|
网络安全监测的目的是对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。目前,网络安全监测的方法主要有以下几种。
|
|
|
|
通过利用网络监测工具,获取受害系统的网络流量数据,挖掘分析受害系统在网络上的通信信息,以发现受害系统的网上异常行为,特别是一些隐蔽的网络攻击,如远控木马、窃密木马、网络蠕虫、勒索病毒等。实际工作中常用的网络监测工具有TCPDump、TCPView、Snort、WireShark、netstat。
|
|
|
|
系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
|
|
|
|
用netstat命令、TCPView、HTTPNetworkSniffer等显示当前受害机器的网络监听程序及网络连接。例如,使用TCPView查看系统网络连接状况,如下图所示。
|
|
|
|
|
|
在Linux/UNIX系统中,用ps命令查看受害机器的活动进程。在Windows系统中,可用Autoruns、Process Explorer、ListDLLs等查看系统进程活动状况。例如,使用Autoruns可以检查Windows系统的自启动项目,如下图所示。
|
|
|
|
使用Autoruns检查Windows系统自启动状况示意图
|
|
|
|
|
|
用arp命令查看受害机器的地址解析缓存表,如下图所示。
|
|
|
|
|
|
在UNIX/Linux系统中可用lsof工具检查进程使用的文件、tcp/udp端口、用户等相关信息,如下图所示。
|
|
|
|
|
在Windows系统下,可以使用fport工具对相关进程和端口号进行关联。
|
|
|