《入侵檢測與防御原理及實踐（微課版）》 課件 第1、2章 網(wǎng)絡入侵與攻擊、入侵檢測與防御原理

第一章網(wǎng)絡入侵與攻擊目錄1.1基本概念1.2網(wǎng)絡攻擊的常用方法1.3典型的網(wǎng)絡入侵事件1.4網(wǎng)絡入侵應對本章學習目標1.了解入侵與攻擊的基本概念；2.了解典型的網(wǎng)絡入侵事件；3.了解網(wǎng)絡入侵的發(fā)展趨勢；4.了解入侵與攻擊的應對方法5.理解入侵與攻擊的流程；6.掌握常見的攻擊方法；基本概念1.1入侵與攻擊的基本概念網(wǎng)絡入侵VS攻擊：入侵是指具有熟練編寫和調(diào)試計算機程序技巧的人，使用這些技巧訪問非法或未授權的網(wǎng)絡或文件，入侵公司內(nèi)部網(wǎng)的行為。攻擊一般是指入侵者進行入侵所采取的技術手段和方法。網(wǎng)絡入侵的產(chǎn)生原因：計算機網(wǎng)絡系統(tǒng)相對不完善，或者安全管理薄弱因特網(wǎng)采用的TCP/IP協(xié)議在設計之初沒有考慮到網(wǎng)絡信任和信息安全早期的操作系統(tǒng)更多的注重功能而忽略了安全問題各種攻擊軟件、病毒、木馬等的泛濫大大降低了攻擊的難度和成本（如KALI上有2000+工具）相關人員的安全意識低入侵的途徑入侵者的入侵途徑一般有以下3類：（1）物理途徑：入侵者利用管理缺陷或人們的疏忽大意，乘虛而入，侵入目標主機，企圖登錄系統(tǒng)或竊取重要資源。（2）系統(tǒng)途徑：入侵者使用自己所擁有的較低級別的操作權限進入目標系統(tǒng)，或裝“后門”、復制信息、破壞資源、尋找系統(tǒng)漏洞以獲取更高級別的操作權限等。（3）網(wǎng)絡途徑：入侵者通過網(wǎng)絡滲透到目標系統(tǒng)中，進行破壞活動。網(wǎng)絡入侵的對象通常入侵與攻擊對象為計算機系統(tǒng)或網(wǎng)絡中的邏輯實體和物理實體：（1）服務器：包括網(wǎng)絡上對外提供服務的節(jié)點、服務器中的服務端軟件及其操作系統(tǒng)等，如WWW、Oracle。（2）安全設備：提供安全防護的設備，如防火墻、IDS。（3）網(wǎng)絡設備：網(wǎng)絡建設所使用的關鍵網(wǎng)絡或擴展設備，如路由器、交換機。（4）數(shù)據(jù)信息：在各網(wǎng)絡節(jié)點設備中存放或用于對外提供服務的數(shù)據(jù)信息，如產(chǎn)品信息、財務信息。（5）進程：具有獨立功能的程序，可并發(fā)執(zhí)行。（6）應用系統(tǒng)：各業(yè)務流程運作的電子支撐系統(tǒng)或?qū)Ｓ脩孟到y(tǒng)。安全和攻擊的關系安全與攻擊是相輔相成、緊密結合的，從某種意義上說，沒有攻擊就沒有安全。（1）管理員可以利用常見的攻擊手段對系統(tǒng)和網(wǎng)絡進行檢測，及時發(fā)現(xiàn)漏洞并采取補救措施。（2）網(wǎng)絡攻擊也有善意和惡意之分，善意的攻擊可以幫助管理員檢查系統(tǒng)漏洞，發(fā)現(xiàn)潛在的安全威脅；惡意的攻擊可以包括為了私人恩怨、商業(yè)或個人目的、民族仇恨、尋求刺激、給別人幫忙以及一些無目的的攻擊等。網(wǎng)絡入侵的流程入侵的準備階段確定目標信息收集漏洞挖掘模擬攻擊實施攻擊留下后門入侵的善后階段擦除痕跡入侵的實施階段網(wǎng)絡入侵的流程確定目標：確定和探測被攻擊的目標。

信息收集：利用公開協(xié)議或工具收集目標機的IP地址、操作系統(tǒng)類型和版本等，根據(jù)信息分析被攻擊方系統(tǒng)可能存在的漏洞。被動收集：搜索引擎（百度、GOOGLE、SHODAN等）

主動收集：NMAP、OpenVAS、Burpsuite、域名遍歷、目錄遍歷、指紋識別等3.漏洞挖掘：即主動收集，探測網(wǎng)絡上的每臺主機，尋求系統(tǒng)的安全漏洞。4.模擬攻擊：建立模擬環(huán)境，攻擊模擬目標機系統(tǒng)，測試系統(tǒng)可能的反應。5.實施攻擊：使用多種方法對目標系統(tǒng)或網(wǎng)絡實施攻擊。6.留下后門：建立新的漏洞或后門供下次攻擊利用增加管理員賬號、提升賬戶權限、安裝木馬等方法7.擦除痕跡：更改系統(tǒng)日志，擦除入侵痕跡。入侵與攻擊的發(fā)展趨勢形成黑色產(chǎn)業(yè)鏈針對移動終端的攻擊大大增加APT攻擊越來越多攻擊工具越來越復雜對基礎設施的威脅增大，破壞效果越來越大攻擊的自動化程度和入侵速度不斷提高攻擊者利用安全漏洞的速度越來越快防火墻被攻擊者滲透的情況越來越多網(wǎng)絡攻擊的常用方法1.2網(wǎng)絡攻擊的常用方法網(wǎng)絡攻擊一般是利用網(wǎng)絡和主機系統(tǒng)存在的漏洞和安全缺陷實現(xiàn)對系統(tǒng)和資源進行攻擊的。自然威脅包括各種自然災害、惡劣的場地環(huán)境、電磁干擾、網(wǎng)絡設備的自然老化等。這些威脅是無目的的，但不可避免地會對網(wǎng)絡或系統(tǒng)造成損害，危及通信安全。人為威脅是對網(wǎng)絡和主機系統(tǒng)的人為攻擊，通過尋找網(wǎng)絡和主機系統(tǒng)的弱點，以非授權方式達到破壞、欺騙和竊取數(shù)據(jù)信息等目的。網(wǎng)絡攻擊的常用方法1.網(wǎng)絡攻擊的原因內(nèi)因：網(wǎng)絡和主機系統(tǒng)存在著漏洞外因：人類與生俱來的好奇心、利益的驅(qū)動等2.網(wǎng)絡攻擊的層次簡單拒絕服務、本地用戶獲得非授權讀權限、本地用戶獲得非授權寫權限、遠程用戶獲得非授權賬號信息、遠程用戶獲得特權文件的讀權限、遠程用戶獲得特權文件的寫權限、遠程用戶或系統(tǒng)管理員權限七個層次3.網(wǎng)絡攻擊的位置（1）遠程攻擊（2）本地攻擊（3）偽遠程攻擊：網(wǎng)絡攻擊的常用方法4.網(wǎng)絡攻擊的方法1）主機滲透攻擊方法口令破解弱口令是口令安全的致命弱點。增強口令強度、保護口令存儲文件和服務器、合理利用口令管理工具是避免網(wǎng)絡入侵者利用口令破解滲透實施攻擊的必不可少的措施。漏洞攻擊緩沖區(qū)溢出漏洞、Unicode編碼漏洞、SQL注入漏洞等特伊洛木馬攻擊利用遠程控制技術實現(xiàn)網(wǎng)絡攻擊的常用方法2）網(wǎng)絡攻擊方法DoS/DDoS攻擊DoS：DenialofService，DDoS：DistributedDenialofService其目的是使計算機或網(wǎng)絡無法提供正常的服務。這些服務資源包括網(wǎng)絡帶寬、文件系統(tǒng)空間容量、開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡帶寬的速度多快都無法避免這種攻擊帶來的后果。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。IP地址欺騙序列號欺騙、路由攻擊、源地址欺騙、授權欺騙本質(zhì)上是信任關系的破壞網(wǎng)絡監(jiān)聽工具有wireshark、sniffer等監(jiān)聽效果最好的地方是網(wǎng)關、路由器、防火墻等，最方便的是局域網(wǎng)中的主機。網(wǎng)絡攻擊的常用方法3）其他攻擊方法病毒攻擊：

