第十一网络与信息安全-章系统安全－入侵检测.pdf

第十一章系统安全-入侵检测 1 本章主要内容  基本概念  入侵检测  入侵检测系统  入侵检测系统的部署  CIDF 2 11.1 基本概念  入侵者  Anderson将入侵者分为3类 外部入侵 者  假冒用户：未授权使用计算机的个体，或潜入系统 的访问控制来获取合法用户的帐户。 内部入侵 者  违法用户：系统的合法用户访问未授权的数据、程 序或资源，或者授权者误用其权限。 内部与外 部入侵者  隐秘用户：通过某种方法夺取系统的管理控制权限 ，并使用这种控制权躲避审计机制和访问控制，或 者取消审计集合的个体。 3  攻击 基于misuse检测  有意违犯规则的操作 异常检测  无意违犯规则的操作  可疑行为或操作 尝试攻击绕过攻击穿透攻击 内部攻击 4  入侵者的行为模式  黑客  经常寻找敌对方的目标并与他人共享信息。  犯罪  传统黑客是寻找有机会的目标，而犯罪黑客则有明 确的目标。一旦侵入系统，攻击者动作迅速，取得 尽可能多的信息后退出。  内部攻击  可能基于报复或者仅仅是为了体验权力的感觉。 执行最小权利制度 设置日志查看什么用户接入，都做了什么操作 对敏感资源加强认证 结束时删除员工计算机和网络的接入 结束时对员工硬盘做镜像。如果竞争者那里出现了公司的信息， 可以作为证据使用。 5  入侵技术 典型的获取口令方法 1.尝试标准帐户使用的系统缺省口令。  入侵的目标是获得系统的访问权限或者提升系 2.穷举尝试所有的短口令（1-3字符） 统的访问级别 3.系统在线字典中的词汇或者可能的口令列表。 4.收集用户的相关信息，例如全名、配偶和子女的  口令文件的保护方式 名字、办公室的图片以及与用户业余爱好有关的书  单向函数 籍等。  访问控制：访问口令文件的权限仅授予一个或非常 5.尝试用户的电话号码、SSN以及门牌号码等 。 有限的几个帐户 6.尝试该州所有的合法牌照号码。 7.使用木马绕开对访问的控制 8.在远程用户和主机系统之间搭线窃听。 另外还有不需要口令的入侵方法，如DDOS、缓冲 区溢出攻击等。 6 系统和网络 11.2 入侵检测 日志文件； 目录和文件 中的不期望 的改变；  网络入侵检测从计算机系统中若干关键点 程序执行中 分析机构 入侵检测系统 收集信息，并分析网络中是否存在入侵行析 分 关 相 的不期望行