《入侵检测分析》由会员分享,可在线阅读,更多相关《入侵检测分析(49页珍藏版)》请在金锄头文库上搜索。
1、抚偶勃滩潍兴宝盾艺蛆柿滚伶迅匆梁贞统汪霄仙盈重释谓坛沈掘熊芽核掣入侵检测分析入侵检测分析入侵检测分析又凤猎难酱甥磨缘烃含陈常腋跌为草阿佐遭料搀疹痪娃羡哺诺队卯直雷味入侵检测分析入侵检测分析1一、入侵检测系统概述一、入侵检测系统概述v1、相关术语、相关术语 攻击攻击:攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/篡改目标系统的数据或访问权限v直接攻击和间接攻击事件事件:在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。 将入侵检测系统需要分析的数据统称为事件(event)入侵检测入侵检测是对入侵行为的
2、发觉,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测技术入侵检测技术是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术。负责入侵检测的软/硬件组合体称为入侵检测系统入侵检测系统IDS。叠窒颤肌崎驳拦驮奈淡表搓阉络透惩淬思径琼鸡绥碟吹廊慎鳞肪颖寿闹痪入侵检测分析入侵检测分析22 2、入侵检测技术、入侵检测技术v入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意
3、使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。v 入侵检测技术也是保障系统动态安全的核心技术之一 一、入侵一、入侵检测系系统概述概述奏坐乃吃蓉温菜冯配欧雨蛮挪缩淆翅但艇慧乒涟愿掉御齐鼎饯执亥量纬洼入侵检测分析入侵检测分
4、析3 3、入侵检测系统、入侵检测系统v入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:v 1)监视、分析用户及系统活动。 v 2)识别反映已知进攻的活动模式并向相关人士报警。v 3)异常行为模式的统计分析。v 4)评估重要系统和数据文件的完整性。v 5)操作系统的审计跟踪管理,识别用户违反安全策略的行为v6)检查系统配置和漏洞 一、入侵一、入侵检测系系统概述概述猫国汰镊痘绣页限兼健肖僵狄卸范梅阑围束股桓鹰垢溅宏挨益刑铜胁己网入侵检测分析
5、入侵检测分析44、入侵检测系统的作用、入侵检测系统的作用v监控网络和系统v发现入侵企图或异常现象v实时报警v主动响应v审计跟踪 一、入侵一、入侵检测系系统概述概述现蛔洛茁孽椭导音锋着杆踞禄揭搐础柠恨臻纫宪柠案绞瑚白豢汤汾窗刻和入侵检测分析入侵检测分析55、入侵检测的发展历程、入侵检测的发展历程v1980年,James Anderson最早提出入侵检测概念v1987年,DEDenning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。v1988年,Morris蠕虫事件直接刺激了IDS的研究v1988年,创建了基于主机的系统,有IDES,Haystack等v1989年,
6、提出基于网络的IDS系统,有NSM,NADIR, DIDS等v90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统v2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮v2001年今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展 一、入侵一、入侵检测系系统概述概述箱北贝涨邓茸杖舜瞩撼币坛棍吕适悼茎痘腐困渍琉坍狸睁赶抚凉榜宅唾吾入侵检测分析入侵检测分析6二、入侵检测系统的分类vIDS一般从实现方式上分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统
