收藏
下载资源

信息安全技术教程-

上传人:宝路 文档编号:52742852 上传时间:2018-08-25 格式:PPT 页数:44 大小:651.39KB
返回 下载 相关 举报
信息安全技术教程-_第1页
第1页 / 共44页
信息安全技术教程-_第2页
第2页 / 共44页
信息安全技术教程-_第3页
第3页 / 共44页
信息安全技术教程-_第4页
第4页 / 共44页
信息安全技术教程-_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《信息安全技术教程-》由会员分享,可在线阅读,更多相关《信息安全技术教程-(44页珍藏版)》请在金锄头文库上搜索。

1、2018/8/25,第5章 安全事件处理,5.1 攻击及其相关概念 5.2 安全事件管理方法 5.3 恶意代码 5.4 常见的攻击类型 5.5 无线网络安全 5.6 传感网络 5.7 习题,5.1 攻击及其相关概念,5.1.1 安全事件 5.1.2 安全事件类型,2018/8/25,2018/8/25,5.1 攻击及其相关概念,什么是攻击 攻击是指在未授权的情况下访问系统资源或阻止授权用户正常访问系统资源 攻击者 实施攻击行为的主体,可以是一个个体,也可以是一个团体 攻击的类型 军事情报攻击,商业金融攻击,恐怖袭击,基于报复的攻击,以炫耀为目的的攻击,2018/8/25,5.1.1 安全事件,

2、任何违背本系统安全策略的行为都可以称为安全事件 安全事件处理最重要的步骤就是能够及时发现已经发生的安全事件 当意识到系统存在攻击行为时,就应该迅速寻找到攻击位置并判断攻击类型,2018/8/25,5.1.2 安全事件类型,扫描 扫描就是动态地探测系统中开放的端口,通过分析端口对某些数据包的响应来收集网络和主机的情况 非授权访问 非授权访问是指越过访问控制机制在未授权的情况下对系统资源进行访问或是非法获得合法用户的访问权限后对系统资源进行访问。 恶意代码 恶意代码可以是一个程序,一个进程,也可以是其它的可执行文件,共同特征是可以引发对系统资源的非授权修改或其它的非授权行为 病毒、蠕虫、木马 拒绝

3、服务 破坏数据的可用性,5.2 安全事件管理方法,5.2.1 安全事件预防 5.2.2 安全事件处理标准的制定 5.2.3 对安全事件的事后总结,2018/8/25,2018/8/25,5.2 安全事件管理方法,处理安全事件的步骤 1.检测安全事件是否发生; 2.控制事件所造成的损害; 3.将事件与事件造成的损害上报给合适的认证方; 4.调查事件的起因、来源; 5.分析搜索到的线索; 6.采取必要行动避免类似事件发生。,2018/8/25,事件响应小组 响应小组通过使用工具及其它办法调查与控制安全事件,每一种类型的事件都需要通过不同的行为来控制损害程度。 在对事件进行响应的时候,响应小组需要收

4、集便于以后分析的信息以及可能成为证据的信息。证据可能是一个硬盘,一个软件或其他可以证明攻击者身份的数据。 当发现攻击有违反法律法规的可能性时就及时报警。,2018/8/25,5.2.1 安全事件预防,安全策略资源网站,2018/8/25,5.2.2 安全事件处理标准的制定,安全事件处理流程 一部分小组成员负责评估损害程度 一部分成员负责将事件告知管理人员并与服务商联系寻求帮助 一个成员需要决定是否需要告知警察来协助调查 流程要求 每一个成员都会遵循事前制定好的步骤 保证所有的处理过程专业化 一个记录着从开始到结束过程中每一步操作的详细文档 将与执法部门相关的要求加入到流程标准中,2018/8/

5、25,5.2.3 对安全事件的事后总结,开展小组会议 哪些是做得好的地方; 响应是否及时并且恰当;哪些方面还可以提升;应急响应的动作是否顾及了系统的整体安全;能够采取什么样的措施来降低同类事件再次发生的可能性,2018/8/25,5.3 恶意代码,5.3.1 病毒 5.3.2 蠕虫 5.3.3 特洛伊木马 5.3.4 网络控件,2018/8/25,5.3.1 病毒,病毒是最为常见的一种恶意代码,一个病毒就是一个简单的程序,其目的在于寻找其他的程序,通过将自身的复件嵌入到程序的方式来感染其它程序,被感染的程序就叫做病毒宿主,当主程序运行时,病毒代码同样也会运行. 特点 需要一个用于感染的宿主,脱

