《《入侵检测》第1章电子教案》由会员分享,可在线阅读,更多相关《《入侵检测》第1章电子教案(42页珍藏版)》请在金锄头文库上搜索。
1、第1章概述,1.1网络安全的主要威胁 1.2攻击行为分析 1.3主动安全防御技术概述,1.1网络安全的主要威胁随着信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域(如图1.1所示),网络和信息安全对人们生活和国家安全的影响越来越重要。,图1.1Internet应用发展示意图,金山毒霸全球反病毒监测中心等发布的近几年中国电脑病毒疫情及互联网安全报告等表明,病毒的“工业化”入侵以及“流程化”攻击越来越明显。团伙犯罪分子为获取金钱而制作了越来越多的恶意软件;黑客的攻击行为组织性更强,其目的已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移;网上木马、间谍程
2、序、恶意网站、网站仿冒、僵尸网络等日趋泛滥,以熊猫烧香、灰鸽子、AV终结者为代表的恶性病毒频繁出现,危害程度逐步加深。,2008年,中国新增计算机病毒、木马数量呈爆炸式增长,总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为2008年中国计算机病毒发展的三大显著特征。同时,病毒制造者的“逐利性”依旧没有改变,网页挂马、漏洞攻击成为黑客获利的主要渠道。据金山毒霸“云安全”中心监测数据显示,2008年,金山毒霸共截获新增病毒、木马13899717个,与2007年相比增长48倍。图1.3所示为近几年新增病毒数量对比示意图。据2009年5月中国最新安全报告显示,电脑病毒一个月
3、新增2389476个,较上月增加38%,感染电脑的数量也增至2000万台。,图1.3近年新增病毒数量,1.1.1互联网已经进入木马/病毒经济时代目前,网络游戏、QQ聊天、网上银行和网上炒股、网上购物等互联网应用日益流行,用户在这些应用中的账户变得越来越有经济价值,其账号直接关系到用户在现实世界中的财产。网络游戏中的道具、装备,QQ中的Q币、QQ秀等虚拟物品,由于可以在C2C平台以及众多专业网站上进行交易,因此具有非常高的经济价值网络购物有两种模式,一种是B2C(BusinessToCustomer,在英文中的2的发音同to,所以这里的to简写为2)模式,即商品和信息从企业直接到消费者;另一种是
4、C2C(CustomerToCustomer),即商品和信息从消费者直接到消费者,俗称“网上开店”。,根据中国互联网络信息中心(CNNIC)于2007年7月发布的第20次中国互联网络发展状况统计报告,仅中国的1.62亿网民中,就有69.8%的用户(超过1亿用户)在使用即时通信软件(以腾讯QQ和MSN为主);47%的用户(超过7600万用户)玩过网络游戏;20%的用户(超过3200万用户)使用网上银行和进行网上炒股。这几类互联网应用成为黑客、木马制作者等不法分子攻击的主要目标。越来越多的网络犯罪分子编写及传播木马类程序,目的就是为了窃取网民的账号信息,从而获取经济利益。,1.1.2“0Day”等
5、漏洞和系统缺陷令人防不胜防网络威胁主要是利用系统(包括操作系统、支撑软件及应用系统)固有的漏洞、缺陷或系统配置及管理等过程中的安全漏洞,穿透或绕过安全设施的防护,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其它系统。攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。,漏洞,是指与安全相关的缺陷,能够被利用来做“原本以为”不能做的事。入侵能够成功的主要原因就在于漏洞的存在。漏洞是客观存在的,它是随软件和系统产生的,在一定程度上具有不可避免性。无论是Windows还是Unix几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、应用软件、桌面软件等都被发现存在安全隐患或后门,