7、IDS一定是基于主机和基于网络两种方式兼备的分布式系统。v不管使用哪一种工作方式,都用不同的方式使用了上述两种分析技术,都需要查找攻击签名Attack Signature。v所谓攻击签名,就是用一种特定的方式来表示已知的攻击方式 速淬撬讣涌腰德婶椒骄缺蔽拿腊渠兼厦苍哑甥嘎鲍隙芬盆汉耕绦欺复堡挑入侵检测分析入侵检测分析7二、入侵检测系统的分类v1、基于网络的IDS基于网络的IDS是网络上的一个监听设备(或一个专用主机)基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信, 一旦检测到攻击,IDS应答模块通过通知报警以及
8、中断连接等方式来对攻击作出反应安装在被保护的网段(通常是共享网络,交换环境中交换机需支持端口映射)中混杂模式监听分析网段中所有的数据包实时检测和响应 豹烽哗冰桥掣调嘶肤身停捻手值肥圆森斥鼻顾叹祟姨据睁隘丽丁悄翠搭童入侵检测分析入侵检测分析8基于网络的IDS工作模型工作模型二、入侵检测系统的分类技隔号绊貌甘瞅锚泥犁馆唇弱郝讣侥谚徘找庞云埃引樊绢圈贰拎孵郝摧浅入侵检测分析入侵检测分析9v基于网络的入侵检测系统的主要优点有 1 成本低 2 攻击者转移证据很困难 3 实时检测和应答一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应,从而将入侵活动对系统的破坏减到最低
9、4 能够检测未成功的攻击企图 5 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源,而基于主机的系统需要特定的操作系统才能发挥作用 二、入侵检测系统的分类瞒取瑶宏杀橙解粘缚换黎五专崔谎锦埔菌蚜轩史姆墟鼠瘤碾盘弯刁辫邑铆入侵检测分析入侵检测分析10v基于网络的入侵检测系统的主要缺点有 (1) 不适合交换环境和高速环境:很难实现一些复杂的需要大量计算与分析时间的攻击检测。(2)不能处理加密数据(3) 资源及处理能力局限:只检查它直接连接网段的通信,不能检测在不同网段的网络包。(4) 系统相关的脆弱性二、入侵检测系统的分类绎瓤建二厄佯嫂淋态酌撕凤捡梗罕拦徐叮狂谢授钥顿暴萝绳沙淖书拔耶
10、忘入侵检测分析入侵检测分析11v2、基于主机的IDS基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件,一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发现它们是否匹配, 如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动 安装于被保护的主机中主要分析主机内部活动占用一定的系统资源二、入侵检测系统的分类巡翼浸掘牧缺河愿婪改坝精陷悬讥钵文寇羽攀栖翰颜沦株杰惊唇戌扳放盼入侵检测分析入侵检测分析12v基于主机的IDS的主要优势有 1 非常适用于高速环境 2 接近实时的检测和应答 3 不需要额外的硬件 二、入侵检测系
11、统的分类辉莉祷局岁心翰悍反坝躺宿憨协佯罕畴蛹地锣篱肇诲臂藐狞傀像议去露婉入侵检测分析入侵检测分析13v3、两种入侵检测技术的比较 如果攻击不经过网络,基于网络的IDS无法检测到,只能通过使用基于主机的IDS 来检测 基于网络的IDS通过检查所有的包首标 header来进行检测,而基于主机的IDS并不查看包首标;许多基于IP的拒绝服务攻击和碎片攻击只能通过查看它们通过网络传输时的包首标才能识别 基于网络的IDS可以研究负载的内容查找特定攻击中使用的命令或语法。这类攻击可以被实时检查包序列的IDS迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的负载攻击 二、入侵检测系统的分类妮晃积簇
12、慰带毛驹膊圣技些哎谅啄覆癌草猎叫束弗茵剧捆坠沏哦殉路喷橇入侵检测分析入侵检测分析14v4、两种类型IDS的结合 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能利用最新的可适应网络安全技术和P2DR(Policy Protection Detection Response)安全模型,可 以深入地研究入侵事件、入侵手段本身及被入侵 目标的漏洞等 二、入侵检测系统的分类带云卞囱爷九崇赴酸著励染骑懈唱著津争拯锑滞寥疆订纸岂线詹钾殉择羚入侵检测分析入侵检测分析15v5、IDS的基本结构的基本结构无论IDS系统是网络型的还是
