黑客攻击入侵_黑客入侵检查

hacker|
185

电脑被黑客侵入后会出现哪些现象?

之一标志:电脑频繁随机弹出窗口。如果你电脑有这样的现象,你可能已经遭到黑客攻击了。您的系统已经遭到破坏。恶意软件可绕过浏览器的抑制随机弹出窗口anti-up的机制。

第二标志,您的浏览器突然多了一个新的工具栏,这是很常见的事情。但是应该警惕了。来路不明的新工具栏,更好还是把它删除。如果不不能轻易的删除它,你可以重新把浏览器设置到默认选项。如果你想添加新的工具栏,在安装时要阅读许可协议,并确保工具栏是合法程序。但绝大多数人都不看许可协议,恶意软件就有了可乘之机。

第三标志:安装意外的软件。安装意外的软件意味着您的计算机系统有可能遭到黑客攻击。早期的恶意软件,大多数程序是计算机病毒。但现在的多数恶意软件程序是木马,这些木马通常很像合法的程序。很多时候这些恶意软件是通过合法安装其他程序时被安装到你的电脑,阅读许可协议是非常重要的。许可协议可能已经表明,他们将会安装一个或者多个其他程序。有时您可选择不安装,有时你没有这种选择。

第四标志:您搜索的页面,跳转到其他网页。许多黑客通过重新定向,让你跳转到其他网站,而这个网站并不是你想浏览的网站。当你点击网页时,黑客即可获取利益。如果您既有假工具栏程序,又被重新定向。你应该仔细察看你的系统,删除恶意程序软件,以摆脱跳转到其他网页的状况。

怎么判断手机有黑客

机身特别烫,电池的续航能力下降,恶意连接互联网。

1、判断手机有黑客的 *** 是如果你的手机被黑客入侵,很多未经授权的程序会在后台运行在操作系统后面。这些可能是广告软件、间谍软件、特洛伊木马等,它们都以不同的方式为黑客赚钱。这将给设备的处理器和内存带来额外的压力。反过来,这将导致处理器发热超过正常值。如果你的设备比平时热,请试着找出原因。如果不能简单的说,可能会有一些麻烦。

2、你的电池不能持续足够长的时间,额外的热量会增加功率。即使你感觉不到高温,你也可能会注意到电池消耗的速度比以前快得多。同样,这可能是因为未知程序总是在后台运行。

3、大多数在后台运行的恶意程序将连接到互联网,以执行它们被编程为执行的操作。例如,将您的数据传输到第三方服务器或向您展示通常不会出现的广告。如果您没有连接到无线 *** ,将使用移动数据。检查您的数据使用情况。

4、如果感染了你手机的恶意软件有权拨打 *** 或发送信息,可能会让你损失惨重。一些黑客会编写恶意软件来拨打他们自己的费率 *** 线,这可能会导致每分钟的通话成本增加。以及短信。如果您发现未知的外拨 *** 号码或您不记得的 *** ,请立即联系您的 *** 提供商。

入侵检测是检测什么

入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析 *** 行为、安全日志、审计数据、其它 *** 上可以获得的信息以及计算机系统中若干关键点的信息,检查 *** 或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在 *** 系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响 *** 性能的情况下能对 *** 进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付 *** 攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息,并分析这些信息,看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机 *** 中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统

入侵检测技术的分类:

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1 .特征检测:

特征检测 (Signature-based detection) 又称 Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵 *** 检查出来,但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2 .异常检测:

异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

入侵检测系统的工作步骤

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解 *** 系统(包括程序、文件和硬件设备等)的任何变更,还能给 *** 安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得 *** 安全。而且,入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断 *** 连接、记录事件和报警等。

信息收集

入侵检测的之一步是信息收集,内容包括系统、 *** 、数据及用户活动的状态和行为。而且,需要在计算机 *** 系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。

当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测 *** 系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。

1.系统和 *** 日志文件

黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

*** 环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

*** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与 *** 间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容,一是未授权的对 *** 硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破 *** 的周边防卫,如果他们能够在物理 *** 问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问 *** 。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共 *** 线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁 *** 安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部 *** 原有的防护措施,然后捕获 *** 流量,进而攻击其它系统,并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、 *** 、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种 *** 用于实时的入侵检测,而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的 *** 入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该 *** 的一大优点是只需收集相关的数据 *** ,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的 *** 一样,检测准确率和效率都相当高。但是,该 *** 存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析 *** 首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与 *** 、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析 *** 如基于专家系统的、基于模型推理的和基于神经 *** 的分析 *** ,目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配 *** 和统计分析 *** 能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测 *** 还应该是 *** 安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对 *** 系统进行全面地扫描检查。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而更大程度地为企业 *** 提供安全。

入侵检测功能

·监督并分析用户和系统的活动

·检查系统配置和漏洞

·检查关键系统和数据文件的完整性

·识别代表已知攻击的活动模式

·对反常行为模式的统计分析

·对操作系统的校验管理,判断是否有破坏安全的用户活动。

·入侵检测系统和漏洞评估工具的优点在于:

·提高了信息安全体系其它部分的完整性

·提高了系统的监察能力

·跟踪用户从进入到退出的所有活动或影响

·识别并报告数据文件的改动

·发现系统配置的错误,必要时予以更正

·识别特定类型的攻击,并向相应人员报警,以作出防御反应

·可使系统管理人员最新的版本升级添加到程序中

·允许非专家人员从事系统安全工作

·为信息安全策略的创建提供指导

·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制

·在无人干预的情况下,无法执行对攻击的检查

·无法感知公司安全策略的内容

·不能弥补 *** 协议的漏洞

·不能弥补由于系统提供信息的质量或完整性的问题

·它们不能分析 *** 繁忙时所有事务

·它们不能总是对数据包级的攻击进行处理

·它们不能应付现代 *** 的硬件及特性

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在 *** 系统受到危害之前拦截和响应入侵。从 *** 安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究

什么叫做入侵检测?入侵检测系统的基本功能是什么?

入侵检测系统(Intrusion-detection system,下称“IDS”)是一种对 *** 传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的 *** 安全设备。它与其他 *** 安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。 1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 1990年,IDS分化为基于 *** 的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测 *** 的差异分为几类。根据信息来源可分为基于主机IDS和基于 *** 的IDS,根据检测 *** 又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须 *** 流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危 *** 区域的访问流量和需要进行统计、监视的 *** 报文。在如今的 *** 拓扑中,已经很难找到以前的HUB式的共享介质冲突域的 *** ,绝大部分的 *** 区域都已经全面升级到交换式的 *** 结构。因此,IDS在交换式 *** 中的位置一般选择在: (1)尽可能靠近攻击源 ( 2)尽可能靠近受保护资源 这些位置通常是: ·服务器区域的交换机上 ·Internet接入路由器之后的之一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同,入侵检测系统可分为主机型和 *** 型。

0条大神的评论

发表评论