計算機安全課件

優(yōu)選計算機安全課件1當(dāng)前第1頁\共有92頁\編于星期三\15點自身缺陷＋開放性＋黑客攻擊網(wǎng)絡(luò)不安全的原因2當(dāng)前第2頁\共有92頁\編于星期三\15點信息:是從調(diào)查、研究和教育獲得的知識，是情報、新聞、事實、數(shù)據(jù)，是代表數(shù)據(jù)的信號或字符，是代表物質(zhì)的或精神的經(jīng)驗的消息、經(jīng)驗數(shù)據(jù)、圖片。安全:是避免危險、恐懼、憂慮的度量和狀態(tài)。信息安全：信息安全是防止對知識、事實、數(shù)據(jù)或能力非授權(quán)使用、誤用、篡改或拒絕使用所采取的措施（量度）。1.1.1網(wǎng)絡(luò)安全的概念

3當(dāng)前第3頁\共有92頁\編于星期三\15點計算機網(wǎng)絡(luò):計算機網(wǎng)絡(luò)是地理上分散的多臺自主計算機互聯(lián)的集合。網(wǎng)絡(luò)安全:是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。4當(dāng)前第4頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全具有三個基本屬性：機密性、完整性、可用性。1.機密性(Confidentiality)機密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。信息的機密性，對于未授權(quán)的個體而言，信息不可用1.1.2網(wǎng)絡(luò)安全的屬性5當(dāng)前第5頁\共有92頁\編于星期三\15點物理層，要保證系統(tǒng)實體不以電磁的方式（電磁輻射、電磁泄漏）向外泄漏信息，主要的防范措施是電磁屏蔽技術(shù)、加密干擾技術(shù)等。在運行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時候不被非授權(quán)人所使用。在數(shù)據(jù)處理、傳輸層面，要保證數(shù)據(jù)在傳輸、存儲過程中不被非法獲取、解析，主要防范措施是數(shù)據(jù)加密技術(shù)。6當(dāng)前第6頁\共有92頁\編于星期三\15點2.完整性(Integrity)完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗與認(rèn)證技術(shù)。數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞；系統(tǒng)完整性，系統(tǒng)未被非法操縱，按既定的目標(biāo)運行。7當(dāng)前第7頁\共有92頁\編于星期三\15點3.可用性(Availability)可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。服務(wù)的連續(xù)性，即，具有按要求順序使用的特性8當(dāng)前第8頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全的其它屬性真實性authenticity 個體身份的認(rèn)證，適用于用戶、進程、系統(tǒng)等可控性Controlability 授權(quán)機構(gòu)可以隨時控制信息的機密性可靠性Reliability 行為和結(jié)果的可靠性、一致性9當(dāng)前第9頁\共有92頁\編于星期三\15點信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名10當(dāng)前第10頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全的目的11當(dāng)前第11頁\共有92頁\編于星期三\15點1.1.3網(wǎng)絡(luò)安全層次結(jié)構(gòu)12當(dāng)前第12頁\共有92頁\編于星期三\15點OSI環(huán)境中的數(shù)據(jù)傳輸過程13當(dāng)前第13頁\共有92頁\編于星期三\15點OSI環(huán)境中的數(shù)據(jù)傳輸過程14當(dāng)前第14頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全層次圖網(wǎng)絡(luò)安全層次15當(dāng)前第15頁\共有92頁\編于星期三\15點16當(dāng)前第16頁\共有92頁\編于星期三\15點防火墻安全網(wǎng)關(guān)VPN網(wǎng)絡(luò)安全層反病毒風(fēng)險評估入侵檢測審計分析系統(tǒng)安全層用戶/組管理單機登錄身份認(rèn)證用戶安全層訪問控制授權(quán)應(yīng)用安全層加密數(shù)據(jù)安全層存儲備份物理安全層17當(dāng)前第17頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全的層次體系從層次體系上，可以將網(wǎng)絡(luò)安全分成4個層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。