@Ineverleft
2年前 提问
1个回答

有哪些常见的入侵指标?

在下炳尚
2年前
  • 特权用户帐户的反常活动:攻击者通常会尝试获得更高的帐户权限,或从受攻击的帐户移动到另一具有较高权限的帐户。

  • 登录异常:在工作时间之外登录并尝试访问未经授权的文件,同一帐户从遍布全球的不同 IP 快速连续登录,不存在的用户帐户登录失败,这些都是出现异常的明显迹象。

  • 数据库读取量增加:数据库读取量显著增加可能说明有人正在反常地提取大量数据,例如数据库中的所有信用卡号。

  • 异常的域名系统 (DNS) 请求:特定主机对 DNS 请求的大量激增,以及 DNS 请求对外部主机的模式都是危险信号,因为它们意味着企业外部有人正在发送命令并控制流量。

  • 对同一文件的大量请求:很大一部分网络犯罪活动涉及重复攻击,这意味着有人正在搜寻漏洞。发现对同一文件的 500 次请求可能说明有人正在尝试通过不同方式找到弱点。

  • 未做解释的配置或系统文件变更:虽然很难找到信用卡采集工具,但找到安装该工具后系统文件发生的变化较为容易。