網(wǎng)絡(luò)安全事件的處理對于企業(yè)安全防護問題來說是一個重要的內(nèi)容，同時應對網(wǎng)絡(luò)安全事件的優(yōu)劣也是衡量一個企業(yè)網(wǎng)絡(luò)安全水平的重要標準。那么在所謂應對之前，我們首先應當熟悉何謂網(wǎng)絡(luò)安全事件，以及他的分類方法。

1、網(wǎng)絡(luò)安全事件識別

在整個事件處理過程當中，這一步是非常重要的，你必需從眾多的信息中，識別哪些是真正的攻擊事件，哪些是正常的網(wǎng)絡(luò)訪問。

事件識別，不僅要依賴安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項來做出判斷，而且也與事件識別者的技術(shù)水平及經(jīng)驗有很大的關(guān)系。這是因為，不僅安全軟件有誤報和漏報的現(xiàn)象，而且，攻擊者往往會在成功入侵后，會用一切手段來修改這些日志，以掩蓋他的行蹤，讓你無法從日志中得到某些重要的信息。這時，一個有著豐富經(jīng)驗的事件識別者，就可以通過對網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象的判斷，來決定是否已經(jīng)受到了攻擊。

有了可靠的日志，再加上在受到了攻擊時會出現(xiàn)各種異?，F(xiàn)象，我們就可以通過分析這些日志文件中的記錄項，以及對各種現(xiàn)象的判斷來確定是否受到了真正的攻擊。因此，如果日志中出現(xiàn)了下面列出項中的記錄，或網(wǎng)絡(luò)和主機系統(tǒng)出現(xiàn)了下面列出項中的現(xiàn)象，就一定表明你所監(jiān)控的網(wǎng)絡(luò)或主機已經(jīng)或正在面臨著某種類別的攻擊：

(1)、日志文件中記錄有異常的沒有登錄成功的審計事件;

(2)、日志文件中有成功登錄的不明賬號記錄;

(3)、日志文件中存在有異常的修改某些特殊文件的記錄;

(4)、日志文件中存在有某段時間來自網(wǎng)絡(luò)的不正常掃描記錄;

(5)、日志文件中存在有在某段時間啟動的不明服務(wù)進程的記錄;

(6)、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號的記錄;

(7)、日志文件中存在有添加了某種不明文件的記錄;

(8)、日志文件中存在有不明軟件主動向外連接的記錄;

(9)、查看日志文件屬性時，時間戳不對，或者日志文件大小與你的記錄不相符;

(10)、查看日志文件內(nèi)容時，發(fā)現(xiàn)日志文件中的某個時間段不存在或被修改;

(11)、發(fā)現(xiàn)系統(tǒng)反應速度變慢，或在某個時間段突然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響的原因;

(12)、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止，正常服務(wù)被停止;

(13)、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁被篡改或被刪除替換;

(14)、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定，突然死機，系統(tǒng)資源占用過大，不斷重啟;

(15)、發(fā)現(xiàn)網(wǎng)絡(luò)流量突然增大，查看發(fā)現(xiàn)對外打開了不明端口;

(16)、發(fā)現(xiàn)網(wǎng)卡被設(shè)為混雜模式;

(17)、某些正常服務(wù)不能夠被訪問等等。

能夠用來做出判斷異常記錄和異?，F(xiàn)象還有很多，筆者就不在這里全部列出了。這要求事件響應人員應當不斷學習，努力提高自身的技術(shù)水平，不斷增加識別異常現(xiàn)象的經(jīng)驗，然后形成一種適合自己的判斷方法后，再加上日志分析工具以及安全監(jiān)控軟件的幫助，就不難在這些日志記錄項和現(xiàn)象中找出真正的攻擊事件來。

到目前為止，通過分析各種日志文件來識別事件性質(zhì)，依然是最主要的方法之一。你可以重新設(shè)置這些安全軟件的日志輸出格式，使它們?nèi)菀妆焕斫?你也可以重新詳細設(shè)置安全軟件的過濾規(guī)則，減少它們的誤報和漏報，增加可識別強度;你還可以使用一些專業(yè)的日志文件分析工具，例如OSSEC HIDS，來加快分析大體積日志文件的速度，提高識別率，同時也會減輕你的負擔。至于擔心日志會被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護的存儲系統(tǒng)之中，來減少這種風險?？傊?，為了能從日志文件中得到我們想要的信息，就應該想法使日志文件以我們需要的方式來工作。

