第八章黑客攻击与防范概论.ppt

* 防范缓冲区溢出攻击的有效措施 通过操作系统设置缓冲区的堆栈段为不可执行，从而阻止攻击者向其中植入攻击代码。 例如：微软的DEP（数据执行保护）技术 （Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系统中） 强制程序开发人员书写正确的、安全的代码。 目前，可以借助grep、FaultInjection、PurifyPlus等工具帮助开发人员发现程序中的安全漏洞。 通过对数组的读写操作进行边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁。 常见的对数组操作进行检查的工具有Compaq C编译器，Richard Jones和Paul Kelly开发的gcc补丁等。 * 对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。 IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。 IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 从产品价值角度讲：IDS注重的是网络安全状况的监管。IPS关注的是对入侵行为的控制 IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。 * 入侵（Intrusion）不仅包括发起攻击的人取得超出范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机造成危害的行为。 做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 * 漏报率的测试方法 1.???? 测试方法 能否检测最新的网络攻击事件是衡量一个IDS的研发和支持能力的重要指标，但是这个指标很难以量化，所以检测IDS的漏报率的常见方法是在不同的网络流量背景下，用攻击工具或者抓包工具回放的方式多次触发同一个事件，分析IDS的报警数量，从而计算IDS的漏报率]。 2.?????测试工具 IDS漏报率的测试工具包括：攻击工具（主要指触发单条IDS事件的工具，如Unicode）、发包工具（如IXIA、Smartbit等）、嗅探捕包工具（Sniffer、IRIS等）。 3.???? 测试步骤 1、? 将各测试设备连接好（保障IDS可以接收到交换机上的全部数据） 2、? 安装调试好IDS产品（确认IDS可以正常报警） 3、? 分别在加载0、25%、50%、75%、99%的背景流量下，在攻击机上启动测试工具，进行M（通常为100）次攻击。 4、? 在IDS控制中心检查报警数量，设为N 5、? 计算漏报率：漏报率=N/M*100%?（每种背景流量下做三次测试，取平均值） * 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。同时，针对不同的数据类型，所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 * * 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。 它具有着明显的优点： (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为 * 以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有： ● 模式、