007bug
2
安全集成(专业级)SP/PL
CICSA
官方采纳
007bug2
安全集成(专业级)SP/PL
CICSA
网络安全监测的方法主要有:
网络流量监测
通过利用网络监测工具,获取受害系统的网络流量数据,挖掘分析受害系统在网络上的通信信息,以发现受害系统的网上异常行为,特别是一些隐蔽的网络攻击,如远控木马、窃密木马、网络蠕虫、勒索病毒等。实际工作中常用的网络监测工具有 TCPDump、TCPView、Snort、WireShark、netstat。
系统自身监测
系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
l) 受害系统的网络通信状态监测
netstat 命令、 TCPView HTTPNetworkSniffer 等显示当前受害机器的网络监听程序及网络连接。例如,使用 TCPView 查看系统网络连接状况,如图1所示。
2) 受害系统的操作系统进程活动状态监测
在 Linux/UNIX 系统中,用 ps 命令查看受害机器的活动进程。在 Windows 系统中,可用Autoruns Process Explorer ListDLLs 等查看系统进程活动状况。例如,使用 Autoruns 可以检查Windows 系统的自启动项目,如图2所示。
3) 受害系统的用户活动状况监测
用 who 命令显示受害系统的在线用户信息。4) 受害系统的地址解析状况监测
用 arp 命令查看受害机器的地址解析缓存表,如图3所示。
5) 受害系统的进程资源使用状况监测
UNIX/Linux 系统中可用 lsof 工具检查进程使用的文件、 tcp/udp 端口、用户等相关信息,如图4所示。
推荐文章
