如何檢測到入侵行為

檢測入侵行為常用方法有以下這些：

• 基于知識的模式識別檢測方法

  這種技術是通過事先定義好的模式數據庫實現的，其基本思想是首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

• 基于知識的異常識別檢測方法

  這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

• 基于協議分析的檢測方法

  這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。

檢測到入侵行為后應對辦法如下：

1. 核實信息：和報告人核實信息，確認服務器/系統是否被入侵或者根據服務器的異常或故障判斷，比如對外發送大規模流量或者系統負載異常高等，這種情況一般是運維工程師發現并核實的。

2. 現場保護：安全事件發生現場要保存第一現場重要信息，方便后面入侵檢測和取證。需要保存現場環境(截圖)、攻擊者登陸情況(截圖)等等重要信息；

3. 服務器保護：這里的現場保護和服務器保護是兩個不同的環節，前者注重取證，后者注重環境隔離。核實機器被入侵后，應當盡快將機器保護起來，避免被二次入侵或者當成跳板擴大攻擊面。此時，為保護服務器和業務，避免服務器被攻擊者繼續利用，應盡快歉意業務，立即下線機器；如果不能立即處理，應當通過配置網絡ACL等方式，封掉該服務器對網絡的雙向連接。

4. 影響范圍評估（運維/開發）：一般是運維或者程序確認影響范圍，需要運維通過日志或者監控圖表確認數據庫或者敏感文件是否泄露，如果是代碼或者數據庫泄露了，則需要程序評估危害情況與處置方法。主要從具體業務架構、IP及所處區域拓撲等、確定同一網絡下面服務器之間的訪問等方面入手，由此確定檢查影響范圍，確認所有受到影響的網段和機器。

5. 在線分析（安全人員/運維）：這時需要根據個人經驗快速在線分析，一般是安全人員和運維同時在線處理，不過會涉及多人協作的問題，需要避免多人操作機器時破壞服務器現場，造成分析困擾，該階段不是完全依靠人工可以借助安全工具或者日志審計工具進行。

6. 安全相關的關鍵文件和數據備份（運維）：對重要數據進行備份以防止二次入侵，可以打包系統日志、打包web日志、打包history日志、打包crontab記錄、打包密碼文件、打包可疑文件、后門、shell信息進行備份或者上傳其他服務器。

7. 深入分析(安全人員)：初步鎖定異常進程和惡意代碼后，將受影響范圍梳理清楚，封禁了入侵者對機器的控制后，接下來需要深入排查入侵原因。一般可以從webshell、開放端口服務等方向順藤摸瓜。

8. 整理事件報告（安全人員）：事件報告需要包含分析事件發生原因、分析整個攻擊流程、分析事件處理過程、分析事件預防和總結，但是除此以外還可以保護其他信息。

回答所涉及的環境：聯想天逸510S、Windows 10。