黑客攻防与检测防御PPT课件.ppt

Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第,4,章 黑客攻防与检测防御,主编贾铁军 副主编陈国秦 苏庆刚 沈学东,编著 王坚 王小刚 宋少婷,上海教育高地建设项目,高等院校规划教材,网络安全技术及应用,（第,2,版）,上海市精品课程,网络安全技术,目 录,4.2,黑客攻击的目的及过程,2,4.3,常用的黑客攻防技术,3,4.4,网络攻击的防范措施,4,4.1,黑客概念及攻击途径,1,4.5,入侵检测与防御系统概述,5,4.6,Sniffer,网络监测实验,6,4.7,本章小结,7,2,目 录,教学目标,了解黑客攻击的目的及攻击步骤,熟悉,黑客常用的攻击方法,理解,防范黑客的措施,掌握,黑客攻击过程，并防御黑客攻击,掌握,入侵检测与防御系统的概念、功能、特点和应用方法,重点,重点,3,4.1,黑客概念及攻击途径,4.1.1,黑客概念及形成,1.,黑客及其演变,“,黑客,”,是英文“,Hacker,”,的,译音,源于,Hack,本意,为“,干了一件非常漂亮的事,”。,原指,一群专业技能超群、聪明能干、精力旺盛、对,计算机信息系统,进行,非授权访问的人,。后来成为专门利用计算机进行,破坏,或,入侵,他人计算机系统的人的,代言词,。,“,骇客,”,是英文“,Cacker,”,的译音，,意为,“破译者和搞破坏的人”。,骇客,的出现,玷污了,黑客，使人们把“,黑客,”,和,“,骇客,”混为一体。,中国网络遭攻击,瘫痪,，涉事,IP,指向美国公司。,据环球时报,2014,年,1,月综合报道，中国互联网部分用户,1,月,21,日遭遇大范围“瘫痪”性极为严重的攻击现象，国内通用顶级根域名服务器解析出现异常，部分国内用户无法访问,.cn,或,.com,等域名网站。据初步统计，全国有,2/3,的网站和数十亿企事业机构或个人用户访问受到极大影响，绝大多数网站无法打开浏览，导致系统处于瘫痪状态。,案例,4-1,4,2.,黑客的类型,把黑客,分为,“正”、“邪”,两类,，也就是经常听说的“黑客”和“红客”。,把黑客,分,为,红客、破坏者和间谍,三种类型,，,红客,是指“,国家利益,至高无上,”的、正义的“网络大侠”；,破坏者,也称“,骇客,”；,间谍,是指“利益至上”情报“盗猎者”。,4.1,黑客概念及攻击途径,5,3.,黑客的形成与发展,20,世纪,60,年代,，在美国麻省理工学院的人工智能实验室里，有一群自称为黑客的学生们以编制复杂的程序为乐趣，当初并没有功利性目的。此后不久，连接多所大学计算机实验室的美国国防部实验性网络,APARNET,建成，,黑客活动便通过网络传播到更多的大学乃至社会,。后来，有些人利用手中掌握的“绝技”，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统，干起隐蔽活动。随着,APARNET,逐步发展成为因特网，黑客们的活动天地越来越广阔，人数也越来越多，,形成鱼目混珠的局面,。,案例,4-2,4.1,黑客概念及攻击途径,6,4.1.2,黑客攻击的主要途径,1.,黑客攻击的漏洞,系统,漏洞,又称,缺陷,。,漏洞,是在,硬件、软件、协议,的具体,实现,或,系统安全策略,上,存在,的,缺陷,，从而,可使,攻击者,能够,在未授权的情况下,访问,或,破坏,系统。,造成漏洞,的,原因,分析,如下：,1,）计算机网络协议本身的缺陷。,2,）系统研发的缺陷。,3,）系统配置不当。,4,）系统安全管理中的问题。,其他,:,协议、系统、路由、传输、,DB,、技术、管理及法规等,4.1,黑客概念及攻击途径,7,2.,黑客入侵通道,端口,端口,是指,网络中,面向,连接,/,无连接服务,的,通信协议端口,是一种抽象的,软件结构,包括一些,数据结构,和,I/O,缓冲区,。计算机,通过,端口,实现,与外部通信的,连接,/,数据交换,黑客攻击,是,将,系统和网络设置中的各种,(,逻辑,),端口,作为,入侵通道,.,端口号：,端口,通过,端口号标记,（只有整数）,范围,：,065535,（,2,16,-1,）,目的端口号,:,用于,通知,传输层协议将,数据,送给,具体处理软件,源端口号：,一般是由操作系统,动态生成,的号码：,1024,65535,4.1,黑客概念及攻击途径,8,3.,端口分类,按端口号分布可分为三段：,1,）,公认端口,(0,1023),又称,常用端口,为已经或将要公认定义的软件保留的,.,这些端口紧密绑定一些服务且明确表示了某种服务协议,.,如,80,端口,表示,HTTP,协议,(,Web,服务,).,2,）,注册端口,(1024,49151),又称,保留端口,这些端口松散绑定一些服务。