网络安全-18：入侵者.ppt

西安电子科技大学计算机学院 Chapter 18  入 侵 者 入侵者 网络系统面临的严重安全问题： 不友善访问或未授权访问 通过网络或本地进行攻击 入侵者： 假冒者（外部） 非法者（内部） 秘密的用户（内部或外部） 权限级别的变化 入侵者 入侵者威胁已众所周知 从1986/87的“Wily Hacker” 到CERT的统计结果 入侵技术 入侵目标是获得访问或提高在系统的特权 基本的攻击方法 熟悉目标，收集信息 初始访问 特权提升 掩盖攻击 关键往往是获得口令 使用所有者的访问权限 口令猜测 最常见的攻击方法之一 攻击者知道一个登录帐号(从邮件或网页等) 视图猜测口令 默认的，短的，常用单词口令 用户信息 (姓名，生日，电话，常用词或兴趣的变体) 穷举所有可能的口令 通过登录进行检验，或破解偷来的口令文件 能否成功依赖于用户所设定的口令 调查表明许多用户选择的口令很弱 口令获取 另一种攻击涉及口令获取 严密监视口令的输入 用户木马程序收集 监听一个不安全网络的登录 如. telnet, FTP, web, email 提取成功登录后记录的信息 (网页历史文件/cache, 上次所拨号码等) 使用有效登录/口令，假冒用户 需要教育用户采取适当的预防或对抗措施 入侵检测 难免会有安全失误 入侵检测： 如果很快检测到了入侵，则迅速阻止入侵。 作为入侵的又一道屏障 收集信息，增强安全性 假设入侵者的行为不同于合法用户的行为 但两者的差别不是很明显 入侵检测方法 统计异常检测 阈 值 基于轮廓的检测 基于规则的检测 异常检测：行为的偏差 渗透鉴别：专家系统 审计记录 入侵检测的基本工具 原始审计记录 多用户操作系统的一个构成部分 使用就绪 缺点：信息格式可能不合适，或内容不全。 检测专用的审计记录 收集指定的信息 对系统带来额外开销 统计异常检测 阈值检测 在时间段内指定的事件发生次数 如果超过了可能的值，则认为发生了入侵 仅此判断是粗糙且效率不高的 基于轮廓 用户过去的行为特征 检测与此有明显偏差的行为 用户的特性常用多个参数加以描述 审计记录分析 统计分析的基础 分析记录以得到一段时间来的规律 计数器, 标准值, 间隔计时器, 资源利用 用变量对这些进行测试，以决定当前行为是否可以接受 均值和标准偏差, 多变量, 马尔可夫处理, 时间序列, 操作 主要优点是不用预先知道安全漏洞的知识 基于规则的入侵检测 观察系统中的事件并应用规则对行为是否可疑作出判断 基于规则的异常检测 分析历史审计记录，确定使用模式，自动产生描述此模式的规则。 观察当前行为，判断是否符合已有模式。 不需要安全缺陷的预先知识 基于规则的入侵检测 基于规则的渗透鉴别 使用专家系统技术 利用规则确定已知渗透，弱点渗透，或可疑行为 与审计记录比较或与规则匹配 规则与特定的机器或OS有关 规则由专家们定义 好坏依赖于规则建立的技术 出错的概率 实际的入侵检测系统需要一个可接受的虚假报警率 如果检测到很少的入侵，则造成安全的假象 如果检测到太多的入侵，则被忽视或浪费时间 做好很难 已有系统做的还不够好 分布式入侵检测 单一系统 但一般都是网络系统 更多有效防御的方法用于检测入侵 包括 处理各种形式的审计记录 网络数据的完整性和保密性 集中和非集中式结构 分布式入侵检测－结构 分布式入侵检测－代理结构 蜜 罐 引诱攻击者的诱惑系统 转移攻击者远离可访问的关键系统 用于收集攻击者的行为信息 希望攻击者在系统中逗留更多时间，以使管理员能对此攻击作出响应。 使用虚假信息欺骗攻击者 收集攻击者的详细行为信息 一个或多个网络系统 IETF，入侵检测工作小组标准 入侵检测交换格式 口令管理 入侵者面对的第一条防线：口令系统 用户提供两者: 用户名 – 决定用户的特权 口令 – 确定用户 口令常加密保存 Unix 采用 multiple DES (带有“盐”值修改，variant with salt) 最近更多的系统采用加密散列函数（crypto hash function） 应该保护系统中的口令文件 口令研究 许多口令很短 许多口令可被猜到 结果表明用户经常使用弱口令 需要对此进行研究找出对策 告诉用户应该如何选择口令 计算机产生口令 口令自检查 口令预检查 口令管理 – 教育指导 采用策略和更多的用户教育，尤其是对好口令重要性的教育 给出好口令的指导 长度不能太短 (>6) 大小写字母，数字，标点符号的混合 非字典中的单词 但仍会被许多用户忽视 口令管理 – 计算机产生 让计算机生成口令 因为有随机性，所以不便记忆，故会写下来，不安全。 即使可发音也仍难以记忆 用户一直很难接受 FIPS PUB 181 是一个很好的口