网络安全入侵者精选课件.ppt

《网络安全入侵者精选课件.ppt》由会员分享，可在线阅读，更多相关《网络安全入侵者精选课件.ppt（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于网络安全入侵者第一页，本课件共有30页2023/3/1西安电子科技大学计算机学院2入侵者入侵者n网络系统面临的严重安全问题：网络系统面临的严重安全问题：不友善访问或未授权访问不友善访问或未授权访问n通过网络或本地进行攻击通过网络或本地进行攻击n入侵者：入侵者：q假冒者（外部）假冒者（外部）q非法者（内部）非法者（内部）q秘密的用户（内部或外部）秘密的用户（内部或外部）n权限级别的变化权限级别的变化第二页，本课件共有30页2023/3/1西安电子科技大学计算机学院3入侵者入侵者n入侵者威胁已众所周知入侵者威胁已众所周知q从从1986/87的的“Wily Hacker”q到到CERT的统计结果

2、的统计结果第三页，本课件共有30页2023/3/1西安电子科技大学计算机学院4第四页，本课件共有30页2023/3/1西安电子科技大学计算机学院5入侵技术入侵技术n入侵目标是获得访问或提高在系统的特权n基本的攻击方法q熟悉目标，收集信息q初始访问q特权提升q掩盖攻击n关键往往是获得口令n使用所有者的访问权限第五页，本课件共有30页2023/3/1西安电子科技大学计算机学院6口令猜测口令猜测n最常见的攻击方法之一n攻击者知道一个登录帐号(从邮件或网页等)n视图猜测口令q默认的，短的，常用单词口令q用户信息(姓名，生日，电话，常用词或兴趣的变体)q穷举所有可能的口令n通过登录进行检验，或破解偷来的

3、口令文件n能否成功依赖于用户所设定的口令n调查表明许多用户选择的口令很弱第六页，本课件共有30页2023/3/1西安电子科技大学计算机学院7口令获取口令获取n另一种攻击涉及口令获取q严密监视口令的输入q用户木马程序收集q监听一个不安全网络的登录n如.telnet,FTP,web,emailq提取成功登录后记录的信息(网页历史文件/cache,上次所拨号码等)n使用有效登录/口令，假冒用户n需要教育用户采取适当的预防或对抗措施第七页，本课件共有30页2023/3/1西安电子科技大学计算机学院8入侵检测入侵检测n难免会有安全失误n入侵检测：q如果很快检测到了入侵，则迅速阻止入侵。q作为入侵的又一道

4、屏障q收集信息，增强安全性n假设入侵者的行为不同于合法用户的行为q但两者的差别不是很明显第八页，本课件共有30页2023/3/1西安电子科技大学计算机学院9入侵检测方法入侵检测方法n统计异常检测q阈 值q基于轮廓的检测n基于规则的检测q异常检测：行为的偏差q渗透鉴别：专家系统第九页，本课件共有30页2023/3/1西安电子科技大学计算机学院10第十页，本课件共有30页2023/3/1西安电子科技大学计算机学院11审计记录审计记录n入侵检测的基本工具n原始审计记录q多用户操作系统的一个构成部分q使用就绪q缺点：信息格式可能不合适，或内容不全。n检测专用的审计记录q收集指定的信息q对系统带来额外开

5、销第十一页，本课件共有30页2023/3/1西安电子科技大学计算机学院12统计异常检测统计异常检测n阈值检测q在时间段内指定的事件发生次数q如果超过了可能的值，则认为发生了入侵q仅此判断是粗糙且效率不高的n基于轮廓q用户过去的行为特征q检测与此有明显偏差的行为q用户的特性常用多个参数加以描述第十二页，本课件共有30页2023/3/1西安电子科技大学计算机学院13审计记录分析审计记录分析n统计分析的基础n分析记录以得到一段时间来的规律q计数器,标准值,间隔计时器,资源利用n用变量对这些进行测试，以决定当前行为是否可以接受q均值和标准偏差,多变量,马尔可夫处理,时间序列,操作n主要优点是不用预先知

6、道安全漏洞的知识第十三页，本课件共有30页2023/3/1西安电子科技大学计算机学院14基于规则的入侵检测基于规则的入侵检测n观察系统中的事件并应用规则对行为是否可观察系统中的事件并应用规则对行为是否可疑作出判断疑作出判断n基于规则的异常检测基于规则的异常检测q分析历史审计记录，确定使用模式，自动产生描分析历史审计记录，确定使用模式，自动产生描述此模式的规则。述此模式的规则。q观察当前行为，判断是否符合已有模式。观察当前行为，判断是否符合已有模式。q不需要安全缺陷的预先知识不需要安全缺陷的预先知识第十四页，本课件共有30页2023/3/1西安电子科技大学计算机学院15基于规则的入侵检测基于规则

7、的入侵检测n基于规则的渗透鉴别基于规则的渗透鉴别q使用专家系统技术使用专家系统技术q利用规则确定已知渗透，弱点渗透，或可疑行为利用规则确定已知渗透，弱点渗透，或可疑行为q与审计记录比较或与规则匹配与审计记录比较或与规则匹配q规则与特定的机器或规则与特定的机器或OS有关有关q规则由专家们定义规则由专家们定义q好坏依赖于规则建立的技术好坏依赖于规则建立的技术第十五页，本课件共有30页2023/3/1西安电子科技大学计算机学院16出错的概率出错的概率n实际的入侵检测系统需要一个可接受的虚实际的入侵检测系统需要一个可接受的虚假报警率假报警率q如果检测到很少的入侵，则造成安全的假象如果检测到很少的入侵，

