網(wǎng)絡(luò)安全事件的處理對(duì)于企業(yè)安全防護(hù)問(wèn)題來(lái)說(shuō)是一個(gè)重要的內(nèi)容，同時(shí)應(yīng)對(duì)網(wǎng)絡(luò)安全事件的優(yōu)劣也是衡量一個(gè)企業(yè)網(wǎng)絡(luò)安全水平的重要標(biāo)準(zhǔn)。那么在所謂應(yīng)對(duì)之前，我們首先應(yīng)當(dāng)熟悉何謂網(wǎng)絡(luò)安全事件，以及他的分類(lèi)方法。

1、網(wǎng)絡(luò)安全事件識(shí)別

在整個(gè)事件處理過(guò)程當(dāng)中，這一步是非常重要的，你必需從眾多的信息中，識(shí)別哪些是真正的攻擊事件，哪些是正常的網(wǎng)絡(luò)訪(fǎng)問(wèn)。

事件識(shí)別，不僅要依賴(lài)安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項(xiàng)來(lái)做出判斷，而且也與事件識(shí)別者的技術(shù)水平及經(jīng)驗(yàn)有很大的關(guān)系。這是因?yàn)椋粌H安全軟件有誤報(bào)和漏報(bào)的現(xiàn)象，而且，攻擊者往往會(huì)在成功入侵后，會(huì)用一切手段來(lái)修改這些日志，以掩蓋他的行蹤，讓你無(wú)法從日志中得到某些重要的信息。這時(shí)，一個(gè)有著豐富經(jīng)驗(yàn)的事件識(shí)別者，就可以通過(guò)對(duì)網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象的判斷，來(lái)決定是否已經(jīng)受到了攻擊。

有了可靠的日志，再加上在受到了攻擊時(shí)會(huì)出現(xiàn)各種異常現(xiàn)象，我們就可以通過(guò)分析這些日志文件中的記錄項(xiàng)，以及對(duì)各種現(xiàn)象的判斷來(lái)確定是否受到了真正的攻擊。因此，如果日志中出現(xiàn)了下面列出項(xiàng)中的記錄，或網(wǎng)絡(luò)和主機(jī)系統(tǒng)出現(xiàn)了下面列出項(xiàng)中的現(xiàn)象，就一定表明你所監(jiān)控的網(wǎng)絡(luò)或主機(jī)已經(jīng)或正在面臨著某種類(lèi)別的攻擊：

(1)、日志文件中記錄有異常的沒(méi)有登錄成功的審計(jì)事件;

(2)、日志文件中有成功登錄的不明賬號(hào)記錄;

(3)、日志文件中存在有異常的修改某些特殊文件的記錄;

(4)、日志文件中存在有某段時(shí)間來(lái)自網(wǎng)絡(luò)的不正常掃描記錄;

(5)、日志文件中存在有在某段時(shí)間啟動(dòng)的不明服務(wù)進(jìn)程的記錄;

(6)、日志文件中存在有特殊用戶(hù)權(quán)限被修改或添加了不明用戶(hù)賬號(hào)的記錄;

(7)、日志文件中存在有添加了某種不明文件的記錄;

(8)、日志文件中存在有不明軟件主動(dòng)向外連接的記錄;

(9)、查看日志文件屬性時(shí)，時(shí)間戳不對(duì)，或者日志文件大小與你的記錄不相符;

(10)、查看日志文件內(nèi)容時(shí)，發(fā)現(xiàn)日志文件中的某個(gè)時(shí)間段不存在或被修改;

(11)、發(fā)現(xiàn)系統(tǒng)反應(yīng)速度變慢，或在某個(gè)時(shí)間段突然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響的原因;

(12)、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止，正常服務(wù)被停止;

(13)、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁(yè)被篡改或被刪除替換;

(14)、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定，突然死機(jī)，系統(tǒng)資源占用過(guò)大，不斷重啟;

