可适应网络安全技术.ppt

可适应网络安全技术 网络安全专题 主要内容 信息系统安全概述网络安全网络攻击手法分析可适应安全与安全检测 信息系统安全概述 信息系统安全的概念安全的威胁脆弱性常见的攻击手段如何实现信息系统安全机构 法规和标准 信息系统安全 信息系统安全的目标信息系统的数据与信息的安全与保密信息系统自身的安全信息系统安全的三个方面机密性信息完整性 一致性 行为完整性 服务连续性 信息系统安全概念 信息系统安全 安全 security 的含义 防范潜在的危机 全面内涵面向数据和信息的安全面向访问 人 的安全 信息系统安全 信息系统安全的威胁 迫在眉睫 信息系统安全 国内外安全事件实例 1 1998年计算机病毒感染事件比1997年增加1倍 宏病毒入侵占60 其种类有1300多种 而1996年只有40种网上攻击事件大幅度增加 且成功率高对50个国家的抽样调查显示 73 的单位受到攻击 对美军非绝密计算机系统的攻击 成功率达88 网上攻击造成巨大损失网上敲诈达6亿美元网上赌博达百亿美元网上洗钱达千亿美元 信息系统安全 国内外安全事件实例 2 CSI根据收集的超过1000个攻击实例分析发现由于窃取研究成果造成的损失在 25million 50million72 的受攻击者承受了损失 只有16 的人报告了他们的损失数量 总损失在 136million攻击来源内部攻击独立的黑客竞争对手只有17 的攻击行为被报告给警方 超过80 由于公司形象问题没有报告根据CSI和FBI的调查 计算机网络攻击事件的年增长率为22 信息系统安全 国内外安全事件实例 3 经常遭到攻击的站点美国航空航天总署 NASA 美国白宫美国国防部五角大楼北约各种政府网站 企业网站等 信息系统安全 国内外安全事件实例 4 1998年10月26日和12月1日 天津科技网主页 先后两次受到同一群黑客的攻击 贵州169 Web主页更改 我国人权主页国务院新闻办 遭到黑客组织 地下兵团 攻击 工商银行扬州案件某银行站点手机病毒的传言 信息系统安全 国内外安全事件实例 5 花旗银行 14Million NASA 喷汽推进技术 Intel Pentium设计 信息系统安全的威胁 威胁来源内部人员准内部人员特殊身份人员外部个人和小组 所谓黑客 竞争对手和恐怖组织敌对国家和军事组织自然和不可抗力 信息系统安全 信息系统安全的威胁 续 威胁种类好奇的黑客 Hacker 可耻的小偷 Phreaker 诈骗者 Nobbler 可恶的破坏者 Cracker 信息系统安全 公开的黑客站点 www rt org 容易得到的黑客工具 SATANIPWatcherCrackRedBoxANV R CRACKer2 0ZIPZipCrackV1 0ZipMicrosoftWordUnprotectV1 2 信息系统安全的脆弱性 系统自身导致的脆弱性原理性BUG有意 恶意 管理不当导致的脆弱性 信息系统安全 常见的攻击手段 环境攻击系统攻击一般性攻击渗透性攻击拒绝服务攻击 Denial of Service 信息系统安全 如何实现信息系统安全 一般性步骤明确保护的对象判断可能出现的安全问题判断可能的威胁选择保护方式 方法 技术 产品等 信息系统安全 如何实现信息系统安全 权衡可用性与安全性易用性与安全性经济性与安全性只有相对的安全 没有绝对的安全 信息系统安全 如何实现信息系统安全 安全的层次性安全的分布性安全的功能分散性和组合性安全的时效性 时代性安全的多样性 复杂性环境 实体 网络 系统 信息 人员等安全管理 信息系统安全 信息系统安全技术 信道防泄漏和加密网络和系统隔离 防火墙等 网络和系统安全扫描安全实时监控系统和入侵发现操作系统和数据库安全加固应用系统安全加固可生存技术加强安全管理 信息系统安全 信息安全研究机构 专业机构ICSA 国际计算机安全协会 原NCSA CSI大学和研究机构RSAPurdue大学计算机系紧急响应组织机构CERT组织FIRST事件与响应安全小组公司和企业如ISS CheckPoint等 信息系统安全 信息安全法规 中华人民共和国计算机安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行办法 关于对与国际联网的计算机信息系统进行备案工作的通知 计算机信息网络国际联网安全保护管理办法 等 我国目前的信息安全法律法规急待完善 信息系统安全 信息安全标准 美国情况 DOD85TCSEC TCSEC网络解释 87 TCSECDBMS解释 91 FC 联邦评测标准 欧洲情况 ITSEC CC Internet标准 IETF RFC等 信息系统安全 美国国防部公布的 可信计算机系统评估标准TCSEC 彩虹系列标准 为计算机安全产品的评测提供了测试准则和方法指导信息安全产品的制造和应用 国际上最据权威的评估标准 信息系统安全 可信赖计算机系统安全等级 信息系统安全 信息系统安全小结 网络安全 网络安全隐患分析网络安全的脆弱性水桶效应网络安全技术 网络安全 应用层数据库层操作系统层网络层 网络安全 网络安全隐患分析 典型网络结构 网络结构 Firewall E MailServer