從總體上來說，網(wǎng)絡(luò)入侵檢測需要分為兩個部分：一是入侵信息的收集；二是在收集信息的基礎(chǔ)之上，對相關(guān)數(shù)據(jù)進(jìn)行分析。然后我們網(wǎng)絡(luò)管理員再根據(jù)相關(guān)的結(jié)果采取對應(yīng)的措施?？梢?，數(shù)據(jù)收集是入侵檢測、提高企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)：是一個必須要經(jīng)歷的階段。

網(wǎng)絡(luò)的安全性。很大程度上依賴于我們收集的信息的準(zhǔn)確性。因?yàn)楝F(xiàn)在非法入侵越來越狡猾，不會光明正大地在系統(tǒng)中留下痕跡。他們在攻擊的過程中，往往會采取一些隱蔽的手段，或者在攻擊完成之后刪除一些信息，如可以替換被程序調(diào)用的子程序、記錄文件和其他工具等等。經(jīng)過他們對相關(guān)信息的調(diào)整，可以讓系統(tǒng)的日志跟正常的差不多。所以，隨著黑客技術(shù)的深入，信息收集的難度也比較大。下面筆者就入侵信息的收集這個話題，談?wù)勛约旱南敕ā?/p>

第一步：收集系統(tǒng)日志以及網(wǎng)絡(luò)日志文件。

俗話說，燕過留聲，人過留名。無論技術(shù)再怎么高超的黑客，要入侵企業(yè)網(wǎng)絡(luò)，肯定會在系統(tǒng)日志或者網(wǎng)絡(luò)日志中留下一些蛛絲馬跡，只是明不明顯的區(qū)別而已。所以，網(wǎng)絡(luò)管理員需要對這個系統(tǒng)日志和網(wǎng)絡(luò)日志格外關(guān)注。

如一些系統(tǒng)或者網(wǎng)絡(luò)失敗訪問日志，會記錄一些不尋常的或者不成功的訪問記錄。如當(dāng)一個帳戶試圖多次用管理員帳戶訪問文件管理系統(tǒng)，當(dāng)密碼嘗試錯誤三次的時候，就會在文件服務(wù)器系統(tǒng)中記錄下這個訪問信息。包括訪問的時間、IP地址等等。當(dāng)我們網(wǎng)絡(luò)管理員收集到這條信息后，就需要注意可能有人在對這臺文件服務(wù)器注意了。我們可以根據(jù)這個IP地址，找到那臺攻擊的主機(jī)。不過，很可能這臺主機(jī)不是始作俑者，而是被人家當(dāng)作肉雞了。總之，我們看到這個信息之后，就需要為文件服務(wù)器設(shè)置一個比較復(fù)雜的管理員密碼了。

再如有些應(yīng)用系統(tǒng)中，有一個“帳戶活動”日志。這個日志中會記錄這個帳戶在系統(tǒng)中所進(jìn)行的操作。包括什么時候利用什么角色登錄到系統(tǒng)，進(jìn)行了哪些操作：并且還會記錄這個帳戶的一些必要的認(rèn)證信息。通過這些信息，我們可以及時地發(fā)現(xiàn)系統(tǒng)入侵的跡象。如系統(tǒng)管理員發(fā)現(xiàn)一個管理員帳戶在某個時間登錄了這個應(yīng)用系統(tǒng)，但是，自己那時候根本沒有登錄?；蛘咂胀▎T工的帳戶在非上班時間多次登錄，那么就說明這個信息化應(yīng)用系統(tǒng)有可能已經(jīng)被人攻破了。他們乘我們不注意的時候，在偷偷地竊取系統(tǒng)中的信息。為此，我們必須要采取一些措施找到這個非法的攻擊者，或者及時更改用戶名與密碼，防止損失進(jìn)一步擴(kuò)大。

總之，相關(guān)的日志信息會記錄某個非法用戶多次嘗試登錄某個系統(tǒng)，以及記錄某個非法用戶多次試圖訪問未經(jīng)授權(quán)的文件或者系統(tǒng)。而這些信息是我們以后做好防治措施的依據(jù)。所以，信息收集的第一步，就是要關(guān)注相關(guān)的日志信息。在這些日志文件中，找到攻擊者的蛛絲馬跡。

第二步：非正常的目錄以及非正常的文件。

當(dāng)黑客攻擊成功后，取得某個管理員帳戶之后。為了進(jìn)一步加固自己的成果，會在系統(tǒng)中設(shè)置一些目錄或者文件，以進(jìn)行下一步的攻擊行為。如有一些攻擊者在取得系統(tǒng)的管理員帳戶與密碼之后，會在系統(tǒng)中建立一個文件夾，上傳一些木馬攻擊程序。并且設(shè)置相關(guān)的任務(wù)調(diào)度計(jì)劃，當(dāng)某個特定的時間，運(yùn)行這個文件夾中的程序等等。所以，我們?nèi)裟軌蚣霸绲匕l(fā)現(xiàn)這些非正常的文件夾以及文件信息，就可以及早地發(fā)現(xiàn)攻擊的跡象，從而及時采取相關(guān)的措施。

所以，操作系統(tǒng)與應(yīng)用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問的文件夾以及目錄非正常的改變，很可能是一種入侵產(chǎn)生的指示或者信號。

一般來說，有如下幾種情況：

一是應(yīng)用程序的執(zhí)行路徑發(fā)生了改變。如有些企業(yè)通過MSN跟客戶進(jìn)行聯(lián)系。當(dāng)非法攻擊者侵入企業(yè)網(wǎng)絡(luò)，取得某臺主機(jī)的管理員密碼之后，就可以改變用戶桌面上的MSN程序圖標(biāo)的路徑。當(dāng)用戶雙擊打開這個程序時，打開的不是原來的MSN程序，而可能是一個綁有木馬的MSN程序，可以竊取用戶的聊天記錄、帳戶名與密碼等等。

