第5章(1)-黑客攻防与检测防御教学内容.ppt

1、Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,第5章(1)-黑客攻防与检测防御,教 学 目 标,教学目标,了解黑客攻击的目的及攻击步骤,熟悉,黑客常用的攻击方法,理解防范黑客的措施,掌握,黑客攻击过程，并防御黑客攻击,掌握,入侵检测与防御系统的概念、功能、特点和应用方法,重点,

2、重点,5.1,黑客概述,5.1.1,黑客概念危害及类型,1.,黑客的概念及类型,黑客,（,Hacker,）,一词源于,Hack,，其起初本意为“干了一件可以炫耀的事”，原指一群专业技能超群、聪明能干、精力旺盛对计算机信息系统进行非授权访问的人员。,“,骇客,”,是英文“,Cacker,”,的译音,意为,“破译者和搞破坏的人”,.,把“,黑客,”,和,“,骇客,”混为一体,.,黑客,分为,红客、破坏者和间谍,三种类型,红客,是指“,国家利益,至高无上,”的正义“网络大侠”,;,破坏者,也称“,骇客,”,;,间谍,是指“利益至上”情报“盗猎者”。,美军网络战的分司令部,多达,541,个,未来,4,

3、年将扩编,4000,人,.,为强化美国对网络攻击的防御能力,计划将约,900,人规模的网络战司令部在今后,4,年扩编,4000,人,为此将投入,230,亿美元。,案例,5-1,2.,黑客的产生与发展,20,世纪,60,年代，在美国麻省理工学院的人工智能实验室里，有一群,自称为黑客的学生们以编制复杂的程序为乐趣,，当初并没有功利性目的。此后不久，连接多所大学计算机实验室的,美国国防部实验性网络,APARNET,建成，黑客活动便通过网络传播到更多的大学乃至社会。后来，有些人利用手中掌握的“绝技”，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统，干起隐蔽活动。随着其逐步发展成为因特网，黑客活动天地

4、越来越广，形成鱼目混珠的局面。,案例,5-2,5.1,黑客概述,3.,黑客的,危害及现状,黑客猖獗其产业链年获利上百亿,.,黑客利用木马程序盗取银行账号,信用卡账号,QQ,网络游戏等个人机密信息,并从中牟取金钱利益的产业链每年可达上百亿,.,黑客地下产业链极其庞大且分工明确,黑客产业链大致分为老板,编程者,流量商,盗号者和贩卖商等多个环节,产业链如图,5-1,所示,.,互联网资源与服务滥用地下产业链,如图,5-2,所示,.,图,5-1,黑客产业链示意图,案例,5-3,5.1,黑客概述,5.1.2,黑客攻击的入侵方式,1.,系统漏洞产生的原因,系统,漏洞,又称,缺陷,。,漏洞,是在,硬件、软件、

5、协议,的具体,实现,或,系统安全策略,上,存在,的,缺陷,，从而,可使,攻击者,能够,在未授权的情况下,访问,或,破坏,系统。,产生漏洞,的主要,原因,：,1,）计算机网络协议本身的缺陷。,2,）系统开发的缺陷。,3,）系统配置不当。,4,）系统安全管理中的问题。,其他,:,协议、系统、路由、传输、,DB,、技术、管理及法规等,5.1,黑客概述,2.,黑客攻击入侵通道,端口,计算机,通过,端口,实现,与外部通信的,连接,/,数据交换,黑客攻击,是,将,系统和网络设置中的各种,(,逻辑,),端口,作为,入侵通道,.,其,端口,是指,网络中,面向,连接,/,无连接服务,的,通信协议端口,是一种抽象

6、的,软件结构,包括一些,数据结构,和,I/O,缓冲区,。,端口号：,端口,通过,端口号标记,（只有整数）,范围,：,065535,（,2,16,-1,）,目的端口号,:,用于,通知,传输层协议将,数据,送给,具体处理软件,源端口号：,一般是由操作系统,动态生成,的号码：,1024,65535,5.1,黑客概述,3.,端口分类,按端口号分布可分为三段：,1,）,公认端口,(0,1023),又称,常用端口,为已经或将要公认定义的软件保留的,.,这些端口紧密绑定一些服务且明确表示了某种服务协议,.,如,80,端口,表示,HTTP,协议,(,Web,服务,).,2,）,注册端口,(1024,49151

