如何检测到入侵行为
检测入侵行为常用方法有以下这些:
基于知识的模式识别检测方法
这种技术是通过事先定义好的模式数据库实现的,其基本思想是首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
基于知识的异常识别检测方法
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。异常识别的关键是描述正常活动和构建正常活动档案库。利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
基于协议分析的检测方法
这种检测方法是根据针对协议的攻击行为实现的,其基本思想是:首先把各种可能针对协议的攻击行为描述出来,其次建立用于分析的规则库,最后利用传感器检查协议中的有效荷载,并详细解析,从而实现入侵检测。这种检测技术能检测出更为广泛的攻击,包括已知的和未知的攻击行为。
检测到入侵行为后应对办法如下:
核实信息:和报告人核实信息,确认服务器/系统是否被入侵或者根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等,这种情况一般是运维工程师发现并核实的。
现场保护:安全事件发生现场要保存第一现场重要信息,方便后面入侵检测和取证。需要保存现场环境(截图)、攻击者登陆情况(截图)等等重要信息;
服务器保护:这里的现场保护和服务器保护是两个不同的环节,前者注重取证,后者注重环境隔离。核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。此时,为保护服务器和业务,避免服务器被攻击者继续利用,应尽快歉意业务,立即下线机器;如果不能立即处理,应当通过配置网络ACL等方式,封掉该服务器对网络的双向连接。
影响范围评估(运维/开发):一般是运维或者程序确认影响范围,需要运维通过日志或者监控图表确认数据库或者敏感文件是否泄露,如果是代码或者数据库泄露了,则需要程序评估危害情况与处置方法。主要从具体业务架构、IP及所处区域拓扑等、确定同一网络下面服务器之间的访问等方面入手,由此确定检查影响范围,确认所有受到影响的网段和机器。
在线分析(安全人员/运维):这时需要根据个人经验快速在线分析,一般是安全人员和运维同时在线处理,不过会涉及多人协作的问题,需要避免多人操作机器时破坏服务器现场,造成分析困扰,该阶段不是完全依靠人工可以借助安全工具或者日志审计工具进行。
安全相关的关键文件和数据备份(运维):对重要数据进行备份以防止二次入侵,可以打包系统日志、打包web日志、打包history日志、打包crontab记录、打包密码文件、打包可疑文件、后门、shell信息进行备份或者上传其他服务器。
深入分析(安全人员):初步锁定异常进程和恶意代码后,将受影响范围梳理清楚,封禁了入侵者对机器的控制后,接下来需要深入排查入侵原因。一般可以从webshell、开放端口服务等方向顺藤摸瓜。
整理事件报告(安全人员):事件报告需要包含分析事件发生原因、分析整个攻击流程、分析事件处理过程、分析事件预防和总结,但是除此以外还可以保护其他信息。