,3,）,动态,/,私有端口,(49152,65535).,理论上不为服务器分配,.,按协议类型将端口划分为,TCP,和,UDP,端口：,1,）,TCP,端口,需要,在客户端和服务器之间,建立连接,提供可靠的数据传输,.,如,Telnet,服务的,23,端口,SMTP,默认,25,。,2,）,UDP,端口,不需要,在客户端和服务器之间,建立连接,.,常见的端口有,DNS,服务的,53,端口。,讨论思考：,（,1,）什么是安全漏洞和隐患？为什么网络存在安全漏洞和隐患？,（,2,）举例说明，计算机网络安全面临的黑客攻击问题。,（,3,）黑客通道,-,端口主要有哪些？特点是什么？,FTP,服务,通过,TCP,传输,默认端口,20,数据,传输,21,命令,传输,4.1,黑客概念及攻击途径,9,4.2.1,黑客攻击的目的及种类,1.,黑客攻击的目的及行为,4.2,黑客攻击的目的及过程,最大网络攻击案件幕后黑手被捕。,2013,年一荷兰男子,SK,因涉嫌有史以来最大的网络攻击案件而被捕。,SK,对国际反垃圾邮件组织,Spamhaus,等网站，进行了前所未有的一系列的大规模分布式拒绝服务攻击,(DDoS),，在高峰期攻击达到每秒,300G,比特率，导致欧洲的某些局部地区互联网速度缓慢，同时致使成千上万相关网站无法正常运行服务。,黑客攻击其目的,：,其一，为了,得到,物质利益,；是指,获取,金钱财物,；,其二，为了,满足,精神需求,。是指,满足,个人,心理欲望,.,黑客行为,：,攻击,网站；,盗窃,资料；,进行,恶作剧；,告知,漏洞；,获取,目标主机系统的非法访问权等。,案例,4-3,10,4.2.1,黑客攻击的目的及种类,2.,黑客攻击手段及种类,4.2,黑客攻击的目的及过程,大量木马病毒伪装成“东莞艳舞视频”网上疯传。,2014,年,2,月，央视,新闻直播间,曝光了东莞的色情产业链，一时间有关东莞信息点击量剧增，与之有关的视频、图片信息也蜂拥而至。仅过去的,24,小时内，带有“东莞”关键词的木马色情网站（伪装的“钓鱼网站”）拦截量猛增,11.6%,，相比平时多出近,10,万次。大量命名为“东莞艳舞视频”、“东莞桑拿酒店视频”的木马和广告插件等恶意软件出现，致使很多用户机密信息被盗。,1,）网络监听。,2,）拒绝服务攻击,3,）欺骗攻击。,源,IP,地址欺骗,源路由欺骗攻击。,4,）缓冲区溢出。,5,）病毒及密码攻击,6,）应用层攻击。,案例,4-4,11,4.2.2,黑客攻击的过程,黑客攻击步骤,各异,但其整个,攻击过程,有一定规律,一般,可分为,“,攻击五部曲,”。,隐藏,IP,踩点扫描,黑客,利用,程序的,漏洞,进入,系统后,安装,后门程序,，,以便,日后可以不被察觉地,再次进入系统,。,就是,隐藏,黑客的,位置,，以免被发现。,通过,各种,途径,对,所要,攻击目标,进行,多方了解,确保,信息准确,确定,攻击时间和地点,.,篡权攻击,种植后门,隐身退出,即,获得,管理,/,访问权限,进行,攻击,。,为,避免,被发现,在入侵完后,及时清除,登录日志和其他相关日志,隐身退出,.,4.2,黑客攻击的目的及过程,12,黑客攻击企业内部局域网过程,，图,4-1,是攻击过程的示意图,.,讨论思考：,（,1,）黑客攻击的目的与步骤？,（,2,）黑客找到攻击目标后,可以继续那几步的攻击操作？,（,3,）黑客的行为有哪些？,用,Ping,查询企业内部网站服务器的,IP,用,PortScan,扫描企业内部局域网,PORT,用,WWW hack,入侵局域网络,E-mail,用,Legion,扫描局域网,植入特洛伊木马,破解,Internet,账号与口令（或密码）,用,IP Network Browser,扫描企业内部局域网,IP,图,4-1,黑客攻击企业内部局域网的过程示意图,4.2,黑客攻击的目的及过程,13,4.3.1,端口扫描的攻防,端口扫描,是管理员,发现,系统的,安全漏洞,，,加强,系统的安全管理，,提高,系统安全性能的有效方法。,端口扫描,成为,黑客,发现获得,主机信息的一种,最佳手段,。