7、),又称,保留端口,这些端口松散绑定一些服务。,3,）,动态,/,私有端口,(49152,65535).,理论上不为服务器分配,.,按协议类型将端口划分为,TCP,和,UDP,端口：,1,）,TCP,端口,需要,在客户端和服务器之间,建立连接,提供可靠的数据传输,.,如,Telnet,服务的,23,端口,SMTP,默认,25,。,2,）,UDP,端口,不需要,在客户端和服务器之间,建立连接,.,常见的端口有,DNS,服务的,53,端口。,讨论思考：,（,1,）什么是安全漏洞和隐患？为什么网络存在着的安全漏洞和隐患？,（,2,）举例说明，计算机网络安全面临的黑客攻击问题。,（,3,）黑客通道,端

8、口主要有哪些？特点是什么？,FTP,服务,通过,TCP,传输,默认端口,20,数据,传输,21,命令,传输,5.1,黑客概述,5.2.1,黑客攻击的目的及种类,5.2,黑客攻击的目的及过程,最大网络攻击案件幕后黑手被捕,.2013,年荷兰男子,SK,因涉嫌有史以来最大的网络攻击案件而被捕,.SK,对国际反垃圾邮件组织,Spamhaus,等网站,进行了前所未有的一系列的大规模分布式拒绝服务攻击,在高峰期攻击达到每秒,300G,比特率,导致欧洲的某些局部地区互联网缓慢,同时致使成千上万相关网站无法正常运行服务。,黑客攻击其目的,：,一是为了,得到,物质利益,；是指,获取,金钱财物,；,二是为了,满

9、足,精神需求,。是指,满足,个人,心理欲望,.,黑客行为,：,盗窃,资料；,攻击,网站；,进行,恶作剧；,告知,漏洞；,获取,目标主机系统的非法访问权等。,从攻击方式上可以将黑客攻击大致分为主动攻击和被动攻击两大类。常见的黑客攻击方法，主要包括以下,6,类：网络监听。计算机病毒及密码攻击。网络欺骗攻击。拒绝服务攻击。应用层攻击。缓冲区溢出。,案例,5-4,5.2.2,黑客攻击的过程,黑客攻击过程,不尽一致,但其整个,攻击过程,有一定规律,一般,可分为,“,攻击五部曲,”。,隐藏,IP,踩点扫描,黑客,利用,程序的,漏洞,进入,系统后,安装,后门程序,，,以便,日后可以不被察觉地,再次进入系统,

10、就是,隐藏,黑客的,位置,，以免被发现。,通过,各种,途径,对,所要,攻击目标,进行,多方了解,确保,信息准确,确定,攻击时间和地点,.,篡权攻击,种植后门,隐身退出,即,获得,管理,/,访问权限,进行,攻击,。,为,避免,被发现,在入侵完后,及时清除,登录日志和其他相关日志,隐身退出,.,5.2,黑客攻击的目的及过程,黑客对企业局域网,实施网络攻击的具体过程,，如图,5-4,所示。,讨论思考：,（,1,）黑客攻击的目的与种类有哪些？,（,2,）黑客确定攻击目标后,将采用哪些攻击过程？,（,3,）建立说明黑客攻击的具体步骤？,用,Ping,查询企业内部网站服务器的,IP,用,PortSca

11、n,扫描企业内部局域网,PORT,用,WWW hack,入侵局域网络,E-mail,用,Legion,扫描局域网,植入特洛伊木马,破解,Internet,账号与口令（或密码）,用,IP Network Browser,扫描企业内部局域网,IP,图,5-4,黑客攻击企业内部局域网的过程示意框图,5.2,黑客攻击的目的及过程,案例,5-5,5.3.1,端口扫描攻防,端口扫描,是管理员,发现,系统的,安全漏洞,，,加强,系统的安全管理，,提高,系统安全性能的有效方法。,端口扫描,成为,黑客,发现获得,主机信息的一种,最佳手段,。,1.,端口扫描及扫描器,（,1,）,端口扫描,.,是,使用,端口扫描工

12、具,检查,目标主机,在哪些端口可,建,立,TCP,连接,若可连接，则表明,主机,在那个,端口被监听,。,（,2,）,扫描器,。,扫描器,也称,扫描工具,或,扫描软件,是一种,自动检测,远程或本地主机安全性弱点的程序。,5.3,常用黑客攻防技术,5.3.1,端口扫描攻防,2.,端口扫描方式及工具,端口扫描的方式,有,手工命令行方式,和,扫描器扫描方式,。,手工扫描,需要熟悉各种命令,对命令执行后的,输出进行分析,.,如,命令,:,Ping,Tracert,rusers,和,finger(,后两个是,Unix,命令,).,扫描器扫描,，许多扫描软件都有,分析数据的功能,。如，,SuperScan

