黑客入侵行为检测

• •
黑客入侵行为检测
• • • • • • ♂上传文件检测之思易ASP木马追捕 ♂用IIS Lock Tool监测网站的安全 ♂单机版极品安全卫士 ♂卓越的入侵检测系统BlackICE ♂萨客嘶入侵检测系统 ♂用WAS检测网站
上传文件检测之思易ASP木马追捕
1 2 思易ASP木马追捕简介 思易ASP木马追捕的应用
来自百度文库
入侵检测实战
• • • • 具体的设置步骤如下： 步骤 03在“数据包日志”选项卡中勾选“启用日志”复选框，对日志文件的前缀、 最大大小和文件的最大数量等属性进行设置，如图11-51所示。 步骤 04在“提示”选项卡中勾选相应复选框来设置在检测到可疑信息后是否显示 确认对话框、显示工具提示以及当服务停止时显示提示等属性，如图11-52所示。 步骤 05在“证据日志”选项卡中勾选“启用日志”复选框，即可在其下方设置从 可疑的入侵者那里收集过来的日志文件的前缀、最大大小和文件的最大数量，一 般采用默认设置，如图11-53所示。
使用IISLockTool进行检测
• • • 具体的安装步骤如下： 步骤 05在其中选择需要在服务器上运行的服务，只要选择必须的服务。至于机器 上已经安装的服务、但没有被选中的服务将会被停止或删除，单击【下一步】按 钮，即可打开【Script Maps（脚本映射）】对话框，如图11-9所示。 步骤 06在其中允许用户禁用一些类型的文件，其中大部分是脚本文件，由于这里 服务器主要用做提供ASP的动态网页，所以禁用除了.asp文件类型。单击【下一步】 按钮，即可打开【Additional Security（额外的完全）】对话框，如图11-10所示。
•
入侵检测实战
• • 具体的设置步骤如下： 步骤 10在“历史”选项卡中该连接被认为是“可疑”的入侵，如图11-59所示。 BlackICE在保护计算机安全方面还是非常可靠的，但在使用过程中需要及时升级， 以便使软件及时增加入侵特征数据库中的特征数据，这样才能够有效、及时地过 滤掉最新的黑客入侵行为，从而有效地保障计算机的安全。
入侵检测实战
• • 具体的设置步骤如下： 步骤 08在“入侵检测”选项卡中看到BlackICE应该信任或忽略的管理地址和签名， 同时，可通过单击【添加】按钮来添加从报告中排除要信任的地址，如图11-57所 示。 步骤 09单击【确定】按钮，即可在“事件”选项卡中看到入侵检测的效果，如图 11-58所示。如果在局域网中另一台计算机对安装了BlackICE的计算机进行连接时， BlackICE立即监控到这一连接的情景，在“事件”选项卡中可看到尝试连接计算机 的IP地址和连接方式。
使用IISLockTool进行检测
• • 具体的安装步骤如下： 步骤 07在其中可以选择性地删除IIS的范例文件，为了更加安全，IIS Lockdown Tool会强 制删除包括IIS Sample、Scripts等在内的四种范例文件，只有IIS HELP需要用户自己决定 是否删除，建议把上述选项都选中。单击【下一步】按钮，即可打开【URLScan（URL 扫描过滤器）】对话框，在其中勾选“Install URLScan filter on the server（在服务器上 安装URLScan扫描过滤器）”复选框，如图11-11所示。 步骤 08在服务器上安装URL扫描过滤器，URL扫描过滤器可以对所有的HTTP请求进行扫 描和监控，并禁止可能会危害到服务器安全的请求。单击【下一步】按钮， 即可打开 【Ready to Apply Settings（准备应用设置）】对话框，如图11-12所示。
入侵检测实战
• • • 具体的设置步骤如下： 步骤 06在“应用程序控制”选项卡中勾选“启用应用程序保护”复选框，即可控 制运行在该计算机上的应用程序或其他进程，如图11-54所示。 步骤 07在“回溯”选项卡中设置BlackICE如何以及何时定位关于入侵者的网络信 息，如图11-55所示。在“通讯控制”选项卡中可对来自于该计算机的网络访问进 行设置，如图11-56所示。
单机版极品安全卫士Cather
1 单机版极品安全卫士Cather简介 2 入侵检测实战
卓越的入侵检测系统BlackICE
1 BlackICE简介 2 BlackICE安装须知 3 入侵检测实战
