第六章入侵检测技术教学提纲.ppt

第六章入侵检测技术;本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，应该掌握以下内容： ?? 系统入侵的概念 ?? 几种系统攻击方法的原理 ?? 入侵检测的原理 ? 入侵检测系统的组成及结构 ;6.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 6.1.1 黑客与入侵者 有两个词来描述攻击者: 黑客和骇客。黑客是一个一般术语：喜欢进入东西的人。良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人。 恶意的黑客是那些喜欢进入其他人系统的人。良性黑客希望媒体能停止对所有黑客的苛刻批评，使用骇客来做替代。很不幸，这个想法没有被接受无论如何，在这个FAQ使用的词语是'入侵者'，来一般表示那些想要进入其他人系统的人。 ;6.1.2系统攻击的三个阶段 1. 收集信息 2. 探测系统安全弱点 3. 实施攻击 6.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3．缺乏良好安全体系的系统 ;6.1.2入侵者进入系统的主要途径 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。 应该注意网络侵入检测系统主要关心远程侵入。 ;6.2 系统攻击方法;3．一次性口令 （OTP，One-Time Password）。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。 ;真正脆弱的口令: 很多人使用他们自己的名字，孩子的名字，配偶的名字，宠物的名字，或者小车的型号做口令。也有的用户使用"password"或者简单到什么也没有。这给出了侵入者可以自己键入的不多于30个可能性的列表。 字典攻击: 上述攻击失败后，侵入者开始试图"字典攻击"。这种方法,侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库，比如名字和常用的口令。 强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。一个4个由小写字母组成的口令可以在几分钟内被破解。(大约的共有50万个可能的组合)一个较长的由大小写字母组成的口令，包括数字和标点(10万亿种可能的组合)可以在一个月内破解， 如果你可以每秒试100万种组合。(实际上，一个单机每秒可以算上几千次。) ;入侵者如何获得口令? 入侵者利用如下方法获得口令: 明文监听: 一些协议(Telnet, FTP, 基本HTTP)使用明文的口令，意味着他们在比如客户/服务器传输过程中不进行加密。入侵者可以使用一个协议分析仪观察线缆上的这样的口令。 密文监听: 许多协议，使用加密的口令。这种情况下，入侵者就需要执行字典或者强力攻击口令来试图解密。应该注意到你不能发现入侵者的存在，因为他/她是完全被动并且不用向线缆传送任何东西。 重放(Replay)攻击: 很多情况下，入侵者不必解密口令。他们可以使用加密的格式来代替登陆系统。这通常需要重新编码客户端软件来使用加密的口令 口令文件窃取: 所有的用户数据库通常存储在磁盘上的一个单个文件。UNIX下这个文件是/etc/passwd(或者这个文件的其他镜像),WinNT下，是SAM 文件观察: 一个传统的口令安全问题是口令必须长而且难猜(使得字典和强力攻击不合理的困难)。然而，这样的口令往往很难记忆，所以用户就在某地写下来。入侵者常可以搜寻一个个人办公桌来发现写到小字条上的口令(一般在键盘下