Windows系统简易入侵侦测与处理.ppt

Windows系統入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23 大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具 入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料，植入程式或資料 造成系統失效，資料毀損或業務中斷或資料外洩資料之行為 一般之存取或試探活動大都以網路從事，但以非網路活動之存取及試探活動也屬入侵行為（如由主控台登入） 入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式 入侵型態 主動模式：以病毒或worm方式，其入侵及破壞與所植入之檔案（檔名或擺放位置也許有異）皆是固定行為模式，故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式：入侵之目的主要為非法行為，如資料竊取，破壞，或當成其他入侵之跳板，其入侵之模式不定，故較難偵測。入侵試探手法可能固定（ex 利用即有之系統漏洞） ,但入侵後所擺放之後門程式是可變的 入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控 Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析 系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵（ex 系統效能不佳） 最好固定期間檢查一次 檢視項目