13、Angry IP Scanner,、,X-Scan,、,X-Scan,、,SAINT,(Security Administrators Integrated Network Tool,安全管理员集成网络工具,),、,Nmap,、,TCP connect,、,TCP SYN,等,.,5.3,常用黑客攻防技术,图,5-5,用,X-scan,的扫描结果图,5-6,用,Nmap,扫描主机开放的端口,5.3.1,端口扫描攻防,3,端口扫描攻击类型,端口扫描攻击,采用,探测技术,，可将其用于寻找可以成功攻击的应用及服务。常用端口扫描攻击类型包括：,秘密扫描。,SOCKS,端口探测。,跳跃扫描。,UD

14、P,扫描。,4.,防范端口扫描的对策,端口扫描的防范,又称,系统“加固”,.,网络的,关键处,使用,防火墙,对来源不明的有害数据,进行过滤,可有效减轻端口扫描攻击,防范端口扫描,的主要,方法,有,两种,：,(1),关闭闲置及有潜在危险端口,方式一：,定向,关闭指定服务的端口,。计算机的一些网络服务为系统分配默认的端口，应将闲置服务,-,端口关闭。,5.3,常用黑客攻防技术,操作方法与步骤,：,1,）打开“控制面板”窗口。,2,）打开“服务”窗口。,“,控制面板,”“,管理工具,”“,服务,”,选择,DNS,。,3,）关闭,DNS,服务,在“,DNS Client,的属性”窗口,.,启动类型项,

15、选择“自动”,服务状态项,：选,-,。在服务选项中选择关闭掉一些没使用的服务，如,FTP,服务、,DNS,服务、,IIS Admin,服务等，对应的端口也停用。,5.3,常用黑客攻防技术,方式二：,只开放允许端口,.,可用系统的“,TCP/IP,筛选,”,功能,实现,设置时,只允许,系统的一些基本网络通讯需要的端口,.,(2),屏蔽出现扫描症状的端口,检查各端口，有端口扫描症状时，立即屏蔽该端口。,关闭,DNS,端口服务,5.3.2,网络监听及攻防,2.,嗅探器的功能与部署,5.3,常用的黑客攻防技术,嗅探器（,Sniffer,）,是利用计算机的网络接口截获目的地主机及其他数据报文的一种工

16、具。起初也是一种网络管理员诊断网络系统的有效工具，也常被黑客利用窃取机密信息。,嗅探器的,主要功能,包括,4,个方面：一是可以解码网络上传输的报文；二是为网络管理员诊断网络系统并提供相关的帮助信息；三是为网络管理员分析网络速度、连通及传输等性能提供参考，发现网络瓶颈；四是发现网络漏洞及入侵迹象，为入侵检测提供重要参考。,常用的嗅探软件,：,Sniffer Pro,、,Wireshark,、,IRIS,等。,捕获后的数据包和明文传送的数据包，分别如图,5-9,和,5-10,所示。,图,5-9,捕获后的数据包 图,5-10,明文传送的数据包,5.3.2,网络监听及攻防,3,检测防范网络监听,5.3

17、常用的黑客攻防技术,针对运行监听程序的主机可以,采用多种方法防范,。一是用正确的,IP,地址和错误的物理地址,ping,，运行监听程序的主机具有相应的响应信息提示。二是运用虚拟局域网,VLAN,技术，可以将以太网通信变为点到点通信，防范绝大部分基于网络监听的入侵攻击。三是以交换式集线器代替共享式集线器，这种方法使单播包只限于在两个节点之间传送，从而防止非法监听，当然，交换式集线器只能控制单播包而无法控制广播包,(BroadcastPacket),和多播包,(MulticastPacket),。四是对于网络信息安全防范的最好的方法是使用加密技术。五是利用防火墙技术、六是利用,SATAN,等系统

18、漏洞检测工具，并定期检查,EventLog,中的,SECLog,记录，查看可疑情况，防止网络监听与端口扫描；七是利用网络安全审计或防御新技术等。,5.3.2,网络监听及攻防,1.,网络监听,网络监听,是网络管理员监测网络传输数据,排除网络故障的管理工具。,5.3,常用的黑客攻防技术,美国全球监听引发网络空间深刻变化,。,2013,年,10,月，随着美国国安局监听门事件不断升级，众议院情报委员会举行公开听证会。最近，西方媒体披露，美国国家安全局在全球约,80,个地点的驻外使馆都设有监听站，,35,国首脑的电话被监听。其中包括德国总理默克尔。其他国家也纷纷谴责美国的监听行动。墨西哥内政部长称将自行

