第7章节 操作系统的安全跟保护.pptVIP

协同式结构无“中心节点”的概念，采用多个相互平等的检测节点在网络中分别进行检测，并且协同处理大规模的入侵行为，如CARDS（Coordinated Attack Response and Detection System）。其优点是各节点之间可进行交叉检验，实现互监视和互检测，具有较好的鲁棒性和协同检测能力；适合于复杂、异构的网络环境的不同安全需求；网络规模扩大时，只需加入新的检测节点，可扩展性好；单个检测节点的失效对整个检测网络没有明显的影响。其主要问题是会占用被检测主机的资源；结构复杂，实现困难；报警延迟大。 从数据源上可以说IDS分为以下三种：HIDS（主机入侵检测系统）、NIDS（网络入侵检测系统）和DIDS（分布式入侵检测系统）。其中HIDS的数据来源于主机系统，通常是系统日志和审计记录。HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的操作。优点是针对不同的操作系统特点捕获应用层入侵，误报少，缺点是依赖于主机及其审计子系统，实时性差。 NIDS的数据源是基于网络的IDS，其数据来源于网络上的数据流。NIDS能够截获网络中的数据包，提取其特征并与知识库中已知的攻击签名相比较，从而达到检测的目的。其优点是侦测速度快、隐蔽性好，不容易受到攻击，对主机资源消耗少；缺点是有些攻击是由服务器的键盘发出的，不经过网络，因而无法识别，误报率较高。DIDS则是采用上述两种数据来源的分布式入侵检测系统，它是同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。DIDS可以从多个主机获取数据也可以从网络传输取得数据, 克服了单一的HIDS、NIDS的不足。 入侵检测的发展趋势 ⑴ 高效智能的检测技术 ⑵ 分布式体系结构 ⑶ IDS评估方法 ⑷ 安全技术集成 ⑸ IDS 标准化 入侵技术 口令保护 入侵检测 入侵技术 入侵技术主要有拒绝服务攻击和口令攻击两大类。 拒绝服务攻击(Denial of Service , DoS) 是一种最悠久也是最常见的攻击形式。严格来说，拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。具体的操作方法是多种多样的，可以是单一的手段，也可以是多种方式的组合利用，其结果都是一样的，即合法的用户无法访问所需信息。 通常拒绝服务攻击可分为两种类型： 第一种是使一个系统或网络瘫痪。如攻击者发送一些非法的数据或数据包，就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击，因为没有人能够使用资源。以攻击者的角度来看，攻击的简单之处在于可以只发送少量的数据包就使一个系统无法访问。 第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。进行这种攻击时，攻击者必须连续地向系统发送数据包。比如Smurf 攻击即洪水ping 攻击，该攻击向一个子网的广播地址发一个带有特定请求(如ICMP 回应请求) 的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机无法响应从而拒绝其他服务。 口令攻击 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到合法用户能访问到的任何资源。获得普通用户账号的方法很多，如： ⑴利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； ⑵利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径； ⑶从电子邮件地址中收集：有些用户的电子邮件地址常会透露其在目标主机上的账号。 对策：预防和检测 预防是一个具有挑战性的安全目标，在任何时候都是一场困难的战斗。困难的发生主要是防卫者必须尝试防御所有可能的攻击，而攻击者却可以自由地去发现防御环节中最薄弱的环节，并在该点实施攻击。检测关心的是发现攻击，无论是攻击成功之前还是之后。 口令保护 入侵者的目的是获得对系统的访问，或者提高他访问系统的特权范围。一般来说，这需要入侵者获得已被保护的信息。在多数情况下，这种信息的形式是用户口令。通过获取某些其他用户的口令，入侵者可以登录到系统中并行使该合法用户所具有的所有特权。 典型情况下，系统必须维护一个文件，该文件将每个已经授权的用户与一个口令关联起来。口令是计算机和用户双方都知道的某个“关键字”，