范向軍

從總體上來(lái)說(shuō)，網(wǎng)絡(luò)入侵檢測(cè)需要分為兩個(gè)部分，一是入侵信息的收集;二是在收集信息的基礎(chǔ)之上，對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析。根據(jù)數(shù)據(jù)分析，網(wǎng)絡(luò)管理員再根據(jù)相關(guān)的結(jié)果采取對(duì)應(yīng)的措施?？梢?，數(shù)據(jù)收集是入侵檢測(cè)、提高企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ);是一個(gè)必須要經(jīng)歷的階段。

網(wǎng)絡(luò)的安全性，很大程度的上依賴于我們收集的信息的準(zhǔn)確性。因?yàn)楝F(xiàn)在非法入侵越來(lái)越狡猾，不會(huì)光明正大的在系統(tǒng)中留下痕跡。他們?cè)诠舻倪^(guò)程中，往往會(huì)采取一些隱蔽的手段，或者在攻擊完成之后刪除一些信息，如可以替換被程序調(diào)用的子程序、記錄文件和其他工具等等。之后經(jīng)過(guò)對(duì)信息的調(diào)整，可以讓系統(tǒng)的日志看起來(lái)和正常的差不多。所以，隨著黑客技術(shù)的深入，信息收集的難度也比較大。信息收集主要有以下幾種情況

一、收集系統(tǒng)日志以及網(wǎng)絡(luò)日志文件

無(wú)論再怎么高超的黑客，要入侵企業(yè)網(wǎng)絡(luò)之前，肯定會(huì)在系統(tǒng)日志或者網(wǎng)絡(luò)日志中留下一些蛛絲馬跡，只是明不明顯的區(qū)別而已。所以，網(wǎng)絡(luò)管理員需要對(duì)這個(gè)系統(tǒng)日志與網(wǎng)絡(luò)日志格外的關(guān)注。如一些系統(tǒng)或者網(wǎng)絡(luò)失敗訪問(wèn)日志，會(huì)記錄一些不尋常的或者不成本的訪問(wèn)記錄。如當(dāng)一個(gè)帳戶試圖多次用管理員帳戶訪問(wèn)文件管理系統(tǒng)，當(dāng)密碼嘗試錯(cuò)誤三次的時(shí)候，就會(huì)在文件服務(wù)器系統(tǒng)中記錄下這個(gè)訪問(wèn)信息，包括訪問(wèn)的時(shí)間、IP地址等等。當(dāng)我們網(wǎng)絡(luò)管理員收集到這條信息后，就需要注意可能有人在再這臺(tái)文件服務(wù)器的注意了。我們可以根據(jù)這個(gè)IP地址，找到那臺(tái)攻擊的主機(jī)。不過(guò)，很可能這臺(tái)主機(jī)不是始作俑者，而是被人家當(dāng)做肉雞了?？傊?，我們看到這個(gè)信息之后，我們就需要為文件服務(wù)器設(shè)置一個(gè)比較復(fù)雜的管理員密碼了。

再如有些應(yīng)用系統(tǒng)中，有一個(gè)“帳戶活動(dòng)”日志。這個(gè)日志中會(huì)記錄這個(gè)帳戶在系統(tǒng)中所進(jìn)行的操作。包括什么時(shí)候利用什么角色登陸到系統(tǒng)，進(jìn)行了哪些操作;并且還會(huì)記錄這個(gè)帳戶的一些必要的認(rèn)證信息。通過(guò)這些信息的話，我們可以及時(shí)的發(fā)現(xiàn)系統(tǒng)入侵的跡象。

總之，相關(guān)的日志信息會(huì)記錄某個(gè)非法用戶多次嘗登陸某個(gè)系統(tǒng)，以及記錄某個(gè)非法用戶多次試圖訪問(wèn)未經(jīng)授權(quán)的文件或者系統(tǒng)。而這些信息是我們以后作好防治措施的依據(jù)。所以，我們信息收集的第一步，就是要關(guān)注相關(guān)的日志信息。在這些日志文件中，找到攻擊者蛛絲馬跡。

二、非正常的目錄以及非正常的文件

當(dāng)黑客攻擊成功后，取得某個(gè)管理員帳戶之后，為了進(jìn)一步加固自己的成果，會(huì)在系統(tǒng)中設(shè)置一些文件夾、目錄或者文件，以進(jìn)行下一步的攻擊行為。如有一些攻擊者在取得系統(tǒng)的管理員軋帳戶與密碼之后，會(huì)在系統(tǒng)中建立一個(gè)文件夾，上傳一些木馬攻擊。并且設(shè)置相關(guān)的任務(wù)調(diào)度計(jì)劃，當(dāng)某個(gè)特定的時(shí)間，運(yùn)行這個(gè)文件夾中的程序等等。所以，我們?nèi)裟軌蚣霸绲陌l(fā)現(xiàn)這些非正常的文件夾以及文件信息，就可以及早的發(fā)現(xiàn)攻擊的跡象，從而及時(shí)采取相關(guān)的措施。所以，操作系統(tǒng)與應(yīng)用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問(wèn)的文件夾以及目錄非正常的改變，很可能是一種入侵產(chǎn)生的指示或者信號(hào)。