19、调查美方的间谍行为。法国总统奥朗德称，“我们不能接受以朋友关系干涉法国公民的私人生活”。,案例,5-6,5.3.3,密码破解攻防方法,1.,密码破解攻击的方法,（,1,）通过,网络监听,非法窃取密码。,（,2,）利用钓鱼网站,欺骗,（,3,）,强行,破解,用户密码,（,4,）,密码,分析,攻击,（,5),放置,木马,程序,5.3,常用的黑客攻防技术,2.,密码破解防范对策,计算机用户,必须注意的要点,“,5,不要”：,一定不要将密码写下来，以免泄露或遗失；,一定不要将密码保存在电脑或磁盘文件中；,切记不要选取容易猜测到的信息作为密码；,一定不要让别人知道密码，以免增加不必要的损失或麻烦；,切记

20、不要在多个不同的网银等系统中使用同一密码。,误入购买机票钓鱼网站，损失近百万。,2013,年,10,月上海市的林先生通过浏览网络查到一个可以“低价购买机票的网站”，不仅被欺骗打开了钓鱼网站，还不慎通过点击“客服咨询”打开不明链接激活木马程序，致使电脑被黑客远程控制，眼看着个人账户内的,96,万元被洗劫一空。,案例,5-7,5.3.4,木马攻防对策,1,木马的特点和组成,特洛伊木马,（,Trojan horse,）,简称,“,木马,”。其名称源于希腊神话,木马屠城记,。现指一些具备破坏和删除文件、发送密码、记录键盘和攻击等远程控制特殊功能的后门程序。,木马特点：,通过伪装、引诱用户将其安装在,P

21、C,或服务器上,并具有进行远程控制和破坏功能特点。一般木马的执行文件较小，若将其捆绑到其他文件上很难发现。木马可以利用新病毒或漏洞借助工具一起使用，时常可以躲过多种杀毒软件，尽管现在很多新版的杀毒软件，可以查杀木马，仍需要注意世上根本不存在绝对的安全,.,木马系统,组成,：,一是服务器程序，二是控制器程序。,木马种类大体可分为：破坏型、密码发送型、远程访问型、键盘记录木马、,DoS,攻击木马、代理木马等。有些木马具有多种功能，如灰鸽子、冰河木马等。,5.3,常用的黑客攻防技术,5.3.4,特洛伊木马攻防,2,木马攻击途径及过程,木马攻击途径,：在客户端和服务端通信协议的选择上，绝大多数木马使用

22、的是,TCP/IP,协议，但是，也有一些木马由于特殊的原因，使用,UDP,协议进行通讯。,木马攻击的基本过程,分为,6,个步骤：,5.3,常用的黑客攻防技术,配置,木马,传播木马,运行木马,泄露信息,建立连接,远程控制,5.3.4,特洛伊木马攻防,2.,木马攻击途径及过程,灰鸽子（,Hack.Huigezi,）木马产业链活动猖獗。灰鸽子是一个集多种控制功能于一体的木马病毒，可以监控中毒用户的一举一动，并可被轻易窃取其账号、密码、照片、重要文件等。甚至还可以连续捕获远程电脑屏幕，还可监控被控电脑上的摄像头、自动开机（不开显示器）并利用摄像头进行录像。到,2006,年底，“灰鸽子”木马就已达,6,

23、万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。灰鸽子木马产业链，如图,5-11,所示。,5.3,常用的黑客攻防技术,图,5-11,灰鸽子木马产业链,5.3.4,特洛伊木马攻防,3.,木马的防范对策,防范木马的对策,关键是提高防范意识,，采取切实可行的有效措施。一是在打开或下载文件之前，一定要确认文件的来源是否安全可靠；二是阅读,readme.txt,，并注意,readme.exe,；三是使用杀毒软件；四是发现有不正常现象出现立即挂断；五是监测系统文件和注册表的变化；六是备份文件和注册表；七要需要特别注意，不要轻易运行来历不明软件或从网上下载的软件，即使通过了一般反病毒软件的检查

24、也不要轻易运行；八是不要轻易相信熟人发来的,E-Mail,不会有黑客程序；九是不要在聊天室内公开自身的,E-Mail,地址，对来历不明的,E-Mail,应立即清除；十是不要随便下载软件，特别是不可靠的,FTP,站点；十一是不要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。可以利用,360,安全卫士等防范查杀木马。,5.3,常用的黑客攻防技术,5.3.5,拒绝服务攻防,1.,拒绝服务攻击,拒绝服务,是指,通过,各种手段向某个,Web,网站发送巨量的垃圾邮件或服务请求等,干扰该网站系统的正常运行，,导致,无法完成,应有网络服务,.,拒绝服务,按入侵方式,可分,：,资源消耗型、配置修改型、