隨著蠕蟲病毒的泛濫以及蠕蟲、計算機病毒、木馬和黑客攻擊程序的結合，病毒攻擊成為了互聯(lián)網(wǎng)發(fā)展以來遇到的巨大挑戰(zhàn)。社會工程攻擊 社會工程學利用人的好奇心、貪婪等弱點，給人設計陷阱，黑客通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密，如用戶名單、密碼、網(wǎng)絡架構等。社會工程學包含的知識并不簡單，它存在諸多不確定因素，因此社會工程攻擊也需要掌握大量的基礎知識，而后才能通過交談、欺騙等手段獲取進一步信息，通過分析整理這些信息再實施攻擊。它的種類有很多，主要包括網(wǎng)頁仿冒、針對性網(wǎng)頁仿冒和電子郵件欺詐等。如果想要對抗社會工程攻擊，需拋棄傳統(tǒng)的防火墻牢不可破的意識，多從“人”上做工作。強化用網(wǎng)人員的安全意識，增加相關知識培訓，及時更新殺毒軟件，及時安裝軟件及系統(tǒng)補丁。網(wǎng)絡攻擊的常用方法1.2.1信息收集1.2.2惡意代碼1.2.3口令入侵1.2.4Web應用攻擊1.2.5軟件漏洞攻擊1.2.6拒絕服務攻擊1.2.7假消息攻擊信息收集收集的信息：目標系統(tǒng)的DNS信息、IP地址、子域名、旁站和C段、CMS類型、敏感目錄、端口信息、操作系統(tǒng)版本、網(wǎng)站架構、漏洞信息、服務器與中間件信息、管理人員郵箱、相關人員、地址等。先被動收集，再主動收集信息收集信息收集1.GoogleHacking技術參數(shù)用途site搜索和指定站點相關的頁面inurl搜索包含有特定字符的URLintext搜索網(wǎng)頁的正文內(nèi)容，忽略標題和URL等文字intitle搜索標題中包含指定關鍵字的網(wǎng)頁filetype搜索指定的后綴名或者擴展名的文件link搜索所有連接到某一個特定URL的列表信息收集2.Shodan參數(shù)用途舉例hostname搜索指定的主機或域名hostname:"siemens"org搜索指定的組織org:"baidu"port搜索指定的端口port:3306product搜索指定的操作系統(tǒng)/服務product:SSHnet搜索指定的網(wǎng)段或IP地址net:/16city搜索指定的城市city:"SanDiego"country搜索指定的國家（國家名用2位字母代替）country:USShodan（撒旦搜索引擎https://www.shodan.io/）：物聯(lián)網(wǎng)搜索引擎，被稱為“最可怕的搜索引擎”，可掃描一切聯(lián)網(wǎng)的設備，除了常見的Web服務器，還能掃描防火墻、路由器、交換機、攝像頭、打印機等一切聯(lián)網(wǎng)設備Shodan返回信息收集3.MaltegoMaltego是一款被動信息搜集工具，可以收集目標的IP地址、域名及域名的相關信息、郵箱信息、公司地址、人員等信息，并根據(jù)收集到的信息進行綜合分析，有助于確定后期滲透測試的攻擊的范圍和目標。Maltego已經(jīng)集成在Kalilinux中，使用之前需要進行注冊下載和安裝Maltego輸入目標域名進行Transforms分析數(shù)據(jù)執(zhí)行其他Transforms輸出報告信息收集信息收集4.子域名收集主域名對應網(wǎng)站的安全措施通常會比較強，子域名相對較弱子域名收集工具主要有Windows版的Layer、開源掃描器OnlineTools和KaliLinux中的Fierce。信息收集5.網(wǎng)站架構針對網(wǎng)站的架構，主要收集服務器類型、網(wǎng)站服務組件和腳本類型、WAF（WebApplicationFirewall，Web應用防火墻）等信息。1）服務器類型即識別服務器的操作系統(tǒng)和版本信息，也叫操作系統(tǒng)指紋探測（OSFingerprint）。sudonmap-A-T4-vIP地址sudonmap-OIP地址sudonmap-sVIP地址信息收集5.網(wǎng)站架構針對網(wǎng)站的架構，主要收集服務器類型、網(wǎng)站服務組件和腳本類型、WAF（WebApplicationFirewall，Web應用防火墻）等信息。2）網(wǎng)站服務組件和腳本類型網(wǎng)站服務組件和腳本類型可以利用Linux的網(wǎng)站指紋識別工具Whatweb、Appprint、御劍指紋識別等。信息收集5.網(wǎng)站架構針對網(wǎng)站的架構，主要收集服務器類型、網(wǎng)站服務組件和腳本類型、WAF（WebApplicationFirewall，Web應用防火墻）等信息。3）防火墻識別WAF（Web應用防火墻）是WEB應用的保護措施，可以防止Web應用免受各種常見攻擊，比如SQL注入、跨站腳本漏洞（XSS）等。信息收集6.旁站和C段旁站是指與目標網(wǎng)站在同一臺服務器上的其它網(wǎng)站?？捎谜鹃L工具/same在線查詢旁站.信息收集6.旁站和C段C段是指與目標服務器IP地址處在同一個C段的其它服務器。C段查詢的工具有Nmap、Masscan等，也可以用在線工具FOFA（/）、Shodan（https://www.shodan.io）信息收集6.旁站和C段Nmap和Masscan已經(jīng)集成在KaliLinux中，命令語法格式如下。sudomasscan-p22,21,443,8080-Pn--rate=1000/24sudonmap-p22,21,443,8080-Pn/24網(wǎng)絡掃描掃描器：是一種通過收集系統(tǒng)信息自動檢測遠程或本地主機安全弱點的程序。通過向遠程主機不同的端口服務發(fā)出請求訪問，并記錄應答信息，收集大量關于目標主機的有用信息。掃描器收集的信息有遠程服務器TCP端口的分配情況、提供的網(wǎng)絡服務和軟件的版本等。讓黑客或管理員間接或直接的了解到遠程主機存在的安全問題。掃描器的功能發(fā)現(xiàn)一個主機或網(wǎng)絡一旦發(fā)現(xiàn)一臺主機，可以發(fā)現(xiàn)有什么服務程序正運行在這臺主機上通過測試這些服務，發(fā)現(xiàn)漏洞掃描器的分類端口掃描器：NMAP、OpenVAS、Portscan等漏洞掃描器：Burpsuite、Nessue、AWVS、AppScan、Nikto、SATAN等網(wǎng)絡掃描網(wǎng)絡掃描定義：是指對網(wǎng)絡或者系統(tǒng)網(wǎng)絡服務進行掃描，以檢驗系統(tǒng)提供服務的安全性。網(wǎng)絡掃描技術有：偵查掃描利用各種網(wǎng)絡協(xié)議產(chǎn)生的數(shù)據(jù)包以及網(wǎng)絡協(xié)議本身固有的性質(zhì)進行掃描，目的是確認目標系統(tǒng)是否處于激活狀態(tài)，獲取目標系統(tǒng)信息。方法有PING掃描、TCP掃描、UDP掃描、OSFingerprint（操作系統(tǒng)指紋探測）等。端口掃描：判斷目標系統(tǒng)所能提供的服務信息中是否有漏洞。域查詢回答掃描：通過發(fā)送沒有被問過的域問題，判斷目標主機是否存在。代理/FTP掃描：使用代理服務和FTP守護進程進行端口掃描。網(wǎng)絡掃描工具NMAPnmap是一個網(wǎng)絡連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡連接端，確定哪些服務運行在哪些連接端，并能推斷計算機運行的操作系統(tǒng)（OSfingerprint）。它是網(wǎng)絡管理員必用的軟件之一，用以評估網(wǎng)絡系統(tǒng)安全。sudonmap-help網(wǎng)絡掃描工具NMAP網(wǎng)絡安全實驗室拓撲簡介網(wǎng)絡掃描工具NMAP打開KaliLinux與Windows虛擬機，測試連通性。查看IP地址KaliLinux與Windows能否互通能否上網(wǎng)網(wǎng)絡掃描工具NMAPTCP掃描（全開掃描）——利用建立TCP連接的三次握手如果目標端口是打開的，則三次握手建立TCP連接如果目標端口是關閉的，則返回一個RST+ACK回應，表示不接受這次連接的請求；也可能收不到任何的回應。sudonmap-sT-p1-20034網(wǎng)絡掃描工具NMAPTCPSYN掃描，也叫半開掃描這種掃描方法沒有建立完整的TCP連接，有時也被稱為“半開掃描（half-openscanning）”。A給B發(fā)送SYN分組，若端口打開則B返回SYN/ACK分組；若端口關閉則B返回RST/ACK分組。A再發(fā)送一個RST分組，這樣并未建立一個完整的連接。這種技巧的優(yōu)勢比完整的TCP連接隱蔽，目標系統(tǒng)的日志中一般不記錄未完成的TCP連接。sudonmap-sS-p1-100034網(wǎng)絡掃描工具NMAPUDP掃描這種掃描往目標主機的端口發(fā)送UDP數(shù)據(jù)分組，如果目標端口是關閉狀態(tài)，則返回一個“ICMP端口不可達（ICMPportunreachable）”消息；否則，該端口是開啟的。sudonmap-sU-p1-20034網(wǎng)絡掃描工具NMAP操作系統(tǒng)指紋探測（OSFingerprint）許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應，同時從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)，因此操作系統(tǒng)指紋探測成為了黑客攻擊中必要的環(huán)節(jié)。如何辨識一個操作系統(tǒng)是OSFingerprint技術的關鍵，常見的方法有：一些端口服務的提示信息，例如，telnet、http、ftp等服務的提示信息；TCP/IP棧指紋；DNS泄漏出OS系統(tǒng)；堆棧查詢技術等NMAP可以識別500多個不同的操作系統(tǒng)，但一般的OS為了安全會在邊界FW上實施端口過濾，識別效果就不那么好了。sudonmap-O34sudonmap-sV34惡意代碼惡意代碼（MaliciousCode或UnwantedCode）是指故意編制或設置的、對網(wǎng)絡或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼，其設計目的是創(chuàng)建系統(tǒng)漏洞，造成后門、安全隱患、信息和數(shù)據(jù)盜竊、以及其他對文件和計算機系統(tǒng)的潛在破壞。惡意代碼的特征（1）以惡意破壞為目的（2）其本身為程序（3）通過執(zhí)行發(fā)生作用惡意代碼惡意代碼的分類惡意代碼的分類主要有代碼的獨立性和自我復制性兩個標準。（1）具有自我復制能力的依附性惡意代碼，主要代表是病毒。（2）具有自我復制能力的獨立性惡意代碼，主要代表是蠕蟲。（3）不具有自我復制能力的依附性惡意代碼，主要代表是后門。（4）不具有自我復制能力的獨立性惡意代碼，主要代表是木馬。惡意代碼具體的分類包括計算機病毒、蠕蟲、木馬、后門、惡意移動代碼、內(nèi)核套件、邏輯炸彈、僵尸程序、流氓軟件、間諜軟件等。惡意代碼病毒定義：是指在計算機程序中插入的、破壞計算機功能或數(shù)據(jù)的、可以自我復制的一組計算機指令或程序代碼。通常具有顯性破壞性，還可能有盜竊、勒索等經(jīng)濟目的。攻擊者通過網(wǎng)頁、郵件等傳播電腦病毒對電腦系統(tǒng)進行破壞，如刪除文件、硬盤格式化以及進行拒絕服務。常見的破壞性病毒有：沖擊波：一種散播于Windows操作系統(tǒng)的蠕蟲病毒。震蕩波：一種讓系統(tǒng)不停倒計時重啟的惡性病毒。CIH：一種能夠破壞計算機系統(tǒng)硬件的惡性病毒。