（一）物理安全主要包括5個方面：防盜，防火，防靜電，防雷擊和防電磁泄漏。（二）邏輯安全需要用口令、文件許可等方法來實現(xiàn)。（三）操作系統(tǒng)安全，操作系統(tǒng)必須能區(qū)分用戶，以便防止相互干擾。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。（四）聯(lián)網(wǎng)安全通過訪問控制服務(wù)和通信安全服務(wù)兩方面的安全服務(wù)來達到。（1）訪問控制服務(wù)：用來保護計算機和聯(lián)網(wǎng)資源不被非授權(quán)使用。（2）通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機要性與完整性，以及各通信的可信賴性。18當(dāng)前第18頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全模型19當(dāng)前第19頁\共有92頁\編于星期三\15點開放網(wǎng)絡(luò)環(huán)境中提供的安全機制和安全服務(wù)主要包含兩個部分：對發(fā)送的信息進行與安全相關(guān)的轉(zhuǎn)換。由兩個主體共享的秘密信息，而對開放網(wǎng)絡(luò)是保密的。為了完成安全的處理，常常需要可信的第三方。20當(dāng)前第20頁\共有92頁\編于星期三\15點設(shè)計網(wǎng)絡(luò)安全系統(tǒng)時，該網(wǎng)絡(luò)安全模型應(yīng)完成4個基本任務(wù)：（1）設(shè)計一個算法以實現(xiàn)和安全有關(guān)的轉(zhuǎn)換。（2）產(chǎn)生一個秘密信息用于設(shè)計的算法。（3）開發(fā)一個分發(fā)和共享秘密信息的方法。（4）確定兩個主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務(wù)。21當(dāng)前第21頁\共有92頁\編于星期三\15點黑客攻擊形成兩類威脅：一類是信息訪問威脅，即非授權(quán)用戶截獲或修改數(shù)據(jù)；另一類是服務(wù)威脅，即服務(wù)流激增以禁止合法用戶使用。22當(dāng)前第22頁\共有92頁\編于星期三\15點對非授權(quán)訪問的安全機制可分為兩類：第一類是網(wǎng)閘功能，包括基于口令的登錄過程以拒絕所有非授權(quán)訪問以及屏蔽邏輯以檢測、拒絕病毒、蠕蟲和其他類似攻擊；第二類是內(nèi)部的安全控制，一旦非授權(quán)用戶或軟件攻擊得到訪問權(quán)，第二道防線將對其進行防御，包括各種內(nèi)部控制的監(jiān)控和分析，以檢測入侵者。23當(dāng)前第23頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)美國TCSEC－可信計算機安全評估準(zhǔn)則（又稱美國橙皮書）把安全的級別分成4大類7級。24當(dāng)前第24頁\共有92頁\編于星期三\15點安全級別類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標(biāo)識BB1標(biāo)識的安全保護標(biāo)識的安全保護強制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護面向安全的體系結(jié)構(gòu),較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力A驗證設(shè)計形式化的最高級描述和驗證25當(dāng)前第25頁\共有92頁\編于星期三\15點風(fēng)險分析26當(dāng)前第26頁\共有92頁\編于星期三\15點風(fēng)險=威脅+漏洞

網(wǎng)絡(luò)不安全的原因27當(dāng)前第27頁\共有92頁\編于星期三\15點風(fēng)險分析的最終目標(biāo)是制定一個有效的、節(jié)省的計劃來看管資產(chǎn)。任何有效的風(fēng)險分析始于需要保護的資產(chǎn)和資源的鑒別，資產(chǎn)的類型一般可分成以下4類。2.1資產(chǎn)保護

