5.2运行安全_检测.ppt

网络与信息安全技术 主讲人：张宏莉 余翔湛 课程内容 信息安全概述 网络安全面临的威胁 信息安全体系结构 物理安全 运行安全 数据安全 信息内容安全 信息安全标准、法律法规 运行安全技术 主机系统运行安全 风险评估 防火墙与访问控制 网络系统运行安全 系统生存性评估 检测 大规模网络运行安全 安全态势评估 检测、响应与控制? 典型的网络安全事件 入侵 网络攻击 木马 病毒 网络蠕虫 僵尸网络 DDOS攻击 恶意代码 恶意代码（Malicious code）、恶意软件Malware（Malicious Software） 该软件违背计算机信息系统用户的意愿，执行时某些代码以破坏、窃取、恶意利用等为目的。若某程序代码集合中包含了一段此类的代码，则称此代码为恶意代码或恶意软件。 恶意的目的 本身是程序 通过执行发生作用? 不必要代码 不必要代码（Unwanted Code） 是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。? 恶意代码的检测与控制 恶意代码 入侵、攻击、病毒、木马、扫描等等 我们所关注的是网络安全事件（尤其是大规模网络安全事件）所涉及的网络恶意代码。 群体性 突发性 广范性，规模大 检测与控制的层面 主机层面 网络层面 大规模网络层面 蠕虫行为模式分类 蠕虫行为模式一般包括：扫描行为、攻击行为、命令控制行为、文件传输行为和激活行为 扫描行为(Scan):蠕虫发出一系列数据报文来扫描目标主机是否在线，或者是否开启相应服务，或者是否存在漏洞，这样的一系列事件被称为蠕虫的扫描行为。 扫描的顺序一般也是蠕虫复制、传播的顺序过程。 攻击行为(Attack):蠕虫利用目标主机服务存在的漏洞，以进入目标主机并获得一定权限为目的的一系列事件被称为蠕虫的攻击行为。 命令控制行为(Control):蠕虫利用攻击目标主机漏洞的结果和目标主机建立控制连接，从而可以在目标主机的shell环境下执行命令。蠕虫建立控制连接、向目标主机下达命令的过程被称为蠕虫的命令控制行为。 文件传输行为(Transmit)：蠕虫利用TFTP等传输方式将蠕虫副本、攻击工具等传到目标主机上的过程称为文件传输行为。从传输协议的角度来看，文件传输行为可以是一个单独的传输连接。需要说明的是，蠕虫副本可以以文件传输的方式进行，也可以嵌入到攻击行内进行传输——即攻击成功完成的同时蠕虫副本传输也成功完成。比如Blaster利用TFTP向目标主机传输蠕虫副本，蠕虫CodeRed的蠕虫副本和攻击行为结合在一起进行传播。 激活行为(Provoke)：是指目标主机已经获得蠕虫副本，攻击者通过命令控制或者攻击等方式激活目标主机上的蠕虫的过程称为激活行为。比如蠕虫Nimda通过执行类似“GET /scripts/Admin.dll HTTP/1.0”来激活目标主计上的蠕虫，蠕虫Sasser和Blaster通过控制连接激活目标主机上的蠕虫。 蠕虫的扫描（扩散） 随机扫描 本地优先扫描 顺序扫描 基于目标列表的扫描 分治扫描策略 被动式扩散 随机扫描扩散 均匀随机扫描 均匀随机扩散是指从扫描空间内随机抽取一个IP地址作为目标传播，扫描空间可以为整个IPv4地址空间 算法简单、易实现，会产生大量异常的流量，容易在早期就被检测系统发现。 选择性随机扫描 目标地址按照一定的算法随机生成，但对公网中不可能出现的地址块进行标识，避免扫描这些地址。 算法简单、易实现的特点，若与本地优先原则结合，则能达到更好的传播效果。但选择性随机扫描容易引起网络阻塞，使得网络蠕虫在爆发之前易被发现，隐蔽性差 CodeRed蠕虫、Slapper蠕虫、Slammer蠕虫 本地优先扫描 主导思想：优先选择本地或者与本地相近的网络进行扫描。 被感染主机上蠕虫的生成目标地址和所在主机的IP地址在同一个子网的概率比较大。如：Nimda蠕虫生成的目标地址有50%的概率在当前机器IP所在的B类地址范围内产生，有25%的概率在当前机器IP所在的A类范围内产生，另25%的概率是随机IP地址。这种扩散策略的支持者认为，一个主机被感染蠕虫之后，这个主机所在的子网的IP地址被分配出去并且被使用的概率比较大，从而能够增加发现漏洞主机的概率。 将互联网地址空间中未分配的或者保留的地址块排除在扫描之列 实现简单，传播速度与概率P的选取、地址空间数目相关 比如Blaster蠕虫和Nimda蠕虫， 顺序扫描 顺序扫描(sequential scan)：是指被感染主机上蠕虫会随机选择一个C类网络地址进行传播。根据本地优先原则，蠕虫一般会选择它所在网络内的IP地址。若蠕虫扫描的目标地址IP为A，则扫描的下一个地址IP为A+