6、如尼母达、中国黑客等病毒都利用微软系统的漏洞给用户造成巨大损失。当前网络安全的主要漏洞分类情况见附录2。,当前第三方软件漏洞成为病毒攻击的热点。第三方软件是指除系统本身自带的软件(操作系统本身及其自带的应用程序之外的应用类软件,例如QQ、AdobeReader等。第三方软件漏洞,是指一些第三方软件由于自身软件设计的原因,在它们提供给IE的组件上存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用,在用户浏览网页过程中,通过漏洞下载木马病毒以入侵用户系统,进行远程控制、盗窃用户的账号和密码等,从而使用户遭受损失。,随着微软操作系统安全性的日益加强以及用户对系统漏洞警惕性的提升,病毒已经很难再利用系统
7、漏洞大施拳脚,而第三方流行软件的漏洞越来越多地被病毒利用。以AdobeFlashPlayer漏洞为例,AdobeFlashPlayer9.0.115在播放恶意构造的swf文件时,会自动下载一个可执行文件并执行,而swf文件可能会自动下载一个病毒下载器并运行,然后再由这个病毒下载器下载其它预先指定的木马程序,危险指数非常高。在手机等新平台上传播的病毒/木马也在上升。,另外,网络系统天生的缺陷使其存在巨大隐患。Internet的共享性和开放性使网上信息安全存在先天不足。开放性的网络导致网络的技术是全开放的。任何一个人或团体都可能从中获得所需的东西,因而网络所面临的破坏和攻击可能是多方面的。国际性的
8、网络还意味着网络的攻击不仅仅来自本地网络的用户,还可以来自Internet上的任何一个机器,也就是说,网络安全所面临的是国际化的挑战。自由意味着网络最初对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息,用户只对自己的行为负责,而没有任何的法律限制。因此,“Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你互相连接”。,Internet赖以生存的TCP/IP协议也存在着缺陷(TCP/IP协议簇见附录1)。在建立之初,TCP/IP体系结构对于网络的安全性考虑得并不多,Internet规模及用户群迅速扩大之后
9、,在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性,而且人们对TCP/IP协议很熟悉,就可以利用它的安全缺陷来实施网络攻击。如应用层协议Telnet(远程登录服务)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为开了方便之门。IP层协议也有许多安全缺陷,例如,IP地址可以由软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。在运行TCP/IP协议的网络系统,存在着五种类型的威胁和攻击,即欺骗攻击、否认服务、拒绝服务、数据截取、数据篡改
10、。,1.1.3社会工程学的攻击手段成为病毒入侵的重要途径病毒通过社会工程学的攻击手段入侵系统的途径包括:(1)利用热点事件。当用户上网搜索一些当下比较流行的信息或电影时,如“艳照门”、“色戒”等,搜索到的网页中很多都是带有病毒的,这是不法分子利用人的心理而设的圈套。(2)利用用户对好友的信任,通过即时聊天工具传播病毒。这类攻击已经不是主流,但还存在,有些病毒会通过QQ、MSN等聊天工具自动向好友发送带有病毒的信息或文件。,(3)钓鱼网站。钓鱼网站也是一种常用的攻击手段,如是一个外挂的官方网站,而是钓鱼网站,钓鱼网站做得跟官方网站一模一样,使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件,导致
11、中毒。另外一种方式不需要带毒,如银行的钓鱼网页,用户在登录的过程中,它会先记录账号和密码,然后再登录到正确的网站,而此时用户并不知道自己的账号和密码等信息已经失窃。(4)捆绑软件。一些病毒会感染或者修改正常共享软件的安装包,使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。,(5)高流量带病毒链接。流量高的网站是可以用来卖钱挂病毒的,因此很多流量高的网页会被用来挂病毒。这类网站以黄色网站居多。(6)江湖骗术。一些网络社区、聊天群里出现的骗子,往往会以花言巧语诱使你接受并打开对方发送的文件,以照片(其实是病毒文件)为典型。,1.1.4网络内部原因所引起的安全威胁网
