本文目录一览:
- 1、入侵检测的信息收集
- 2、黑客入侵手机,报警后,公安局应怎么处理
- 3、以下哪一项不是入侵检测系统利用的信息
- 4、 *** 安全警察是怎样查处黑客的,是通过查找其IP地址么
- 5、发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案
- 6、怎样收集黑客入侵证据,以及怎样申报.高分!!
入侵检测的信息收集
入侵检测的之一步是信息收集,内容包括系统、 *** 、数据及用户活动的状态和行为。而且,需要在计算机 *** 系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测 *** 系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面: *** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与 *** 间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配 *** 和统计分析 *** 能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测 *** 还应该是 *** 安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对 *** 系统进行全面地扫描检查。
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而更大程度地为企业 *** 提供安全。
黑客入侵手机,报警后,公安局应怎么处理
根据查询相关资料显示:立案调查。
1、电脑犯罪调查科会去公安局找网监科的人说明手机被黑客入侵,网监科就会立案调查。
2、网监办案流程涵盖调查取证、对电子设备数据封存、通过技术手段寻找嫌疑人踪迹等。
以下哪一项不是入侵检测系统利用的信息
1. 入侵者进入我们的系统主要有三种方式: 物理入侵 、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是 *** 分为基于主机的入侵检测系统和
基于 *** 的入侵检测系统。
5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题
1. IDS产品相关的等级主要有(BCD)等三个等级:
A: EAL0 B: EAL1 C: EAL2 D: EAL3
2. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段
3. 入侵检测系统的主要功能有(ABCD ):
A: 监测并分析系统和用户的活动
B: 核查系统配置和漏洞
C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为
4. IDS产品性能指标有(ABCD ):
A: 每秒数据流量
B: 每秒抓包数
C: 每秒能监控的 *** 连接数
D: 每秒能够处理的事件数
5. 入侵检测产品所面临的挑战主要有(ABCD ):
A: 黑客的入侵手段多样化
B: 大量的误报和漏报
C: 恶意信息采用加密的 *** 传输
D: 客观的评估与测试信息的缺乏
三、判断题
1. 有了入侵检测系统以后,我们可以彻底获得 *** 的安全。(F )
2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )
3. 基于 *** 的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )
4. 现在市场上比较多的入侵检测产品是基于 *** 的入侵检测系统。( T )
四、简答题
1. 什么是入侵检测系统?简述入侵检测系统的作用?
答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和 *** 为防止 *** 小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控 *** 、系统的状态,来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。
2. 比较一下入侵检测系统与防火墙的作用。
答:防火墙在 *** 安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是 *** 安全的之一道关卡。IDS是并联在 *** 中,通过旁路监听的方式实时地监视 *** 中的流量,对 *** 的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是 *** 安全的第二道关卡,是防火墙的必要补充。
3. 简述基于主机的入侵检测系统的优缺点?
答:优点:①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境
④成本低
缺点:①它在一定程度上依靠系统的可靠性,要求系统本身具有基本的安全功能,才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外,根本不检测 *** 上的情况
4. 简述基于 *** 的入侵检测系统的优缺点?
答:优点:①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击
缺点:① *** 入侵检测系统只能检查它直接连接的网段的通信,不能检测在不同网段的 *** 包。② *** 入侵检测系统通常采用特征检测的 *** ,只可以检测出普通的一些攻击,而对一些复杂的需要计算和分析的攻击检测难度会大一些。③ *** 入侵检测系统只能监控明文格式数据流,处理加密的会话过程比较困难。
5. 为什么要对入侵检测系统进行测试和评估?
答:①有助于更好地描述IDS的特征。②通过测试评估,可更好地认识理解IDS的处理 *** 、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果,对IDS进行改善。
6. 简述IDS的发展趋势?
答:①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向
*** 安全警察是怎样查处黑客的,是通过查找其IP地址么
*** 安全警察是通过查找其IP地址的。
网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
扩展资料:
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。
3.对系统中所有加密的文件进行解密 。
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案
发生黑客非法入侵和攻击事件后,应及时向 *** 警察报案。
随着科学技术的发展, *** 逐渐成为人们用来交流、获取信息的重要工具,但同时 *** 犯罪也随之而来。 由于 *** 犯罪的特殊性, *** 警察既要拥有计算机相关专业技能,又要具备一定的 *** 案件办理经验。
根据《中华人民共和国人民警察法》第6条的规定,人民警察应当依法履行“监督管理计算机信息系统的安全保卫工作”的职责。即此而言,目前正在从事公共信息 *** 安全监察工作的人民警察当称之为“ *** 警察”。
*** 警察的出现是 *** 安全发展的结果,面对严峻的 *** 安全形势, *** 警察必须担负起监督管理计算机信息系统的安全保卫工作,这就要求 *** 警察必须有较高的政治素质、专业素质、业务素质、文化素质、身体素质以及其他方面的素质。只有这样, *** 警察才能对付日益猖撅的 *** 犯罪,才能真正胜任计算机信息系统的安全保护工作。
怎样收集黑客入侵证据,以及怎样申报.高分!!
保持系统原状,收集路由日志,系统日志,切莫清理系统,关机后别再打开,交给警察叔叔