Linux入侵检测方法
前言
本文为总结了几种常见的Linux入侵检测方法,参考了csdn中多篇文章,参考链接放在文末。
个人总结
1进程2端口3日志4流量5计划
查看可疑进程
- 查看进程数量,运行状态
命令:top
动态查看进程信息(每三秒更新一次)
2. 查找指定进程
命令:ps aux #列出所有进程。
3.netstat | ss
单独使用的 ss 命令用于显示已建立的网络连接
ss -tnalp
4.lsof
查看文件正在被哪个进程使用
lsof /usr/sbin/vsftpd
lsof -i:21 查看端口对应的进程
查看端口
netstat -p | grep 3306
netstat -anp
显示所有已开放端口
查看日志
系统日志/var/log/messages
动态查看 tail -f /var/log/messages
(tail命令:按照要求将指定的文件的最后部分输出到标准设备;-f 该参数用于监视File文件增长)
安全日志/var/log/secure
记录了安全信息,系统登录,网络连接等信息
查看远程登录失败日志
cat /var/log/secure |grep Failed
查看远程登录成功日志
cat /var/log/secure |grep Accepted
last用户登录信息
last
lastlog 查看登录日志
lastlog
last -a -5 查看最后5条
w 显示谁已登录以及他们正在做什么
pkill 命令
pkill 命令与 kill、killall 十分相似,都是用于杀死(结束)指定进程的命令。不过 kill 是杀掉单个进程,killall 是杀掉所有同名进程,pkill 是杀掉一类进程或者某个用户的所有进程。
常用方法:
1.杀死所有父进程为指定 ID 的进程。
pkill -9 | -KILL | -SIGKILL -P 5323
2.杀死终端 1 下的所有进程。
pkill -t pts/1
3.杀死指定用户的所有进程。
pkill -9 -u alice
计划任务
注意查看是否被恶意改动
使用crontab命令调用crond进程
crontab -l 查看计划任务
crontab -e 编辑计划任务
crontab -r 删除计划任务
tail -5 /var/log/cron 查看计划任务日志
防止日志被恶意删除
使用chattr +a,命令给文件加上a属性:
a 属性, 文件只能增加内容不能减少内容, 不能删除文件;
chattr +a 只能追加,不能删除或减少内容
chattr +a /var/log/secure
lsattr /var/log/secure
查看启动时默认加载文件
/etc/rc.local
cat /etc/rc.local
查看异常流量
iftop动态查看网卡接口流量
iftop是实时流量监控工具,可以用来监控网卡的实时流量
iftop -p 查看端口和主机
文件完整性检查
rpm -V 查看是否被修改
查看程序是否被改动过(改动过有输出信息)
查看文件是否被改动过
rpm -Vf /etc/ssh/sshd_config
参考链接
https://blog.csdn.net/K346K346/article/details/127573349
https://blog.csdn.net/gxy_learning/article/details/122005157
https://blog.csdn.net/sdyu_peter/article/details/106864344
Linux入侵检测方法相关推荐
- linux 入侵检测
最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送 ...
- 卷积神经网络训练准确率突然下降_基于联邦学习和卷积神经网络的入侵检测方法...
王蓉1,马春光2,武朋2 1. 哈尔滨工程大学计算机科学与技术学院,哈尔滨 150001:2. 山东科技大学计算机科学与工程学院,青岛 266590 doi :10.3969/j.issn.1671- ...
- 基于CNN-BiLSTM与三支决策的入侵检测方法
摘要 随着网络入侵行为越来越多样化和智能化,网络数据特征维数高且非线性可分,传统的入侵检测算法存在对网络数据特征提取不充分.模型分类准确率低等问题.针对上述问题,使用卷积神经网络CNN与双向长短期记忆 ...
- 研究型论文_基于双层异质集成学习器的入侵检测方法
文章目录 基于双层异质集成学习器的入侵检测方法 论文摘要 论文解决的问题 1.模型体系结构 2.数据降维 3.交叉验证策略 4.分类评估算法 5.多分类器集成算法 6.总结 参考文献 基于双层异质集成 ...
- 【网络流量识别】【深度学习】【二】RNN和ANN—深度学习入侵检测方法:ANN和RNN在NSL-KDD上的新性能
方法:本文采用两种方法, (1)采用ANN和RNN作为特征选择方法: (2)使用RNN信息增益(IG).粒比 (GR) 和相关属性 (CA) 作为特征选择方法: 数据集为NSL-KDD 数据集.结果表 ...
- 研究型论文_基于流量异常分析多维优化的入侵检测方法
文章目录 基于流量异常分析多维优化的入侵检测方法 论文摘要 论文解决的问题 1.基于遗传算法的数据抽样优化算法 2.基于相关分析的特征选择优化算法 3.模型 总结 基于流量异常分析多维优化的入侵检测方 ...
- linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
作者简介:张博,网易高级信息安全工程师. 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快 ...
- hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控
作者简介:张博,网易高级信息安全工程师. 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快 ...
- Signatures-based、Anomaly-based、Specification-based三种入侵检测方法的简介
目录 Signatures-based的入侵检测 Anomaly-based的入侵检测 Specification-based的入侵检测 Signatures-based也称为误用检测或基于知识的检测 ...
最新文章
- js禁止用户右键等操作
- Ubuntu 建立tftp服务器
- 央行允许银行倒闭破产,那么储户的存款怎么办?
- 别去取悦,心里没你的人
- java怎么将图片文件转流并在jsp前端显示_web前端—面试题汇总(001-005)
- 中药和西药的历史渊源,到底谁才是科学好药
- Leetcode每日一题:38.Count and Say(外观数列)
- 复旦考研计算机技术,复旦大学计算机技术(专业学位)考研难吗
- DataLoader 和 Dataset
- java web登录代码_Java Web 登录页面的实现代码实例
- 教师使用计算机的能力提升,计算机专业教师教学能力提升途径
- WhatsApp群发系统-SendWS拓客系统功能后台介绍(五):WhatsApp筛号群发,群发超链
- 梅特勒托利多xk3124电子秤说明书_托利多电子秤说明书
- 4.4 给单元格快速添加斜线 [原创Excel教程]
- mac使用ssh免密登录腾讯云服务器主机,并通过alias设置指令别名
- Nachos实验实现线程id、限制线程数和更改调度算法(按优先级调度)
- 【有奖征集】地球一小时:让万物感受你的爱,用H5表达你的心!
- 手撸架构,Kafka 面试42问
- altera fpga 型号说明_ALTERA之FPGA主流芯片选型指导.doc
- python PIL 图片素描化