25、物理破坏型,以及,服务利用型,。,拒绝服务攻击,（,Denial of Service,，简称,DoS,）,是指,黑客对攻击目标网站发送大量的垃圾邮件或服务请求抢占过多的服务资源，使系统无法提供正常服务的攻击方式。,5.3,常用的黑客攻防技术,美国核武库系统,每天遭受到,数以百万计的攻击,。,据“美国新闻与世界报道”,2012,年,3,月援引美国国家核军工管理局,(NNSA),工作人员的话称，该局管理核武库的计算机系统每天遭受到数以百万计的电脑攻击，核实验室和能源部也不断遭受攻击。,案例,5-10,分布式拒绝服务攻击,(Distributed Denial of Service,DDoS),指

26、借助于客户,/,服务器技术，将网络系统中的多个计算机进行联合作为攻击平台，对一个或几个目标发动,DoS,攻击，从而成倍地提高拒绝服务攻击的威力。攻击原理如图,5-13,所示。,DDoS,攻击,的,类型,.,带宽型攻击和应用型攻击。,DDoS,攻击,的,方式,.,通过使,网络,过载,干扰,甚至,阻断,正常的网络,通讯,；,通过,向服务器,提交,大量请求，,使,服务器,超负荷,；,阻断,某一用户,访问,服务器；,阻断,某服务与特定系统或个人的,通讯,.,2.,常见的拒绝服务攻击,1,）,Flooding,攻击。,2,）,SYN flood,攻击。,3,）,LAND attack,攻击。,4,）,I

27、CMP floods,攻击。,5,）,Application level floods,攻击。,5.3,常用的黑客攻防技术,图,5-14 SYN flood,攻击示意图,图,5-13 DDoS,的攻击原理,5.3.6,拒绝服务攻防,3.,拒绝服务攻击检测与防范,主要检测方法,2,种,：一是异常检测,分析，二是使用,DDoS,检测工具,主要,防范策略和方法,：,定期扫描及时发现并处理漏洞,.,要定期扫描现有的网络主节点,清查可能存在的安全漏洞,及时安装系统补丁程序,对新出现的漏洞及时处理,.,利用网络安全设备,(,如防火墙、防御系统,),等加固网络系统的安全性,在网络骨干节点配置防火墙以抵御,D

28、DoS,和其他一些攻击。,在网络管理方面，要经常检查系统的物理环境，禁用不必要的网络服务或端口；,与网络服务提供商合作协调工作，帮助用户实现路由的访问控制和对带宽总量的限制；,当发现主机正在遭受,DDoS,时，应当启动应对策略，尽快追踪审计攻击包，并及时联系,ISP,和有关应急组织，分析受影响系统，确定涉及的有关节点，限制已知攻击节点的流量；,对于潜在的,DDoS,隐患应当及时清除，以免后患。,5.3,常用的黑客攻防技术,5.3.6,缓冲区溢出攻防方法,1.,缓冲区溢出,缓冲区溢出,是,指当,计算机,向,缓冲区内,填充,数据时，,超过了,缓冲区本身的容量，,溢出,的数据,覆盖在,合法数据上。,

29、缓冲区溢出,的,原理,.,是由于,字符串处理函数,(gets,strcpy,等,),没有对数组的,越界监视和限制,结果,覆盖了,老堆栈数据,.,2.,缓冲区溢出攻击,指通过向缓冲区写入超长度内容造成缓冲区溢出,破坏程序的堆栈,.,使程序转而执行其他指令,/,使黑客取得程序控制权,.,3,缓冲区溢出攻击的防范方法,1,）,编写,程序,中应时刻注意的问题。,2,）,改进,编译器,。,3,）利用人工智能的方法,检查,输入字段,。,4,）程序,指针,完整性,检查,。,5.3,常用的黑客攻防技术,5.3.7,其他攻防技术,1.WWW,的欺骗技术,WWW,的欺骗,是,指,黑客,篡改,访问站点页面,或,将,

30、用户要,浏览的网页,URL,改写为,指向,黑客的,服务器,。,“网络钓鱼”,（,Phishing,）是指,利用,欺骗性很强、,伪造,的,Web,站点来进行诈骗活动,目的,在于,钓取,用户的账户资料,假冒,受害者,进行,欺诈性金融交易,从而,获得,经济利益,.,可被,用作,网络钓鱼的攻击技术,有：,URL,编码结合钓鱼技术，,Web,漏洞结合钓鱼技术,伪造,Email,地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。,防范攻击,可以,分为,两个方面,：,其一,对钓鱼攻击,利用,的资源,进行限制,。如,Web,漏洞是,Web,服务提供商可直接修补；邮件服务商可使用域名反向解析邮件发送服务，,提醒,用户是