惡意代碼木馬定義與分類：全稱特洛伊木馬，是駐留在計算機中的非法程序，一般偽裝成合法程序或者隱藏在合法程序的代碼中，其目的是執(zhí)行未經(jīng)用戶授權的操作。通常用于在沒有被用戶覺察的情況下竊取信息。木馬可分為兩部分，一是控制端的Server程序，二是被控制端的Client程序。只有當Server程序和Client程序同時存在，木馬病毒才能發(fā)揮作用。常見分類：遠程訪問型、密碼發(fā)送型、鍵盤記錄型和毀壞型。木馬攻擊的關鍵技術有：木馬植入技術：攻擊者主動或被動的在用戶計算機植入木馬。自動加載技術：木馬在被植入目標主機后可自動啟動和運行。隱藏技術：使合法用戶無法發(fā)現(xiàn)隱藏的木馬的技術。連接技術：木馬程序發(fā)現(xiàn)客戶機的連接請求后自動連接。監(jiān)控技術：攻擊者可對木馬程序進行遠程控制。惡意代碼惡意代碼的工作機制口令入侵口令入侵是指通過破解口令或屏蔽口令保護，使用某些合法用戶甚至系統(tǒng)管理員的賬號和口令登錄到目的主機，然后實施攻擊活動。這種方法的操作流程一般是先得到目標系統(tǒng)上的某個合法用戶的賬號，然后再進行合法用戶口令的破譯。1.獲取用戶賬號（1）利用目標系統(tǒng)的Finger功能口令入侵1.獲取用戶賬號（1）利用目標系統(tǒng)的Finger功能（2）利用目標系統(tǒng)的X.500目錄服務（3）從電子郵件地址中收集（4）查看是否有習慣性的賬號（5）利用工具暴力破解口令入侵2.口令安全現(xiàn)狀很多用戶的口令保護意識薄弱，設置的口令過于簡單。（1）弱口令（2）默認口令（3）社工口令（4）相同口令（5）口令泄露自己姓名的中文拼音37%常用英文單詞23%計算機中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%口令入侵3.獲取用戶口令1）通過網(wǎng)絡監(jiān)聽獲取用戶口令：對于Telnet、FTP、HTTP、SMTP等沒有采用任何加密或身份認證技術的傳輸協(xié)議，攻擊者可以利用Wireshark、Ettercap等工具獲取賬號密碼。2）通過暴力破解獲取用戶口令3）通過字典窮舉獲取用戶口令4）利用系統(tǒng)漏洞破解用戶口令【例】在KaliLinux上啟動SSH服務，利用工具hydra（九頭蛇）進行弱口令暴力破解，獲取賬號密碼。WEB應用攻擊Web應用攻擊是針對用戶上網(wǎng)行為或網(wǎng)站進行攻擊的行為，如注入、植入惡意代碼、修改網(wǎng)站權限、獲取網(wǎng)站用戶隱私信息等等。Web安全就是為保護站點不受未授權的訪問、使用、修改和破壞而采取的行為或?qū)嵺`。Web應用的架構WEB應用攻擊OWASP（OpenWebApplicationSecurityProject，開放式Web應用程序安全項目）是一個開源的非盈利的全球性安全組織，被視為Web應用安全領域的權威參考，它提供有關計算機和互聯(lián)網(wǎng)應用程序的公正、實際、有成本效益的信息OWASP的使命是使應用軟件更加安全，使企業(yè)和組織能夠?qū)冒踩L險作出更清晰的決策。OWASP項目最具權威的就是其發(fā)布的“十大安全漏洞列表”（OWASPTOP10），用來分類網(wǎng)絡安全漏洞的嚴重程度，目前被許多漏洞獎勵平臺和企業(yè)安全團隊用來評估錯誤報告。這個列表總結了Web應用程序最可能、最常見、最危險的十大漏洞，是開發(fā)、測試、服務、咨詢?nèi)藛T應該會的應用知識，可以幫助IT公司和開發(fā)團隊規(guī)范應用程序開發(fā)流程和測試流程，提高Web產(chǎn)品的安全性。SQL注入攻擊對于WEB應用程序而言，用戶核心數(shù)據(jù)存儲在數(shù)據(jù)庫中，如MySQL、SQLServer、Oracle。通過SQL注入攻擊，可以獲取、修改、刪除數(shù)據(jù)庫信息，并通過提權來控制WEB服務器等其他操作。SQL注入漏洞造成會造成嚴重的危害，所以常年穩(wěn)居OWASPTOP10的榜首。SQL注入是指攻擊者通過構造特殊的SQL語句，入侵目標系統(tǒng)，致使后臺數(shù)據(jù)庫泄露數(shù)據(jù)的過程。具體是指當應用程序沒有檢查用戶輸入，并將用戶輸入作為原始SQL查詢語句的一部分時，攻擊者構造的惡意輸入將會改變程序原始的SQL查詢邏輯，并執(zhí)行任意命令。SELECT*FROMuser_tableWHEREname='admin'ANDpassword='admin';SELECT*FROMuser_tableWHEREname='admin'--'ANDpassword='aaa';SELECT*FROMuser_tableWHEREname=''or1=1--'ANDpassword='';SQL注入攻擊SQL注入原理SQL注入攻擊SQL注入攻擊的特點：廣泛性：大部分Web程序均使用SQL語法。技術難度低：網(wǎng)絡中存在多種SQL注入工具。危害性大：查詢數(shù)據(jù)，甚至脫庫讀寫文件，執(zhí)行命令，更改網(wǎng)頁內(nèi)容，甚至網(wǎng)絡中其他的服務器用戶信息被泄露用戶信息被非法倒賣危害企業(yè)、政府、國家安全跨站腳本攻擊XSS（CrossSiteScripting）跨站腳本攻擊是基于客戶端的WEB攻擊，跟SQL注入攻擊一樣穩(wěn)居OWASP前三，是WEB前端最常見的攻擊方式，危害極大。XSS攻擊存在于動態(tài)網(wǎng)站，攻擊點一般出現(xiàn)在網(wǎng)頁中的評論框、留言板、搜索框等用戶輸入的地方。攻擊者構造腳本（一般是Javascript）到WEB頁面，形成惡意鏈接，受害者點擊鏈接即被攻擊。XSS漏洞形成主要是WEB服務端沒有對腳本文件如<script>進行安全過濾。XSS產(chǎn)生的根本原因在于數(shù)據(jù)和代碼的混和使用。XSS的攻擊目標不是WEB服務器，而是登錄網(wǎng)站的用戶?？缯灸_本攻擊跨站腳本的分類反射型XSS存儲型XSS跨腳本攻擊跨腳本攻擊的危害盜取信息，包括Cookie信息、各類用戶賬號（如網(wǎng)銀、游戲、電商等）、鍵盤記錄等會話劫持，網(wǎng)頁掛馬，XSS蠕蟲，與瀏覽器漏洞結合進行攻擊突破外網(wǎng)內(nèi)網(wǎng)不同安全設置屏蔽和偽造頁面信息，如釣魚網(wǎng)站進行XSSDDOS攻擊爬蟲攻擊網(wǎng)絡爬蟲定義：又稱網(wǎng)絡蜘蛛或網(wǎng)絡機器人，是一種按照一定的規(guī)則自動抓取萬維網(wǎng)資源的程序或者腳本，有助于高效搜索及網(wǎng)站推廣。攻擊者可利用爬蟲程序?qū)EB站點發(fā)起DOS攻擊。攻擊者可通過網(wǎng)絡爬蟲抓取各種敏感資料，用于不正當用途。收集的資料包括：站點的目錄列表、核心文本。測試頁面、手冊文檔、樣本程序中的缺陷程序。管理員登錄頁面。互聯(lián)網(wǎng)用戶的個人資料。文件上傳攻擊文件上傳攻擊定義：是指攻擊者利用Web應用對上傳文件過濾不嚴，導致上傳應用程序定義類型范圍之外的文件到Web服務器，如可執(zhí)行的腳本文件。攻擊者實施文件上傳攻擊的前提條件：上傳的文件能被WEB服務器解析執(zhí)行。用戶能夠通過Web訪問上傳文件。知道文件上傳到服務器后的存放路徑和文件名稱。軟件漏洞攻擊軟件漏洞是在軟件解決方案的代碼、架構、實現(xiàn)或設計中發(fā)現(xiàn)的缺陷、錯誤、弱點或各種其他錯誤。攻擊者可以利用漏洞獲得系統(tǒng)的權限，從而使攻擊者能夠控制受影響的設備、訪問敏感信息或觸發(fā)拒絕服務條件等。比如緩沖區(qū)溢出漏洞、棧溢出漏洞等，都是普遍存在且危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。1.軟件漏洞的分類1）操作系統(tǒng)服務程序漏洞2）文件處理軟件漏洞3）瀏覽器軟件漏洞4）其他軟件漏洞軟件漏洞攻擊2.軟件漏洞的攻擊利用技術直接網(wǎng)絡攻擊技術誘騙式網(wǎng)絡攻擊技術3.軟件漏洞攻擊的防范（1）使用新版本的操作系統(tǒng)和軟件，及時更新補丁。（2）訪問正規(guī)網(wǎng)站。（3）不隨意點擊通過電子郵件或通信軟件發(fā)來的文件。（4）使用安全殺毒軟件和主動防御技術。緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊定義：屬于系統(tǒng)攻擊，攻擊者通過向程序發(fā)出很長的消息，使計算機向緩沖區(qū)填充超出應有容量的數(shù)據(jù)，導致緩沖區(qū)溢出，程序的堆棧遭到破壞，造成程序運行失敗或者電腦死機，也可以修改與緩沖區(qū)相鄰的數(shù)據(jù)，使得目標機器執(zhí)行特定的惡意代碼。緩沖區(qū)漏洞一般是開發(fā)者寫代碼時產(chǎn)生的，它不易被發(fā)現(xiàn)，但是這類漏洞一旦被黑客發(fā)現(xiàn)，緩沖區(qū)溢出攻擊就變得非常簡單。常見的攻擊方法有：在通過利用已存在的代碼或自行編寫代碼，在程序的地址空間里植入惡意代碼。通過初始化寄存器和存儲器，控制返回地址轉(zhuǎn)到想要執(zhí)行的程序入口。拒絕服務攻擊拒絕服務（DenialofService，DOS）攻擊定義：是指占據(jù)大量資源，是系統(tǒng)沒有剩余資源給其他用戶，從而使合法用戶服務請求被拒絕，造成系統(tǒng)運行緩慢或癱瘓。攻擊目的：通常不是為了獲得訪問權，而是讓服務不可用或為完成其他攻擊做準備。攻擊原理：帶寬耗盡資源衰竭利用缺陷編程路由與域名系統(tǒng)（DNS）攻擊資源衰竭

