一、什么是劫持检测?
劫持检测(Hijack Detection)是指系统对网络设备及其协议层及边界结构进行记录以及检测,旨在检测网络设备的劫持行为,以保护系统的安全。劫持检测的目的在于:防范网络内外的非法行为;检测网络攻击行为;避免受到计算机病毒的感染;及时发现网络结构的不安全,采取有效的措施阻止劫持者;检测系统内部的可疑行为,及时发现系统内部的异常情况,以保护整个网络安全。
二、劫持检测的基本原理
1、劫持检测的基本原理与ICS/SCADA控制系统相关,可以归纳为三个基本原理:
(1)网络可信性:确定网络的完整性、原生性、无被篡改和自治性,并考虑可靠性、可用性和可操纵性;
(2)网络可靠性:根据业务需求和设备状态,采用可靠网络技术来确保网络的可靠性,确保网络正常正常工作;
(3)网络可视性:采用监控技术,对网络设备和系统的行为实时监控,检测异常状况,对可疑行为及时进行分析,以实现可视化网络的监控工作。
2、劫持检测的工作流程
(1)系统启动和初始化:收集和准备需要用于劫持检测的网络信息,完成系统参数的配置,以及系统的安全策略设置;
(2)侦测:监控网络交换机上的报文,对流量进行审视和检查,以确定网络设备是否受到未经授权的访问;
(3)劫持行为检测:当遇到可疑行为时,系统会立即采取有效的措施,检测特定网络设备的行为是否受到劫持;
(4)劫持定位:系统根据各种报文和服务的行为定位攻击源,对劫持网络设备的所有者进行跟踪;
(5)报警和应急处理:当发现劫持行为后,系统将及时触发报警信息,并给予适当的应急处理措施。
一、初始评估
1、确定窃取软硬件设备的类型,进入被劫持系统;
2、收集相关的设备日志和攻击请求的IP地址等信息;
3、根据系统的类型及其已知的漏洞,分析攻击者是如何进入系统的;
4、识别受损部分,当攻击者存在较大影响时,可以关闭外部网络访问,以免受到进一步损害;
二、处置步骤
1、恢复被劫持系统,或者转移部分资源到恢复现场;
2、构建体系,保证处置安全性和正确性,及时了解攻击情况;
3、安装安全防护软件(如防火墙、杀毒软件等),并对重要资源(如网站站点、数据库等)加以保护;
4、技术分析与深度搜索,提出合理化的处置方案;
5、搜集开放端口信息,报告发现的安全漏洞;