《计算机网络技术第二十三讲.ppt》由会员分享,可在线阅读,更多相关《计算机网络技术第二十三讲.ppt(38页珍藏版)》请在三一办公上搜索。
1、计算机网络技术,聊城大学环境与规划学院2007年1月,第二十三讲,6.4 计算机网络入侵检测与安全预警,6.4.1 黑客的常用入侵手段6.4.2 入侵检测系统6.4.3 网络安全预警系统,6.4 计算机网络入侵检测与安全预警,本节教学目标:了解黑客的常用入侵手段;理解入侵检测系统;理解网络安全预警系统。,6.4.1 黑客的常用入侵手段,6.4 计算机网络入侵检测与安全预警,1.什么是黑客?,黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有
2、人翻译成“骇客”。黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。,6.4.1 黑客的常用入侵手段,6.4 计算机网络入侵检测与安全预警,2.黑客进行远程攻击的一般过程,收集被攻击目标的有关信息,分析后找出被攻击系统的漏洞。用适当的工具进行扫描。建立模拟环境,进行模拟攻击,测试对方反应,找出毁灭入侵证据的方法。实施攻击。,6.4.1 黑客的常用入侵手段,3.黑客常用工具,扫描器口令入侵工具特洛伊木马网络嗅觉器系统破坏装置,6.4 计算机网络入侵检测与安全预警,6.4.1 黑客的常用入侵手段,4.漏洞扫描,被动式扫描策略基于主机的扫描技术基于目标的扫描技术基于应用的扫描技术,6.4 计算机网络
3、入侵检测与安全预警,6.4.1 黑客的常用入侵手段,4.漏洞扫描,主动式扫描策略是基于网络的扫描技术;通过一些脚本文件对系统进行攻击;记录系统的反应,从中发现漏洞。,6.4 计算机网络入侵检测与安全预警,6.4.1 黑客的常用入侵手段,5.IP欺骗,基本思路是:假定要攻击主机X,首先要找一个X信任的主机A;攻击者B假冒A的IP地址,建立与X的连接;对X进行攻击。,6.4 计算机网络入侵检测与安全预警,6.4.1 黑客的常用入侵手段,IP欺骗的一些预防策略,放弃基于IP地址的信任策略使用随机化的初始序列号在路由器中加上一些附加条件,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统I
4、DS,1.IDS的工作内容,监视并分析用户和系统的行为;审计系统配置和漏洞;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁审计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,2.入侵检测方式,实时入侵检测:在网络的连接中进行;检测过程是反复循环的。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,实时入侵检测:,6.4 计算机网络入侵检测与安全预警,Yes,No,6.4.2 入侵检测系统IDS,2.入侵检测方式,事后入侵检测:根据计算机系统对用户操作
5、所作的历史审计记录判断;定期或不定期的进行。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,事后入侵检测:,6.4 计算机网络入侵检测与安全预警,Yes,No,6.4.2 入侵检测系统IDS,3.IDS的工作原理,数据收集分布式数据源还是集中式数据源;直接监控还是间接监控;基于主机的数据收集还是基于网络的数据收集;使用外部探测器还是内部探测器。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,3.IDS的工作原理,数据分析模式匹配;统计分析;完整性分析。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,4.IDS的信息源,基于
6、网络的入侵检测系统网络引擎配置在防火墙内;网络引擎配置在非军事区;网络引擎配置在内部网络的各临界字段。,6.4 计算机网络入侵检测与安全预警,6.4.2 入侵检测系统IDS,基于网络的入侵检测系统,6.4 计算机网络入侵检测与安全预警,Internet,域名路由器,控制台,Web服务器,子网1,防火墙,子网2,子网3,6.4.2 入侵检测系统IDS,4.IDS的信息源,基于主机的入侵检测系统在每台要保护的主机后台运行一个代理程序;提供了基于网络的IDS不能提供的一些功能;在交换网络中非常有用;但对网络流量不敏感;不能访问被保护系统的核心功能。,6.4 计算机网络入侵检测与安全预警,6.4.2