(15)、發(fā)現(xiàn)網(wǎng)絡(luò)流量突然增大，查看發(fā)現(xiàn)對(duì)外打開(kāi)了不明端口;

(16)、發(fā)現(xiàn)網(wǎng)卡被設(shè)為混雜模式;

(17)、某些正常服務(wù)不能夠被訪(fǎng)問(wèn)等等。

能夠用來(lái)做出判斷異常記錄和異常現(xiàn)象還有很多，筆者就不在這里全部列出了。這要求事件響應(yīng)人員應(yīng)當(dāng)不斷學(xué)習(xí)，努力提高自身的技術(shù)水平，不斷增加識(shí)別異?，F(xiàn)象的經(jīng)驗(yàn)，然后形成一種適合自己的判斷方法后，再加上日志分析工具以及安全監(jiān)控軟件的幫助，就不難在這些日志記錄項(xiàng)和現(xiàn)象中找出真正的攻擊事件來(lái)。

到目前為止，通過(guò)分析各種日志文件來(lái)識(shí)別事件性質(zhì)，依然是最主要的方法之一。你可以重新設(shè)置這些安全軟件的日志輸出格式，使它們?nèi)菀妆焕斫?你也可以重新詳細(xì)設(shè)置安全軟件的過(guò)濾規(guī)則，減少它們的誤報(bào)和漏報(bào)，增加可識(shí)別強(qiáng)度;你還可以使用一些專(zhuān)業(yè)的日志文件分析工具，例如OSSEC HIDS，來(lái)加快分析大體積日志文件的速度，提高識(shí)別率，同時(shí)也會(huì)減輕你的負(fù)擔(dān)。至于擔(dān)心日志會(huì)被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護(hù)的存儲(chǔ)系統(tǒng)之中，來(lái)減少這種風(fēng)險(xiǎn)?？傊?，為了能從日志文件中得到我們想要的信息，就應(yīng)該想法使日志文件以我們需要的方式來(lái)工作。

所有這些，都得要求事件響應(yīng)人員在平時(shí)經(jīng)常檢查網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行情況，不斷分析日志文件中的記錄，查看各種網(wǎng)絡(luò)或系統(tǒng)異?，F(xiàn)象，以便能及時(shí)真正的攻擊事件做出正確的判斷。另外，你應(yīng)當(dāng)在平時(shí)在對(duì)網(wǎng)絡(luò)系統(tǒng)中的某些對(duì)象進(jìn)行操作時(shí)，應(yīng)當(dāng)詳細(xì)記錄下你所操作過(guò)的所有對(duì)象的內(nèi)容及操作時(shí)間，以便在識(shí)別時(shí)有一個(gè)判斷的依據(jù)。在工作當(dāng)中，經(jīng)常用筆記錄下這些操作是一個(gè)事件響應(yīng)人員應(yīng)當(dāng)養(yǎng)成的好習(xí)慣。

當(dāng)發(fā)現(xiàn)了上述出現(xiàn)的異常記錄或異?，F(xiàn)象，就說(shuō)明攻擊事件已經(jīng)發(fā)生了，因而就可以立即進(jìn)入到下一個(gè)環(huán)節(jié)當(dāng)中，即對(duì)出現(xiàn)的攻擊事件的嚴(yán)重程度進(jìn)行分類(lèi)。

2、網(wǎng)絡(luò)安全事件分類(lèi)

當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當(dāng)立即對(duì)已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判斷，以明確攻擊事件到達(dá)了什么地步，以便決定下一步采取什么樣的應(yīng)對(duì)措施。例如，如果攻擊事件是涉及到服務(wù)器中的一些機(jī)密數(shù)據(jù)，這肯定是非常嚴(yán)重的攻擊事件，就應(yīng)當(dāng)立即斷開(kāi)受到攻擊的服務(wù)器的網(wǎng)絡(luò)連接，并將其隔離，以防止事態(tài)進(jìn)一步的惡化及影響網(wǎng)絡(luò)中其它重要主機(jī)。

