攻击和攻击检测方法.docVIP

首页 安全技术 黑客技术 软件下载 在线攻击 闲聊论坛 休闲天地 关于本站 |??黑客类文章??|?? |??安全类文章??|?? |??黑客类文章黑客技术攻击和攻击检测方法 攻击和攻击检测方法 网络安全和黑客技术 攻击 美国IDG Infoworld测试中心小组开发了一种可以称之为Benchmarking类型的测试基准，IWSS16。该小组收集了若干种典型且可以公开得到的攻击方法，对其进行组合，形成IWSS16。IWSS16组合了四种主要类型的攻击手段： 收集信息 网络攻击者经常在正式攻击之前，进行试探性的攻击，目标是获取系统有用的信息，主要手段有PING扫描，端口扫描，帐户扫描，DNS转换等操作。 获取访问权限 以各种手段获取对网络和系统的特权访问，其中，包括许多故障制造攻击，例如，发送邮件故障，远程IMAP缓冲区溢出，FTP故障，等。通过这些攻击造成的故障，暴露系统的安全漏洞，获取访问权限。 拒绝服务(Denial of Service) DoS是最不容易捕获的攻击，因为它不易留下痕迹，安全管理人员不易确定攻击来源。由于其攻击目标是使系统瘫痪，因此，是很危险的攻击。当然，就防守一方的难度而言，拒绝服务攻击是比较容易防御的攻击类型。这类攻击的特点是以潮水般的申请使系统在迎接不暇的状态中崩溃；除此之外，拒绝服务攻击还可以利用操作系统的弱点，有目标地进行针对性的攻击。 逃避检测 入侵者往往在攻击之后，使用各种逃避检测的手段，使其攻击的行为不留痕迹。典型的特点是修改系统的安全审计记录。然而，魔高一尺，道高一丈，克服逃避检测已成为攻击检测技术的发展研究方向之一。 攻击检测方法 检测隐藏的非法行为 基于审计信息的脱机攻击检测工作，以及自动分析工具，可以向系统安全管理员报告此前一天计算机系统活动的评估报告。 对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的证据或者模型的基础。审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测，记录该用户的行为。 IDES(Intrusion-Detection Expert System)，攻击检测专家系统，就是采用基于审计统计数据的技术，它具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。 基于神经网络的攻击检测技术 为改进基于统计数据的技术，SRI(Stanford Research Institute，斯坦福研究所)的研究小组利用和发展了神经网络技术来进行攻击检测。 基于专家系统的攻击检测技术 进行安全检测工作自动化的另一个值得重视的研究方向就是，基于专家系统的攻击检测技术，即根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专家系统。专家系统可以自动进行对所涉及的攻击操作的分析工作。 基于模型推理的攻击检测技术 攻击者在攻击一个系统时，往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。虽然攻击者并不一定都是恶意的。用基于模型的推理方法，人们能够为某些行为建立特定的模型，从而，能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。 当有证据表明某种特定的攻击模型发生时，系统应当收集其它证据来证实或者否定其攻击的真实，既不能漏报攻击，对信息系统造成实际的损害，又要尽可能的避免错报。 参考资料 [1] 刘启原，攻击检测技术漫谈，国际电子报，第35期B版，网络世界，1998年9月14日，第B16页 RPC受到Snork拒绝服务攻击 受影响的系统 Windows NT的各个版本 概要 IIS的X-Force研究发现，Windows NT RPC服务在遭遇DoS攻击时，攻击者利用最小的资源使得一台远端的NT系统达到100%的CPU使用率，并可持续任意长的时间。同时，远端的攻击者通过迫使系统进行连续的分组反弹，从而占据较大的带宽。这种攻击与早期发现的Smurf和Fraggle很相似，故称之为Snork攻击。 NT 4.0工作站和服务器均存在这种弱点。事实上，所有的NT系统，包括已经安装过服务包SP1, SP2, SP3, 甚至SP4 RC 1.99，以及安装过所有9/10/98以前的补包，均存在这种弱点。解决的办法的信息在下面提供。 建议的解决方案 微软已经做了一个补包程序，专门对付Snork攻击。补包的信息可见于微软的安全公告