拒絕服務攻擊攻擊方式：服務過載：發(fā)送大量的服務請求至計算機中的服務守護進程。消息流：向網(wǎng)絡上的一臺目標主機發(fā)送大量的數(shù)據(jù)包，來延緩目標主機的處理速度。信號接地：將網(wǎng)絡的電纜接地，引入一些其他信號或者將以太網(wǎng)上的端接器拿走。拒絕服務攻擊的癥狀網(wǎng)絡異常緩慢（打開文件或訪問網(wǎng)站）、特定網(wǎng)站無法訪問、無法訪問任何網(wǎng)站、垃圾郵件的數(shù)量急劇增加、無線或有線網(wǎng)絡連接異常斷開、長時間嘗試訪問網(wǎng)站或任何互聯(lián)網(wǎng)服務時被拒絕、服務器容易斷線、卡頓等?？赡軙е屡c目標系統(tǒng)在同一網(wǎng)絡中的其他計算機被攻擊，互聯(lián)網(wǎng)和局域網(wǎng)之間的帶寬會被攻擊導致大量消耗，不但影響目標系統(tǒng)，同時也影響網(wǎng)絡中的其他主機。如果攻擊的規(guī)模較大，整個地區(qū)的網(wǎng)絡連接都可能會受到影響。拒絕服務攻擊拒絕服務攻擊的分類1）資源消耗：可消耗的資源包括目標系統(tǒng)的系統(tǒng)資源（如CPU、內(nèi)存、存儲空間、系統(tǒng)進程總數(shù)、打印機等）和網(wǎng)絡帶寬。如TCPSYN/ACKFloods（TCPSYN/ACK泛洪攻擊）、TCPLAND攻擊、ICMPFloods（ICMP泛洪攻擊）、UDPFloods（UDP泛洪攻擊）、HTTPCC（ChallengeCollapsar，挑戰(zhàn)黑洞）泛洪攻擊等。2）系統(tǒng)或應用程序缺陷利用操作系統(tǒng)、網(wǎng)絡協(xié)議、應用程序的缺陷或漏洞來實現(xiàn)拒絕服務攻擊，一個惡意的數(shù)據(jù)包可能導致協(xié)議棧崩潰，從而無法提供服務。這類攻擊包括PingofDeath（死亡之Ping）、Teardrop（淚滴攻擊）、Smurf攻擊、IP分片攻擊。3）配置修改通過修改系統(tǒng)的運行配置，導致網(wǎng)絡不能正常提供服務，比如修改主機或路由器的路由信息、修改DNS緩存信息、修改注冊表或者某些應用程序的配置文件等。拒絕服務攻擊攻擊方式：服務過載：發(fā)送大量的服務請求至計算機中的服務守護進程。消息流：向網(wǎng)絡上的一臺目標主機發(fā)送大量的數(shù)據(jù)包，來延緩目標主機的處理速度。信號接地：將網(wǎng)絡的電纜接地，引入一些其他信號或者將以太網(wǎng)上的端接器拿走。拒絕服務攻擊的癥狀網(wǎng)絡異常緩慢（打開文件或訪問網(wǎng)站）、特定網(wǎng)站無法訪問、無法訪問任何網(wǎng)站、垃圾郵件的數(shù)量急劇增加、無線或有線網(wǎng)絡連接異常斷開、長時間嘗試訪問網(wǎng)站或任何互聯(lián)網(wǎng)服務時被拒絕、服務器容易斷線、卡頓等。可能會導致與目標系統(tǒng)在同一網(wǎng)絡中的其他計算機被攻擊，互聯(lián)網(wǎng)和局域網(wǎng)之間的帶寬會被攻擊導致大量消耗，不但影響目標系統(tǒng)，同時也影響網(wǎng)絡中的其他主機。如果攻擊的規(guī)模較大，整個地區(qū)的網(wǎng)絡連接都可能會受到影響。拒絕服務攻擊利用TCPSYN或TCPACK泛洪實現(xiàn)DOS攻擊黑客構造海量的TCPSYN/ACK數(shù)據(jù)包發(fā)起泛洪攻擊，以此消耗目標服務器資源，實現(xiàn)DOS/DDOS攻擊。在正常情況下，服務器在特定端口上收到TCPSYN數(shù)據(jù)包時，通過兩個步驟進行響應：①服務器首先檢查是否有任何當前偵聽指定端口請求的程序正在運行。②若該端口服務開啟，則服務器返回SYN-ACK數(shù)據(jù)包，并進入半開連接階段，等待最終建立會話。在正常情況下，服務器在特定端口上收到TCPACK數(shù)據(jù)包時，將通過以下兩個步驟進行響應：①服務器首先檢查該數(shù)據(jù)包所對應的TCP連接是否已存在，若存在則繼續(xù)上傳給應用層。②如果該會話沒有開啟或不合法，則服務器返回RST數(shù)據(jù)包。拒絕服務攻擊利用TCPSYN或TCPACK泛洪實現(xiàn)DOS攻擊拒絕服務攻擊利用ICMP實現(xiàn)DOS攻擊黑客利用ICMP協(xié)議，發(fā)起ICMPfloods或thepingofdeath等實現(xiàn)DOS/DDOS攻擊。構造海量的ICMP數(shù)據(jù)包發(fā)起泛洪攻擊，以此消耗目標帶寬資源，實現(xiàn)DOS攻擊。拒絕服務攻擊利用TCPSYN/ACK或ICMP或UDP泛洪實現(xiàn)DOS攻擊（Hping3程序）SYN泛洪攻擊sudohping3-S-a-p80--flood目標IPsudohping3-S--random-source-p443--flood目標IPACK泛洪攻擊

sudohping3-A-a-p80--flood目標IPsudohping3-A--random-source-p443--flood目標IPICMP泛洪攻擊sudohping3--icmp--rand-source--flood目標IPUDP泛洪攻擊sudohping3-a--udp-p444--flood目標IPsudohping3--udp--rand-source--flood目標IP注：目標IP請?zhí)顚懕镜靥摂M機地址，未經(jīng)授權發(fā)起攻擊是違法行為！拒絕服務攻擊利用HTTP/HTTPS實現(xiàn)DOS攻擊黑客利用HTTP/HTTPS協(xié)議發(fā)起“HTTPCC”（ChallengeCollapsar，挑戰(zhàn)黑洞）泛洪攻擊，實現(xiàn)對目標的DOS/DDOS攻擊。攻擊者構造大量的GET/POST請求，模擬大量正常用戶點擊目標網(wǎng)站，致使其癱瘓。相比TCP/UDP/ICMP等攻擊，HTTPCC是直接攻擊應用層，防御難度更大，正常或惡意流量較難區(qū)分拒絕服務攻擊利用HTTP/HTTPS實現(xiàn)DOS攻擊1、進入KaliLinux虛擬機，打開Wireshark抓包軟件。2、進入命令終端，運行ab程序，發(fā)起CC泛洪攻擊ab-n1000-c500

