劫持检测 处理劫持事件)
大家好,小宜来为大家讲解下。劫持检测,处理劫持事件)这个很多人还不知道,现在让我们一起来看看吧!
一、什么是劫持检测?
劫持检测(Hijack Detection)是指系统对网络设备及其协议层及边界结构进行记录以及检测,旨在检测网络设备的劫持行为,以保护系统的安全。劫持检测的目的在于:防范网络内外的非法行为;检测网络攻击行为;避免受到计算机病毒的感染;及时发现网络结构的不安全,采取有效的措施阻止劫持者;检测系统内部的可疑行为,及时发现系统内部的异常情况,以保护整个网络安全。
二、劫持检测的基本原理
1、劫持检测的基本原理与ICS/SCADA控制系统相关,可以归纳为三个基本原理:
(1)网络可信性:确定网络的完整性、原生性、无被篡改和自治性,并考虑可靠性、可用性和可操纵性;
(2)网络可靠性:根据业务需求和设备状态,采用可靠网络技术来确保网络的可靠性,确保网络正常正常工作;
(3)网络可视性:采用监控技术,对网络设备和系统的行为实时监控,检测异常状况,对可疑行为及时进行分析,以实现可视化网络的监控工作。
2、劫持检测的工作流程
(1)系统启动和初始化:收集和准备需要用于劫持检测的网络信息,完成系统参数的配置,以及系统的安全策略设置;
(2)侦测:监控网络交换机上的报文,对流量进行审视和检查,以确定网络设备是否受到未经授权的访问;
(3)劫持行为检测:当遇到可疑行为时,系统会立即采取有效的措施,检测特定网络设备的行为是否受到劫持;
(4)劫持定位:系统根据各种报文和服务的行为定位攻击源,对劫持网络设备的所有者进行跟踪;
(5)报警和应急处理:当发现劫持行为后,系统将及时触发报警信息,并给予适当的应急处理措施。
一、初始评估
1、确定窃取软硬件设备的类型,进入被劫持系统;
2、收集相关的设备日志和攻击请求的IP地址等信息;
3、根据系统的类型及其已知的漏洞,分析攻击者是如何进入系统的;
4、识别受损部分,当攻击者存在较大影响时,可以关闭外部网络访问,以免受到进一步损害;
二、处置步骤
1、恢复被劫持系统,或者转移部分资源到恢复现场;
2、构建体系,保证处置安全性和正确性,及时了解攻击情况;
3、安装安全防护软件(如防火墙、杀毒软件等),并对重要资源(如网站站点、数据库等)加以保护;
4、技术分析与深度搜索,提出合理化的处置方案;
5、搜集开放端口信息,报告发现的安全漏洞;
6、确认攻击点,有效阻断发起、传播攻击的渠道;
7、逐渐恢复被劫持系统,并根据处理结果,为下次可能的攻击行为做好准备。
三、事件分析
1、分析发起及传播攻击的方式及其时间,便于及时做出处置反应;
2、采取防护措施,止步攻击的蔓延及传播,妥善保护主机;
3、就被劫持系统的全部变化情况作出全面评估,对有可能潜在攻击的相关系统进行相关检查;
4、根据事件分析数据,采取有效措施,且必要时及时通报相关安全部门;
四、防范措施
1、定期培训网络安全工作人员,调查网络安全技术的最新发展,明确系统的安全策略;
2、安装防火墙、杀毒软件、审计软件,防范重要资源及通信路线;
3、强化网站管理,提高文件安全程度;
4、采取外部防御技术,如编码、加密,减少被攻击及拦截的机会;
5、防止已知漏洞的被利用,避免系统控制被外部攻击;
6、由技术人员定期检查网络,检查新的漏洞或可被滥用的弱点;
7、发掘多种安全控制元素,确保系统安全性能的不断提升。
五、总结
1、劫持事件的处置,是一个系统性的过程,应视攻击者影响程度来采取措施;
2、应采取相应的技术处置措施、手段来缓解,而相应的技术措施要求较为熟练,时常要结合实际情况来处理;
3、采取行之有效的防范措施,能够有效的阻断或者减少被劫持的可能性;
4、需要认真的分析攻击者的行为,从而制定出更加完整的防范方案。
本文劫持检测,处理劫持事件)到此分享完毕,希望对大家有所帮助。