2.1.1資產(chǎn)的類型28當(dāng)前第28頁\共有92頁\編于星期三\15點（1）物理資源 物理資源是具有物理形態(tài)的資產(chǎn)。（2）知識資源（3）時間資源（4）信譽（感覺）資源29當(dāng)前第29頁\共有92頁\編于星期三\15點攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。潛在的攻擊來自多方面，包括組織內(nèi)部的員工、臨時員工和顧問、競爭者、和組織中具有不同觀點和目的的人、反對這個組織或其員工的人但是，對攻擊可能性的分析在很大程度上帶有主觀性。2.1.2潛在的攻擊源30當(dāng)前第30頁\共有92頁\編于星期三\15點資產(chǎn)的兩類損失：即時的損失長期恢復(fù)所需花費，也就是從攻擊或失效到恢復(fù)正常需要的花費特殊的：維護安全本身也是一種損失。因此還需要安全強度和安全代價的折中?？紤]四個方面：2.1.3資產(chǎn)的有效保護31當(dāng)前第31頁\共有92頁\編于星期三\15點（1）用戶的方便程度。

不應(yīng)由于增加安全強度給用戶帶來很多麻煩。（2）管理的復(fù)雜性。

對增加安全強度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。（3）對現(xiàn)有系統(tǒng)的影響。

包括增加的性能開銷以及對原有環(huán)境的改變等。（4）對不同平臺的支持。

網(wǎng)絡(luò)安全系統(tǒng)應(yīng)能適應(yīng)不同平臺的異構(gòu)環(huán)境的使用。32當(dāng)前第32頁\共有92頁\編于星期三\15點圖2.1安全強度和安全代價的折中33當(dāng)前第33頁\共有92頁\編于星期三\15點從安全屬性來看，攻擊類型可分為阻斷攻擊、截取攻擊、篡改攻擊、偽造攻擊4類。2.2攻擊

2.2.1攻擊的類型

34當(dāng)前第34頁\共有92頁\編于星期三\15點正常情況下的信息流動：（1）阻斷攻擊使信息系統(tǒng)被毀壞或不能使用，即，對可用性進行攻擊如部分硬件（硬盤）的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等。

35當(dāng)前第35頁\共有92頁\編于星期三\15點（2）截取攻擊一個非授權(quán)方介入系統(tǒng)的攻擊，破壞保密性(confidentiality).這種攻擊包括搭線竊聽，文件或程序的不正當(dāng)拷貝。密碼竊聽，會話劫持。36當(dāng)前第36頁\共有92頁\編于星期三\15點（3）篡改攻擊一個非授權(quán)方不僅介入系統(tǒng)而且在系統(tǒng)中進行篡改的攻擊，破壞完整性（integrity）。這些攻擊包括改變數(shù)據(jù)文件，改變程序使之不能正確執(zhí)行，修改信件內(nèi)容等。對協(xié)議的攻擊，緩沖區(qū)溢出。37當(dāng)前第37頁\共有92頁\編于星期三\15點（4）偽造攻擊一個非授權(quán)方將偽造的客體插入系統(tǒng)中，破壞真實性（authenticity）的攻擊。包括網(wǎng)絡(luò)中插入假信件，或者在文件中追加記錄等。冒充，phishing(電子郵件欺詐;網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站;虛假電子商務(wù)信息;)。38當(dāng)前第38頁\共有92頁\編于星期三\15點攻擊分類：被動攻擊與主動攻擊 ?被動攻擊，如竊聽或者偷窺，非常難以被檢測到，但可以防范 releaseofmessagecontent報文內(nèi)容的泄露 trafficanalysis流量分析主動攻擊，常常是對數(shù)據(jù)篡改及破壞，可以被檢測到，難以防范 Masquerade偽裝Replay重放 modificationofmessage消息篡改 denialofservice拒絕服務(wù)2.2.2主動攻擊與被動攻擊39當(dāng)前第39頁\共有92頁\編于星期三\15點被動攻擊常見的被動攻擊：竊聽、監(jiān)聽攻擊者的目的是獲取正在傳輸?shù)男畔ⅰ?0當(dāng)前第40頁\共有92頁\編于星期三\15點2.主動攻擊主動攻擊包含對數(shù)據(jù)流的某些修改，或者生成一個假的數(shù)據(jù)流。它可分成4類：（1）偽裝偽裝是一個實體假裝成另一個實體。（2）重放重放攻擊包含數(shù)據(jù)單元的被動捕獲，隨之再重傳這些數(shù)據(jù)，從而產(chǎn)生一個非授權(quán)的效果。41當(dāng)前第41頁\共有92頁\編于星期三\15點攻擊目的動機：1、破壞目標(biāo)工作2、竊取目標(biāo)信息3、控制目標(biāo)計算機4、利用假消息欺騙對方目的：1、破壞2、入侵42當(dāng)前第42頁\共有92頁\編于星期三\15點入侵者進入系統(tǒng)的主要途徑有：l