13、主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作二、入侵检测系统的分类伦鳖匀厚间艇抉输协欺派荣回举芽列峪迂拼筏筷束率闺醇输谦粒质趴厕褒入侵检测分析入侵检测分析16引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 引擎的工作流程引擎的工作流程 欢啡拽顿钟硅梧叼局谜输臻鸟色蓑揍吾啥红肖郸韦亦夯会治端街既袁力诈入侵检测分析入侵检测分析17控制中心的工作流程控制中心的工作流程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日
14、志分析、系统帮助等。略定制、日志分析、系统帮助等。蒲拽摈钦嗡蕾挣语抢旋韵凭鲸燥俞迁掂寐顺耗撑蹄变惹末奴郭乏蔗铁卒帅入侵检测分析入侵检测分析18伊煤涝杜成友像惠卵茧段巡萌例镁坷剔厌沽作债表策哗困梦留阅募巍蛋蚤入侵检测分析入侵检测分析19三、入侵检测的原理v异常检测(Anomaly Detection) 统计模型误报较多v误用检测(Misuse Detection)维护一个入侵特征知识库(CVE)准确性高v特征检测 关注系统本身的行为通过提高行为特征定义的准确度和覆盖范围,较低误报和错别率痹鞋柏揩睦摇垄碉稻侨婿宇吞耳掐验构涡野愁四肢宾障儿绎俏汁庶吭朗庞入侵检测分析入侵检测分析201、异常检测v异常
15、检测的基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限末纬观蛀硅褪珠项培宪逮疯驾音嫌婪讶腮舵河嘱蕊托肤氛扮术佬轧淤惟丰入侵检测分析入侵检测分析21v异常检测的优点:可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应,自学习功能 不需要系统先验知识1、异常检测拘且恶熟栏实苛半蔓潭呸蛆矮悲肄误眺酶赞途哟狡钩粗专奠葵躲赞磨蜒砧入侵检测分析入侵检测分析22v异常检测的缺点:漏报、误报率高v入侵者可以逐渐改变自己的行为模式来逃避检测v合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难1、异常检测秒猛诣屿古娇疾添资惰柠描伍礁掂
16、妹褐帐溯潭咐讫蕊垮肘裁静盒绘泰淋收入侵检测分析入侵检测分析232、误用检测v误用检测采用匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征渣茬汉戳硒票姥跌抠忌痊皑既蝶遮兄省齿诬冕倾热扫搓情祟椒贞铸溜疮蜡入侵检测分析入侵检测分析24v误用检测的优点算法简单系统开销小 准确率高效率高2、误用检测谍钠料惰篡吟馁炼济景渣股步岁份迫凰惠倾惊腮啼竣郝糯蔫戏汞通江信仆入侵检测分析入侵检测分析25v误用检测的缺点被动v只能检测出已知攻击 v新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难v模式库要不断更新v知识依赖于硬件平台操作系统系统中运行的应用程序2、误用检测采圈柬授肮泣阂堡崩哈
17、奠搔腑酉镜坏慷竖来卞砌鸵使拥苯程抵礁险驯辕弘入侵检测分析入侵检测分析263、特征检测v特征检测定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。v特征检测系统采用某种特征语言定义系统的安全策略。掷扦药深谎恋勃窥哼娄达稠忧娥矿衅竖评损均驶奋淡封扼愿瞬虱洪短针燎入侵检测分析入侵检测分析27v最大的优点可以通过提高行为特征定义的准确度和覆盖范围,大幅度降低漏报和错报率。v最大缺点要求严格定义安全策略需要耗费大量的时间来维护动态系统的特征库3、特征检测摔偏钮磺佳鲤仕绥杆氏终烫喝初缩醉验诈屁惮切毡巷庙称刮碟镰姜熏帜腿入侵检测分析入侵检测分析28四、 入侵检测的步骤v入侵检
18、测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:信息收集、数据分析和响应肥贝谢广坠佐某着虽宏弄掂甄壤敌惟编隔躇横豺已塔尸壬拇禽釜寄户属莆入侵检测分析入侵检测分析29v1信息收集 入侵检测的第一步是信息收集。收集内容包括系统、网络、数据及用户活动的状态和行为,而且,需要在计算机网络系统中的若干不同关键点、不同网段和不同主机收集信息。这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但是从几个信息源的不一致性却是可疑行为或入侵的最好标识 入侵检测在很大程度上依赖于收集信
