计算机网络安全管理王群第6章课件教学.pptVIP

第6章 入侵检测与防黑客攻击技术 6.1 入侵检测概述 计算机病毒针对的对象主要分为单机和网络两类，而入侵针对的对象主要是指网络，即入侵行为的发生环境是计算机网络，所以将入侵也称为网络入侵。 6.1.1 网络入侵与攻击的概念 网络入侵是一个广义上的概念，它是指任何威胁和破坏计算机或网络系统资源的行为，例如非授权访问或越权访问系统资源、搭线窃听网络信息等。入侵行为的人或主机称为入侵者。一个完整的入侵包括入侵准备、攻击、侵入实施等过程。 攻击是入侵者进行入侵所采取的技术手段和方法，入侵的整个过程都伴随着攻击，有时也把入侵者称为攻击者。 入侵与攻击的关系 在整个网络行为中，入侵和攻击仅仅是在形式和概念描述上有所不同，其实质基本上是相同的。对计算机和网络系统而言，入侵与攻击没有本质的区别，入侵伴随着攻击，攻击的结果就是入侵。例如，在入侵者没有侵入目标网络之前，会采取一些方法或手段对目标网络进行攻击。当攻击者侵入目标网络之后，入侵者利用各种手段窃取和破坏别人的资源。 从网络安全角度看，入侵和攻击的结果都是一样的。一般情况下，入侵者或攻击者可能是黑客、破坏者、间谍、内部人员、被雇用者、计算机犯罪者或恐怖主义者。攻击时，所使用的工具（或方法）可能是电磁泄漏、搭线窃听、程序或脚本、软件工具包、自治主体（能独立工作的小软件）、分布式工具、用户命令或特殊操作等。在本章的描述中，将集中使用攻击这一概念。 入侵者（或攻击者）的攻击手段 冒充。 重放。 篡改。 服务拒绝。中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。 内部攻击。利用其所拥有的权限对系统进行破坏活动。这是最危险的类型，据有关资料统计，80%以上的网络攻击及破坏与内部攻击有关。 外部攻击。通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。 陷阱门。首先通过某种方式侵入系统，然后安装陷阱门（如值入木马程序）。并通过更改系统功能属性和相关参数，使入侵者在非授权情况下能对系统进行各种非法操作。 ? 特洛伊木马。这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但拥有授权功能，而且还拥有非授权功能，一旦建立这样的体系，整个系统便被占领。 6.1.2 黑客的概念 黑客（Hacker）一词起源于美国麻省理工学院，原指热心于计算机技术，水平高超的计算机专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用计算机网络从事破坏或恶作剧的人员。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”，但其普遍意义是指计算机网络系统的非法入侵者 （1）利用0Day漏洞攻击。（2）攻击工具平台化。目前大量的攻击工具已经平台化（如Metasploit），这些工具会自动扫描，自动找到漏洞，自动进行攻击，甚至会自动进行对单位内部网络的渗透。（3）隐蔽性强。各种硬件条件下的后门已经可以做到即使重新安装操作系统也无法清除干净。如今计算机中的显卡、DVD光驱等组件一般都有运行固件的内存空间，黑客可以利用这部分内存空间隐蔽恶意代码，在下次启动计算机时这些代码将随之被加载。 黑客的攻击手段的特点。 6.2 DoS与DDoS攻击 6.2.1 DoS攻击及实现过程 DoS攻击，即“拒绝服务”攻击，它是一种实现简单但又很有效的攻击方式。DoS攻击的目的就是让被攻击主机拒绝用户的正常服务访问，破坏系统的正常运行，最终使用户的部分Internet连接和网络系统失效。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务，攻击原理如图6-1所示。 6.2.2 DDoS攻击及实现过程 DDoS攻击，即“分布式拒绝服务”攻击，它是一种基于DoS攻击，但实现过程比较特殊的拒绝服务攻击方式。DDoS是一种分布、协作的大规模攻击方式，主要用于对一些大型的网站或系统进行攻击。因为DoS攻击只是单机对单机的攻击，实现方法比较简单。与之不同的是，DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和造成的威胁要比DoS攻击严重得多，当然其破坏性也要强得多。DDoS攻击的原理如图6-2所示。 6.3 入侵检测与入侵检测系统 6.3.1 基本概念 1． 入侵检测的概念 国家标准GB/T 1836《信息技术安全性评估准则》中对入侵检测（intrusion detection）的定义为：“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。”入侵检测是检验和响应计算机误用的学