31、否收到匿名邮件,;,其二,及时修补,漏洞,.,如浏览器漏洞,须打上补丁,.,5.3,常用的黑客攻防技术,5.3.7,其他攻防技术,2.,电子邮件攻击,电子邮件欺骗,是,攻击方式之一，,攻击者,佯称,自己为系统管理员，,给,用户,发送,邮件要求用户修改口令，或在貌似正常的附件中,加载,病毒或其他木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。,防范电子邮件攻击的方法：,1),解除,电子邮件炸弹。,2),拒收,某用户信件方法。,3,通过一个节点来攻击其他节点,4,利用缺省帐号进行攻击,5.3,常用的黑客攻防技术,讨论思考：,（,1,）常用的黑客攻击方法具体有哪些？,（,2,）针对黑客攻击常

32、用的防范策略是什么？,5.4.1,防范攻击的策略,在,主观上,重视,，,客观上,积极,采取,措施,。,制定,规章制度,和,管理制度,，,普及,网络,安全教育,，使用户需要,掌握,网络,安全知识,和有关的,安全策略,。,在管理上,应当,明确,安全对象，,建立,强有力的安全保障体系，,按照,安全等级保护条例对网络实施保护与监督。认真,制定,有针对性的,防攻措施,，,采用,科学的方法和行之有效的,技术手段,，,有的放矢,，在网络中,层层,设防,，使每一层都,成为,一道,关卡,从而让攻击者无隙可钻、无计可使,.,在技术上,要注重,研发,新方法,，同时还必须,做到,未雨稠缪,，,预防为主,，将重要的,数

33、据,备份,（如主机系统日志）、,关闭,不用的主机服务,端口,、,终止,可疑进程和,避免,使用,危险进程、,查询,防火墙,日志,详细记录、,修改,防火墙,安全策略,等。,5.4,防范攻击的策略和措施,5.4.2,网络攻击的防范措施,提高安全防范意识，注重安全防范管理和措施。,应当及时下载、更新、安装系统漏洞补丁程序。,尽量避免从,Internet,下载无法确认安全性的软件、歌曲、游戏等。,不要随意打开来历不明的电子邮件及文件、运行不熟悉的人给用户的程序或链接。,不随便运行黑客程序,不少这类程序运行时会发出用户的个人信息,.,在支持,HTML,的,BBS,上,如发现提交警告,先看源代码,预防骗取密

34、码。,设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码经常更换。,使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。,隐藏自已的,IP,地址。可采取的方法有：使用代理服务器进行中转，用户上网聊天、,BBS,等不会留下自身的,IP,；使用工具软件，如,Norton Intemet Security,来隐藏主机地址,避免在,BBS,和聊天室暴露个人信息,切实做好端口防范,.,在安装端口监视程序同时,将不用端口关闭。,加强,IE,浏览器对网页的安全防护。,上网前备份注册表,许多黑客攻击会对系统注册表进行修改,.,加强管理。将防病毒、防黑客形成惯例，当成日常例性工作,.,5.4,防范攻

35、击的策略和措施,5.4,防范攻击的策略和措施,通过对,IE,属性,设置,提高,IE,访问网页的安全性方法,：,提高,IE,安全级别。,操作方法：,打开,IE“,工具”“,Internet,选项”“安全”“,Internet,区域”，将安全级别设置为“高”。,禁止,ActiveX,控件和,JavaApplets,的,运行,。,操作方法：,打开,IE“,工具”“,Intemet,选项”“安全”“自定义级别”，在“安全设置”对话框中找到,ActiveX,控件相关的设置，将其设为“禁用”或“提示”即可。,禁止,Cookie,。由于许多网站利用,Cookie,记录网上客户的浏览行为及电子邮件地址等信息,

36、为确保个人隐私信息的安全,可将其禁用,.,操作方法：,在任一网站上选择“工具”“,Internet,选项”“安全”“自定义级别”，在“安全设置”对话框中找到,Cookie,相关的设置，将其设为“禁用”或“提示”即可。,将黑客网站列入黑名单,将其拒之门外,.,操作方法：,在任一网站上选择“工具”“,Internet,选项”“内容”“分级审查”“启用”，在“分级审查”对话框的“许可站点”下输入黑客网站地址，并设为“从不”即可。,及时安装补丁程序,以强壮,IE,。应及时利用微软网站提供的补丁程序来消除这些漏洞，提高,IE,自身的防侵入能力。,讨论思考：,1.,为什么要防范黑客攻击？如何防范黑客攻击？