,1.,端口扫描及扫描器,（,1,）,端口扫描,.,是,使用,端口扫描工,具,检查,目标主机,在哪些端口可,建,立,TCP,连接,若可连接，则表明,主机,在那个,端口被监听,。,（,2,）,扫描器,。,扫描器,也称,扫描工具,或,扫描软件,是一种,自动检测,远程或本地主机安全性弱点的程序。,4.3,常用的黑客攻防技术,14,4.3.1,端口扫描攻防,2.,端口扫描方式方法,端口扫描的方式,有,手工命令行方式,和,扫描器扫描方式,。,端口扫描工具及方式,有：,1,）,TCP connect,扫描。,2,）,TCP SYN,扫描。,端口扫描工具的功能,：,1,）通过,Ping,来检验,IP,是否在线；,2,）,IP,和域名相互转换；,3,）检验目标计算机提供的服务类别；,4,）检验一定范围目标计算机是否在线和端口情况；,5,）工具自定义列表检验目标计算机是否在线和端口情况；,6,）自定义要检验的端口，并可以保存为端口列表文件；,7,）自带一个木马端口列表,trojans.lst,，通过这个列表用户可以检测目标计算机是否有木马；同时，也可以自定义修改这个木马端口列表。,4.3,常用的黑客攻防技术,15,4.3.1,端口扫描攻防,3,端口扫描攻击,端口扫描攻击,采用,探测技术,，攻击者可,将其用于,寻找能够成功攻击的服务。,连接在,网络中的计算机都会运行许多,使用,TCP,或,UDP,端口的服务,而所,提供,的已定义端口达,6000,个以上,.,端口扫描可让攻击者找到可用于发动各种攻击的端口。,4.,端口扫描的防范对策,端口扫描的防范,又称,系统“加固”,.,网络的,关键处,使用,防火墙,对来源不明的有害数据,进行过滤,可有效减轻端口扫描攻击,防范端口扫描,的主要,方法,有,两种,：,(1),关闭闲置及有潜在危险端口,方式一：,定向,关闭指定服务的端口,。计算机的一些网络服务为系统分配默认的端口，应将闲置服务,-,端口关闭。,4.3,常用的黑客攻防技术,16,操作方法与步骤,：,1,）打开“控制面板”窗口。,2,）打开“服务”窗口。,“,控制面板,”“,管理工具,”“,服务,”,选择,DNS,。,3,）关闭,DNS,服务,在“,DNS Client,的属性”窗口,.,启动类型项,:,选择“自动”,服务状态项,：选,-,。在服务选项中选择关闭掉一些没使用的服务，如,FTP,服务、,DNS,服务、,IIS Admin,服务等，对应的端口也停用。,4.3,常用的黑客攻防技术,案例,关闭,DNS,端口服务,方式二：,只开放允许端口,.,可用系统的“,TCP/IP,筛选,”,功能,实现,设置时,只允许,系统的一些基本网络通讯需要的端口,.,(2),屏蔽出现扫描症状的端口,检查各端口，有端口扫描症状时，立即屏蔽该端口。,17,4.3.2,网络监听攻防,1.,网络监听,网络监听,是指通过某种手段监视网络状态、数据流以及网络上传输信息的行为。网络监听是主机的一种工作模式。,2,网络监听的检测,Sniffer,主要功能,：,1,）监听计算机在网络上所产生的多种信息；,2,）监听计算机程序在网络上发送和接收的信息，包括用户的账号、密码和机密数据资料等。这是一种常用的收集有用数据的方法。,3,）在以太网中，,Sniffer,将系统的网络接口设定为混杂模式，可监听到所有流经同一以太网网段的数据包，而且不管其接受者或发送者是否运行,Sniffer,的主机。,预防网络监听所采用方法有很多种。,4.3,常用的黑客攻防技术,18,4.3.3,密码破解的攻防,1.,密码破解攻击的方法,1,）通过,网络监听,非法得到用户,口令,2,）利用,Web,页面,欺骗,3,）,强行,破解,用户口令,4,）,密码,分析,的攻,5),放置,木马,程序,4.3,常用的黑客攻防技术,2.,密码破解防范对策,通常,保持密码安全,应注意的,要点：,1),不要,将密码,写,下来，以免遗失；,2),不要,将密码,保存,在电脑文件中；,3),不要,选取,显而易见的信息做密码；,4),不要,让他人知道,；,5),不要,在不同系统中,使用,同一密码；,19,4.3.4,特洛伊木马的攻防,1,特洛伊木马概述,特洛伊木马,（,Trojan horse,）,简称,“,木马,”。黑客,借用,古希腊神话,木马屠城记,其名，,将,隐藏在,正常程序中,的一段恶意代码,称作,特洛伊木马,。,木马系统,组成,：,由硬件部分、软件部分和连接控制部分,组成,。一般都,包括客户端和服务端,两个程序,，,客户端,用于远程控制植入木马，,服务器端,即是木马程序。