第7章：黑客攻击与入侵检测.ppt

木马攻击与检查防范2 黑客利用木马入侵网络中的电脑，从而达到操作被入侵电脑的目的。功过控制被入侵的电脑，黑客可以任意在其中浏览信息，上传下载文件以及窃取密码信息等，而且还可以通过该电脑向其他电脑进行攻击，达到既能攻击更多主机又能隐藏自身信息的目的，所以木马已经成为黑客攻击电脑的首选工具。 * 木马攻击与检查防范3 黑客常将已经被木马入侵的主机成为服务器，而将用于接收或控制木马运行的电脑称为客户端，因此一个完整的木马软件一般是由两部分组成，即入侵软件和控制软件，它们的关系如图7-1所示。 * 木马攻击与检查防范4 根据木马的原理和危害，可知木马具有伪装性、隐蔽性和顽固性的特点。 伪装性——由于人们对于病毒以及木马警觉性的提高，木马通常需要将自己伪装成其他程序才能消除用户的戒心，使用户不会认为它是来历不明的程序，达到不知不觉进入主机的目的。 隐蔽性——目前不少木马在传播时，大多会与一些常见的软件一起被用户存储到电脑中，很难被发现，当用户使用该软件时，木马就自动运行了。 顽固性——某些木马会在系统文件中留下备份文件，当用户用杀毒软件清除木马时，备份文件很难被清除掉，使这些病毒具有了“死灰复燃”的能力。另外，木马一般都随系统启动而启动，并且有进程保护设置，所以查杀木马非常麻烦。 * 木马攻击与检查防范5 防治木马，常用简单使用措施如下： 安装杀毒软件和个人防火墙，并及时升级； 将个人防火墙设置好安全等级，防治未知程序向外传送数据； 考虑使用安全性比较好的浏览器和电子邮件客户端工具； 如果使用IE浏览器，应该看装一些安全助手，防止恶意网站在自己的电脑上安装不明软件和浏览器插件，以免被木马乘机侵入。 * 木马攻击与检查防范6 进一步帮助判断是否被植入木马的方法 软件Hash值校验——此方法就是检验文件是否被篡改。无论何时，当用户从网站上下载一个软件的时候，都应该生成相应文件的Hash值，之后与发布厂商网站上的Hash值进行比较。如，从某网站下载软件时，软件连接旁边看到软件的MD5值，下载之后，利用MD5工具生成下载文件的MD5散列值，两个散列值进行比较，若相等说明软件没有被篡改，若不等则要怀疑软件的真实性。 进程和端口监控——监控端口指监控系统当前哪些端口是处于监听、连接状态，哪些进程在使用哪些端口，即进行进程与端口的关联。通过监视计算机上打开的非常用端口，能够检测出等待建立连接的木马。常用的netstat –na命令就可以实现这一功能。 * 7.2 入侵检测 1.入侵检测的定义 2.入侵响应 3.入侵追踪 4.入侵检测工具介绍 * （1）入侵检测的定义 入侵检测（Intrusion Detection）——就是对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。这些都通过它执行以下任务来实现： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为 * （2）入侵检测系统 入侵检测系统（简称“IDS”）——是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 * （3） 入侵检测的分类 1）按照分析方法（检测方法） 异常检测（Anomaly Detection ) 误用检测（Misuse Detection) 2）按照数据来源 基于主机 基于网络 混合型 3）按系统各模块的运行方式 集中式 分布式 4）根据时效性 脱机分析 联机分析 * 2.入侵响应 入侵响应（ Intrusion Response） ——是指当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行；入侵响应系统（Intrusion Response System）是指实施入侵响应的系统。 * 入侵响应系统的分类 1）按响应类型分类 报警型响应系统 人工响应系统 自动响应系统 2）按响应方式分类 基于主机的响应 基于网络的响应 3）按照响应范围分类 本地响应系统 网络协同响应系统 * 入侵响应的方式 入侵响应的方式，根据严厉程度不同，可以分为以下几个级别 第一级别，较温和的被动响应方式，包括以下几种响应： 记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 第二，介于温和与严厉之间的主动响应方式： 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象 第三级别，较为严厉的主动响应方式： 警