1、計算機網(wǎng)絡技術2007年1月第二十三講6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.1 黑客的常用入侵手段6.4.2 入侵檢測系統(tǒng)6.4.3 網(wǎng)絡安全預警系統(tǒng)6.4 計算機網(wǎng)絡入侵檢測與安全預警本節(jié)教學目標：了解黑客的常用入侵手段；理解入侵檢測系統(tǒng)；理解網(wǎng)絡安全預警系統(tǒng)。6.4.1 黑客的常用入侵手段6.4 計算機網(wǎng)絡入侵檢測與安全預警1.什么是黑客？黑客一詞，源于英文Hacker，原指熱心于計算機技術，水平高超的電腦專家，尤其是程序設計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。黑客和駭客根本的區(qū)別是：

2、黑客們建設，而駭客們破壞。 6.4.1 黑客的常用入侵手段6.4 計算機網(wǎng)絡入侵檢測與安全預警2.黑客進行遠程攻擊的一般過程收集被攻擊目標的有關信息，分析后找出被攻擊系統(tǒng)的漏洞。用適當?shù)墓ぞ哌M行掃描。建立模擬環(huán)境，進行模擬攻擊，測試對方反應，找出毀滅入侵證據(jù)的方法。實施攻擊。6.4.1 黑客的常用入侵手段3.黑客常用工具掃描器口令入侵工具特洛伊木馬網(wǎng)絡嗅覺器系統(tǒng)破壞裝置6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.1 黑客的常用入侵手段4.漏洞掃描被動式掃描策略基于主機的掃描技術基于目標的掃描技術基于應用的掃描技術6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.1 黑客的常用入侵手段4.漏洞掃描主動

3、式掃描策略是基于網(wǎng)絡的掃描技術；通過一些腳本文件對系統(tǒng)進行攻擊；記錄系統(tǒng)的反應，從中發(fā)現(xiàn)漏洞。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.1 黑客的常用入侵手段5.IP欺騙基本思路是：假定要攻擊主機X，首先要找一個X信任的主機A；攻擊者B假冒A的IP地址，建立與X的連接；對X進行攻擊。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.1 黑客的常用入侵手段IP欺騙的一些預防策略放棄基于IP地址的信任策略使用隨機化的初始序列號在路由器中加上一些附加條件6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS1.IDS的工作內容監(jiān)視并分析用戶和系統(tǒng)的行為；審計系統(tǒng)配置和漏洞；評估敏感系統(tǒng)和數(shù)據(jù)

4、的完整性；識別攻擊行為、對異常行為進行統(tǒng)計；自動收集與系統(tǒng)相關的補丁審計、識別、跟蹤違反安全法規(guī)的行為；使用誘騙服務器記錄黑客行為。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS2.入侵檢測方式實時入侵檢測：在網(wǎng)絡的連接中進行；檢測過程是反復循環(huán)的。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS實時入侵檢測：6.4 計算機網(wǎng)絡入侵檢測與安全預警當前操作是攻擊否?Yes監(jiān)測No入侵檢測攻擊識別模塊攻擊處理模塊6.4.2 入侵檢測系統(tǒng)IDS2.入侵檢測方式事后入侵檢測：根據(jù)計算機系統(tǒng)對用戶操作所作的歷史審計記錄判斷；定期或不定期的進行。6.4 計算機網(wǎng)絡入侵

5、檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS事后入侵檢測：6.4 計算機網(wǎng)絡入侵檢測與安全預警歷史紀錄是攻擊否?Yes返回No入侵檢測攻擊識別模塊攻擊處理模塊6.4.2 入侵檢測系統(tǒng)IDS3.IDS的工作原理數(shù)據(jù)收集分布式數(shù)據(jù)源還是集中式數(shù)據(jù)源；直接監(jiān)控還是間接監(jiān)控；基于主機的數(shù)據(jù)收集還是基于網(wǎng)絡的數(shù)據(jù)收集；使用外部探測器還是內部探測器。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS3.IDS的工作原理數(shù)據(jù)分析模式匹配；統(tǒng)計分析；完整性分析。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS4.IDS的信息源基于網(wǎng)絡的入侵檢測系統(tǒng)網(wǎng)絡引擎配置在防火墻內；網(wǎng)絡

6、引擎配置在非軍事區(qū)；網(wǎng)絡引擎配置在內部網(wǎng)絡的各臨界字段。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS基于網(wǎng)絡的入侵檢測系統(tǒng)6.4 計算機網(wǎng)絡入侵檢測與安全預警Internet域名路由器控制臺Web服務器子網(wǎng)1防火墻子網(wǎng)2子網(wǎng)36.4.2 入侵檢測系統(tǒng)IDS4.IDS的信息源基于主機的入侵檢測系統(tǒng)在每臺要保護的主機后臺運行一個代理程序；提供了基于網(wǎng)絡的IDS不能提供的一些功能；在交換網(wǎng)絡中非常有用；但對網(wǎng)絡流量不敏感；不能訪問被保護系統(tǒng)的核心功能。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.4.2 入侵檢測系統(tǒng)IDS5.IDS的分析方法異常檢測型IDS6.4 計算機網(wǎng)絡入侵檢測