,木马特点：,伪装成,一个实用工具、游戏等,诱使,用户下载并将其,安装,在,PC,或服务器上,;,侵入,用户电脑并进行破坏,;,一般木马执行文件较小,若将木马捆绑到其他正常文件上很难发现,;,木马可与最新病毒、漏洞工具一起使用,几乎可,躲过,杀毒软件,.,4.3,常用的黑客攻防技术,20,4.3.4,特洛伊木马攻防,2,特洛伊木马攻击过程,利用微软,Scripts,脚本漏洞对浏览者硬盘格式化的,HTML,页面,.,若攻击者将木马执行文件下载到被攻击主机的一个可执行,WWW,目录夹在,则可通过编制,CGI,程序在攻击主机上执行木马目录。,木马攻击的基本过程,分为,6,个步骤：,4.3,常用的黑客攻防技术,配置,木马,传播木马,运行木马,泄露信息,建立连接,远程控制,案例,4-5,21,4.3.4,特洛伊木马攻防,3.,木马的防范对策,必须,提高防范意识,，在,打开,或,下载,文件之前，一定,要确认,文件的,来源,是否可靠；,阅读,readme.txt,，并,注意,readme.exe,；,使用,杀毒软件；,发现有,不正常现象,立即挂断,；,监测,系统文件,和,注册表,的变化；备份,文件,和,注册表,。,特别注意,不要,轻易运行,来历不明软件或从网上下载的软件（即使通过反病毒软件的检查）；,不要,轻易相信,熟人发来的,E-Mail,不会有黑客程序,;,不要,在聊天室内,公开,自己的,E-Mail,地址,对来历不明的,E-Mail,应立即清除；,不要,随便下载,软件,特别是不可靠的,FTP,站点；,不要,将,重要密码和资料,存放,在上网的计算机中,(,或总保持连网,),，以免被破坏或窃取。,4.3,常用的黑客攻防技术,5,不要,22,4.3.5,缓冲区溢出的攻防,1.,缓冲区溢出,缓冲区溢出,是,指当,计算机,向,缓冲区内,填充,数据时，,超过了,缓冲区本身的容量，,溢出,的数据,覆盖在,合法数据上。,缓冲区溢出,的,原理,.,是由于,字符串处理函数,(gets,strcpy,等,),没有对数组的,越界监视和限制,结果,覆盖了,老堆栈数据,.,2.,缓冲区溢出攻击,3,缓冲区溢出攻击的防范方法,1,）,编写,程序,中应时刻注意的问题。,2,）,改进,编译器,。,3,）利用人工智能的方法,检查,输入字段,。,4,）程序,指针,完整性,检查,。,4.3,常用的黑客攻防技术,23,4.3.6,拒绝服务的攻防,1.,拒绝服务攻击,拒绝服务,是指,通过,反复,向,某个,Web,站点的设备,发送,过多的信息,请求,堵塞,该站点上的系统,导致,无法完成,应有网络服务,.,拒绝服务,按入侵方式,可分,：,资源消耗型、配置修改型、物理破坏型,以及,服务利用型,。,拒绝服务攻击,(Denial of Service,DoS,),是指,黑客,利用,合理的服务请求,来占用,过多的服务资源,使,合法用户,无法得到服务,的响应,直至,瘫痪,而停止,提供,正常的网络服务的,攻击方式,.,中国网络系统遭到最大规模攻击。,2013,年,8,月,26,日中国,.CN,顶级域名系统遭受大,规模拒绝服务攻击,利用僵尸网络向,.CN,顶级域,名系统持续发起大量针对私服网站域名的查询,请求,峰值流量较平常激增近,1000,倍,造成,.CN,顶级域名系统互联网出口带宽短期内严重拥塞。,4.3,常用的黑客攻防技术,图,4-4 DDoS,的攻击原理,案例,4-6,24,分布式拒绝服务攻击,(Distributed Denial of Service,DDoS),是在传统的,DoS,攻击,基础之上,产生的,一类,攻击方式,是指,借助于,客户,/,服务器技术,将,多个计算机,联合起来作为,攻击平台,对,一个或多个,目标,发动,DoS,攻击,。,DDoS,攻击,的,类型,.,带宽型攻击和应用型攻击。,DDoS,攻击,的,方式,.,通过使,网络,过载,干扰,甚至,阻断,正常的网络,通讯,；,通过,向服务器,提交,大量请求，,使,服务器,超负荷,；,阻断,某一用户,访问,服务器；,阻断,某服务与特定系统或个人的,通讯,.,2.,常见的拒绝服务攻击,1,）,Flooding,攻击。,2,）,SYN flood,攻击。,3,）,LAND attack,攻击。,4,）,ICMP floods,是通过向设置不当的路由器,发送广播信息占用系统资源的做法。,5,）,Application level floods,主要是针对应用软件层。