http://testhtml5.vulnweb.com/

-n設置發(fā)包總數(shù)量；-c設置并發(fā)數(shù)量；-h查看幫助；支持https3、Wireshark觀察抓到的數(shù)據(jù)包，學習攻擊行為特征，并保存攻擊數(shù)據(jù)包到本地。ab程序也可以作為網(wǎng)站壓力測試的工具一定要記住：未經(jīng)授權發(fā)起攻擊是違法行為！拒絕服務攻擊分布式拒絕服務攻擊（DistributedDenial-of-Service，簡稱DDoS）是指攻擊者控制網(wǎng)絡上兩個或以上被攻陷的電腦作為“僵尸主機（肉雞）”向目標系統(tǒng)發(fā)動“拒絕服務”式攻擊。DDoS的攻擊目標一般是游戲、電子商務、互聯(lián)網(wǎng)金融、博彩等暴利且競爭激烈的行業(yè)。惡意競爭是目前DDoS攻擊的主要動機，利潤越高、競爭越激烈的行業(yè)，遭受攻擊的頻率越高。游戲行業(yè)已經(jīng)成為了DDoS攻擊的重災區(qū)。DDoS攻擊趨勢拒絕服務攻擊拒絕服務攻擊的防御在基礎設施方面進行升級，來緩解攻擊，如提高網(wǎng)絡帶寬、增強CPU性能等。結合多種網(wǎng)絡安全專用設備和工具組成防御體系，其中包括防火墻、入侵檢測系統(tǒng)和網(wǎng)絡異常行為檢測器等，在網(wǎng)絡邊界采用專用的DoS/DDoS檢測和防御技術，選擇能提供自動限速、流量整形、后期連接、深度包檢測和假IP過濾功能的網(wǎng)絡設備。隨時更新網(wǎng)絡設備和主機的系統(tǒng)漏洞、關閉不需要的服務、安裝必要的防毒和防火墻軟件，隨時注意系統(tǒng)安全，避免被黑客和自動化的DDoS程序植入攻擊程序，成為黑客攻擊的幫兇。假消息攻擊假消息攻擊是一種內(nèi)網(wǎng)滲透方法，是指利用網(wǎng)絡協(xié)議設計中的安全缺陷，通過發(fā)送偽裝的數(shù)據(jù)包達到欺騙目標、從中獲利的目的。目前最常用的協(xié)議TCP/IP存在缺乏有效的信息加密機制和缺乏有效的身份鑒別和認證機制的設計缺陷，導致其通信內(nèi)容容易被第三方截獲、通信雙方無法確認彼此的身份，很多的假消息攻擊方法就是利用了這些缺陷實現(xiàn)攻擊的。假消息攻擊的方法很多，如ARP欺騙攻擊、ICMP重定向攻擊、IP欺騙攻擊、DNS欺騙攻擊等。ARP欺騙攻擊ARP請求采用廣播方式，局域網(wǎng)中所有主機都“知曉”這個信息，即一對多；ARP回復采用單播方式，即一對一方式；無論是ARP請求包，還是ARP回復包，都可以通過軟件和工具進行偽造。ARP欺騙攻擊電腦通信需要查找ARP表（ip-mac)，而交換機通信需要查找CAM表(mac-port）；同一局域網(wǎng)內(nèi)，攻擊者可以根據(jù)主機的ARP廣播請求監(jiān)聽其IP和MAC信息。ARP欺騙攻擊PC3（Hacker）在監(jiān)聽之后，發(fā)起了ARP回復包：我就是PC2（IP2-MAC3）；這個ARP回復包就是典型的ARP欺騙包，PC3明明是IP3對應MAC3。ARP欺騙攻擊PC1收到兩個ARP回應包，內(nèi)容分別如下：③我是PC2，我的IP地址是IP2，我的MAC地址是MAC2；③我是PC2，我的IP地址是IP2，我的MAC地址是MAC3；ARP緩存表采用「后到優(yōu)先」原則，新的回復會覆蓋舊的回復，類似通訊錄。ARP欺騙攻擊作為hacker，只要持續(xù)不停發(fā)出ARP欺騙包，就一定能夠覆蓋掉正常的ARP回應包。穩(wěn)健的ARP嗅探/滲透工具，能在短時間內(nèi)高并發(fā)做網(wǎng)絡掃描（例如1秒鐘成千上百的數(shù)據(jù)包），能夠持續(xù)對外發(fā)送欺騙包。ARP欺騙攻擊由于PC1采用錯誤的ARP映射，所以本來要發(fā)給PC2的數(shù)據(jù)，最終被PC3“攔截”了。好比PC1發(fā)快遞給PC2，電話號碼寫的PC2的，但收件地址卻寫的PC3的。ARP欺騙攻擊既然PC3能攔截PC1發(fā)給PC2的，也就能攔截PC2發(fā)給PC1的，繼而能攔截整個局域網(wǎng)的；既然黑客能攔截數(shù)據(jù)，那也就可以「斷網(wǎng)」「限速」「竊取敏感信息」。ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼1、打開KaliLinux與Windows虛擬機，測試連通性。2、進入KaliLinux，打開Wireshark，監(jiān)聽虛機上網(wǎng)網(wǎng)卡3、進入Kali終端，運行Ettercap程序：sudoettercap

-GEttercap（/）是一款在LAN中進行中間人攻擊的工具集。它通過ARP攻擊充當網(wǎng)絡通信的中間人。一且ARP協(xié)議的攻擊奏效，它就能夠：●修改數(shù)據(jù)連接；●截獲FTP、HTTP、POP和SSH1等協(xié)議的密碼；●通過偽造SSL證書的手段劫持被測主機的HTTPS會話。ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼4、點擊√啟動ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼5、點放大鏡搜索主機ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼6、查看主機列表ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼7、選擇Windows受害主機和網(wǎng)關IPARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼8、開啟arppoisoning毒化ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼9、開啟偵聽sniffremote

connectARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼10、進入Windows虛機，查看ARP表變化ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼11、進入KaliLinux虛機，查看WiresharkARP攻擊包ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼12、Kali新建終端運行Ettercap：sudoettercap–Tq–ieth0ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼13、進入Windows虛機，用IE瀏覽器訪問相關網(wǎng)址，如/login，/ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼14、進入KaliLinux虛機，觀察上網(wǎng)賬號密碼信息ARP欺騙攻擊ARP欺騙攻擊實戰(zhàn)——獲取上網(wǎng)賬號密碼15、進入KaliLinux虛機，ettercap停止攻擊間諜軟件攻擊間諜軟件定義：是指未經(jīng)用戶允許安裝在用戶電腦中安裝的用來監(jiān)控用戶網(wǎng)上活動或窺探用戶資料的惡意軟件，其常在用戶不知情的情形下，將收集到的機密信息發(fā)給第三方。間諜軟件的分類如下：A.Cookies和webbugs類 B.瀏覽器綁架類C.擊鍵記錄類 D.跟蹤類E.惡意軟件類 F.間諜蟲類G.廣告軟件類0-day漏洞攻擊0-day漏洞定義：是指被攻擊者掌握，但卻還未公開或軟件廠商還沒有發(fā)布相應補丁的軟件漏洞。0-day漏洞由于缺少公開信息，易于躲避入侵檢測系統(tǒng)和防火墻的檢測。0-day漏洞的主要發(fā)布類型：ISRIPcrack&keygen僵尸網(wǎng)絡僵尸網(wǎng)絡定義：是指攻擊者通過傳播僵尸程序感染控制大量主機，由被感染主機所組成的網(wǎng)絡。根據(jù)命令與控制信道采用協(xié)議的不同，可分為基于IRC的僵尸網(wǎng)絡、基于P2P的僵尸網(wǎng)絡和基于HTTP的僵尸網(wǎng)絡僵尸網(wǎng)絡工作機制（1）攻擊者傳播僵尸程序感染目標主機。（2）僵尸程序嘗試加入指定的命令與控制服務器。（3）攻擊者普遍使用動態(tài)域名服務將僵尸程序連接的域名映射到其所控制的多臺IRC服務器上。（4）僵尸程序加入到控制信道中。（5）僵尸程序監(jiān)聽控制指令。（6）攻擊者向僵尸網(wǎng)絡發(fā)出攻擊。（7）僵尸程序接受指令，完成攻擊者的攻擊目標。APT攻擊APT攻擊是指通過發(fā)動一系列針對重要的基礎設施和單位的攻擊，以獲取某個組織甚至國家的重要信息。APT攻擊的3個階段：攻擊前準備階段、攻擊入侵階段和持續(xù)攻擊階段APT攻擊的5個步驟：情報收集、防線突破、通道建立、橫向滲透、信息收集及外傳。典型網(wǎng)絡入侵事件1.3典型的網(wǎng)絡入侵事件（1）意大利監(jiān)控軟件廠商HackingTeam被攻擊（2）益百利公司電腦遭到黑客入侵。（3）美國遭史上最大規(guī)模DDoS攻擊（4）希拉里郵件門事件（5）WannaCry勒索病毒席卷全球意大利監(jiān)控軟件廠商HackingTeam被攻擊2015年7月初，有“互聯(lián)網(wǎng)軍火庫”之稱的意大利監(jiān)控軟件廠商HackingTeam被黑客攻擊。這次攻擊造成HackingTeam中的400GB內(nèi)部數(shù)據(jù)泄露，其掌握的大量漏洞和攻擊工具也暴露在這400GB數(shù)據(jù)中，且泄露的數(shù)據(jù)可以在互聯(lián)網(wǎng)上公開下載和傳播。業(yè)內(nèi)人士擔憂一旦泄露數(shù)據(jù)廣泛流傳，將使得世界安全形勢迅速惡化。益百利公司電腦遭到黑客入侵2015年10月1日，美國移動電話服務公司T-Mobile宣布，負責處理T-Mobile公司信用卡申請的益百利公司的一個業(yè)務部門被黑客入侵。這次攻擊造成1500萬用戶個人信息泄露，包括用戶姓名、出生日期、地址、社會安全號、ID號碼（護照號或駕照號碼）等資料。美國遭史上最大規(guī)模DDoS攻擊2016年10月，美國域名服務器管理服務供應商Dyn遭受由惡意軟件Mirai控制的僵尸網(wǎng)絡發(fā)起的DDoS攻擊。這次攻擊造成許多網(wǎng)站在美國東海岸地區(qū)宕機，如GitHub、Twitter、PayPal等，用戶無法通過域名訪問這些站點。奇安信公司與全球安全社區(qū)在事件發(fā)生后一起參與了這次事件的追蹤、分析、溯源和響應處置，通過利用奇安信公司的惡意掃描源數(shù)據(jù)，率先發(fā)現(xiàn)并持續(xù)追蹤溯源了這個由攝像頭等智能設備組成的僵尸網(wǎng)站。奇安信也是中國唯一參與全球協(xié)同處置該事件的機構。希拉里郵件門事件2016年年初，郵件門事件首次被曝光，希拉里在2009年至2013年擔任美國國務卿期間，違規(guī)使用私人電子郵箱和位于家中的私人服務器收發(fā)大量涉密的郵件.涉嫌違反美國《聯(lián)邦檔案法》，面臨調(diào)查時又匆匆刪除。2016年夏季，美國民主黨全國委員會、籌款委員會、競選團隊被黑客組織入侵，近2萬封郵件被維基解密披露。郵件顯示，希拉里涉嫌抹黑競爭對手，以及可能涉嫌洗錢等財務問題。WannaCry勒索病毒席卷全球2017年5月12日，新型"蠕蟲"式勒索病毒W(wǎng)annaCry爆發(fā)。WannaCry病毒通過對被感染的計算機內(nèi)的文檔、圖片、程序等實施高強度加密鎖定，以向用戶索取5個比特幣（價值為人民幣幣5萬多元）的贖金。這場全球最大的網(wǎng)絡攻擊已經(jīng)造成至少150個國家和20萬臺機器受到感染，受害者包括中國、英國、俄羅斯、德國和西班牙等國的醫(yī)院、大學、制造商和政府機構。2017年5月：WannaCry病毒席卷全球2017年5月：WannaCry病毒席卷全球一旦電腦中了WannaCry病毒，則電腦所有文件被加密，要求支付高昂比特幣費用才能拿到解密秘鑰。（注：即便支付了也沒用）近十年來影響范圍最大的一次黑客攻擊事件，全球共有150多個國家超過30萬臺電腦被感染，波及政府、學校、醫(yī)院、航班、金融等行業(yè)。第一次結合比特幣勒索進行大規(guī)模傳播，使得“黑產(chǎn)”完全裸露在大眾面前。此勒索病毒基于NSA網(wǎng)絡軍火庫中的“永恒之藍”漏洞進行傳播，基于445共享端口，微軟漏洞編號為ms17-010。2017年5月：WannaCry病毒席卷全球2022年俄烏沖突之際，一場“網(wǎng)絡世界大戰(zhàn)”席卷全球…網(wǎng)絡戰(zhàn)場作戰(zhàn)域：網(wǎng)絡空間作戰(zhàn)方式：

APT、0day、網(wǎng)絡武器現(xiàn)實戰(zhàn)場作戰(zhàn)域：海陸空天作戰(zhàn)方式：坦克、導彈、槍支2022年1月14~15日，烏克蘭

70+

網(wǎng)站被DDOS或篡改1

月

14

~

15

日、2

月

15

日，烏克蘭軍方、內(nèi)政部、外交部、教育部、能源部、國有銀行等約

70

多個官方網(wǎng)站及關鍵基礎信息設施，因遭受DDoS

攻擊而癱瘓。部分官方網(wǎng)站主頁被篡改并留下宣言：“所有烏克蘭?的個?信息都已公開……不可能修復的。害怕吧！請做最壞的打算吧！”2022年2月22日，歐盟成立“網(wǎng)絡快速反應小組”2

月

22

日

，歐盟成立了“網(wǎng)絡快速反應小組”，由立陶宛、克羅地亞、波蘭、荷蘭等多國安全專家組建而成，目的是想通過遠程協(xié)助的方式，來幫助烏克蘭共同抵御網(wǎng)絡攻擊。該項目旨在為歐盟及其“合作伙伴”提供網(wǎng)絡防御能力。至此，歐盟通過網(wǎng)絡空間參與“作戰(zhàn)”。2022

年

2

月

23

日，烏克蘭再遭數(shù)據(jù)擦除攻擊在

2

月

23

日，烏克蘭等多家政府網(wǎng)站，以及數(shù)百臺關鍵基礎設施計算機，遭受到數(shù)據(jù)擦除攻擊。根據(jù)公開情報顯示，攻擊者采用一種叫做HermeticWiper

的新型網(wǎng)絡武器，一旦被攻擊，則數(shù)據(jù)無法再恢復。2022年2月25日，烏克蘭軍方及士兵遭魚叉釣魚攻擊在

2

月

25

日，烏克蘭方面發(fā)布預警，聲稱有一系列針對烏克蘭士兵的網(wǎng)絡釣魚電子郵件，涉及到‘i.ua’和‘meta.ua’賬戶，這兩個網(wǎng)址都屬于烏克蘭的電子郵件服務。郵件中包含偽裝為烏克蘭軍事機構文件、國防部命令文件、國家警察局文件等。2022年2月25日，“匿名者”宣布對俄發(fā)動“網(wǎng)絡戰(zhàn)”2

月

25

日，全球最大的黑客組織“匿名者”宣布對俄發(fā)動“網(wǎng)絡Z爭”。同日，美國前國務卿希拉里在接受采訪時呼吁美國黑客對俄羅斯發(fā)動網(wǎng)絡攻擊。緊接著，俄羅斯國家媒體RT電視臺網(wǎng)站就被攻克，有幾個小時無法訪問。同日，美國前國務卿希拉里在接受采訪時呼吁美國黑客對俄羅斯發(fā)動網(wǎng)絡攻擊。同日，烏克蘭還向韓國等相關國家發(fā)起求助，希望大家在網(wǎng)絡空間提供援助。2022年2月27日，烏克蘭招募全球黑客組建“IT軍隊”2

月

27

日，烏克蘭通過Facebook、Twitter、Telegram等互聯(lián)網(wǎng)渠道，招募來自全球的網(wǎng)絡特工和志愿者黑客，由此組成“IT軍隊”

，成立“網(wǎng)絡聯(lián)軍”

，已有

20萬+

人參與加入。同日，應烏克蘭請求，美國Telsa、Space和Starlink創(chuàng)始人馬斯克宣布，為其開通衛(wèi)星互聯(lián)網(wǎng)服務。2022年2月28日，“匿名者”稱已關閉俄數(shù)百關鍵站點2

月

28

日，黑客組織匿名者通過推特聲稱，在數(shù)天內(nèi)已關閉了超過數(shù)百個俄羅斯政府、媒體、銀行站點，包括一些關鍵信息基礎設施。2022年3月1日，Conti“拆伙”引發(fā)網(wǎng)絡武器泄露危機俄烏沖突引發(fā)相關黑客犯罪組織分裂，因政見不統(tǒng)一，Conti

勒索軟件選擇站隊俄羅斯，引發(fā)內(nèi)部烏克蘭安全研究人員的憤怒，瘋狂地公開泄露Conti內(nèi)部數(shù)據(jù)；從

2

月27日到

3

月1

日，相關成員持續(xù)公開泄露Conti/TrickBot源代碼、Conti團伙超10萬條聊天消息、

泄露數(shù)據(jù)庫等、團伙培訓材料。其

TTPs（戰(zhàn)術、技術、流程）也已被剖析且公開，恐引發(fā)新一輪網(wǎng)絡武器/勒索軟件危機。2022年3月2日，烏軍第72信息心理作戰(zhàn)中心遭精確打擊3

月

2

日，俄國防部發(fā)言人宣稱，俄方針對基輔的烏克蘭國家安全局技術設施及烏軍第72信息心理作戰(zhàn)中心實施了精確打擊，電視塔廣播設備已經(jīng)基本癱瘓。烏克蘭特種作戰(zhàn)部隊共有

