制定和实施网络安全事件响应计划

核心提示： 有了可靠的日志，再加上在受到了攻击时会出现各种异常现象，制定和实施网络安全事件响应计划(6)，我们就可以通过分析这些日志文件中的记录项，以及对各种现象的判断来确定是否受到了真正的攻击，然后形成一种适合自己的判断方法后，再加上日志分析工具以及安全监控软件的帮助，因此，如果日志中出现了下面列出

有了可靠的日志，再加上在受到了攻击时会出现各种异常现象，我们就可以通过分析这些日志文件中的记录项，以及对各种现象的判断来确定是否受到了真正的攻击。因此，如果日志中出现了下面列出项中的记录，或网络和主机系统出现了下面列出项中的现象，就一定表明你所监控的网络或主机已经或正在面临着某种类别的攻击：

（1）、日志文件中记录有异常的没有登录成功的审计事件；

（2）、日志文件中有成功登录的不明账号记录；

（3）、日志文件中存在有异常的修改某些特殊文件的记录；

（4）、日志文件中存在有某段时间来自网络的不正常扫描记录；

（5）、日志文件中存在有在某段时间启动的不明服务进程的记录；

（6）、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录；

（7）、日志文件中存在有添加了某种不明文件的记录；

（8）、日志文件中存在有不明软件主动向外连接的记录；

（9）、查看日志文件属性时，时间戳不对，或者日志文件大小与你的记录不相符；

（10）、查看日志文件内容时，发现日志文件中的某个时间段不存在或被修改；

（11）、发现系统反应速度变慢，或在某个时间段突然变慢，但已经排除了系统硬件性能影响的原因；

（12）、发现系统中安全软件被停止，正常服务被停止；

（13）、发现网站网页被篡改或被删除替换；

（14）、发现系统变得不稳定，突然死机，系统资源占用过大，不断重启；

（15）、发现网络流量突然增大，查看发现对外打开了不明端口；

（16）、发现网卡被设为混杂模式；

（17）、某些正常服务不能够被访问等等。

能够用来做出判断异常记录和异常现象还有很多，笔者就不在这里全部列出了。这要求事件响应人员应当不断学习，努力提高自身的技术水平，不断增加识别异常现象的经验，然后形成一种适合自己的判断方法后，再加上日志分析工具以及安全监控软件的帮助，就不难在这些日志记录项和现象中找出真正的攻击事件来。