攻击检测与系统恢复技术创新.ppt

3).使用命令提示符下的“net share”命令也可以很好地消除这一隐患。打开Windows自带的记事本，输入如下内容:： 　　net share admin$ /del 　　net share ipc$ /del 　　net share c /del 　　接下来将该文件保存为一个扩展名为“bat”的批处理文件。最后，运用Windows的“任务计划”功能让该批处理文件在每次开机时都自动运行。 　　提示:如果还有其他盘使用了共享，如D盘，则在记事本中添加“net share d /del”即可。输入时不要忽略参 4.2 入侵检测系统 只要允许内部网络与Internet相连，攻击者入侵的危险就会存在。由于入侵行为与正常的访问或多或少有些差别，通过收集和分析这种差别可以发现绝大部分的入侵行为，入侵检测系统（IDS，Intrusion Detection System）应运而生。 4.2.1 入侵检测系统概述 入侵检测及其内容 入侵检测是对入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。 入侵检测的内容包括：检测试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等破坏系统安全性的行为。 入侵检测系统从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，使安全管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害 入侵检测系统（IDS）实际上是一种使监控和分析过程自动化的产品，可以是软件，也可以是硬件，最常见的是软件与硬件的组合。所以，通常把负责入侵检测的软/硬件组合体称为入侵检测系统。 一个成功的入侵检测系统至少要满足以下5个要求 实时性要求：如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，就有可能把破坏控制在最小限度，并记录下攻击过程，可作为证据回放。 可扩展性要求：攻击手段多而复杂，攻击行为特征也各不相同。 适应性要求：入侵检测系统必须能够适用于多种不同的环境 。 安全性与可用性要求：入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。 有效性要求：能够证明根据某一设计所建立的入侵检测系统是切实有效的。即：对于攻击事件的错报与漏报能够控制在一定范围内；同时，入侵检测系统在发现入侵后，能够及时做出响应，有些响应是自动的 。 入侵检测系统的组成 入侵检测系统通常由两部分组成：传感器（Sensor）与控制台（Console）。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的IDS通常提供图形界面的控制台。 入侵检测系统的特点 入侵检测技术是动态安全技术的最核心技术之一 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。 入侵检测是防火墙的合理补充 帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统是黑客的克星 入侵检测和安全防护有根本性的区别：安全防护和黑客的关系是“防护在明，黑客在暗”，入侵检测和黑客的关系则是“黑客在明，检测在暗”。安全防护主要修补系统和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵的条件；入侵检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的（入侵事件的特征一般与系统缺陷有逻辑关系），所以入侵检测系统是黑客的克星。 4.2.2 入侵检测系统的数学模型 Denning的通用入侵检测模型 统一模型 入侵检测系统统一模型由5个主要部分（信息收集器、分析器、响应、数据库以及目录服务器）组成，如图所示。 4.2.3 入侵检测的过程 入侵信息的收集 系统和网络日志 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 信号分析 模式匹配 统计分析 专家系统 完整性分析 响应：分为被动响应和主动响应 被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统。 对被攻击系统实施控制（防护），是通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等；对攻击系统实