4

個心理戰(zhàn)單位：駐扎在圭瓦的第16信息化心理作戰(zhàn)中心、駐扎在布羅瓦里的第72信息化心理作戰(zhàn)中心、駐扎在利維夫的第83信息化心理作戰(zhàn)中心、駐扎在敖德薩的第74信息化心理作戰(zhàn)中心。2022年3月3日，

俄發(fā)言人：遭受前所未有網(wǎng)絡攻擊3

月

3

日，俄羅斯外交部發(fā)言人稱，其外交部網(wǎng)站及相關基礎設施正在遭受“前所未有的網(wǎng)絡攻擊”。相關組織通過社交媒體，發(fā)動輿論心理戰(zhàn)，引導大批民眾加入網(wǎng)絡戰(zhàn)。2022年2

~3月，全球數(shù)十黑客組織加入這場網(wǎng)絡混戰(zhàn)俄烏網(wǎng)絡戰(zhàn)總結分析在

2月24日交戰(zhàn)前，烏方在網(wǎng)絡空間領域，似乎沒有任何還手之力；相比之下，俄方通過DDOS

攻擊、斷網(wǎng)攻擊、數(shù)據(jù)擦除等混合作戰(zhàn)手段，結合網(wǎng)空輿論戰(zhàn)，形成戰(zhàn)略威懾，占據(jù)主導優(yōu)勢。在

2

月

24

日火力開戰(zhàn)后，烏方開始采取主動防御思路，通過招募全球志愿者網(wǎng)絡聯(lián)軍、請求相關國家企業(yè)參與支持等多種策略，正式在網(wǎng)絡空間領域，與俄羅斯展開攻防對抗局勢。在網(wǎng)絡作戰(zhàn)力量層面，本次網(wǎng)絡戰(zhàn)可謂規(guī)?？涨?、史無前例，從全球APT黑客組織到國家級網(wǎng)絡軍隊，再到民間志愿者再到私營組織，其影響范圍絲毫不亞于物理世界的真槍實彈。2019年3月：委內(nèi)瑞拉遭黑客攻擊致全國大規(guī)模停電2019年3月7號，委內(nèi)瑞拉全國21個洲斷電，直到13號才陸續(xù)恢復?？偨y(tǒng)馬杜羅指責這是來自美國芝加哥的網(wǎng)絡攻擊，采用電磁脈沖的方式。美國國務卿蓬佩奧幸災樂禍地發(fā)推文：沒有食物、沒有醫(yī)藥、沒有電，下一步就是沒有馬杜羅！2018年11月：萬豪集團5億用戶開房信息泄露2018年11月30號，萬豪國際集團發(fā)布公告稱，旗下喜達屋酒店賓客數(shù)據(jù)庫信息在未經(jīng)授權情況下被訪問，最多涉及5億名客人，其中3.27億人包括姓名、地址、電話、生日、護照、甚至部分支付卡號和有效期等。調(diào)查顯示最早被黑客入侵于2014年。這是史上第二大大規(guī)模的信息泄露案件，受此影響，萬豪集團股價大跌5%。2017年4月：NSA方程式組織核武器級攻擊庫遭泄露NSA（NationalSecurityAgency）即美國安全局，而方程式組織（Equation

Group）據(jù)稱是旗下一支技術高超的黑客組織；本次泄露事件即影子經(jīng)紀人（

Shadow

Brokers）黑客組織入侵方程式組織武器庫，并最終拿到部分泄密武器。影子經(jīng)紀人最初希望100萬比特幣公開售賣（接近5億美元），但最終沒有人支付，所以陸續(xù)公開到互聯(lián)網(wǎng)上。（2016年發(fā)布部分，2017年4月14號再次發(fā)布）Shadow

Brokers公開的NSA武器庫地址：

/misterch0c/shadowbroker美國情報體系解讀：/wiki/%E7%BE%8E%E5%9C%8B%E6%83%85%E5%A0%B1%E9%AB%94%E7%B3%BB席卷全球150個國家的WannaCry病毒僅僅用到武器庫中的“永恒之藍”泄露出來的部分武器庫，包括以下攻擊工具（部分）：EternalBlue（永恒之藍）

EternalChampion（永恒王者）EternalRomance（永恒浪漫）

EternalSynergy（永恒協(xié)作）EmeraldThread（翡翠纖維）

ErraticGopher（古怪地鼠）EsikmoRoll（愛斯基摩卷）

EducatedScholar（文雅學者）

EclipsedWind（日食之翼）

EsteemAudit（尊重審查）以上工具主要基于Windows

135、445、3389等端口進行傳播和攻擊。2017年4月：NSA方程式組織核武器級攻擊庫遭泄露NSA武器庫安全檢測與修復微軟官方NSA武器庫修復補丁（MS17-010）：/zh-cn/library/security/MS17-010360

NSA武器庫免疫工具：2017年3月~至今：CIA

Vault

7武器庫持續(xù)被泄露美國中央情報局7號軍火庫在維基解密網(wǎng)站上持續(xù)被公開/vault7/ExpressLane：“快車道”，秘密收集系統(tǒng)數(shù)據(jù)；CouchPotato：“沙發(fā)土豆”，實時遠程監(jiān)控視頻流；Dumbo：“小飛象”，可以暫停攝像頭的進程并破壞相關視頻記錄；Imperial：“帝國”，針對運行OSX和不同版本的Linux操作系統(tǒng)的計算機；UCL/Raytheon：為CIA遠程開發(fā)部門提供技術情報；OutlawCountry：“法外之地”，入侵運行有Linux操作系統(tǒng)的計算機；Elsa：“艾爾莎”，利用WiFi追蹤電腦地理位置；Brutal

Kangaroo：“野蠻袋鼠”，攻擊網(wǎng)閘設備和封閉網(wǎng)絡；BothanSpy：“博薩間諜”，對SSH憑證進行攔截與滲透;Cherry

Blossom：“櫻花”，攻擊無線設備的框架；2017年3月~至今：CIA

Vault7武器庫持續(xù)被泄露Pandemic：“流行病”，文件服務器轉(zhuǎn)換為惡意軟件感染源；Athena：“雅典娜”，惡意間諜軟件，能威脅所有Windows版本；AfterMidnight

：“午夜之后”，Winodws平臺上的惡意軟件框架；Archimedes：“阿基米德”，中間人攻擊工具

；Scribbles：CIA追蹤涉嫌告密者的程序；Weeping

Angel：“哭泣天使”，將智能電視的麥克風轉(zhuǎn)變?yōu)楸O(jiān)控工具；Grasshopper：“蝗蟲”，針對Windows高度可配置木馬遠控植入工具；Dark

Matter：“暗物質(zhì)”，CIA入侵蘋果Mac和iOS設備的技術與工具;HighRise：“摩天大樓”，通過短信竊取智能手機數(shù)據(jù)的工具；Angelfire：專門用于感染W(wǎng)indows計算機設備的惡意軟件框架；Protego：“盔甲護身”，導彈控制系統(tǒng)。2017年3月~至今：CIA

Vault7武器庫持續(xù)被泄露2013年6月：棱鏡門事件，斯諾登外逃棱鏡計劃（PRISM）是美國國家安全局從2007年開始實施的“絕密級”電子監(jiān)聽計劃，項目名稱為“US-984XN”。PRISM計劃的前身是911事件之后“恐怖分子監(jiān)聽計劃”，奧巴馬任期內(nèi)一直由美國安全局持續(xù)執(zhí)行。監(jiān)聽對象包括全球政要人物、美國本土及境外人士，包括電話語音、電子郵件、社交通信等圖片/語音/視頻信息。愛德華·斯諾登（前CIA職員NSA外包技術員）于2013年6月在香港將棱鏡計劃絕密文檔交給英國衛(wèi)報和美國華盛頓郵報，遭到全球通緝。6月23號從香港逃往莫斯科，得到俄羅斯庇護。2013年6月：棱鏡門事件，斯諾登外逃斯諾登電影/紀錄片推薦《第四公民》注：第87屆奧斯卡金像獎

《斯諾登》2010年6月：震網(wǎng)Stuxnet：第一個工控蠕蟲病毒震網(wǎng)（stuxnet）病毒首次于2010年6月被白俄羅斯安全公司VirtusBlokAda發(fā)現(xiàn)，是全球第一例被發(fā)現(xiàn)針對工業(yè)控制系統(tǒng)的網(wǎng)絡病毒，據(jù)稱是美國與以色列用于摧毀伊朗核基礎設施鈾濃縮離心機而合作研發(fā)的；震網(wǎng)（stuxnet）也是罕見的同時采用4個零日漏洞的高復雜性病毒，而這種情況幾乎只能是由“國家隊”投入大量人力和時間才能做到的。震網(wǎng)紀錄片推薦：《零日網(wǎng)絡戰(zhàn)》國外大規(guī)模黑客攻擊事件層次不窮2017.09：美國征信巨頭Equifax數(shù)據(jù)庫遭攻擊，近1.43億個人信息泄露，占美國人口一半2016.12：雅虎曝史上最大規(guī)模信息泄露，10億用戶資料被竊2016.12：俄羅斯央行遭黑客攻擊