入侵检测实战
• • • 具体的设置步骤如下： 步骤 01在BlackICE控制台中选择【工具】→【编辑 BlackICE 设置】菜单项，即可打开 【BlackICE 设置】对话框，如图11-49所示。在“防火墙”选项卡中设置BlackICE的保护 级别和网络文件共享能力，可以选择“怀疑一切：拦截所有未经请求而入站的信息” 单选按钮，而软件默认设置是“完全信任：允许所有入站信息”，且其安全级别最低。 步骤 02在“通知”选项卡“事件通告”区域中对“可看到的指示”和“可听到的指示” 选项进行设置，其中提示信息用红、橙黄、黄和绿4种颜色标识，且危险程度依次降低； 然后在“更新通知”设置区域中勾选“启用检查”复选框，即可设置检查更新的间隔 天数，如图11-50所示。
•
使用IISLockTool进行检测
• • • 具体的安装步骤如下： 步骤 03在其中勾选“I agree（我同意）”单选项，单击【下一步】按钮，即可打 开【Select Server Template（选择服务器模板）】对话框，如图11-7所示。 步骤 04在其中可轻松配置最接近该服务器作用的模板，以动态网页服务器（支持 ASP）为例介绍IIS Lockdown Tool使用。勾选“View Template Settings（查看模板设 置）”复选框，单击【下一步】按钮，即可打开【Internet Services（互联网服 务）】对话框，如图11-8所示。
用IISLockdown Tool检测网站安全
1 2 IIS Lockdown Tool简介 使用IISLockTool进行检测
使用IISLockTool进行检测
• • 具体的安装步骤如下： 步骤 01下载并解压“IIS Lockdown Tool”软件，双击其中的可执行文件，即可打开 【Welcome to the Internet Information Services Lockdown Wizard（欢迎您到Internet 信息服务锁定向导）】对话框，如图11-5所示。 步骤 02单击【下一步】按钮，即可打开【Please read following license agreement （请阅读以下许可证协议）】对话框，如图11-6所示。
•
使用IISLockTool进行检测
• • • 具体的安装步骤如下： 步骤 09如果对设置确认无误，继续单击【下一步】按钮，则IIS Lockdown Tool会自 动根据之前的设置对IIS进行一番调整，如图11-13所示。 步骤 10单击【下一步】按钮，即可打开【Completing the Internet Information Services Lockdown Wizard（完成Internet信息服务锁定向导）】对话框，如图11-14 所示。单击【完成】按钮即可完成配置。
萨客嘶入侵检测系统
1 萨客嘶入侵检测系统简介 2 设置萨客嘶入侵检测系统 3 使用萨客嘶入侵检测系统
用WAS检测网站
1 Web Application Stress Tool(WAS)简介 2 检测网站的承受压力 3 进行数据分析
专家课堂（常见问题与解答）
• • 点拨1：在防御黑客入侵检测的过程中，除了使用入侵检测系统外，还有那些常见 的预防黑客入侵的工具？ 解答：为了确保网络和计算机系统的安全，除使用入侵检测系统外，还可使用防火 墙，口令验证系统，虚拟专用网VPN、和加密系统等几种常见的防入侵工具。其中， 防火墙是一种常见的网络安全防护工具，是网络安全的第一道防线；口令验证系统 助于消除Telnet、ftp、IMAP或POP等协议带来的明文口令问题；虚拟专用网VPN是 通过Internet为远程访问创建安全的连接管道环境；而加密系统是随着个人隐私权 的不断被重视才逐渐流行起来的一种防入侵工具。 点拨2：入侵检测系统如何与网络中的其他安全措施相配合？ 解答：在使用入侵检测系统的同时还需要采取一些措施，例如建立不断完善的安全 策略；根据不同的安全要求，合理放置防火墙；使用网络漏洞扫描工具检查防火墙 的漏洞；使用主机策略扫描工具以确保服务器等关键设备的最大安全性；使用NIDS 系统和其他数据包嗅探软件查看网络上是否存在入侵活动；使用基于主机的IDS系 统和病毒扫描软件对成功的入侵行为作标记；使用网络管理平台为可疑活动设置报 警。