COST论坛——入侵检测技术分析-20110927.pdf

COST论坛——入侵检测技术分析 COST论坛——入侵检测技术分析 CCOOSSTT论论坛坛————入入侵侵检检测测技技术术分分析析 绿盟科技 蔡立军 绿盟科技 蔡立军 绿绿盟盟科科技技 蔡蔡立立军军 2011年9月 2011年9月 年99月月 wwwwww..nnssffooccuuss..ccoomm © 2011 绿盟科技 nnssffooccuuss..ccoomm 1、校园网安全威胁新格局 1、校园网安全威胁新格局 11、、校校园园网网安安全全威威胁胁新新格格局局 警钟长鸣 警钟长鸣 警警钟钟长长鸣鸣 2011年8月29日，晚22时，广东某高校 •2011年8月29日，晚22时，广东某高校 年88月月2299日日，，晚晚2222时时，，广广东东某某高高校校 近万台正在上网的学生电脑被攻击 •近万台正在上网的学生电脑被攻击 近近万万台台正正在在上上网网的的学学生生电电脑脑被被攻攻击击 计费系统客户端软件存在缓冲区溢出漏洞 •计费系统客户端软件存在缓冲区溢出漏洞 计计费费系系统统客客户户端端软软件件存存在在缓缓冲冲区区溢溢出出漏漏洞洞 利用地址欺骗，冒充认证服务端向客户端发送攻击代码 •利用地址欺骗，冒充认证服务端向客户端发送攻击代码 利利用用地地址址欺欺骗骗，，冒冒充充认认证证服服务务端端向向客客户户端端发发送送攻攻击击代代码码 何健之——该校大四学生 •何健之——该校大四学生 何何健健之之————该该校校大大四四学学生生 高校近期安全事件 高校近期安全事件 高高校校近近期期安安全全事事件件 Case1：福建某高校 Case1：福建某高校 CCaassee11：：福福建建某某高高校校 今年3月份，福建某高校网络出口瘫痪，经过绿盟科技应急工程师现 数据中心一台服务器被黑客入侵 数据中心一台服务器被黑客入侵 场检查，分析原因为高校数数据据中中心心一一台台服服务务器器被被黑黑客客入入侵侵，成为肉 鸡，被植入僵尸木马程序，受黑客控制疯狂往外网发包，导致学校 网络出口瘫痪；绿盟科技应急工程师清除了服务器上相关木马程 序，并对服务器进行加固，学校网络恢复正常； Case2 西安某中专 Case2 西安某中专 CCaassee22：西西安安某某中中专专 网站系统被篡改 网站系统被篡改 学校网网站站系系统统被被篡篡改改，工程师现场排除故障，分析原因为前期被入 侵，植入了很多的WEBSHELL；绿盟应急工程师清除网站上相关恶意 软件，系统恢复正常； Case3：石家庄某高校 Case3：石家庄某高校 CCaassee33：：石石家家庄庄某某高高校校 网站被挂马、篡改 网站被挂马、篡改 在最近高招中，发现网网站站被被挂挂马马、、篡篡改改，并且学校内部也曾经发现