正确识别系统入侵事件

二、及时识别系统入侵事件及其真假，并迅速判断入侵事件的严重程度

要想成功阻止系统入侵行为，有效恢复系统到正常运行状态，最大限度地减少入侵损失，有两个重要的因素非常关键：其一就是能及时识别系统发生了入侵事件，以及能正确分辨出入侵事件的真假，确定入侵事件发生的具体时间。其二就是能迅速判断系统入侵事件影响的范围，造成损失的严重程度，以及能对入侵事件按损失的严重程度进行分类。

假如我们没有对系统入侵事件做好准备工作，而且也没有实时监控系统的运行和网络连接状态，那么，就不可能及时发现系统入侵事件。

因此，在系统正常运行过程当中，我们必需不断对系统的运行状态进行实时的监控和分析：

(1)查看系统中当前运行的系统服务和进程是否正常;

(2)查看与系统建立的网络连接是否正常;

(3)对系统文件和数据进行完整性检测，前提是已经建立了文件的完整性档案;

(4)检查系统帐户状态及权限;

(5)检查系统资源利用状况，以及手工或日志实时监控软件的方式来实时分析系统、防火墙、IDS等安全软件的日志文件等方法，来确定系统目前的运行状况是否正常。

所有的这些方法都是及时发现系统是否已经被入侵的的方法，我们应当按时对系统做这样的一次全面检查，甚至可以通过弱点检测软件对系统进行全面的弱点检测，以快速了解系统的安全状况。

当系统入侵被正确确认后，接下来要做的就是通过手工分析的方式来确定入侵事件的真实性。这是由于我们得到系统被入侵的警报是通过安装在系统上的防火墙或IDS/IPS来获取的，由于这些软件本身存在对入侵事件有误报的可能。因此，为了减少由于误报而产生的不必要的系统入侵事件处理，就必需在发现系统被入侵的同时，确认其真实性。

同样，在确定系统确实被入侵了以后，就应当着手分析此次系统入侵事件发现的具体时间，确定受损的范围和严重程度。明确了系统被入侵的具体时间，才有可能知道攻击者是利用什么漏洞入侵系统的，才有可能知道应当检测系统哪些方面，才有可能知道应当将系统恢复到什么时候，才能确定什么时候的备份是有效的。只有确定了系统入侵受损的范围，才有可能知道系统中的哪些数据被损坏，需要恢复什么，才有可能知道应当立即隔离或备份什么数据，才有可能确定系统入侵事件的严重程度。也只有对系统入侵事件的严重程度进行了分类，才知道按什么方式向上级领导进行报告，才能让企业领导做出正确的处理决定。只有确定了系统入侵事件受损的范围和严重程度，我们在后面进行的系统入侵处理过程中，才知道用什么方式去应对此次入侵事件是最快速、最经济和最有效的。
通常，我们还应当按攻击者入侵系统的目的，对系统入侵事件按下列方式分成四个大的类别，这样，能让我们在后面的入侵事件处理过程当中，知道需要以恢复什么样的内容为主要目的。

1、以控制系统为目的的入侵事件;

2、以得到系统中机密数据为目的的入侵事件;

3、以破坏系统中机密数据为目的的入侵事件;

4、以破坏系统为目的的入侵事件;

不管怎么样，上面所述的这两个方面在系统入侵处理进行之前，都必需按要求完成的。我们不能等到系统入侵事件发生后，才想到应该怎么去做。这样，一切都已经晚了，而且，即使做得再好也不可能达到最好的恢复效果。