6、离宿主,病毒就不能自我复制,2018/8/25,5.3.2 蠕虫,蠕虫的定义及分类 蠕虫也是一种病毒,具有病毒的传播性,隐蔽性,破坏性等特性。,2018/8/25,蠕虫病毒的分类 针对计算机网络的,利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性的后果,如“红色代码”,“尼姆达” 针对个人主机的,通过网络(主要是电子邮件,恶意网页形式)进行迅速传播,如“爱虫病毒”,“求职信病毒”,2018/8/25,蠕虫的基本结构,传播过程 扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。 攻击:攻击模块按漏洞攻击步骤自

7、动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。 复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。,2018/8/25,蠕虫特点及危害,利用操作系统和应用程序的漏洞主动进行攻击。 传播方式多样 制作技术与传统的病毒不同 与黑客技术相结合,潜在的威胁和损失更大,2018/8/25,5.3.3 特洛伊木马,“特洛伊木马”(简称“木马”)是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源,是恶意攻击者进行窃取信息等的工具。特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或一个可爱的游戏,

8、诱使用户将其安装在PC或者服务器上。,2018/8/25,木马组成 服务端(被控制端),客户端(控制端) 启动 在Win.ini中启动:Win.ini的windows字段中有启动命令“load=“和“run=“,一般情况下 “=“后面是没有内容的,而攻击者可以把木马程序放在“=”后面。 在System.ini中启动 利用注册表加载运行 :注册表的很多位置都是木马藏身之所。 在Autoexec.bat和Config.sys中启动 启动组:是木马隐藏的重要位置 制作好的带有木马启动命令的同名文件上传到服务端覆盖这些同名文件,达到启动木马的目的 修改文件关联、捆绑文件,2018/8/25,木马的隐藏

9、 隐藏在任务栏。这是木马最基本的隐藏方式。 隐藏在任务管理器。 主机端口 隐藏通讯 隐藏加载方式,木马通过对加载方式的隐藏,使得用户运行木马程序 木马的特性 木马包含在正常程序中,随着正常程序的运行而启动,具有隐蔽性 具有自动运行性 对系统具有极大危害性。 具有自动恢复功能。,2018/8/25,木马的种类,2018/8/25,5.3.4 网络控件,现在的Web浏览器和其它的网络应用都依赖于能够提供大量复杂功能的可执行程序。这种插件程序可以很容易地保证系统处于最新状态并且能够支持很多新文件的类型。但是这些程序同样可以被某些人利用,使其很容易就将恶意代码发送到用户主机。 作为用户,必须保证病毒扫

10、描器和防御软件可以有效地保护系统不被恶意程序损坏。,2018/8/25,5.4 常见的攻击类型,5.4.1 后门攻击 5.4.2 暴力攻击 5.4.3 缓冲区溢出 5.4.4 拒绝服务攻击 5.4.5 中间人攻击 5.4.6 社会工程学 5.4.7 对敏感系统的非授权访问,5.4.1 后门攻击,定义 通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法 道德败坏的程序编写者能够利用后门获取非授权的数据 对策 预防后门最好的方法就是通过加强控制和安全关联测试来检验后门是否存在,并在发现后门时及时采取措施。,2018/8/25,5.4.2 暴力攻击,定义 通过尝试系统可能使用的所有字符组合来

11、猜测系统口 对策 小心保管系统口令并在系统中设置允许输入口令次数的最大值,若超过这个数值,账号就会被自动锁定。同时要对登陆行为进行日志记录,可以在日后用于调查。,2018/8/25,5.4.3 缓冲区溢出,定义 利用存储的字符串长度超过目标缓冲区存储空间而覆盖在合法数据上进行攻击 两种方法 植入法:攻击者向被攻击的程序输入一串字符串,程序会将这个字符串放到缓冲区,字符串内包含的可能是被攻击平台的指令序列,缓冲区可以设在任何地方:堆栈、堆或静态存储区。 利用已经存在的代码:很多时候,攻击者需要的代码已经存在于被攻击的程序中,攻击者要做的就是传递一些参数,2018/8/25,5.4.4 拒绝服务攻

