UNIX系统入侵检测.ppt

UNIX基础 1.1 UNIX的发展历史 1.2 UNIX的特点 1.3 SHELL简介 1.1 UNIX的发展历史 UNIX的历史开始于1969年在ATT贝尔实验室（即著名的KG，C语言的发明人）与一群人在一部PDP-7上进行的一些工作，后来这个系统变成了UNIX。 UNIX 操作系统演进史 UNIX 操作系统演进史 UNIX系统组成 1.2 UNIX的特点 1 可移植性 UNIX用C语言编写，易于在不同的机器之间移植。目前UNIX已适用于各种类型的计算机. 2 多用户的多任务 UNIX采用时间片，同时为多个用户服务，提供相应的保护机制：口令和文件访问权限；UNIX支持同时在一台机器上运行多个程序。 3 层次式的文件系统 逆向的树型结构,提供管理和获取的弹性。 4 文件、设备统一处理 UNIX把普通数据文件，目录文件，外部设备都统一作为文件处理，简化了系统设计，便于用户使用。 UNIX的特点 5 功能强大的Shell 命令解释器Shell具有高级程序语言的能力。通过编程可造就许多工具命令，方便用户使用。 6 系统调用 用户通过系统调用与核心程序通讯，以获得资源。 7 丰富的软件工具 UNIX提供许多实用程序、文本工具和开发工具，为用户建立一个良好的程序设计环境。 8 电子邮件和网络通信 通过电话线或通信网络传递信息、数据以及主机之间传送文件数据和程序，来达到资源共享和分散处理的目的. 1.3 SHELL简介 UNIX系统的Shell是一个实用程序，当用户系统在注册之后，Shell被装入内存之中，直到用户退出系统之前一直都在运行。Shell是UNIX的命令解释程序，同时又是一个解释执行程序语言。 一般来说，Shell可以分成两类。第一类是由Bourne Shell衍生出来的包括sh，ksh，bash，与zsh。第二类是由C Shell衍生出来的，包括csh与tcsh。除此之外还有一个rc，有人认为该自成一类，有人认为该归类在Bourne Shell。 UNIX入侵检测内容提要 发现入侵 入侵认定 入侵原因检查 后门分析 犯罪取证 发现入侵 UNIX 系统异常情况。 帐户被删除 密码被更改 异常重启 异常死机 进程异常中断 应用中断 IDS报警 UNIX入侵检测内容提要 发现入侵 入侵认定 入侵原因检查 后门分析 犯罪取证 确定入侵 UNIX应用调查 登陆系统 异常登陆 异常日志 查找异常进程 查找异常文件 UNIX入侵检测内容提要 发现入侵 入侵认定 入侵原因检查 后门分析 犯罪取证 入侵原因检查 寻找入侵线索 掌握系统状态 系统检查 恢复系统以及应用 寻找入侵线索 保护现场 入侵时间 异常文件 异常进程 寻找入侵线索/保护现场 制作磁盘快照或备份 # dd if=/dev/sda of=/dev/sdb 记录所作的全部操作 系统漏洞分析 基线评估系统存在的漏洞 工具检查 人工检查 渗透测试 寻找入侵线索/判断入侵时间 通过日志分析 通过创建的异常文件 异常进程 寻找入侵线索/异常文件 检查/etc/passwd和/etc/shadow ls –l /etc/passwd；检查文件修改时间 logins -d；logins -p awk -F: ‘$3==0 {print $1}’ /etc/passwd；检查uid等于0的帐户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow；检查空口令用户 检查root suid程序 find / -type f \( -perm -4000 -o -perm -2000 \) –print；对照基线 寻找入侵线索/异常进程 检查进程 ps –aef | grep inetd；重点检查inetd ps –aef；检查全部进程 ps –aelf; 显示程序完整路径 内容提要 寻找入侵线索 掌握系统状态 系统检查 恢复系统以及应用 掌握系统状态 获取系统版本信息 获取系统补丁信息 获取应用版本信息 系统漏洞检索 掌握系统状态 获取系统版本信息 Uname -a 获取系统补丁信息 Showrev -p 获取应用版本信息 telnet; Su - oracle; sqlplus / AS SYSDBA‘; select * from v$version; Su – informix;onstat - 系统漏洞检索 / 内容提要 寻找入侵线索 掌握系统状态 系统检查 恢复系统以及应用 系统检查 检查用户登录 检查系统进程列表 检查网卡状态 检查开放