7、入侵检测系统IDS,5.IDS的分析方法,异常检测型IDS,6.4 计算机网络入侵检测与安全预警,Yes,No,正常状态,入侵状态,更新轮廓,动态的生成新的轮廓,6.4.2 入侵检测系统IDS,5.IDS的分析方法,误用检测型IDS,6.4 计算机网络入侵检测与安全预警,是否与现有规则匹配?,Yes,No,正常状态,攻击状态,修改现有规则,增加新规则,6.4.2 入侵检测系统IDS,5.IDS的分析方法,两种检测方法之间的区别:,6.4 计算机网络入侵检测与安全预警,(1)异常检测系统试图发现一些未知的入侵行为;而误用检测系统则是标识一些已知的入侵行为。(2)异常检测指根据使用者的行为或资源使
8、用情况来判断是否入侵,而不依赖于具体行为是否出现来检测;而误用检测系统则大多是通过对一些具体的行为的判断和推理,从而检测出入侵。,6.4.2 入侵检测系统IDS,5.IDS的分析方法,两种检测方法之间的区别:,6.4 计算机网络入侵检测与安全预警,(3)异常检测的主要缺陷在于误检率很高,尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断,准确度要高很多。(4)异常检测对具体系统的依赖性相对较小;而误用检测系统对具体的系统依赖性太强,可移植性不好。,6.4.3 网络安全预警系统,1.预警系统的原理,建立系统的关键是建立一种有效的安全沟通机制。三要素是:先进的“
9、网警”技术;系统的沟通机制;快速的通报手段。,6.4 计算机网络入侵检测与安全预警,6.4.3 网络安全预警系统,2.建立预警系统的意义,保护公网的安全,有效地抵御对网络的攻击。有效的防止来自内部的攻击行为。,6.4 计算机网络入侵检测与安全预警,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒6.5.2 网络病毒防范,6.5 恶意程序及其防治,本节教学目标:理解恶意程序及其类型;了解网络病毒防范方法。,6.5.1 恶意程序与病毒,恶意程序是一类可以危害系统或应用正常功能的特殊程序或程序片断。其活动方式有:修改合法程序,使之变为有破坏能力的程序;利用合法程序,非法获取或篡改系统资源或敏感数
10、据。,1.恶意程序及其类型,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒,恶意程序的存在方式有:宿主程序方式;独立存在。还可分为:有复制能力;无复制能力。,1.恶意程序及其类型,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒,陷门(Trap Doors)逻辑炸弹特洛伊木马蠕虫细菌病毒,几种常见的恶意程序:,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒,2.广义病毒 从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为计算机病毒。,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒,病毒产生的原因 开个玩笑,一
11、个恶作剧产生于个别人的报复心理 用于版权保护 用于特殊目的,6.5 恶意程序及其防治,6.5.1 恶意程序与病毒,6.5 恶意程序及其防治,3.网络与病毒网络病毒一般通过以下方式进行传播:邮件及邮件附件系统漏洞 文件共享 网页 即时通讯,6.5.2 网络病毒防范,基于工作站的防病毒技术安装防病毒芯片使用防毒杀毒软件使用无盘工作站备份,主要应当从工作站和服务器两个方面进行:,6.5 恶意程序及其防治,6.5.2 网络病毒防范,基于服务器的防病毒技术实时在线病毒扫描服务器扫描工作站扫描,主要应当从工作站和服务器两个方面进行:,6.5 恶意程序及其防治,6.5.2 网络病毒防范,病毒防火墙技术实时过滤病毒,对病毒的入侵和向外扩散实行双向把关。,主要应当从工作站和服务器两个方面进行:,6.5 恶意程序及其防治,防杀结合、以防为主、以杀为辅、软硬互补、标本兼治,本课到此结束!,THANK YOU VERY MUCH!,