37、2.,简述网络安全防范攻击的基本措施有哪些？,3.,说出几种通过对,IE,属性的设置来提高,IE,访问网页的安全性具体措施？,5.5.1,入侵检测系统的概念,1.,入侵检测的概念,“入侵”,是一个广义上的概念，指任何威胁和破坏系统资源的,行为,。实施入侵行为的“人”称为,入侵者或攻击者,。,攻击,是,入侵者,进行入侵,所,采取,的,技术手段和方法,。,入侵的整个过程,(,包括入侵准备、进攻、侵入,),都,伴随着攻击,有时也把,入侵者,称为,攻击者,。,入侵检测,（,Intrusion Detection,，,ID,）是指,通过对,行为、安全日志、审计数据或其它网络上,可获得的,信息,进行操作

38、检测到对,系统的,闯入,或,企图,的过程。,5.5,入侵检测与防御系统概述,5.5.1,入侵检测系统的概念,2.,入侵检测系统概述,（,1,）入侵检测系统的概念,入侵检测系统,(Intrusion Detection System,IDS),是可对入侵,自动进行检测,、,监控,和,分析,的软件与硬件的,组合系统,是一种,自动监测,信息系统内、外入侵的安全,系统,。,IDS,通过,从计算机网络或计算机系统中的若干关键点,收集,信息，并对其,进行分析,，从中,发现,网络或系统中是否有,违反,安全策略的,行为,和,遭到袭击,的,迹象,的,一种安全技术,。,（,2,）入侵检测系统产生与发展,（,

39、3,）入侵检测系统的架构,5.5,入侵检测与防御系统概述,图,5-15,入侵检测系统通用架构,5.5.2,入侵检测系统的功能及分类,1.IDS,的构成及分析方法,IDS,主要由,事件产生器、事件分析器、事件数据库、响应单元等,构成,.,常用的入侵检测系统的分析方法主要有三种：,模式匹配。统计分析。完整性分析。,2.IDS,的主要功能,1,）对已知,攻击特征,的,识别,。,2,）对,异常行为,的,分析、统计与响应,。,3),对网络,流量,的,跟踪与分析,。,4,）实现,特征库,的,在线升级,。,5,）对,数据文件,的,完整性检验,。,6,）系统,漏洞,的,预报警,功能。,7,）,自定义特征,的,

40、响应,。,5.5,入侵检测与防御系统概述,5.5.4,入侵及防御系统概述,3.IDS,的主要分类,按照,检测对象,(,数据来源,),分,:,基于主机、基于网络,和,分布式,(,混合型,),(1),基于主机的入侵检测系统,（,HIDS,）,HIDS,是,以,系统日志、应用程序日志等,作为,数据源,，也可以,通过,其他手段（如监督系统调用）,从,所在的主机收集信息,进行分析,。,HIDS,一般是,保护,所在的系统，经常,运行,在被监测的系统上，,监测,系统上正在,运行,的,进程,是否合法。,优点,：,对分析,“,可能的攻击行为,”有用。与,NIDS,相比通常能够,提供,更详尽的相关信息,误报率低,

41、系统的复杂性少。,弱点：,HIDS,安装在,需要保护的,设备上,会,降低,应用系统的效率,也会,带来,一些额外的安全问题,.,另一问题是它,依赖于,服务器固有的日志与监视能力,若服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。,5.5,入侵检测与防御系统概述,(2),基于网络的入侵检测系统,（,NIDS,）,NIDS,又称,嗅探器,通过,在共享网段上,对,通信数据的,侦听,采集数据,分析,可疑现象,(,将,NIDS,放置在,比较重要的网段内,不停地,监视,网段中的各种,数据包,.,输入,数据,来源于网络的,信息流,).,该类系统一般,被动地,在网络上,监

42、听,整个网络上的信息流，,通过捕获,网络,数据包,，,进行分析,，,检测,该网段上发生的网络,入侵,，如图,4-8,示。,5.5,入侵检测与防御系统概述,图,5-16,基于网络的入侵检测过程,（,3,）分布式入侵检测系统,分布式入侵检测系统,DIDS,是将基于主机和基于网络的,检测方法,集成,一起,即,混合型入侵检测系统,.,系统一般 由多个部件,组成,，,分布在,网络的各个部分，,完成,相应的功能，,分别进行,数据采集、分析等。,通过,中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下，不仅可以,检测到,针对单独主机的入侵，同时也可以检测到针对整个网络上的主机入侵。,其他分类方法