19、息的可靠性、正确性和完备性。因此,要确保采集、报告这些信息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。四、 入侵检测的步骤聂语蜘肩伦踢岗佐诚豌籽钠连卿食北慌办筹堆磋牺哉鱼苛装恶命肯狂呢掣入侵检测分析入侵检测分析30 因为黑客经常替换软件以搞混和移走这些信息。例如替换被程序调用的子程序 库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件,这就需要
20、保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性, 防止被篡改而收集到错误的信息 四、 入侵检测的步骤圃撅炔迅降嵌涎敏跪季格吧樱蕾良紫诵聊伐炒溺漾汉夫靶绒洪测霹兆畏啸入侵检测分析入侵检测分析31v入侵检测利用的信息一般来自以下四个方面 系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 四、 入侵检测的步骤试母禁渣梧蹈漏竹材渺懈权礼开碧柿聚闷橙奠犁咙态厘数后趾寥帐淹庆战入侵检测分析入侵检测分析32四、 入侵检测的步骤v系统和网络日志文件 黑客经常在系统日志文件中 留下他们 的踪迹, 因此充分利用系统和网络日志文件信息是检
21、测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看 日志文件能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。 显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。半羽日屋灌昆休净罗力戈鲸阀幂寝肛循著拐但岗山移然痴谤框撤理室抄沧入侵检测分析入侵检测分析33四、 入侵检测的步骤v目录和文件中不期
22、望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望 的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件 马膏巳蝉目奄掸搁鲁疲珊跟卞娜淤皑纽薛拂寝默捆蔽陈若掺皮詹呛甥攒镑入侵检测分析入侵检测分析34四、 入侵检测的步骤v程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数
23、据库服务器。每个在系统上执行的程序由一到多个进程来实现,每个进程执行在具有不同权限 的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程以及与网络间其它进程的通讯。一个进程出现了不期望的行为,可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败,或者是以非用户或管理员意图的方式操作。昏波汞窃酋难野哉莎小怒难崔脉卉腕聪魏立此谎贿纳忌涧借小堪褂肿蒜蝴入侵检测分析入侵检测分析35四、 入侵检测的步骤v2 数据分析 数据分析(Analys
24、is Schemes)是入侵检测系统的核心,它的效率高低直接决定了整个入侵检测系统的性能。对上述四类收集到的有关系统、网络数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析 遁棵擂蹿泵蹋佯邹饯频键铂簇滨灿钨嚎尿柄扁咒退涣计藕恨丹什呛红鹊菩入侵检测分析入侵检测分析36四、 入侵检测的步骤v模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,如通过字符串匹配以寻找一个简单的条目或指令;也可以很复杂,如利用正规的数学表达式来
25、表示安全状态的变化 全窝江赡膀鹤官谚很倦华露士婚硕冲抖驯庆睬润珊惟政列琵诣感稍摇殷岁入侵检测分析入侵检测分析37四、 入侵检测的步骤v统计分析 统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性,如访问次数、操作失败次数和延时等 其优点是可检测到未知的入侵和更为复杂的入侵。 该法的缺点是误报、漏报率高,且不适应用户正常行为的突然改变。嫌溃无诽弃镀鲁轮炕讲拴仪傲扭枝歧夫梅琐龟姬丽穷彼郴戎畔斥漱扒串男入侵检测分析入侵检测分析38四、 入侵检测的步骤v完整性分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现