12、络管理不仅包括内网的管理,也包括整个通信网络其它部分如广域网或设备等的管理。严格管理是使企业、组织及政府部门和用户免受网络安全问题威胁的重要措施,责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当前许多网络在建设的时候缺乏前瞻性,导致网络信息安全建设资金投入不够,各项基础性管理工作相对较弱。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而当事故发生后,无法提供黑客攻击行为的追踪线索及破案依据,缺乏对网络的可控性与可审查性等措施,同时也存在着如私设代理服务器、私自访问外部网络,使用网络管理员禁止使用的软件等行
13、为。事实上,很多企业、机构及用户的网站或系统都疏于管理,没有制定严格的管理制度或执行不严。,根据调查表明,当前网络安全的威胁70%以上来自网络内部。对于企事业等单位来说,网络内部原因和内部人员所造成的网络安全问题是所面临的最大的威胁之一。企业办公网络作为企业发展必备的组成部分,正在发挥越来越大的作用,但是随之而来的企业办公网络有效管理和信息安全问题也日益变得尖锐。企业内部员工在办公时间浏览与工作无关的网页、下载视频和其它大容量文件、频繁使用QQ等即时通信、在线游戏,不仅降低了工作效率,占用了大量的带宽资源,还对公司其它员工造成负面影响,企业的规章制度的威慑力也受到严峻挑战。而来自外部的黑客攻击
14、及病毒干扰,严重威胁着企业的内部机密,如何协调好企业网络信息安全的内忧外患,这是目前大部分企业网甚至是整个网络亟待解决的课题。,内网问题产生的原因是多方面的,如单位管理制度不严、资源滥用、内部有些人的恶意行为、内部用户的误操作、对内网安全管理环节的不够重视及制度执行不严、内部使用人员的安全意识不够等。很长一段时间以来,厂商和用户的主要关注点较为集中在外网威胁方面,目前控制内网的安全产品还较少。对于内网安全来说,技术手段仅是一方面,更重要的是通过企业内部健全的内网安全管理制度及措施来保障。在网络安全中,三分靠技术,七分靠管理,管理是根本,技术是手段。网络管理的欠缺及其它网络内部原因所引起的安全问
15、题同样是当前网络和信息安全面临的较大威胁。,1.2攻击行为分析入侵检测的主要目的是检测出各种各样的攻击及发现系统本身所存在的缺陷等。对网络攻击手段和行为的了解有助于对入侵检测技术的学习和理解,也有助于对入侵检测方法和系统的设计。,1.攻击的要素攻击的基本要素包括:(1)攻击的主体攻击者;(2)攻击的客体系统和网络,系统和网络存在的漏洞为攻击者提供了攻击的客观条件;(3)攻击的过程达成攻击的步骤和过程,是攻击的关键环节,也是攻击发生效果的必要条件。,2.攻击过程黑客对目标系统实施攻击的流程大致相同,其攻击过程可归纳为9个步骤:踩点(FootPrinting)、扫描(Scanning)、查点(En
16、umeration)、获取访问权(GainingAccess)、权限提升(EscalatingPrivilege)、窃取(Pilfering)、掩盖踪迹(CoveringTrack)、创建后门(CreatingBackDoors)。黑客攻击流程如图1.4所示。,图1.4黑客攻击流程,3.攻击行为分类网络攻击分为结构化攻击和非结构化攻击两类。非结构化攻击是指一类在小范围内、攻击能力较弱、不能形成规模的攻击行为。非结构化攻击通常由单个具有攻击能力的攻击者(如黑客或对公司不满的雇员等)发起,采用单点攻击,攻击工具通常不会太复杂,所造成破坏的范围、深度是有限的。结构化攻击则是在良好的计划组织条件下实施的攻击行为,其特点是攻击点及采用的技术多、隐蔽性好、危害较大。协同攻击属于结构化攻击的一种。,协同攻击是指一类由多个攻击者采取分布方式,在统一攻击策略指导下对同一任务目标发起攻击和探测的行为,其攻击的技术手段和攻击步骤由统一的攻击策略在各攻击者之间协调从而达到协同。与普通结构性攻击相比,协同攻击威胁范围大,使用的攻击技术全面,不仅在攻击点上可实现分布与协同,甚至可在
