第七章-网络安全技术课件.pptVIP

2. 异常检测 前提：异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合，有4 种行为： ① 行为是入侵行为，但不表现异常； ② 行为是入侵行为，且表现异常； ③ 行为不是入侵行为，却表现异常； ④ 行为既不是入侵行为，也不表现异常。 ① ② ③ ④ 入侵检测技术总结 入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。 随着系统漏洞不断被发现，攻击不断发生，入侵检测系统在整个安全系统中的地位不断提高，所发挥的作用也越来越大。 7.3 安全扫描技术 安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险。 可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致攻击的安全漏洞。 扫描技术是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。 7.3 安全扫描技术 7.3.1 安全扫描技术概述 7.3.2 端口扫描和漏洞扫描 7.3.3 安全扫描器的原理和结构 7.3.1 安全扫描技术概述 安全扫描技术也称为脆弱性评估 基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测， 对象：工作站、服务器、交换机、数据库 有两个不同的出发点。 一方面，从攻击者的角度，他们会不断地去发现目标系统的安全漏洞，从而通过漏洞入侵系统。 一方面，从系统安全防护的角度来看，要尽可能发现可能存在的漏洞，在被攻击者发现、利用之前就将其修补好。 安全扫描器是一个对扫描技术进行软件化、自动化实现的工具。 一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序。 安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。 通过使用安全扫描器，可以了解被检测端的大量信息： 开放端口、提供的服务、操作系统版本、软件版本等。 安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告。 功能 功能 一般来说，安全扫描器具备下面的功能： 1、信息收集 信息收集是安全扫描器的主要作用，也是安全扫描器的价值所在。 信息收集包括 远程操作系统识别 网络结构分析 端口开放情况 其他敏感信息收集等。 功能 2、漏洞检测 漏洞检测是漏洞安全扫描器的核心功能，包括 已知安全漏洞的检测 错误的配置检测 弱口令检测。 分类 安全扫描技术主要分为两类： 1. 主机型安全扫描器； 扫描本地主机 查找安全漏洞 查杀病毒、木马、蠕虫等危害系统安全的恶意程序 2. 网络型安全扫描器。 通过网络来测试主机安全性 检测主机当前可用的服务及其开放端口 查找可能被远程试图恶意访问者攻击的漏洞、隐患及安全脆弱点。 按照扫描过程的不同方面，扫描技术又可分为4大类： 1. ping扫描技术； 2. 端口扫描技术； 3. 操作系统探测扫描技术； 4. 已知漏洞的扫描技术。 其中，端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，目前许多安全扫描器都集成了此两项功能 。 分类 端口：潜在的通信通道，也是入侵通道。 原理： 端口扫描向目标主机的 TCP/IP服务端口发送探测数据包 记录目标主机的响应。 通过分析响应 判断服务端口是打开还是关闭 得知端口提供的服务或信息。 7.3.2 端口扫描和漏洞扫描 漏洞扫描技术建立在端口扫描技术之上的，针对特定端口。 两种方法： 一是在端口扫描后，得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。 二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。 漏洞扫描技术及原理 基于网络系统漏洞库，漏洞扫描大体包括 CGI漏洞扫描 POP3漏洞扫描 FTP漏洞扫描 SSH漏洞扫描 HTTP漏洞扫描等。 这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。 基于网络系统漏洞库的漏洞扫描的关键部分：漏洞库。 漏洞扫描技术及原理 7.3.3 安全扫描器的原理和结构 (1) 主机型安全扫描器原理 主要针对操作系统的扫描检测，通常涉及 系统的内核 文件的属性 操作系统的补丁 口令解密等问题 通过扫描引擎以root身份（超级管理员 ）登录目标主机，记录系统配置的各项主要参数， 一方面知道目标主机开放的端口以及主机名等信息 一方面获得的漏洞信息与漏洞