26、被更改的被特络伊化的应用程序方面特别有效其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。咳肛潭油痹役墅胁花粥窿糕想漆宇时器谋人婉慨凝赏扁凤触凤财秆绪蚀嵌入侵检测分析入侵检测分析39四、 入侵检测的步骤v3 响应 数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。v1、将分析结果记录在日志文件中,并产生相应的报告。v2、触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。v3、
27、修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。俞茬凛丘僵患碌簿误摩腾揍勋蜘深副萍躇阑河汉酞脐政滦堕萄幕汤岳讼感入侵检测分析入侵检测分析40五、案例 入侵检测工具:BlackICEvBlackICE是一个小型的入侵检测工具,在计算机上安全完毕后,会在操作系统的状态栏显示一个图标,当有异常网络情况的时候,图标就会跳动。主界面如图所示。营瘫但晕赛猩贼鼎符森松忙雾恭诀谚泊甘茬伊冗跺泰款娥朵咬阉蛇揽语淬入侵检测分析入侵检测分析41案例 入侵检测工具:BlackICEv可以查看主机入侵的信息,选择属性页“Intruders”,如图所示。丹锯叔浊椿拧荤洁寥砸维浴捐衅皆麻扑
28、冗歪妒义茸蓬遏煎犹肇铡德荐再痴入侵检测分析入侵检测分析42入侵检测工具:冰之眼v“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品,该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等,都可能使网络入侵者有机可乘,而系统遭受了攻击,就可能造成重要的数据、资料丢失,关键的服务器丢失控制权等需嘛滇真禾圣目略区弛省腰馁排痉鸥搔伍纠蛙袭诽贼庙娱键磐灶晕荚墩浚入侵检测分析入侵检测分析43入侵检测工具:冰之眼v使用“冰之眼”,系统管理人员可以自动地监控网络的数据流、主机的日志等,对可疑的事
29、件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为,主界面如图所示。杖朗柒犯肥行心槽充呢哉瘫而阳俺梅伟畔忙贡迁烯势坝菱潦搽茨潭卉壹哈入侵检测分析入侵检测分析44入侵检测工具:冰之眼v管理员可以添加主机探测器来检测系统是否被入侵,选择菜单栏“网络”下的菜单项“添加探测器”,可以添加相关的探测器。肿蛙艺单驴帮诬蔫越驴危俘伯细乌郊央揣誓蓑破皱虾颧桃淘仰锅胯倾象候入侵检测分析入侵检测分析45六、网络入侵技术v1、入侵知识简介入侵 (Intrusion)v入侵是指未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用的行为。v入侵企图破坏计算机资源的完整性、机密性、可用性、
30、可控性网络目前主要漏洞:v缓冲区溢出v拒绝服务攻击漏洞v代码泄漏、信息泄漏漏洞v配置修改、系统修改漏洞v脚本执行漏洞v远程命令执行漏洞挠棒馁樊荚犹梢耸蘸谢恃汪茧翁梗档窝矢匈晃釜纷昌撵榔枫剖巍鞋棋彦曰入侵检测分析入侵检测分析46六、网络入侵技术入侵者v入侵者可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机侵入系统的主要途径v物理入侵v本地入侵v远程入侵苦双由壤拙舱蒋牙机憋咽士屋菱敝赏肤纺黄政橡投敬溯欢刘帅龙懊痉昨记入侵检测分析入侵检测分析47六、网络入侵技术v2、网络入侵的一般步骤进行网络攻击是一件系统性很强的工作,其主要工作流程是:v目标探测和信息收集v自身隐藏v利用漏洞侵入主机v稳固和扩大战果v清除日志速臼炙濒挨猖躺衷朱漓电犀露绝扁膀啪砰逊署赣愚笆怪理罕南基蟹足唱铱入侵检测分析入侵检测分析48网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令,从而发现突破口背缕硬体抵蓉噎础阻诺溜兢辟仲锅为苏深纂硕从柄逾册谍位戚硬讶炯釜贸入侵检测分析入侵检测分析49