12、击,定义 用于摧毁系统的可用性,导致系统过于繁忙以至于没有能力去响应合法的请求 分布式拒绝服务攻击(Ddos) SYN Flood攻击,2018/8/25,5.4.5 中间人攻击,通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,然后把这台计算机模拟一台或两台原始计算机,使“中间人”(入侵者放置的计算机)能够与原始计算机建立活动连接,而两台原始计算机用户却意识不到“中间人”的存在,只以为是和彼此进行通信。,2018/8/25,5.4.6 社会工程学,概念 利用被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,以交谈、欺骗、假冒等方式,从合法用户中套取用

13、户系统秘密的一种攻击方法 对策 对付这种类型的攻击最有效的方法就是加强安全意识教育。要让用户记住任何情况下都不能向其他人泄露自己的口令,任何想要进入系统的用户都应该被及时报告给上级。通过这些简单的规则可以有效地降低社会工程学的攻击。,2018/8/25,5.4.7 对敏感系统的非授权访问,大部分攻击的目标都是访问系统的敏感信息。一种情况是攻击者获取具有经济价值的信息,例如关于某个投资项目竞标的信息;另一种情况是攻击者只想修改信息,例如在某次考试中成绩不理想的同学,就会想办法进入成绩数据库,将自己的成绩信息进行修改。 无论是处于哪种目的,对敏感信息的非授权访问都会对系统造成严重的损害。,2018

14、/8/25,2018/8/25,5.5 无线网络安全,5.5.1 无线网络基础 5.5.2 无线网络协议标准 5.5.3 无线网络安全 5.5.4 无线局域网存在的安全问题,5.5.1 无线网络基础,分类 按传输媒体:输媒体主要有两种,即红外线和无线电波 按调制方式:扩频方式与窄带调制方式,2018/8/25,5.5.2 无线网络协议标准,2018/8/25,图5-3 802.11系列协议的实际参数,5.5.3 无线网络安全,WEP( Wired Equivalent Privacy)和WPA ( Wi-Fi Protected Access)是无线网络安全中最重要的两个安全加密模式 WEP

15、WEP算法通过一个长度为40位的密钥来提供身份认证与加密。在WEP安全机制中,同一无线网络的所有用户和接入访问点(AP)使用相同的密钥来加密和解密,网络中的每个用户和AP都存放着一份密钥。,2018/8/25,2018/8/25,无线网络完整性校验过程 校验和计算、密钥流生成、数据加密、 数据传输,2018/8/25,WPA 以一把 128位元的钥匙和一个48位元的初向量(IV)的 RC4流密码来加密 使用称为“Michael”的更安全的讯息认证码(在 WPA 中叫做讯息完整性查核,MIC) 增大钥匙和初向量、减少和钥匙相关的封包个数、增加安全讯息验证系统,5.5.4 无线局域网存在的安全问题

16、,身份标识 入侵者可以通过克隆MAC地址来试图连接网络 攻击者可以利用厂商默认SSID来渗透无线局域网 缺乏访问控制机制 攻击者可以通过更改本身的MAC地址进入网 802.11标准中缺乏认证机制 WEP密钥的管理问题 WEP密钥管理的缺失是另一个较为重要的安全漏洞 大型网络架构包含众多漫游基站与客户端,而相互之间缺乏内部访问协议,2018/8/25,5.6 传感网络,5.6.1 传感网络的基本元素 5.6.2 无线传感网络安全,2018/8/25,2018/8/25,5.6 传感网络,传感网络是指相互合作的多个独立设备以自组织的形式构成网络,并通过多跳中继方式将监控数据传到汇聚节点。这些相互合作的独立设备在传感网络中称为传感器,用于侦查、监督、追踪周边环境变量,如不同地点的温度、声音、振动和压力。,5.6.1 传感网络的基本元素,路由 以数据为中心的路由协议,分层次的路由协议和基于地点的路由协议 功耗 容错性 任何传感网络的可靠性必须强,能够不受单个节点错误的影响 可扩展性 当有新的节点加入时,传感网络应该不受影响; 生产成本 无线传感网络通常使用大量的传感节点,每个独立的传感节点都关系着整个传感网络的成本 传感网络的拓扑结构 传输介质 红外、蓝牙、无线射频或光波,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号