對(duì)攻擊事件進(jìn)行分類(lèi)，一直以來(lái)，都是沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)的，各安全廠(chǎng)商都有他自己的一套分類(lèi)方法，因此，你也可以自行對(duì)攻擊事件的嚴(yán)重程度進(jìn)行分類(lèi)。一般來(lái)說(shuō)，可以通過(guò)確認(rèn)攻擊事件發(fā)展到了什么地步，以及造成了什么樣的后果來(lái)進(jìn)行分類(lèi)，這樣就可以將攻擊事件分為以下幾個(gè)類(lèi)別：

(1)、試探性事件;

(2)、一般性事件;

(3)、控制系統(tǒng)事件;

(4)、拒絕服務(wù)事件;

(5)、得到機(jī)密數(shù)據(jù)事件。

對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行試探性?huà)呙?，都可以認(rèn)為是試探性質(zhì)的事件，這些都是攻擊者為了確認(rèn)網(wǎng)絡(luò)中是否有可以被攻擊的主機(jī)，而進(jìn)行的最基本的工作。當(dāng)攻擊者確認(rèn)了要攻擊的目標(biāo)后，他就會(huì)進(jìn)一步地對(duì)攻擊目標(biāo)進(jìn)行更加詳細(xì)，更加有目的的掃描，這時(shí)，所使用的掃描方式就會(huì)更加先進(jìn)和不可識(shí)別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現(xiàn)在的一些整合性防火墻和IDS也能夠識(shí)別這些方式的掃描，因此，如果在日志文件中找到了與此相應(yīng)的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當(dāng)攻擊者得到可以利用的漏洞信息后，他就會(huì)利用各種手段對(duì)攻擊目標(biāo)進(jìn)行滲透，這時(shí)，如果你沒(méi)有及時(shí)發(fā)現(xiàn)，滲透的成功性是非常大的，網(wǎng)絡(luò)中已經(jīng)存在有太多的這類(lèi)滲透工具，使用這些工具進(jìn)行滲透工作是輕而易舉的事，在滲透成功后，攻擊者就會(huì)想法提高自己在攻擊目標(biāo)系統(tǒng)中的權(quán)限，并安裝后門(mén)，以便能隨心所欲地控制已經(jīng)滲透了的目標(biāo)，此時(shí)，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒(méi)有發(fā)現(xiàn)攻擊行為，那么，你所保護(hù)的機(jī)密資料將有可能被攻擊者完全得到，事態(tài)的嚴(yán)重性就可想而知了。攻擊者在控制了攻擊目標(biāo)后，有時(shí)也不一定能夠得到機(jī)密數(shù)據(jù)，由此而產(chǎn)生一些報(bào)復(fù)性行為，例如進(jìn)行一些DOS或DDOS攻擊等，讓其他正常用戶(hù)也不能夠訪(fǎng)問(wèn)，或者，攻擊者控制系統(tǒng)的目的，就是為了對(duì)其它系統(tǒng)進(jìn)行DOS或DDOS攻擊。

此時(shí)的你，就應(yīng)該從日志文件的記錄項(xiàng)中，迅速對(duì)攻擊事件發(fā)展到了哪種地步做出明確的判斷，并及時(shí)上報(bào)小組領(lǐng)導(dǎo)，以及通報(bào)給其他小組成員，以便整個(gè)小組中的所有成員能夠明確此次攻擊事件的嚴(yán)重程度，然后決定采取什么樣的應(yīng)對(duì)方法來(lái)進(jìn)行響應(yīng)，以防止事態(tài)向更加嚴(yán)重的程度發(fā)展，或者盡量減小損失，及時(shí)修補(bǔ)漏洞，恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，并盡快收集好所有的證據(jù)，以此來(lái)找到攻擊者。

【編輯推薦】

1. Web專(zhuān)用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)