物理侵入：指一個入侵者對主機有物理進入權(quán)限，比如他們能使用鍵盤，有權(quán)移走硬盤等。l

本地侵入:這類侵入表現(xiàn)為入侵者已經(jīng)擁有在系統(tǒng)用戶的較低權(quán)限。如果系統(tǒng)沒有打最新的漏洞補丁，就會給侵入者提供一個利用知名漏洞獲得系統(tǒng)管理員權(quán)限的機會。l

遠(yuǎn)程侵入:這類入侵指入侵者通過網(wǎng)絡(luò)遠(yuǎn)程進入系統(tǒng)。比如通過植入木馬實現(xiàn)對目標(biāo)主機的控制，從遠(yuǎn)程發(fā)起對目標(biāo)主機的攻擊等。43當(dāng)前第43頁\共有92頁\編于星期三\15點入侵的級別1級：郵件炸彈、簡單服務(wù)拒絕2級：本地用戶獲得非授權(quán)讀訪問3級、本地用戶獲得非授權(quán)寫權(quán)限、遠(yuǎn)程用戶獲得非授權(quán)的帳號4級：遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限5級：遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限6級：遠(yuǎn)程用戶擁有了根（root）權(quán)限（黑客已攻克系統(tǒng)）。44當(dāng)前第44頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)攻擊的步驟攻擊的準(zhǔn)備階段攻擊的實施階段攻擊的善后階段45當(dāng)前第45頁\共有92頁\編于星期三\15點

確定攻擊目的收集目標(biāo)信息隱藏自己位置利用各種手段登陸對方主機檢查漏洞、后門，獲取控制權(quán)，…..消除痕跡，植入后門，退出攻擊的準(zhǔn)備階段攻擊的實施階段攻擊的善后階段攻擊過程準(zhǔn)備供給工具46當(dāng)前第46頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)攻擊步驟詳解1攻擊的準(zhǔn)備階段1.確定攻擊目的社會工程學(xué)攻擊2.準(zhǔn)備攻擊工具(1)選擇熟悉的工具(2)優(yōu)先考慮多種工具的配合使用(3)選擇掃描工具時要慎重(4)盡量使用自己編寫的軟件。3.收集目標(biāo)信息47當(dāng)前第47頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)攻擊步驟詳解2攻擊的實施階段第一步：隱藏自已的位置（IP）第二步：利用收集到的信息獲取賬號和密碼，登錄主機第三步：利用漏洞或者其它方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源和特權(quán)48當(dāng)前第48頁\共有92頁\編于星期三\15點網(wǎng)絡(luò)攻擊步驟詳解3攻擊的善后階段日志：

