第5章 系统攻击与入侵检测.ppt

本章学习目标： 系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。 本章应该掌握以下内容： 入侵的概念 几种系统攻击方法的原理 入侵检测的原理 入侵检测系统的组成及结构 SYN Flooding攻击 对Windows NT攻击很有效 使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复（叫做SYN－ACK）。由于SYN－ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN－ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。NT设罢为可回复5次，每次等待时间加倍：则：3+6+12+24+48+96=189S SYN-Flooding攻击示意图 （2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 （3）代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。 DDoS的主要攻击方式及防范策略 死亡之ping （ping of death） 由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。 5.3.2. 入侵检测的主要任务和作用 监视、分析用户及系统活动； 对系统构造和弱点的审计； 识别和反应已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，识别用户违反安全策略的行为。 5.3.3入侵检测系统的工作原理 1.信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2. 信号分析 (1)模式匹配： (2) 统计分析 (3) 完整性分析 (1) 模式匹配的方法(也称为误用检测)：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 优点 只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。 弱点 需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 (2) 统计分析的方法(也称为异常检测)： 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。这种分析方法。 优点 可检测到未知的入侵和更为复杂的入侵 缺点 误报、漏报率高，且不适应用户正常行为的突然改变。具 体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。 (3) 完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。 完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。 完整性分析利用强有力的加密机制（如：消息摘要函数），能识别哪怕是微小的变化。 优点 不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点 一般以批处理方式实现，不用于实时响应。 * 第5章 系统攻击与入侵检测 5.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 5.1.1 黑客与入侵者 Hacker Cracker,Intruder 5.1.2系统攻击的三个阶段 （1）收集信息 （2）探测系统安全弱点 （3）实施攻击 5.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3．缺乏良好安全体系的系统 5.2 系统攻击方法 5.2.1 口令攻击 1．获取口令的一些方法 （1）是通过网络监听非法得到用户口令 （2）口令的穷举攻