@不喜丶不悲
2年前 提问
1个回答

网络安全监测的方法有哪些

007bug
2年前
官方采纳

网络安全监测的方法主要有:

  • 网络流量监测

    通过利用网络监测工具,获取受害系统的网络流量数据,挖掘分析受害系统在网络上的通信信息,以发现受害系统的网上异常行为,特别是一些隐蔽的网络攻击,如远控木马、窃密木马、网络蠕虫、勒索病毒等。实际工作中常用的网络监测工具有 TCPDump、TCPView、Snort、WireShark、netstat。

  • 系统自身监测

    系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。

    l) 受害系统的网络通信状态监测

      netstat 命令、 TCPView HTTPNetworkSniffer 等显示当前受害机器的网络监听程序及网络连接。例如,使用 TCPView 查看系统网络连接状况,如图1所示。

    网络安全监测的方法有哪些?

    2) 受害系统的操作系统进程活动状态监测

      在 Linux/UNIX 系统中,用 ps 命令查看受害机器的活动进程。在 Windows 系统中,可用Autoruns Process Explorer ListDLLs 等查看系统进程活动状况。例如,使用 Autoruns 可以检查Windows 系统的自启动项目,如图2所示。

    网络安全监测的方法有哪些?

    3) 受害系统的用户活动状况监测

      用 who 命令显示受害系统的在线用户信息。

    4) 受害系统的地址解析状况监测

      用 arp 命令查看受害机器的地址解析缓存表,如图3所示。

    网络安全监测的方法有哪些?

    5) 受害系统的进程资源使用状况监测

      UNIX/Linux 系统中可用 lsof 工具检查进程使用的文件、 tcp/udp 端口、用户等相关信息,如图4所示。

    网络安全监测的方法有哪些?