7、與安全預警是否符合正常行為?YesNo 審計數(shù)據(jù)正常的系統(tǒng)行為輪廓正常狀態(tài)入侵狀態(tài)更新輪廓動態(tài)的生成新的輪廓6.4.2 入侵檢測系統(tǒng)IDS5.IDS的分析方法誤用檢測型IDS6.4 計算機網(wǎng)絡入侵檢測與安全預警是否與現(xiàn)有規(guī)則匹配?YesNo 審計數(shù)據(jù) 規(guī)則庫正常狀態(tài)攻擊狀態(tài)修改現(xiàn)有規(guī)則增加新規(guī)則6.4.2 入侵檢測系統(tǒng)IDS5.IDS的分析方法兩種檢測方法之間的區(qū)別：6.4 計算機網(wǎng)絡入侵檢測與安全預警（1）異常檢測系統(tǒng)試圖發(fā)現(xiàn)一些未知的入侵行為；而誤用檢測系統(tǒng)則是標識一些已知的入侵行為。（2）異常檢測指根據(jù)使用者的行為或資源使用情況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測；而誤用檢測

8、系統(tǒng)則大多是通過對一些具體的行為的判斷和推理，從而檢測出入侵。6.4.2 入侵檢測系統(tǒng)IDS5.IDS的分析方法兩種檢測方法之間的區(qū)別：6.4 計算機網(wǎng)絡入侵檢測與安全預警（3）異常檢測的主要缺陷在于誤檢率很高，尤其在用戶數(shù)目眾多或工作行為經(jīng)常改變的環(huán)境中；而誤用檢測系統(tǒng)由于依據(jù)具體特征庫進行判斷，準確度要高很多。（4）異常檢測對具體系統(tǒng)的依賴性相對較??；而誤用檢測系統(tǒng)對具體的系統(tǒng)依賴性太強，可移植性不好。6.4.3 網(wǎng)絡安全預警系統(tǒng)1.預警系統(tǒng)的原理建立系統(tǒng)的關鍵是建立一種有效的安全溝通機制。三要素是：先進的“網(wǎng)警”技術；系統(tǒng)的溝通機制；快速的通報手段。6.4 計算機網(wǎng)絡入侵檢測與安全預警6

9、.4.3 網(wǎng)絡安全預警系統(tǒng)2.建立預警系統(tǒng)的意義保護公網(wǎng)的安全，有效地抵御對網(wǎng)絡的攻擊。有效的防止來自內部的攻擊行為。6.4 計算機網(wǎng)絡入侵檢測與安全預警6.5 惡意程序及其防治6.5.1 惡意程序與病毒6.5.2 網(wǎng)絡病毒防范6.5 惡意程序及其防治本節(jié)教學目標：理解惡意程序及其類型；了解網(wǎng)絡病毒防范方法。6.5.1 惡意程序與病毒惡意程序是一類可以危害系統(tǒng)或應用正常功能的特殊程序或程序片斷。其活動方式有：修改合法程序，使之變?yōu)橛衅茐哪芰Φ某绦颍焕煤戏ǔ绦?，非法獲取或篡改系統(tǒng)資源或敏感數(shù)據(jù)。1.惡意程序及其類型6.5 惡意程序及其防治6.5.1 惡意程序與病毒惡意程序的存在方式有：宿主程序

10、方式；獨立存在。還可分為：有復制能力；無復制能力。1.惡意程序及其類型6.5 惡意程序及其防治6.5.1 惡意程序與病毒陷門（Trap Doors）邏輯炸彈特洛伊木馬蠕蟲細菌病毒幾種常見的惡意程序：6.5 惡意程序及其防治6.5.1 惡意程序與病毒2.廣義病毒 從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等均可稱為計算機病毒。6.5 惡意程序及其防治6.5.1 惡意程序與病毒病毒產(chǎn)生的原因 開個玩笑，一個惡作劇產(chǎn)生于個別人的報復心理 用于版權保護 用于特殊目的 6.5 惡意程序及其防治6.5.1 惡意程序與病毒6.5 惡意程序及其防治3.網(wǎng)絡與病毒網(wǎng)絡病毒一般通過以下方式進行傳播：郵件及郵件附件系統(tǒng)漏洞 文件共享 網(wǎng)頁 即時通訊 6.5.2 網(wǎng)絡病毒防范基于工作站的防病毒技術安裝防病毒芯片使用防毒殺毒軟件使用無盤工作站備份主要應當從工作站和服務器兩個方面進行：6.5 惡意程序及其防治6.5.2 網(wǎng)絡病毒防范基于服務器的防病毒技術實時在線病毒掃描服務器