第8周、操作系统的安全.pptVIP

流量填充机制 流量填充机制提供针对流量分析的保护。外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息，数据交换量的突然改变也可能泄露有用信息。 流量填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。流量填充的实现方法是随机生成数据并对其加密，再通过网络发送。 * 路由控制机制 按照路由控制机制可以指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。 * 入侵检测系统 入侵：发起攻击的人（如黑客）取得超出合法范围的系统控制权，或收集漏洞信息，造成拒绝访问(DoS)等对计算机系统造成危害的行为。 入侵行为不仅来自外部，同时也指内部用户的未授权活动。 从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 * 入侵检测 入侵检测是对入侵行为的发觉。 它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统。 入侵检测是防火墙的合理补充 * 什么是IDS 假如防火墙是校园围墙，那么IDS就是校园监视系统。一旦小偷翻墙进入校园，或校园内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 北京信息职业技术学院 * 入侵检测系统结构 入侵检测系统包括三个功能部件：信息收集、信息分析和结果处理。 * 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 入侵检测利用的信息一般来自以下4个方面： 1. 系统或网络的日志文件 2. 目录和文件中的不期望的改变 3. 程序执行中的不期望行为 4. 物理形式的入侵信息 * 信息分析 对上述四类收集到的有关系统网络数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析： 模式匹配 统计分析 完整性分析 * 模式匹配 模式匹配：将收集到的信息与已知的网络入侵和系统特征模式数据库进行比较，从而发现违背安全策略的行为。 优点：只需收集相关的数据集合，显著减少系统负担且技术己相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。 弱点：需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 * 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设各等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 优点：可检测到未知的入侵和更为复杂的入侵 缺点：误报、漏报率高，且不适应用户正常行为的突然改变。 * 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。 优点：不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。 缺点：不用于实时响应。 * 结果处理 入侵检测系统在发现入侵后会及时做出响应。如：切断网络连接、记录事件和报警等。 响应分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题) * 入侵检测技术的分类 按数据来源 基于主机的入侵检测系统 基于网络的入侵检测系统 按数据分析方法 异常检测模型 特征检测模型 按时效性 离线入侵检测系统 在线入侵检测系统 系统各模块的运行方式 集中式入侵检测系统 分布式入侵检测系统 * 基于主机的入侵检测系统 入侵检测系统通常安装在被重点检测的主机之上，对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 优点： 对分析“可能的攻击行为”非常有用 误报率低 网络资源占用少 不足： 它要求系统本身应该具备基本的安全功能并具有台理的设置才能提取入侵信息。 即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时日志 系统对有的网络入侵行为不能做出正确的响应 * 基于网络的入侵检测系统 通过网络监视来实现数据提取，通常放置在比较重要的网段内，不停地监视网段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻台，入侵检测系统就会发出警报甚至直接切断网络连接。 * 基于网络的入侵检测系统 优点 能够检测来自网络的攻击，它能够检测到超过授权的非法访问。 不需要改变服务器等主机的配置。 不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。 安装系统非常方便 弱点 不能检测在不同网段的网络包。 采用特征检测法，对复杂的攻击难以防范 传感器之间的协同性较差