《物联网信息安全》(桂小林版)(第6章)概述.pptx

第六章系统安全桂小林2014.9.1726.1系统安全的概念6.2恶意攻击6.3入侵检测6.4攻击防护6.5网络安全通信协议6.6本章小结本章内容3第六章系统安全基本要求熟悉系统安全的概念和各种隐患了解恶意攻击的概念、来源和攻击的原理了解入侵检测的相关方法技术了解攻击防护技术相关概念熟悉网络安全通信协议根据本章文献，参阅一篇感兴趣的文献并总结。46.1系统安全概念系统安全的范畴嵌入式节点的安全网络通信系统的安全存储系统的安全56.1系统安全概念系统安全的隐患什么是安全威胁安全威胁是指对安全的一种潜在的侵害，威胁的实施称为攻击信息安全的威胁就是指某个主体对信息资源的机密性、完整性、可用性等所造成的侵害。系统缺陷系统缺陷又可称为系统漏洞，是指应用软件、操作系统或系统硬件在逻辑设计上无意造成的设计缺陷或错误。恶意软件攻击恶意软件的攻击主要表现在各种木马和病毒软件对信息系统的破坏66.1系统安全概念系统安全的隐患外部网络攻击TCPflood攻击Smurf攻击DDoS攻击钓鱼攻击非授权和认证访问行为否认非授权访问6.2恶意攻击什么是恶意攻击网络恶意攻击通常是指利用系统存在的安全漏洞或弱点，通过非法手段获得某信息系统机密信息的访问权，以及对系统部分或全部的控制权，并对系统安全构成破坏或威胁。恶意攻击的来源恶意软件木马蠕虫病毒DDoS6.2恶意攻击病毒攻击的原理计算机病毒计算机病毒（ComputerVirus）的广义定义是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。《中华人民共和国计算机信息系统安全保护条例》中定义的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。6.2恶意攻击病毒攻击的原理病毒的特征可执行性传染性非授权性隐蔽性潜伏性破坏性寄生性不可预见性诱惑欺骗性6.2恶意攻击病毒攻击的原理病毒的分类引导型病毒文件型病毒复合型病毒宏病毒计算机蠕虫特洛伊木马6.2恶意攻击病毒攻击的原理病毒攻击的原理分析以引导型病毒为例分析6.2恶意攻击木马攻击的原理什么是木马木马是一种后门程序，黑客可以利用其盗取用户的隐私信息，甚至远程控制对方的计算机。完整的木马程序一般由两个部份组成，一个是服务器被控制端程序，一个是客户端控制端程序。木马典型攻击原理当服务器端在目标计算机上被执行后，木马打开一个默认的端口进行监听，当客户端（控制端）向服务器端（被控主机部分）提出连接请求，被控主机上的木马程序就会自动应答客户端的请求，服务器端程序与客户端建立连接后，客户端（控制端）就可以发送各类控制指令对服务器端（被控主机）进行完全控制，其操作几乎与在被控主机的本机操作权限完全相同。6.2恶意攻击木马攻击的原理木马植入原理通过电子邮件附件的方式捆绑在各类软件中网页挂马木马隐藏原理木马程序隐藏启动隐藏方式进程隐藏通信隐藏通过设备驱动和动态连接口隐藏 6.3入侵检测入侵检测的概念入侵入侵是指在信息系统中进行非授权的访问或活动，不仅指非系统用户非授地登陆系统和使用系统资源，还包括系统内的用户滥用权力对系统造成的破坏，如非法盗用他人帐户，非法获得系统管理员权限，修改或删除系统文件等。入侵检测入侵检测可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程。对外部入侵（非授权使用）行为的检测。对内部用户（合法用户）滥用自身权限的检测。6.3入侵检测入侵检测的概念入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）入侵检测的内容试图闯入成功闯入冒充其他用户违反安全策略合法用户的泄漏独占资源以及恶意使用6.3入侵检测入侵检测系统组成数据源探测器分析器管理器管理员安全策略6.3入侵检测入侵检测系统入侵检测系统分类基于网络的入侵检测系统（NetworkIntrusionDetectionSystem，NIDS）基于主机的入侵检测系统（Host-basedIntrusionDetectionSystem，HIDS）NIDS优势：独立与操作系统，检测实时性强缺点：需要传回大量的网络数据包，无法分析加密数据，存在攻击特征被拆分的情况等6.3入侵检测入侵检测系统HIDS优势能很好的处理加密数据包可以综合多个数据源进行分析高速网络情况下不存在数据表丢失的情况缺点降低系统性能配置和维护困难逃避检测存在数据欺骗的问题实时性较差6.3入侵检测入侵检测系统入侵检测的方法特征检测统计检测专家系统其他检测方法6.3入侵检测入侵检测系统入侵检测的方法特征检测统计检测专家系统其他检测方法基于免疫系统的检测方法遗传算法基于内核的检测方法6.3入侵检测入侵检测系统蜜罐和蜜网蜜罐（Honeypot）Honeypot是一种网络入侵