8、则造成安全的假象q如果检测到太多的入侵，则被忽视或浪费时间如果检测到太多的入侵，则被忽视或浪费时间n做好很难做好很难n已有系统做的还不够好已有系统做的还不够好第十六页，本课件共有30页2023/3/1西安电子科技大学计算机学院17分布式入侵检测分布式入侵检测n单一系统单一系统n但一般都是网络系统但一般都是网络系统n更多有效防御的方法用于检测入侵更多有效防御的方法用于检测入侵n包括包括q处理各种形式的审计记录处理各种形式的审计记录q网络数据的完整性和保密性网络数据的完整性和保密性q集中和非集中式结构集中和非集中式结构第十七页，本课件共有30页2023/3/1西安电子科技大学计算机学院18分布式入

9、侵检测结构分布式入侵检测结构第十八页，本课件共有30页2023/3/1西安电子科技大学计算机学院19分布式入侵检测代理结构分布式入侵检测代理结构第十九页，本课件共有30页2023/3/1西安电子科技大学计算机学院20蜜蜜 罐罐n引诱攻击者的诱惑系统引诱攻击者的诱惑系统q转移攻击者远离可访问的关键系统转移攻击者远离可访问的关键系统q用于收集攻击者的行为信息用于收集攻击者的行为信息q希望攻击者在系统中逗留更多时间，以使管理员能对此希望攻击者在系统中逗留更多时间，以使管理员能对此攻击作出响应。攻击作出响应。n使用虚假信息欺骗攻击者使用虚假信息欺骗攻击者n收集攻击者的详细行为信息收集攻击者的详细行为信

10、息n一个或多个网络系统一个或多个网络系统nIETF，入侵检测工作小组标准，入侵检测工作小组标准q入侵检测交换格式入侵检测交换格式第二十页，本课件共有30页2023/3/1西安电子科技大学计算机学院21口令管理口令管理n入侵者面对的第一条防线：口令系统入侵者面对的第一条防线：口令系统n用户提供两者用户提供两者:q用户名用户名 决定用户的特权决定用户的特权q口令口令 确定用户确定用户n口令常加密保存口令常加密保存qUnix 采用采用 multiple DES(带有带有“盐盐”值修改，值修改，variant with salt)q最近更多的系统采用加密散列函数最近更多的系统采用加密散列函数（cryp

11、to hash function）n应该保护系统中的口令文件应该保护系统中的口令文件第二十一页，本课件共有30页2023/3/1西安电子科技大学计算机学院22第二十二页，本课件共有30页2023/3/1西安电子科技大学计算机学院23第二十三页，本课件共有30页2023/3/1西安电子科技大学计算机学院24口令研究口令研究n许多口令很短许多口令很短n许多口令可被猜到许多口令可被猜到n结果表明用户经常使用弱口令结果表明用户经常使用弱口令n需要对此进行研究找出对策需要对此进行研究找出对策q告诉用户应该如何选择口令告诉用户应该如何选择口令q计算机产生口令计算机产生口令q口令自检查口令自检查q口令预检查

12、口令预检查第二十四页，本课件共有30页2023/3/1西安电子科技大学计算机学院25口令管理口令管理 教育指导教育指导n采用策略和更多的用户教育，尤其是对好采用策略和更多的用户教育，尤其是对好口令重要性的教育口令重要性的教育n给出好口令的指导给出好口令的指导q长度不能太短长度不能太短(6)q大小写字母，数字，标点符号的混合大小写字母，数字，标点符号的混合q非字典中的单词非字典中的单词n但仍会被许多用户忽视但仍会被许多用户忽视第二十五页，本课件共有30页2023/3/1西安电子科技大学计算机学院26口令管理口令管理 计算机产生计算机产生n让计算机生成口令让计算机生成口令n因为有随机性，所以不便记

13、忆，故会写下来，因为有随机性，所以不便记忆，故会写下来，不安全。不安全。n即使可发音也仍难以记忆即使可发音也仍难以记忆n用户一直很难接受用户一直很难接受nFIPS PUB 181 是一个很好的口令自动生成器是一个很好的口令自动生成器q有描述和样例代码有描述和样例代码q用随机音节构成单词用随机音节构成单词第二十六页，本课件共有30页2023/3/1西安电子科技大学计算机学院27口令管理口令管理 口令自检查口令自检查n定期运行口令猜测工具定期运行口令猜测工具q对于几乎所有语言对于几乎所有语言/兴趣组，都有很好的字典可供兴趣组，都有很好的字典可供使用使用n被破解的口令置为无效不可用被破解的口令置为无

14、效不可用n但猜测所需的资源是很大的但猜测所需的资源是很大的n直到不好的口令被发现，安全风险一直存在。直到不好的口令被发现，安全风险一直存在。第二十七页，本课件共有30页2023/3/1西安电子科技大学计算机学院28口令管理口令管理 口令预检查口令预检查n增强口令安全性最可行的办法增强口令安全性最可行的办法n允许用户选择自己的口令允许用户选择自己的口令n但系统检查口令是否可被接受但系统检查口令是否可被接受q简化了强化规则简化了强化规则q与坏口令字典可以比对与坏口令字典可以比对q采用一定的算法检测弱口令采用一定的算法检测弱口令(markov模型或模型或 bloom过滤器过滤器)第二十八页，本课件共有30页2023/3/1西安电子科技大学计算机学院29小小 结结q入侵问题入侵问题q入侵检测入侵检测n基于统计异常的入侵检测基于统计异常的入侵检测n基于规则的入侵检测基于规则的入侵检测q口令管理口令管理第二十九页，本课件共有30页2023/3/1感感谢谢大大家家观观看看第三十页，本课件共有30页