所有這些，都得要求事件響應人員在平時經(jīng)常檢查網(wǎng)絡(luò)及系統(tǒng)的運行情況，不斷分析日志文件中的記錄，查看各種網(wǎng)絡(luò)或系統(tǒng)異常現(xiàn)象，以便能及時真正的攻擊事件做出正確的判斷。另外，你應當在平時在對網(wǎng)絡(luò)系統(tǒng)中的某些對象進行操作時，應當詳細記錄下你所操作過的所有對象的內(nèi)容及操作時間，以便在識別時有一個判斷的依據(jù)。在工作當中，經(jīng)常用筆記錄下這些操作是一個事件響應人員應當養(yǎng)成的好習慣。

當發(fā)現(xiàn)了上述出現(xiàn)的異常記錄或異?，F(xiàn)象，就說明攻擊事件已經(jīng)發(fā)生了，因而就可以立即進入到下一個環(huán)節(jié)當中，即對出現(xiàn)的攻擊事件的嚴重程度進行分類。

2、網(wǎng)絡(luò)安全事件分類

當確認已經(jīng)發(fā)現(xiàn)攻擊事件后，就應當立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴重程度的判斷，以明確攻擊事件到達了什么地步，以便決定下一步采取什么樣的應對措施。例如，如果攻擊事件是涉及到服務(wù)器中的一些機密數(shù)據(jù)，這肯定是非常嚴重的攻擊事件，就應當立即斷開受到攻擊的服務(wù)器的網(wǎng)絡(luò)連接，并將其隔離，以防止事態(tài)進一步的惡化及影響網(wǎng)絡(luò)中其它重要主機。

對攻擊事件進行分類，一直以來，都是沒有一個統(tǒng)一的標準的，各安全廠商都有他自己的一套分類方法，因此，你也可以自行對攻擊事件的嚴重程度進行分類。一般來說，可以通過確認攻擊事件發(fā)展到了什么地步，以及造成了什么樣的后果來進行分類，這樣就可以將攻擊事件分為以下幾個類別：

(1)、試探性事件;

(2)、一般性事件;

(3)、控制系統(tǒng)事件;

(4)、拒絕服務(wù)事件;

(5)、得到機密數(shù)據(jù)事件。

對網(wǎng)絡(luò)中的主機進行試探性掃描，都可以認為是試探性質(zhì)的事件，這些都是攻擊者為了確認網(wǎng)絡(luò)中是否有可以被攻擊的主機，而進行的最基本的工作。當攻擊者確認了要攻擊的目標后，他就會進一步地對攻擊目標進行更加詳細，更加有目的的掃描，這時，所使用的掃描方式就會更加先進和不可識別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現(xiàn)在的一些整合性防火墻和IDS也能夠識別這些方式的掃描，因此，如果在日志文件中找到了與此相應的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標進行滲透，這時，如果你沒有及時發(fā)現(xiàn)，滲透的成功性是非常大的，網(wǎng)絡(luò)中已經(jīng)存在有太多的這類滲透工具，使用這些工具進行滲透工作是輕而易舉的事，在滲透成功后，攻擊者就會想法提高自己在攻擊目標系統(tǒng)中的權(quán)限，并安裝后門，以便能隨心所欲地控制已經(jīng)滲透了的目標，此時，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那么，你所保護的機密資料將有可能被攻擊者完全得到，事態(tài)的嚴重性就可想而知了。攻擊者在控制了攻擊目標后，有時也不一定能夠得到機密數(shù)據(jù)，由此而產(chǎn)生一些報復性行為，例如進行一些DOS或DDOS攻擊等，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進行DOS或DDOS攻擊。

此時的你，就應該從日志文件的記錄項中，迅速對攻擊事件發(fā)展到了哪種地步做出明確的判斷，并及時上報小組領(lǐng)導，以及通報給其他小組成員，以便整個小組中的所有成員能夠明確此次攻擊事件的嚴重程度，然后決定采取什么樣的應對方法來進行響應，以防止事態(tài)向更加嚴重的程度發(fā)展，或者盡量減小損失，及時修補漏洞，恢復網(wǎng)絡(luò)系統(tǒng)正常運行，并盡快收集好所有的證據(jù)，以此來找到攻擊者。

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓
5. 企業(yè)如何在復雜環(huán)境中降低安全風險