,4.3,常用的黑客攻防技术,图,4-5 SYN flood,攻击示意图,25,4.3.6,拒绝服的攻防,3.,拒绝服务攻击检测与防范,检测方法,：根据异常情况,分析,和,使用,DDoS,检测工具,防范策略,：,1),尽早发现,系统存在的攻击,漏洞,，及时,安装,系统补丁程序；,2),在网络管理方面，要,经常检查,系统的,设置环境,，,禁止,那些不必,要的网络服务；,3),利用网络安全,设备,（如防火墙）等来,加固,网络的安全性；,4),比较好的防御措施是与网络服务提供商,协调工作,，帮助用户实现,路由,的,访问控制,和对,带宽,总量的,限制,；,5),当发现主机正在遭受,DDoS,攻击时，应当,启动,应付策略,，尽快,追踪,攻击包，并及时,联系,ISP,和有关应急组织，,分析,受影响的系统，,确定,涉及的其他节点，从而,阻挡,已知攻击节点的流量；,6),对于潜在的,DDoS,攻击，应当,及时清除,，以免留下后患。,4.3,常用的黑客攻防技术,26,4.3.7,其他攻防技术,1.WWW,的欺骗技术,WWW,的欺骗,是,指,黑客,篡改,访问站点页面,或,将,用户要,浏览的网页,URL,改写为,指向,黑客的,服务器,。,“网络钓鱼”,（,Phishing,）是指,利用,欺骗性很强、,伪造,的,Web,站点来进行诈骗活动,目的,在于,钓取,用户的账户资料,假冒,受害者,进行,欺诈性金融交易,从而,获得,经济利益,.,可被,用作,网络钓鱼的攻击技术,有：,URL,编码结合钓鱼技术，,Web,漏洞结合钓鱼技术,伪造,Email,地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。,防范攻击,可以,分为,两个方面,：,其一,对钓鱼攻击,利用,的资源,进行限制,。如,Web,漏洞是,Web,服务提供商可直接修补；邮件服务商可使用域名反向解析邮件发送服务，,提醒,用户是否收到匿名邮件,;,其二,及时修补,漏洞,.,如浏览器漏洞,须打上补丁,.,4.3,常用的黑客攻防技术,27,4.3.7,其他攻防技术,2.,电子邮件攻击,1,）,电子邮件攻击方式,电子邮件欺骗,是,攻击方式之一，,攻击者,佯称,自己为系统管理员，,给,用户,发送,邮件要求用户修改口令，或在貌似正常的附件中,加载,病毒或其他木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。,2,）防范,电子邮件攻击的方法,解除,电子邮件炸弹。,拒收,某用户信件方法。,3,利用缺省帐号进行攻击,黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多,UNIX,主机都有,FTP,和,Guest,等缺省账户（其密码和账户名同名），有的甚至没有口令。,4.3,常用的黑客攻防技术,讨论思考：,（,1,）如何进行端口扫描及网络监听攻防？,（,2,）举例说明密码破解攻防及特洛伊木马攻防。,（,3,）怎样进行缓冲区溢出攻防与拒绝服务攻防？,28,4.4.1,网络攻击的防范策略,在,主观上,重视,，,客观上,积极,采取,措施,。,制定,规章制度,和,管理制度,，,普及,网络,安全教育,，使用户需要,掌握,网络,安全知识,和有关的,安全策略,。,在管理上,应当,明确,安全对象，,建立,强有力的安全保障体系，,按照,安全等级保护条例对网络实施保护与监督。认真,制定,有针对性的,防攻措施,，,采用,科学的方法和行之有效的,技术手段,，,有的放矢,，在网络中,层层,设防,，使每一层都,成为,一道,关卡,从而让攻击者无隙可钻、无计可使,.,在技术上,要注重,研发,新方法,，同时还必须,做到,未雨稠缪,，,预防为主,，将重要的,数据,备份,（如主机系统日志）、,关闭,不用的主机服务,端口,、,终止,可疑进程和,避免,使用,危险进程、,查询,防火墙,日志,详细记录、,修改,防火墙,安全策略,等。,4.4,网络攻击的防范措施,29,4.4.2,网络攻击的防范措施,1,）加强网络安全防范法律法规等宣传和教育，,提高,安全,防范意识,。,2,）加固网络系统，及时,下载,、,安装,系统,补丁,程序。,3,）尽量,避免,从,Internet,下载,不知名的软件、游戏程序。,4,）,不要随意,打开,来历不明的电子邮件及文件，,不要随便,运行,不熟悉的人给用户的程序。,5,）,不随便,运行,黑客程序，不少这类程序运行时会发出用户的个人信息。