检测黑客入侵系统_黑客入侵监控系统
文字简介:
如何查看自己的电脑 是否被黑客入侵过?
操作 ***
打开任务管理器看看有没有不认识的程序`
打开CMD输入netstat -an或用360查看有没有可疑端口` 如果都没有`恭喜没有被入侵过```其实一般XP没这么容易被入侵
可以通过查看系统日志,查看进程表有无可疑进程和DOS下查看系统用户来分析。DOS查看用户你要进行以下操作:运行--CMD--输入net user(查看有哪些用户)--net start (查看开启了哪些服务)--net user 要删掉的用户名 /delete--再输入一次net user查看用户名是否还在。如果不行的话选择安全模式下执行上面的操作 。
如果是发现可以进程,需要下载一个间谍专家分析那个EXE程序调用哪些DLL,在注册表下删除RUN里的开机运行,再用类似安全卫士KILL掉可疑程序的DLL调用文件,并关闭该程序开启的后台端口即可。
入侵检测系统IDS是什么,入侵检测系统的原理是什么?
入侵检测系统(IDS)是对 *** 传输进行实时监控的一种安全保障。不同于传统的 *** 安全设备,当检测到外星入侵者时,会立即报警并采取积极的应对措施。而且他内置了入侵知识库,对 *** 上的流量特征进行收集和分析,一旦在高合规或者大流量的情况下,会立即预警或者反击。
一、入侵检测系统的工作
入侵检测系统简称IDS。IDS主要分为两部分:检测引擎和控制中心。检测引擎用于分析和读取数据。当控制中心接收到一个来自伊宁的数据时,会对数据进行过滤,进行检测分析,如果有威胁会立即报警。一些正常用户的异常检测行为,偏离了正常的活动规律,也会被视为攻击企图,会立即产生状态信号。IDS就像是对金库的监控。一旦有人准备入侵监控,或者在门前做了什么,就会被自己的控制中心检测到。
二、入侵检测系统的原理
入侵检测系统IDS,首先是别人入侵检测系统的系统日志,会记录黑客或者未知访客的踪迹,他们做了什么,对文件和程序的一些改动,上传给上层进行分析。经过分析,如果出了问题,就会发现探测器本身的完整性。这是IDS事后做出的检测行为。如果不对,它会立即报警。
第三,入侵检测系统存在的问题
IDS本身无法检测新的入侵方式,对 *** 的限制导致了其自身的局限性。而且,它也不能把机密数据处理掉,直接放走。它受到服务器内存和硬盘的严重制约,因为一个它能记录的现象能及时发现,没有记录就发现不了。因为内存的原因,它能使用的内存是有限的。
以上就是有关于入侵检测系统IDS是什么,入侵检测系统的原理是什么?的相关回答了,你了解了吗
什么是入侵检测系统?它有哪些基本组件构成
入侵检测是防火墙的合理补充,帮助系统对付 *** 攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息,并分析这些信息,看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响 *** 性能的情况下能对 *** 进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
· 监视、分析用户及系统活动;
· 系统构造和弱点的审计;
· 识别反映已知进攻的活动模式并向相关人士报警;
· 异常行为模式的统计分析;
· 评估重要系统和数据文件的完整性;
· 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解 *** 系统(包括程序、文件和硬件设备等)的任何变更,还能给 *** 安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得 *** 安全。而且,入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断 *** 连接、记录事件和报警等。
信息收集入侵检测的之一步是信息收集,内容包括系统、 *** 、数据及用户活动的状态和行为。而且,需要在计算机 *** 系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测 *** 系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面:
1.系统和 *** 日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2.目录和文件中的不期望的改变
*** 环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
3.程序执行中的不期望行为
*** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与 *** 间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
怎么查看自己电脑是否被黑客攻击
查看电脑是否入侵,是否留有后门:
1、查看任务管理器--进程,是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看,再右击程序属性看创建日期及修改日期,看是否最新更新过系统或驱动,没有就要注意了。
2、win+R --cmd--输入:netstat -ano 看是否有可疑IP在进行外网链接,状态中后面数字为pid 。
解释:
listening:端口在监听,等待连接但是未连接;
time wait状态:曾经有过连接但当前断开了,最后一次连接状态。
established状态:连接中。
fin_wait_2:第二次fin应答状态。
close_wait: 已关闭连接的状态。
fin_wait: 关闭连接发fin应答状态。
3、看时间查看器--windows日志--系统,安全--信息--下部的常规--看服务文件名是否有可疑程序。
4、明知道是木马,杀毒不了,建议备份数据后重装电脑,加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站,
5、平时使用电脑比较快,看文件视频浏览网页不卡,但是遇到突然网页卡死或无 *** 、 *** 非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。
防止入侵:
1、加强防火墙管理。
2、加强端口进出入站规则。
3、加强远程权限管理。
4、加强共享文件管理。
5、不看不良网站。
其他命令:
1、通过端口找pid:netstat -aon|findstr "8008";
2、通过pid找程序:tasklist|findstr "3306";
3、查看ip,端口, pid信息:netstat -ano。