*刪除日志文件

*修改日志文件中有關(guān)自己的那一部分

植入木馬，留下后門49當(dāng)前第49頁\共有92頁\編于星期三\15點典型的網(wǎng)絡(luò)攻擊示意圖

選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權(quán)限攻擊其它主機獲取或修改信息從事其它非法活動掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。50當(dāng)前第50頁\共有92頁\編于星期三\15點總結(jié)一下：攻擊五部曲一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實際情況可以隨時調(diào)整。歸納起來就是“黑客攻擊五部曲”1、隱藏IP或IP欺騙2、踩點掃描3、獲得系統(tǒng)或管理員權(quán)限4、種植后門5、在網(wǎng)絡(luò)中隱身51當(dāng)前第51頁\共有92頁\編于星期三\15點1、隱藏IP假如你向一臺遠(yuǎn)程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠(yuǎn)程主機響應(yīng)你的數(shù)據(jù)包。這時你使用IP欺騙的攻擊手段。通常有兩種方法實現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。52當(dāng)前第52頁\共有92頁\編于星期三\15點1、隱藏IP第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計算機的IP地址。對目標(biāo)的攻擊威脅通常通過代理實現(xiàn)，而代理需要的特性包括：1、訪問目標(biāo)的能力2、對目標(biāo)發(fā)出威脅的動機3、有關(guān)目標(biāo)的知識

53當(dāng)前第53頁\共有92頁\編于星期三\15點2、踩點掃描踩點就是通過各種途徑對所要攻擊的目標(biāo)進行盡可能的了解。常見的踩點方法包括：在域名及其注冊機構(gòu)的查詢，公司性質(zhì)的了解，對主頁進行分析，郵件地址的搜集和目標(biāo)IP地址范圍查詢。踩點的目的就是探察對方的各方面情況，確定攻擊的時機。摸清對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步的入侵提供良好的策略。54當(dāng)前第54頁\共有92頁\編于星期三\15點3、獲得系統(tǒng)或管理員權(quán)限得到管理員權(quán)限的目的是連接到遠(yuǎn)程計算機，對其進行控制，達到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼通過攻破與目標(biāo)機有信任關(guān)系另一臺機器進而得到目標(biāo)機的控制權(quán)通過欺騙獲得權(quán)限以及其他有效的方法。55當(dāng)前第55頁\共有92頁\編于星期三\15點4、種植后門為了保持長期對自己勝利果實的訪問權(quán),在已經(jīng)攻破的計算機上種植一些供自己訪問的后門。56當(dāng)前第56頁\共有92頁\編于星期三\15點5、在網(wǎng)絡(luò)中隱身一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。57當(dāng)前第57頁\共有92頁\編于星期三\15點常見攻擊實例分析當(dāng)你感覺到你的Windows運行速度明顯減慢，當(dāng)你打開任務(wù)管理器后發(fā)現(xiàn)CPU的使用率達到了百分之百，最有可能受到了拒絕服務(wù)攻擊。58當(dāng)前第58頁\共有92頁\編于星期三\15點總結(jié)攻擊技術(shù)主要包括以下幾個方面。（1）網(wǎng)絡(luò)監(jiān)聽：自己不主動去攻擊別人，而是在計算機上設(shè)置一個程序去監(jiān)聽目標(biāo)計算機與其他計算機通信的數(shù)據(jù)。（2）網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計算機開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計算機做準(zhǔn)備。（3）網(wǎng)絡(luò)入侵：當(dāng)探測發(fā)現(xiàn)對方存在漏洞后，入侵到目標(biāo)計算機獲取信息。（4）網(wǎng)絡(luò)后門：成功入侵目標(biāo)計算機后，為了實現(xiàn)對“戰(zhàn)利品”的長期控制，在目標(biāo)計算機中種植木馬等后門。（5）網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計算機后，將自己入侵的痕跡清除，從而防止被對方管理員發(fā)現(xiàn)。59當(dāng)前第59頁\共有92頁\編于星期三\15點總結(jié)防御技術(shù)主要包括以下幾個方面。（1）安全操作系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡(luò)安全的關(guān)鍵。（2）加密技術(shù)：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進行加密。（3）防火墻技術(shù)：利用防火墻，對傳輸?shù)臄?shù)據(jù)進行限制，從而防止被入侵。（4）入侵檢測：如果網(wǎng)絡(luò)防線最終被攻破，需要及時發(fā)出被入侵的警報。（5）網(wǎng)絡(luò)安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽。60當(dāng)前第60頁\共有92頁\編于星期三\15點入侵檢測61當(dāng)前第61頁\共有92頁\編于星期三\15點入侵檢測62當(dāng)前第62頁\共有92頁\編于星期三\15點入侵檢測（IDSinstructiondetectionsystem）是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭受攻擊的跡象的一種機制。13.1入侵檢測概述