,6,）在支持,HTML,的,BBS,上，如,发现提交,警告,，先看源地址及代码，可能是骗取密码的陷阱,7,）,设置,安全密码,。使用字母数字混排，常用的密码设置不同，重要密码最好经常更换。,8,）,使用,防病毒,/,黑客等防火墙,软件,以阻档外部网络侵入。,9,）,隐藏,自已的,IP,地址,。,10),切实做好,端口防范,.,安装端口监视程序,关闭不用端口。,11),加强,IE,浏览器,对网页的安全,防护,。,12),上网前,备份,注册表,。,13,）,加强,管理,。,4.4,网络攻击的防范措施,讨论思考：,（,1,）为什么要防范黑客攻击？如何防范黑客攻击？,（,2,）简述网络安全防范攻击的基本措施有哪些？,（,3,）说出几种通过对,IE,属性的设置来提高,IE,访问网页的安全性的具体措施？,30,4.5.1,入侵检测系统的概念,1.,入侵和入侵检测的概念,“入侵”,是一个广义上的概念，,所谓,入侵,是指任何威胁和破坏系统资源的,行为,。实施入侵行为的“人”称为,入侵者,。,攻击,是,入侵者,进行入侵,所,采取,的,技术手段和方法,。,入侵的整个过程,(,包括入侵准备、进攻、侵入,),都,伴随着攻击,有时也把,入侵者,称为,攻击者,。,入侵检测,（,Intrusion Detection,，,ID,）是指,通过对,行为、安全日志、审计数据或其它网络上,可获得的,信息,进行操作,，,检测到对,系统的,闯入,或,企图,的过程。,4.5,入侵检测与防御系统概述,美军网络战子司令部多达,541,个,未来,4,年扩编,4,千人,.,据日本共同社,2013,年,6,月,28,日报道,美军参谋长联席会议主席登普西在华盛顿发表演讲时表示,为强化美国对网络攻击的防御能力,计划将目前约,900,人规模的网络战司令部在今后,4,年扩编,4,千人,为此将投入,230,亿美元。,案例,4-8,31,4.5.1,入侵检测系统的概念,2.,入侵检测系统的概念及原理,入侵检测系统,(Intrusion Detection System,IDS),是可对入侵,自动进行检测,、,监控,和,分析,的软件与硬件的,组合系统,是一种,自动监测,信息系统内外入侵的安全,系统,。,IDS,通过,从计算机网络或计算机系统中的若干关键点,收集,信息，并对其,进行分析,，从中,发现,网络或系统中是否有,违反,安全策略的,行为,和,遭到袭击,的,迹象,的,一种安全技术,。,1,）入侵检测系统产生与发展。,2,）,Denning,模型。,1986,年，乔治敦大学的,Dorothy Denning,和,SRI/CSL,的,Peter Neumann,研究出了一个实时入侵检测系统模型,入侵检测专家系统,IDES(Intrusion-detection expert system,），也称,Denning,模型。,图,4-6,入侵检测系统原理,4.5,入侵检测与防御系统概述,32,4.5.2,入侵检测系统的功能及分类,1.IDS,基本结构,IDS,主要由,事件产生器、事件分析器、事件数据库、响应单元等,构成,.,2.IDS,的主要功能,1),对网络,流量,的,跟踪与分析,。,2,）对已知,攻击特征,的,识别,。,3,）对,异常行为,的,分析、统计与响应,。,4,）,特征库,的,在线升级,。,5,）,数据文件,的,完整性检验,。,6,）,自定义特征,的,响应,。,7,）系统,漏洞,的,预报警,功能。,3.IDS,的主要分类,1,）按照,体系结构,分为：,集中式和分布式。,2,）按照,工作方式,分为：,离线检测和在线检测。,3,）按照所用,技术,分为：,特征检测和异常检测。,4,）按照,检测对象,(,数据来源,),分,:,基于主机、基于网络,和,分布式,(,混合型,),4.5,入侵检测与防御系统概述,33,4.5.3,常用的入侵检测方法,1.,特征检测方法,特征检测,指对已知的攻击或入侵的,特征方式,作出,确定性的,描述,，,形成,相应的,事件模式,的检测方法。当被审计的事件与已知的入侵事件模式,相匹配,时，即,报警,。,2.,异常检测方法,异常检测,(Anomaly detection),的,假设,是入侵者,活动异常,于正常主体的活动。,常用的,入侵检测,5,种,统计模型,：,1,）操作模型。,2,）方差。,3,）多元模型。,4,）马尔柯夫过程模型。,5,）时间序列分析。