摘要： 8月科學教育網(wǎng)小李來為大家講解下。劫持檢測，處理劫持事件）這個很多人還不知道,現(xiàn)在讓我們一起來看看吧！一、什么是劫持檢測？劫持檢測（Hijack Detection）是指系統(tǒng)對網(wǎng)絡(luò)...

8月科學教育網(wǎng)小李來為大家講解下。劫持檢測，處理劫持事件）這個很多人還不知道,現(xiàn)在讓我們一起來看看吧！

一、什么是劫持檢測？

劫持檢測（Hijack Detection）是指系統(tǒng)對網(wǎng)絡(luò)設(shè)備及其協(xié)議層及邊界結(jié)構(gòu)進行記錄以及檢測，旨在檢測網(wǎng)絡(luò)設(shè)備的劫持行為，以保護系統(tǒng)的安全。劫持檢測的目的在于：防范網(wǎng)絡(luò)內(nèi)外的非法行為；檢測網(wǎng)絡(luò)攻擊行為；避免受到計算機病毒的感染；及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不安全，采取有效的措施阻止劫持者；檢測系統(tǒng)內(nèi)部的可疑行為，及時發(fā)現(xiàn)系統(tǒng)內(nèi)部的異常情況，以保護整個網(wǎng)絡(luò)安全。

二、劫持檢測的基本原理

1、劫持檢測的基本原理與ICS/SCADA控制系統(tǒng)相關(guān)，可以歸納為三個基本原理：

（1）網(wǎng)絡(luò)可信性：確定網(wǎng)絡(luò)的完整性、原生性、無被篡改和自治性，并考慮可靠性、可用性和可操縱性；

（2）網(wǎng)絡(luò)可靠性：根據(jù)業(yè)務需求和設(shè)備狀態(tài)，采用可靠網(wǎng)絡(luò)技術(shù)來確保網(wǎng)絡(luò)的可靠性，確保網(wǎng)絡(luò)正常正常工作；

（3）網(wǎng)絡(luò)可視性：采用監(jiān)控技術(shù)，對網(wǎng)絡(luò)設(shè)備和系統(tǒng)的行為實時監(jiān)控，檢測異常狀況，對可疑行為及時進行分析，以實現(xiàn)可視化網(wǎng)絡(luò)的監(jiān)控工作。

2、劫持檢測的工作流程

（1）系統(tǒng)啟動和初始化：收集和準備需要用于劫持檢測的網(wǎng)絡(luò)信息，完成系統(tǒng)參數(shù)的配置，以及系統(tǒng)的安全策略設(shè)置；

（2）偵測：監(jiān)控網(wǎng)絡(luò)交換機上的報文，對流量進行審視和檢查，以確定網(wǎng)絡(luò)設(shè)備是否受到未經(jīng)授權(quán)的訪問；

（3）劫持行為檢測：當遇到可疑行為時，系統(tǒng)會立即采取有效的措施，檢測特定網(wǎng)絡(luò)設(shè)備的行為是否受到劫持；

（4）劫持定位：系統(tǒng)根據(jù)各種報文和服務的行為定位攻擊源，對劫持網(wǎng)絡(luò)設(shè)備的所有者進行跟蹤；

（5）報警和應急處理：當發(fā)現(xiàn)劫持行為后，系統(tǒng)將及時觸發(fā)報警信息，并給予適當?shù)膽碧幚泶胧?/p>

一、初始評估

1、確定竊取軟硬件設(shè)備的類型，進入被劫持系統(tǒng)；

2、收集相關(guān)的設(shè)備日志和攻擊請求的IP地址等信息；

3、根據(jù)系統(tǒng)的類型及其已知的漏洞，分析攻擊者是如何進入系統(tǒng)的；

4、識別受損部分，當攻擊者存在較大影響時，可以關(guān)閉外部網(wǎng)絡(luò)訪問，以免受到進一步損害；

二、處置步驟

1、恢復被劫持系統(tǒng)，或者轉(zhuǎn)移部分資源到恢復現(xiàn)場；

2、構(gòu)建體系，保證處置安全性和正確性，及時了解攻擊情況；

3、安裝安全防護軟件（如防火墻、殺毒軟件等），并對重要資源（如網(wǎng)站站點、數(shù)據(jù)庫等）加以保護；

4、技術(shù)分析與深度搜索，提出合理化的處置方案；

5、搜集開放端口信息，報告發(fā)現(xiàn)的安全漏洞；

6、確認攻擊點，有效阻斷發(fā)起、傳播攻擊的渠道；

7、逐漸恢復被劫持系統(tǒng)，并根據(jù)處理結(jié)果，為下次可能的攻擊行為做好準備。

三、事件分析

1、分析發(fā)起及傳播攻擊的方式及其時間，便于及時做出處置反應；

2、采取防護措施，止步攻擊的蔓延及傳播，妥善保護主機；

3、就被劫持系統(tǒng)的全部變化情況作出全面評估，對有可能潛在攻擊的相關(guān)系統(tǒng)進行相關(guān)檢查；

4、根據(jù)事件分析數(shù)據(jù)，采取有效措施，且必要時及時通報相關(guān)安全部門；

四、防范措施

1、定期培訓網(wǎng)絡(luò)安全工作人員，調(diào)查網(wǎng)絡(luò)安全技術(shù)的最新發(fā)展，明確系統(tǒng)的安全策略；

2、安裝防火墻、殺毒軟件、審計軟件，防范重要資源及通信路線；

3、強化網(wǎng)站管理，提高文件安全程度；

4、采取外部防御技術(shù)，如編碼、加密，減少被攻擊及攔截的機會；

5、防止已知漏洞的被利用，避免系統(tǒng)控制被外部攻擊；

6、由技術(shù)人員定期檢查網(wǎng)絡(luò)，檢查新的漏洞或可被濫用的弱點；

7、發(fā)掘多種安全控制元素，確保系統(tǒng)安全性能的不斷提升。

五、總結(jié)

1、劫持事件的處置，是一個系統(tǒng)性的過程，應視攻擊者影響程度來采取措施；

2、應采取相應的技術(shù)處置措施、手段來緩解，而相應的技術(shù)措施要求較為熟練，時常要結(jié)合實際情況來處理；

3、采取行之有效的防范措施，能夠有效的阻斷或者減少被劫持的可能性；

4、需要認真的分析攻擊者的行為，從而制定出更加完整的防范方案。

本文劫持檢測，處理劫持事件）到此分享完畢，希望對大家有所幫助。