二是可疑的文件夾。當(dāng)非法攻擊者取得管理員用戶名與密碼之后，利用TELNET程序遠(yuǎn)程登錄，然后在主機(jī)上建立文件夾，上傳木馬或者其他的非法程序，然后通過操作系統(tǒng)本身的任務(wù)調(diào)度命令。在一個特定的時刻運(yùn)行這個文件夾中的程序。這是很多非法攻擊者常用的手段。所以，我們?nèi)裟軌蚣皶r地發(fā)現(xiàn)這些可疑的文件夾信息，就可以及早地發(fā)現(xiàn)攻擊的行為，從而減少由此帶來的損失。一般來說，我們借助一些檢測軟件，就可以收集到這些信息。

三是日志文件的非法修改。上面我們說過，非法攻擊者拜訪過企業(yè)的網(wǎng)絡(luò)主機(jī)之后，肯定會在系統(tǒng)日志或者網(wǎng)絡(luò)日志中留下蛛絲馬跡。在他們攻擊得手之后，為了隱藏他們在系統(tǒng)中的表現(xiàn)以及攻擊的痕跡，都會盡力地去替換系統(tǒng)日志中的相關(guān)內(nèi)容。為此，若能夠及時地收集這些信息的話，則即使他們更改了日志中的內(nèi)容，我們也能夠及早地發(fā)現(xiàn)，從而采取對應(yīng)的措施。

第三步：非正常程序的運(yùn)行信息。

黑客攻擊企業(yè)網(wǎng)絡(luò)信息時，往往不會只是取得管理員權(quán)限那么簡單。他們攻擊系統(tǒng)的最終目的，是為了竊取相關(guān)的信息，如密碼等等：或者把企業(yè)的網(wǎng)絡(luò)主機(jī)當(dāng)作肉雞。作為攻擊其他網(wǎng)絡(luò)的跳板等等。無論是出于哪種目的。除非直接竊取電腦上的文件，不然的話，一般都需要通過在被攻擊的主機(jī)后臺運(yùn)行一些程序，如鍵盤記錄工具等等，才能夠達(dá)到類似的目的。

所以，及時地收集這些非正常程序運(yùn)行的信息，可以及早地發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)被攻擊的跡象。而一般來說。收集這些非正常的程序，就是需要收集一些進(jìn)程信息。

因?yàn)樵诿總€系統(tǒng)上執(zhí)行的程序都是由一到幾個進(jìn)程來實(shí)現(xiàn)的。而且，一個進(jìn)程的執(zhí)行行為又是由他運(yùn)行時執(zhí)行的操作來表現(xiàn)的。操作執(zhí)行的方式不同，利用系統(tǒng)資源也就不同。若在系統(tǒng)進(jìn)程中。出現(xiàn)了一個我們不希望看到的進(jìn)程，或者這個進(jìn)程出現(xiàn)了我們網(wǎng)絡(luò)管理員不期望的行為，如試圖往注冊表中加入一些非法的信息，建立隱形帳戶等等，這就表示有攻擊者存在。

若我們感到網(wǎng)絡(luò)速度明顯變慢的時候，可以通過查看系統(tǒng)的進(jìn)程來了解相關(guān)的信息。但是，若靠手工收集這些進(jìn)程信息的話，是不怎么現(xiàn)實(shí)的。一方面工作量比較大，另一方面這些非法的進(jìn)程往往不會時刻都運(yùn)行著。當(dāng)他執(zhí)行完一定的任務(wù)之后，就會迅速地退出，防止被我們發(fā)現(xiàn)。所以，我們就需要通過一些工具，實(shí)時地收集這些進(jìn)程信息。如此的話，我們就可以迅速地找到入侵者的蹤跡，在他們還沒有造成更大的破壞之前，把他們消滅掉。

總之，入侵信息的收集是一個比較復(fù)雜的體系。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中若干不同關(guān)鍵點(diǎn)收集，如在不同網(wǎng)段與不同主機(jī)之間收集信息。這主要是為了全方位地了解相關(guān)的入侵信息。而且非法攻擊者往往善于尋找企業(yè)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。所以。網(wǎng)絡(luò)入侵信息的收集，還需要注意一個全面性。

但是，全面收集網(wǎng)絡(luò)入侵信息的話。往往工作量比較大。若單純地靠手工去收集這些信息。是不怎么現(xiàn)實(shí)的，工作量大而且容易漏掉。所以，我們需要采用一些工具，來幫助我們收集這些內(nèi)容。現(xiàn)在市面上的一些入侵檢測工具。就都帶有這些信息的收集功能。只有在這些信息的基礎(chǔ)之上，這些工具才能夠?qū)Υ思右苑治觥５贸隹赡艿娜肭纸Y(jié)果。

另外一些系統(tǒng)也帶有自動警告功能，可以自動把一些他們認(rèn)為可疑的信息發(fā)送給我們網(wǎng)絡(luò)管理員。如當(dāng)有人多次試圖利用管理員帳戶登錄路由器的時候，若密碼錯了三次，則就會自動發(fā)送郵件給網(wǎng)絡(luò)管理員，提醒他們存在這個非正常的登錄事件。讓我們判斷這個是否是正常的。這也是一個很實(shí)用的功能，不過這需要占用額外的資源。所以，默認(rèn)情況下這個功能都是沒有打開的。若需要的話，則要由管理員進(jìn)行手工的配置。對于一些重要的網(wǎng)絡(luò)設(shè)備。還是建議開啟這項(xiàng)功能。(MAxi)