劫持检测 处理劫持事件）

大家好,小宜来为大家讲解下。劫持检测，处理劫持事件）这个很多人还不知道,现在让我们一起来看看吧！

一、什么是劫持检测？

劫持检测（Hijack Detection）是指系统对网络设备及其协议层及边界结构进行记录以及检测，旨在检测网络设备的劫持行为，以保护系统的安全。劫持检测的目的在于：防范网络内外的非法行为；检测网络攻击行为；避免受到计算机病毒的感染；及时发现网络结构的不安全，采取有效的措施阻止劫持者；检测系统内部的可疑行为，及时发现系统内部的异常情况，以保护整个网络安全。

二、劫持检测的基本原理

1、劫持检测的基本原理与ICS/SCADA控制系统相关，可以归纳为三个基本原理：

（1）网络可信性：确定网络的完整性、原生性、无被篡改和自治性，并考虑可靠性、可用性和可操纵性；

（2）网络可靠性：根据业务需求和设备状态，采用可靠网络技术来确保网络的可靠性，确保网络正常正常工作；

（3）网络可视性：采用监控技术，对网络设备和系统的行为实时监控，检测异常状况，对可疑行为及时进行分析，以实现可视化网络的监控工作。

2、劫持检测的工作流程

（1）系统启动和初始化：收集和准备需要用于劫持检测的网络信息，完成系统参数的配置，以及系统的安全策略设置；

（2）侦测：监控网络交换机上的报文，对流量进行审视和检查，以确定网络设备是否受到未经授权的访问；

（3）劫持行为检测：当遇到可疑行为时，系统会立即采取有效的措施，检测特定网络设备的行为是否受到劫持；

（4）劫持定位：系统根据各种报文和服务的行为定位攻击源，对劫持网络设备的所有者进行跟踪；

（5）报警和应急处理：当发现劫持行为后，系统将及时触发报警信息，并给予适当的应急处理措施。

一、初始评估

1、确定窃取软硬件设备的类型，进入被劫持系统；

2、收集相关的设备日志和攻击请求的IP地址等信息；

3、根据系统的类型及其已知的漏洞，分析攻击者是如何进入系统的；

4、识别受损部分，当攻击者存在较大影响时，可以关闭外部网络访问，以免受到进一步损害；

二、处置步骤

1、恢复被劫持系统，或者转移部分资源到恢复现场；

2、构建体系，保证处置安全性和正确性，及时了解攻击情况；

3、安装安全防护软件（如防火墙、杀毒软件等），并对重要资源（如网站站点、数据库等）加以保护；

4、技术分析与深度搜索，提出合理化的处置方案；

5、搜集开放端口信息，报告发现的安全漏洞；

6、确认攻击点，有效阻断发起、传播攻击的渠道；

7、逐渐恢复被劫持系统，并根据处理结果，为下次可能的攻击行为做好准备。

三、事件分析

1、分析发起及传播攻击的方式及其时间，便于及时做出处置反应；

2、采取防护措施，止步攻击的蔓延及传播，妥善保护主机；

3、就被劫持系统的全部变化情况作出全面评估，对有可能潜在攻击的相关系统进行相关检查；

4、根据事件分析数据，采取有效措施，且必要时及时通报相关安全部门；

四、防范措施

1、定期培训网络安全工作人员，调查网络安全技术的最新发展，明确系统的安全策略；

2、安装防火墙、杀毒软件、审计软件，防范重要资源及通信路线；

3、强化网站管理，提高文件安全程度；

4、采取外部防御技术，如编码、加密，减少被攻击及拦截的机会；

5、防止已知漏洞的被利用，避免系统控制被外部攻击；

6、由技术人员定期检查网络，检查新的漏洞或可被滥用的弱点；

7、发掘多种安全控制元素，确保系统安全性能的不断提升。

五、总结

1、劫持事件的处置，是一个系统性的过程，应视攻击者影响程度来采取措施；

2、应采取相应的技术处置措施、手段来缓解，而相应的技术措施要求较为熟练，时常要结合实际情况来处理；

3、采取行之有效的防范措施，能够有效的阻断或者减少被劫持的可能性；

4、需要认真的分析攻击者的行为，从而制定出更加完整的防范方案。

本文劫持检测，处理劫持事件）到此分享完毕，希望对大家有所帮助。