第六章入侵检测技术.pptVIP

第六章入侵检测技术 本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，应该掌握以下内容： ?? 系统入侵的概念 ?? 几种系统攻击方法的原理 ?? 入侵检测的原理 ? 入侵检测系统的组成及结构 6.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 6.1.1 黑客与入侵者 有两个词来描述攻击者: 黑客和骇客。黑客是一个一般术语：喜欢进入东西的人。良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人。 恶意的黑客是那些喜欢进入其他人系统的人。良性黑客希望媒体能停止对所有黑客的苛刻批评，使用骇客来做替代。很不幸，这个想法没有被接受无论如何，在这个FAQ使用的词语是入侵者，来一般表示那些想要进入其他人系统的人。 侵入者可以被分为两类: 外部的: 你网络外面的侵入者，或者可能攻击你的外部存在(乱改的web服务器,通过e-mail服务器转来的垃圾邮件)。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络(卖主,客户, 中间商等)。 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人(比如社会安全雇员因为不喜欢某人就将其标志为死亡)和模仿更改权力的人(比如使用别人的终端)。一个常被引用的统计就是80%的安全问题同内部人有关。 有几种类型的侵入者: 快乐骑士(Joy riders)因能而黑;文化破坏者(Vandals)意于毁坏或更改Web页面; 奸商 (Profiteers)意于利益，如控制系统勒索或者窃取数据得利。 6.1.2系统攻击的三个阶段 1. 收集信息 2. 探测系统安全弱点 3. 实施攻击 6.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3．缺乏良好安全体系的系统 6.1.2入侵者进入系统的主要途径 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。 应该注意网络侵入检测系统主要关心远程侵入。 6.2 系统攻击方法 6.2.1 口令攻击 1．获取口令的一些方法 （1）是通过网络监听非法得到用户口令 （2）口令的穷举攻击 （3）利用系统管理员的失误 2．设置安全的口令 （1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令 3．一次性口令 （OTP，One-Time Password）。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。 真正脆弱的口令: 很多人使用他们自己的名字，孩子的名字，配偶的名字，宠物的名字，或者小车的型号做口令。也有的用户使用password或者简单到什么也没有。这给出了侵入者可以自己键入的不多于30个可能性的列表。 字典攻击: 上述攻击失败后，侵入者开始试图字典攻击。这种方法,侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库，比如名字和常用的口令。 强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。一个4个由小写字母组成的口令可以在几分