3100萬美元不翼而飛2016.09：Dropbox6800萬帳號密碼遭泄露2014.05：eBay被攻擊導致1億多用戶賬戶信息遭泄露2011.04：索尼PSN7000萬個人賬號信息被盜……中國網(wǎng)絡安全大事件2022年3月3日，外交部譴責美國NSA全球攻擊計劃3

月

3

日，我方外交部發(fā)言人稱：譴責報告曝光的惡意網(wǎng)絡活動，再次強烈敦促美方作出解釋，并立即停止此類活動。中方將采取必要措施維護中國的網(wǎng)絡安全和自身利益。3

月

2

日，360

發(fā)布《網(wǎng)絡戰(zhàn)序幕：美國國安局NSA（APT-C-40）對全球發(fā)起長達十余年無差別攻擊》2022年3月12日，我國互聯(lián)網(wǎng)遭持續(xù)攻擊，IP來自美國根據(jù)人民日報、央視新聞報道，

2月下旬以來，我國互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡攻擊，境外組織通過攻擊控制我境內(nèi)計算機，進而對俄羅斯、烏克蘭、白俄羅斯進行網(wǎng)絡攻擊。攻擊地址主要來自美國，僅來自紐約州的攻擊地址就有10余個，攻擊流量峰值達36Gbps，87%的攻擊目標是俄羅斯和白俄羅斯。3

月

2

日，境外黑客組織AgainstTheWest

聲稱，其已攻破了Z國南方H空公司、Z國H空公司、廣Z地T系統(tǒng)、山X煤礦、中C、黃H機C、海N省Z府單位等。AgainstTheWest

對我方有明確的作戰(zhàn)意圖和攻擊事件，該組織此前明確支持臺W。2022年3月，AgainstTheWest黑客組織發(fā)起攻擊3

月

以來，境外黑客組織

Anonymous

通過多個社交賬號聲稱，其將對中國、俄羅斯等發(fā)起網(wǎng)絡作戰(zhàn)攻擊，且持續(xù)發(fā)布攻破目標源代碼，比如三一Z工、小M等。Anonymous

對我方有明確的作戰(zhàn)意圖和攻擊事件，該組織此前明確聲援香G事件，曾發(fā)動輿論呼吁全球黑客加入攻擊行動。截止當前，其已陸續(xù)開啟進一步行動。2022年3月，Anonymous匿名者黑客組織發(fā)起攻擊2022年3月，Anonymous匿名者黑客組織發(fā)起攻擊2020年3月：360披露美國CIA對中國APT攻擊

360安全大腦通過對

“Vault7（穹窿7）”網(wǎng)絡武器庫的研究，于全球首次發(fā)現(xiàn)與其關聯(lián)的一系列針對我國航空航天、科研機構、石油行業(yè)、互聯(lián)網(wǎng)以及政府機構等長達11年的定向攻擊。從2008年9月持續(xù)到2019年6月左右，主要集中在北京、廣東、浙江等省份。涉美攻擊組織為APT-C-39，隸屬美國中央情報局，具有高超的技術能力和專業(yè)化水準。2020年2月：印度APT組織對我國醫(yī)療系統(tǒng)進行攻擊2020年2月正當中國新冠防疫進行時，印度APT組織對我國醫(yī)療機構發(fā)起持續(xù)性威脅攻擊。黑客利用新冠肺炎疫情題材制作誘餌文檔，采用魚叉式攻擊，定向投放到醫(yī)療機構領域。

注：武漢旅行信息收集申請表.xlsm此次攻擊是為了獲取最新前沿的醫(yī)療新技術和醫(yī)療數(shù)據(jù)、擾亂中國的穩(wěn)定、制造更多的恐怖。2020年3月：新浪微博5億用戶信息泄露2020

年

3

月

19

號，新浪微博數(shù)據(jù)信息在暗網(wǎng)和Telegram等平臺被交易，其中

5.38

億微博用戶的個人信息中，有

1.72億被人打包出售。2020

年

3

月

24

號，工信部官網(wǎng)發(fā)布公告，要求微博遵循《網(wǎng)絡安全法》和《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等要求，采取有效措施消除數(shù)據(jù)安全風險。2018年8月：華住集團5億條用戶開房信息泄露2018年8月28號，華住酒店集團數(shù)據(jù)庫暗網(wǎng)公開售賣，包括個人身份和開房信息約5億條，被標價為

8

比特幣或520

門羅幣（約等于37

萬人民幣）出售。泄露數(shù)據(jù)涉及用戶姓名、注冊手機號碼、電子郵箱地址、身份證號、登錄密碼、入住時登記信息、酒店開房記錄等。國內(nèi)網(wǎng)絡安全事件回顧2017.09：中國互聯(lián)網(wǎng)安全大會/網(wǎng)絡安全宣傳周2017.06：央視曝光8成智能攝像頭存安全隱患2016.12：京東12G用戶信息泄露并流通于黑市2015.10：網(wǎng)易163/126郵箱5億條用戶數(shù)據(jù)泄露2015.04：30個省市社保系統(tǒng)遭入侵，上千萬個人信息泄露2014.08：“XX神器”短信病毒致數(shù)百萬用戶隱私泄露2011.12：CSDN網(wǎng)站

600萬賬號信息泄露2011.06：新浪微博XSS蠕蟲病毒大規(guī)模用戶中招2010.01：百度域名被伊朗黑客劫持，超8個小時無法訪問……網(wǎng)絡入侵應對1.4網(wǎng)絡入侵應對安全的網(wǎng)絡環(huán)境，是指在網(wǎng)絡環(huán)境中的硬件設備和軟件都能夠正常有序的工作，不受任何因素的影響。這種定義當然只是理想狀態(tài)下，但是通過一些技術手段，在一定時間內(nèi)實現(xiàn)相對的安全，讓人們放心的使用網(wǎng)絡，是可以做到的。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。防火墻=警衛(wèi)，IDS=攝像頭防火墻通常不能阻止來自內(nèi)部網(wǎng)絡的攻擊，入侵檢測是網(wǎng)絡安全的第二道閘門，IPS/IDS是防火墻的的必要補充。防火墻VSIDS/IPS前期主要用于訪問限制，后者主要實現(xiàn)深度防御前期側(cè)重流量路徑控制，后者側(cè)重病毒過濾總結“俄烏網(wǎng)絡戰(zhàn)”背后，本質(zhì)是國家間網(wǎng)絡安全力量的對抗。當一個國家在網(wǎng)絡安全領域，擁有越來越多網(wǎng)絡安全人才、企業(yè)、資源時，就可以實現(xiàn)真正的“藏兵于民”，以此在國家網(wǎng)空領域沖突時，爭奪更有利的話語權。簡單來講，無論在哪個領域，話語權要么是威懾出來的，要么是“打”出來的。因此，抓緊全球百年未有之變局，跟隨國家網(wǎng)絡安全戰(zhàn)略，選擇網(wǎng)絡安全領域作為職業(yè)發(fā)展賽道，大有可為。攻防一體是網(wǎng)絡安全的發(fā)展趨勢。只懂攻擊不懂防御不行，只懂防御不懂攻擊也不行，在本次俄烏網(wǎng)空戰(zhàn)中，可謂體現(xiàn)得淋漓盡致。我們在學習網(wǎng)絡安全技術時，除了學習“Web滲透”、“內(nèi)網(wǎng)滲透”、“漏洞挖掘”，也需要學習“安全建設”、“等保合規(guī)”、“應急響應”。當今網(wǎng)絡安全事件已經(jīng)完全滲透到真實世界里，“比特世界”和“原子世界”邊界徹底被打破。毫無疑問地，國家與國家之間的對抗已經(jīng)在“第五空間”展開。思政要點：安全意識、責任意識、愛國精神網(wǎng)絡安全已經(jīng)上升到國家安全的高度THANKS!讓網(wǎng)絡更安全讓世界更美好第二章入侵檢測與防御原理入侵檢測與防御基本概念入侵檢測系統(tǒng)的基本模型入侵檢測系統(tǒng)的分類入侵檢測與防御的關鍵技術入侵檢測與防御的流程入侵檢測系統(tǒng)的體系架構入侵檢測與防御基本概念2.1入侵檢測基本概念入侵檢測：依據(jù)一定的安全策略，對網(wǎng)絡及系統(tǒng)的運行狀況進行檢測，識別對計算機或網(wǎng)絡信息的惡意行為，并對此行為做出響應的過程。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：具有入侵檢測功能的系統(tǒng)，是進行入侵檢測的軟件與硬件的組合。一般來講，攻擊分為來自外部網(wǎng)絡的攻擊，來自內(nèi)部網(wǎng)絡的攻擊以及內(nèi)部人員誤操作導致的虛假攻擊，IDS會從這三個方面進行分析?？梢詫DS理解為一位有豐富經(jīng)驗的網(wǎng)絡偵查員，任務就是分析出可疑信息并做出相應處理。IDS通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。IDS通過分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)和其他信息對應執(zhí)行監(jiān)視系統(tǒng)活動、審計系統(tǒng)漏洞、識別攻擊行為和報警攻擊。入侵檢測基本概念入侵檢測系統(tǒng)的主要功能：監(jiān)視、分析用戶及系統(tǒng)的活動；系統(tǒng)構造和弱點的審計；識別已知的進攻并報警；對異常行為模式進行統(tǒng)計