,4.5,入侵检测与防御系统概述,34,4.5.4,入侵检测系统与防御系统,1.,入侵检测系统概述,(1),基于主机的入侵检测系统,（,HIDS,）,HIDS,是,以,系统日志、应用程序日志等,作为,数据源,，也可以,通过,其他手段（如监督系统调用）,从,所在的主机收集信息,进行分析,。,HIDS,一般是,保护,所在的系统，经常,运行,在被监测的系统上，,监测,系统上正在,运行,的,进程,是否合法。,优点,：,对分析,“,可能的攻击行为,”有用。与,NIDS,相比通常能够,提供,更详尽的相关信息,误报率低,系统的复杂性少。,弱点：,HIDS,安装在,需要保护的,设备上,会,降低,应用系统的效率,也会,带来,一些额外的安全问题,.,另一问题是它,依赖于,服务器固有的日志与监视能力,若服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。,4.5,入侵检测与防御系统概述,35,(2),基于网络的入侵检测系统,（,NIDS,）,NIDS,又称,嗅探器,通过,在共享网段上,对,通信数据的,侦听,采集数据,分析,可疑现象,(,将,NIDS,放置在,比较重要的网段内,不停地,监视,网段中的各种,数据包,.,输入,数据,来源于网络的,信息流,).,该类系统一般,被动地,在网络上,监听,整个网络上的信息流，,通过捕获,网络,数据包,，,进行分析,，,检测,该网段上发生的网络,入侵,，如图,4-8,示。,4.5,入侵检测与防御系统概述,36,（,3,）分布式入侵检测系统,分布式入侵检测系统,DIDS,是将基于主机和基于网络的,检测方法,集成,一起,即,混合型入侵检测系统,.,系统一般由多个部件,组成,，,分布在,网络的各个部分，,完成,相应的功能，,分别进行,数据采集、分析等。,通过,中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下，不仅可以,检测到,针对单独主机的入侵，同时也可以检测到针对整个网络上的主机入侵。,4.5,入侵检测与防御系统概述,37,4.5.4,入侵检测及防御系统,2.,入侵防御系统概述,1,）入侵防御系统的概念。,IPS,是能够,监视,网络或网络设备的,网络信息,传输行为，及时的中断、调整或隔离一些不正常或具有伤害性的,网络信息,传输行为,.,如同,IDS,一样,专门深入,网路数据,内部,查找,攻击代码特征,过滤,有害,数据流,丢弃,有害,数据包,并,进行,记载,以便,事后分析,。,2,）入侵防御系统的种类。,3,）,IPS,工作原理。,IPS,实现,实时检查和阻止入侵的原理，,如图所示。,4,）,IPS,应用及部署。,4.5,入侵检测与防御系统概述,38,H3C SecBlade IPS,入侵防御系统,。是一款高性能入侵防御系统，可应用于,H3C S5800/S7500E/S9500E/S10500/S12500,系列交换机和,SR6600/SR8800,路由器，集成入侵防御,/,检测、病毒过滤和带宽管理等功能，是业界综合防护技术最领先的入侵防御,/,检测系统。通过深达,7,层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。,SecBlade IPS,模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。,IPS,部署交换机的应用如图,4-9,所示，,IPS,部署路由器的应用，如图,4-10,所示。,图,4-9 IPS,部署交换机的应用,图,4-10 IPS,部署路由器的应用,案例,4-9,4.5,入侵检测与防御系统概述,39,3.,防火墙、,IDS,与,IPS,的区别,防火墙,是实施访问控制策略的系统,对流经的网络流量进行检查，拦截不符合安全策略的数据包。,IDS,的核心价值,在于通过对全网信息的分析,了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。通过安全策略的实施，阻击黑客行为；,IDS,需要部署在网络内部,，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据。,IDS,则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。,IDS,通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍无计可施,.,绝大多数,IDS,都是被动的,.,而,IPS,则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。