第四阶段:保持连接
为了保证攻击的顺利完成,攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味他或她已成功地规避了系统的安全控制措施,但这也会导致攻击者面临的漏洞增加。
对于入侵防御(IDS)或入侵检测(IPS)设备来说,除了用来对入侵进行检测外,你还可以利用它们进行挤出检测。下面就是入侵/挤出检测方法一个简单的例子,来自理查德·帕特里克在2006年撰写的《挤出检测:内部入侵的安全监控》一书的第三章:挤出检测图解。它包括了:
对通过外部网站或内部设备传输的文件内容进行检测和过滤
对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止
寻找连接到多个端口或非标准的协议
寻找不符合常规的连接参数和内容
检测异常网络或服务器的行为,特别需要关注的是时间间隔等参数