三、非正常程序的運(yùn)行信息

黑客攻擊企業(yè)網(wǎng)絡(luò)信息的話，往往不會(huì)只是取得管理員權(quán)限那么簡(jiǎn)單。他們攻擊系統(tǒng)的最終目的，是為了竊取相關(guān)的信息，如密碼等等;或者把企業(yè)的網(wǎng)絡(luò)主機(jī)當(dāng)作肉雞，作為攻擊其他網(wǎng)絡(luò)的跳板等等。無(wú)論是出于哪種目的，除非直接竊取電腦上的文件，不然的話，一般都需要通過(guò)在被攻擊的主機(jī)后臺(tái)運(yùn)行一些程序，如鍵盤記錄工具軟件等等，才能夠達(dá)到類似的目的。所以，及時(shí)的收集這些非正常程序運(yùn)行的信息，可以及早的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)被攻擊的跡象。而一般來(lái)說(shuō)，收集這些非正常的程序，就是需要收集一些進(jìn)程信息。

因?yàn)樵诿總€(gè)系統(tǒng)上執(zhí)行的程序都是由一到幾個(gè)進(jìn)程來(lái)實(shí)現(xiàn)的。而且，一個(gè)進(jìn)程的執(zhí)行行為又是由他運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)的。操作執(zhí)行的方式不同，利用系統(tǒng)資源也就不同。若在系統(tǒng)進(jìn)程中，出現(xiàn)了一個(gè)我們不希望看到的進(jìn)程，或者個(gè)這個(gè)進(jìn)程出現(xiàn)了我們網(wǎng)絡(luò)管理員不期望的行為，如試圖往注冊(cè)表中加入一些非法的信息等等，如建立隱形帳戶等等，這就表示有攻擊者存在。

若我們感到網(wǎng)絡(luò)速度明顯變慢的時(shí)候，可以通過(guò)查看系統(tǒng)的進(jìn)程來(lái)了解相關(guān)的信息。但是，若靠手工收集這些進(jìn)程信息的話，是不怎么現(xiàn)實(shí)的。一方面工作量比較大，另一方面這些非法的進(jìn)程往往不會(huì)時(shí)刻都運(yùn)行著。當(dāng)他執(zhí)行完一定的任務(wù)之后，就會(huì)迅速的退出，防止為我們發(fā)現(xiàn)。所以，我們就需要通過(guò)一些工具，實(shí)時(shí)的收集這些進(jìn)程信息。如此的話，我們就可以迅速的找到入侵者的蹤跡，在他們?cè)谶€沒有造成更大的破壞之前，把他們消滅掉。

總之，入侵信息的收集是一個(gè)比較復(fù)雜的體系。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中若干不同關(guān)鍵點(diǎn)，如不同網(wǎng)段與不同主機(jī)之間收集信息。這主要是為了全方位的了解相關(guān)的入侵信息。而且非法攻擊者往往善于尋找企業(yè)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。故，網(wǎng)絡(luò)入侵信息的收集，還需要注意一個(gè)全面性。

但是，全面收集網(wǎng)絡(luò)入侵信息的話，往往工作量比較大。若單純的靠手工去收集這些信息的話，是不怎么現(xiàn)實(shí)的;工作量大而且容易漏掉。所以，我們需要采用一些工具，來(lái)幫助我們收集這些內(nèi)容?，F(xiàn)在市面上的一些入侵檢測(cè)工具，就都帶有這些信息的收集功能。以為只有在這些信息的基礎(chǔ)之上，這些工具才能夠?qū)Υ思右苑治?，得出可能的入侵結(jié)果。

另外一些系統(tǒng)也帶有自動(dòng)警告功能，可以自動(dòng)把一些他們認(rèn)為可疑的信息發(fā)送給我們網(wǎng)絡(luò)安全管理員。如當(dāng)有人多次試圖利用管理員帳戶登陸路由器的時(shí)候，若密碼錯(cuò)了三次，則就會(huì)自動(dòng)發(fā)送郵件給網(wǎng)絡(luò)安全管理人員，提醒他們存在這個(gè)非正常的登陸事件。讓我們判斷這個(gè)是否是正常的。這也是一個(gè)很實(shí)用的功能，不過(guò)這需要占用額外的資源，所以，默認(rèn)情況下這個(gè)功能都是沒有打開的。若需要的話，則要由管理員進(jìn)行手工的配置。對(duì)于一些重要的網(wǎng)絡(luò)設(shè)備，還是建議開啟這項(xiàng)功能。