,4.5,入侵检测与防御系统概述,40,4.5.5,入侵检测及防御技术的发展态势,1.,入侵检测及防御技术发展态势,三个发展方向,：,1,）分布式入侵检测与防御：,第一层含义,，即,针对,分布式网络攻击的检测与防御方法；,第二层含义,即,使用,分布式的方法来,检测,与防御分布式的攻击，其中的,关键技术,为,检测,信息的,协同处理,与入侵,攻击,的全局信息的,提取,。,2,）智能化入侵检测及防御,:,使用,智能化的方法与手段,进行,入侵检测,与防御,.,3,）全面的安全防御方案,：,2.,统一威胁管理,统一威胁管理,(Unified Threat Management,UTM),2004,年,9,月,全球著名市场咨询顾问机构,IDC(,国际数据公司,),首度,提出,此概念，,将,防病毒、入侵检测和防火墙安全设备,划归,统一威胁管理,。,4.5,入侵检测与防御系统概述,41,4.5.5,入侵检测及防御技术的发展趋势,（,1,）,UTM,重要特点,1,）,建,一个更高、更强、更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到,综合检测,网络全协议层,防御,；,2,）用,高检测技术,降低误报,；,3,）用高可靠、高性能的,硬件平台,支撑,。,UTM,优点,:,整合使成本,降低,、信息安全工作强度,降低,、技术复杂度,降低,。,（,2,）,UTM,的技术架构,1,）,完全性内容保护,（,Complete Content Protection,，,CCP,）,对,OSI,模型中,描述,的所有层次的内容,进行处理,；,2,）,紧凑型模式识别语言,（,Compact Pattern Recognition Language,，,CPRL,）,是为了快速,执行,完全内容检测而设计的。,3,）,动态威胁防护系统,（,Dynamic Threat Prevention System,）,是在传统的模式检测技术上,结合,未知威胁处理的防御体系,.,动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间,共享使用,以,达到检测,准确率和有效性的提升。这种技术是,业界领先的一种处理技术,，也是对传统安全威胁检测技术的,一种颠覆,。,4.5,入侵检测与防御系统概述,42,讨论思考：,（,1,）入侵检测系统的功能是什么？,（,2,）计算机网络安全面临的主要威胁类型有哪些？,（,3,）入侵检测技术发展的趋势。,4.5,入侵检测与防御系统概述,43,4.6 Sniffer,网络检测实验,4.6.1,实验目的,利用,Sniffer,软件,捕获网络信息数据包，,然后通过,解码,进行,分析,。学会利用网络安全检测工具的实际操作方法，具体进行检测并写出结论。,4.6.2,实验要求及方法,1.,实验环境,1,）,硬件：,三台,PC,计算机。单机基本配置参见教材表,4-1,。,2,）,软件：,操作系统,Windows 2008 Server SP4,以上；,Sniffer,软件。,2,注意事项,本实验是在,虚拟实验环境,下,完成,，如要在真实的环境下完成，则网络设备应该选择集线器或交换机。如果是交换机，则在,C,机上要做端口镜像。,44,4.6 Sniffer,检测实验,3.,实验方法,三台,PC,机的,IP,地址,及,任务分配,见表,4-2,所示。,实验用时：,2,学时（,90-120,分钟）。,设备,IP,地址,任务分配,A,机,10.0.0.3,用户,Zhao,利用此机登陆到,FTP,服务器,B,机,10.0.0.4,已经搭建好的,FTP,服务器,C,机,10.0.0.2,用户,Tom,在此机利用,Sniffer,软件捕获,Zhao,的账号和密码,设备,名 称,内存,1G,以上,CPU,2G,以上,硬盘,40G,以上,网卡,10M,或者,100M,网卡,表,4-1,实验设备基本配置要求,表,4-2,三台,PC,机的,IP,地址及任务分配,45,4.6 Sniffer,检测实验,4.6.3,实验内容及步骤,1.,实验内容,3,台,PC,机,其中用户,Zhao,用,已建好,的账号在,A,机上,登录到,B,机已,搭建好,的,FTP,服务器,用户,Tom,在此机,用,Sniffer,软件,