13.1.1入侵檢測的概念63當(dāng)前第63頁\共有92頁\編于星期三\15點入侵檢測系統(tǒng)基本上不具有訪問控制的能力，一般工作流程如下：首先對數(shù)據(jù)包流進行信息收集；然后對數(shù)據(jù)包流分析，從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)；最后將上述數(shù)據(jù)與已知的入侵方式進行對比，確定入侵是否發(fā)生及入侵類型，進行報警。64當(dāng)前第64頁\共有92頁\編于星期三\15點入侵檢測系統(tǒng)工作流程（1）信息收集（2）分析引擎（3）響應(yīng)部件65當(dāng)前第65頁\共有92頁\編于星期三\15點信息搜集66當(dāng)前第66頁\共有92頁\編于星期三\15點信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點67當(dāng)前第67頁\共有92頁\編于星期三\15點信息收集入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息68當(dāng)前第68頁\共有92頁\編于星期三\15點信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為69當(dāng)前第69頁\共有92頁\編于星期三\15點系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容顯然，對用戶活動來講，不正常的或不期望的行為就是:重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等70當(dāng)前第70頁\共有92頁\編于星期三\15點系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件71當(dāng)前第71頁\共有92頁\編于星期三\15點分析引擎72當(dāng)前第72頁\共有92頁\編于星期三\15點分析引擎模式匹配統(tǒng)計分析完整性分析，往往用于事后分析73當(dāng)前第73頁\共有92頁\編于星期三\15點模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）74當(dāng)前第74頁\共有92頁\編于星期三\15點統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生75當(dāng)前第75頁\共有92頁\編于星期三\15點完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效76當(dāng)前第76頁\共有92頁\編于星期三\15點響應(yīng)部件77當(dāng)前第77頁\共有92頁\編于星期三\15點響應(yīng)動作簡單報警切斷連接封鎖用戶改變文件屬性最強烈反應(yīng)：回?fù)艄粽?8當(dāng)前第78頁\共有92頁\編于星期三\15點CIDF闡述了一個入侵檢測系統(tǒng)的基本模型，如下圖所示：13.1.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)79當(dāng)前第79頁\共有92頁\編于星期三\15點根據(jù)入侵檢測系統(tǒng)的檢測對象，入侵檢測系統(tǒng)主要分成兩大類：基于主機的入侵檢測系統(tǒng)；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。13.2入侵檢測系統(tǒng)分類80當(dāng)前第80頁\共有92頁\編于星期三\15點13.2.1基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護的主機上。根據(jù)檢測對象的不同，基于主機的入侵檢測系統(tǒng)可以分為：網(wǎng)絡(luò)連接檢測和主機文件檢測。81當(dāng)前第81頁\共有92頁\編于星期三\15點基于主機的入侵檢測系統(tǒng)優(yōu)缺點優(yōu)點：檢測準(zhǔn)確度高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌牟僮飨到y(tǒng)進行有針對性的檢測；成本較低；適應(yīng)加密和交換環(huán)境。缺點：無法監(jiān)視整個網(wǎng)段的通信；要求在大量的主機上安裝和管理軟件；實時性較差。82當(dāng)前第82頁\共有92頁\編于星期三\15點13.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置在被保護的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ拧?3當(dāng)前第83頁\共有92頁\編于星期三\15點基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)優(yōu)缺點優(yōu)點可以提供實時的網(wǎng)絡(luò)行為檢測；可以同時保護多臺網(wǎng)絡(luò)主機；具有良好的隱蔽性；有效保護入侵檢測證據(jù)；不影響被保護主機的性能及服務(wù)。缺點防入侵欺騙的能力較差；在交換式網(wǎng)絡(luò)環(huán)境中難以配置；檢測性能受硬件條件限制；不能處理加密后的數(shù)據(jù)。84當(dāng)前第84頁\共有92頁\編于星期三\15點