入侵檢測的研究與開發(fā)，并在實際應用中與其它網(wǎng)絡管理軟件相結(jié)合，使網(wǎng)絡安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網(wǎng)絡管理、網(wǎng)絡監(jiān)控三位一體化，從而更加有效地保護網(wǎng)絡的安全。

[1]《網(wǎng)絡入侵檢測原理與技術(shù)》.胡昌振.北京理工大學出版

[2]《網(wǎng)絡入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)》.唐正軍等.電子工業(yè)出版社

[3]《計算機網(wǎng)絡安全》.劉遠生.清華大學出版社