43、1,）按照,体系结构,分为：,集中式和分布式。,2,）按照,工作方式,分为：,离线检测和在线检测。,3,）按照所用,技术,分为：,特征检测和异常检测。,5.5,入侵检测与防御系统概述,5.5.3,常见的入侵检测方法,1.,特征检测的概念,特征检测,又称,误用检测,（,Misuse detection,）是指将正常行为特征表示的模式与黑客的异常行为特征进行分析、辨识和检测的过程。,IDS,可以对黑客已知的异常攻击或入侵的方式作出确定性的描述，形成相应的事件模式，无法检测出新的入侵行为。当被审计检测的事件与已知的入侵事件模式相匹配时，系统立即响应并进行报警。,2.,特征检测的类型,入侵检测系统

44、对各种事件进行分析，从中发现违反安全策略的行为是其,核心功能,。从技术上,入侵检测分为两类,：一种基于标志,(signature-based),另一种基于异常情况（,anomaly-based,）。,5.5,入侵检测与防御系统概述,5.5.3,常见的入侵检测方法,3.,异常检测的常用方法,异常检测,（,Anomaly detection,）是指假设入侵者活动异常于正常主体的活动的特征检测,.,根据这一原理建立主体正常活动的特征库,将当前主体的活动状况与特征库相比较,当违反其统计模型时,认为该活动可能是“入侵”行为,.,异常检测的难题在于建立特征库和设计统计模型,.,从而不将正常的操作作为“入侵

45、/,忽略真正“入侵”行为。,常用的,5,种入侵检测统计模型,为：,操作模型,;,方差,.,多元模型,;,马尔柯夫过程模型。时间序列分析。,常用的异常检测方法,包括：,基于贝叶斯推理检测法。基于特征选择检测法。,基于贝叶斯网络检测法。基于模式预测的检测法。,基于统计的异常检测法。基于机器学习检测法。,数据挖掘检测法。基于应用模式的异常检测法。,基于文本分类的异常检测法。,5.5,入侵检测与防御系统概述,5.5.4,入侵防御系统概述,1.,入侵防御系统的概念,（,1,）入侵防御系统的概念,入侵防御系统,(Intrusion Prevent System,，,IPS),是能够,监视,网络或网络设

46、备的,网络信息,传输行为，及时的中断、调整或隔离一些不正常或具有伤害性的,网络信息,传输行为,.,如同,IDS,一样,专门深入,网路数据,内部,查找,攻击代码特征,过滤,有害,数据流,丢弃,有害,数据包,并,进行,记载,以便,事后分析,。,（,2,）入侵防御系统,IPS,的种类,按其用途可以划分为三种类型：,基于主机的入侵防御系统,HIPS,。,基于网络的入侵防御系统,NIPS,。是,IPS,与防火墙的集成,为了提高其使用效率,应采用信息流通过的方式。受保护的信息流应代表向网络系统或从中发出的数据,且,要求,：一是指定的网络领域中，需要高度的安全和保护，二是该网络领域中存在极可能发生的内部爆发

47、配置地址，三是可以有效地将网络划分成最小的保护区域，并能提供最大范围的有效覆盖率。,分布式入侵防御系统,DIPS,。,5.5,入侵检测与防御系统概述,5.5.4,入侵防御系统概述,（,3,）入侵防御系统,IPS,的工作原理,IPS,实现实时检查和阻止入侵的原理，如图,5-17,所示。主要利用多个,IPS,的过滤器，当新的攻击手段被发现后，就会创建一个新的过滤器。,IPS,数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。,针对不同攻击行为,IPS,需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，规则的定义非常广泛。在对传输内容分类时，过滤引擎还要参照数据包的信息

48、参数，并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性,.,5.5,入侵检测与防御系统概述,图,5-17 IPS,的工作原理,（,4,）,IPS,应用及部署,IPS,的关键技术,包括,:,集成全球和本地主机访问控制、,IDS,、全球和本地安全策略、风险管理软件和支持全球访问并用于管理,IPS,的控制台。类似,IDS,，通常使用更为先进的入侵检测技术，如试探式扫描、内容检查、状态和行为分析，同时还结合常规的侵入检测技术如基于签名的检测和异常检测。,H3C SecBlade IPS,入侵防御系统。是一款高性能入侵防御模块,可应用于多种路由器,集成入侵防御,/,检测、病毒过滤和带宽管理等

49、功能。通过深达,7,层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护,.IPS,部署交换机的应用如图,5-18,所示,IPS,部署路由器的应用,如图,5-19,所示。,5.5,入侵检测与防御系统概述,图,5-18 IPS,部署交换机的应用,图,5-19 IPS,部署路由器的应用,案例,5-12,5.5.4,入侵防御系统概述,3.,防火墙、,IDS,与,IPS,的区别,IDS,核心价值,在于通过对全网信息分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵防御系统的核心

50、价值在于安全策略的实施，阻击黑客行为；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据。入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。,防火墙,是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。,入侵检测技术,(IDS),通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数,IDS,系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，,ID