WebServer Router Servers Clients Workstations Network 应用层 Applications E CommerceWebServer SAP Peoplesoft Firewall E MailServer WebBrowsers 数据库层 Databases Oracle MicrosoftSQLServer Sybase 操作系统层 OperatingSystems Solaris WindowsNT HP UX AIX Windows95 NT Solaris 网络层 Networks TCP IP Netware 网络安全的脆弱性 信道容易遭到中途黑客攻击计算机局域网的传输体制容易使黑客截获数据包信息网络用户认证方式简单容易遭受强力攻击和拒绝服务攻击 网络安全 利用脆弱性的攻击事件 滥用FTP 1993年4月 7月 8月CERT报告TFTP 1991年10月CERT报告 一名17岁的黑客所为 窃取口令文件SNIFFER 1993年3月开始的一系列CERT报告 美国 欧洲 南美许多站点遭受此类攻击等1990年12月和1991年8月 在意大利分别发生两次黑客攻击事件 只是两名非精通专业的学生 凭借一些关于黑客的书籍和一般的专业知识 网络安全 传统 网络安全技术 网络对外连接与防火墙网络管理网络安全集中控制与分布控制访问控制鉴别与授权备份与恢复日志和审计 网络安全 网络安全小结 网络攻击方法分析 安全事件的模式攻击的一般过程黑客攻击手法 攻击方法分析 安全事件的模式 攻击工具攻击命令 攻击机制 目标网络 目标系统 攻击者 攻击方法分析 攻击的一般过程 侦察 GatherInfo 接入 Access 获得管理权限 Root 消灭踪迹 CoverTrace 拒绝服务攻击 DenialofService 攻击方法分析 攻击过程解析 UNIXFirewall E MailServer WebServer Router NT Clients Workstations Network UNIX NT UNIX Crack NetBus Imap 攻击方法分析 强力攻击拒绝服务攻击未授权访问攻击预攻击探测探测器后门程序缓冲区溢出攻击 黑客攻击方法 攻击方法分析 指反复地应用无任何捷径可言的方法和过程来达到攻击的目的 这种攻击完全依赖于计算能力 即在产生结果之前尝试所有的可能性 攻击方法分析 强力攻击 强力攻击 获取用户信息缺省帐户名使用口令字典试图登录试图通过一些服务进行登录 如pop3 ftp telnet rsh rexec 攻击方法分析 拒绝服务攻击 DoS 即为入侵者通过发送大量的包含超长的数据段或不正确的包头信息的数据包或超负荷的服务请求来严重限制或摧毁你的系统 攻击方法分析 拒绝服务攻击 拒绝服务攻击 SYN风暴一个标准的TCP连接是通过向目标主机发送一个SYN包来建立的 如果目标主机在特定的端口上等待连接 那么它会发送一个SYN ACK包来响应 最初的发送者会发送一个ACK包来回答SYN ACK 于是连接就建立了 当SYN ACK包被发回源端 系统回分配一块内存来存放关于所建立的连接的状态的信息 在收到最后的ACK或超时以前 这块内存回被一直保留并等待接收从源端发来的信息 通过对一个主机发送大量的SYN包 使得目标主机耗尽了大部分内存来应付打开的连接 合法的连接无法建立 这种状况是由于发送大量的SYN包而没有相应的应答造成的 可以通过向目标主机发送RST包应答最初的SYN包来解决 这样可导致目标主机释放内存块并为新的合法的连接提供空间 攻击方法分析 Land拒绝服务攻击 Land攻击以已发布的同名应用程序命名 此攻击以欺骗性的源IP地址和端口号匹配目标IP地址和端口来发送TCPSYN包 这导致一些TCP行为的循环执行 从而摧毁主机 Ping风暴 Ping风暴通过发包试图使网络超负荷 从而减缓或阻塞网络中的合法的数据传输 向目标主机连续地发送一系列的ICMPEchoRequests 而目标主机回答ICMPEchoReply 这种持续的请求和应答使得网络速度缓慢 并导致合法传输的速度大大降低 甚至失去连接 攻击方法分析 拒绝服务攻击 UDP炸弹 由不合法的数据组成的UDP包会导致一些旧版本的操作系统在接收包时被摧毁 如果目标主机被摧毁 一般很难找到原因 许多不存在这一问题的操作系统会自动丢弃无效的数据包 而对其曾经被恶意攻击却不留任何痕迹 WindowsOutofBand攻击 这一攻击会导致主机完全瘫痪 蓝屏 或使受害主机失去网络连接 AscendKill攻击 通过发送特定格式的错误的TCP包给含有一定版本的Ascend操作系统的Ascend路由器 使得路由器产生一个内部错误 而导致路由器重新启动 攻击方法分析 拒绝服务攻击 拒绝服务攻击 ChargenandEcho攻击服务可以被欺骗 从一个主机的一个服务端口发数据给另一个主机的另一个服务端口 这样会导致死循环 从而建立了一个拒绝服务攻击 这个攻击会不断地增长性地消耗网络带宽 导致这个网段性能的损失或全部瘫痪 攻击方法分析 未授权访问 入侵者未经授权而试图读 写或修改文件 或未经授权执行他无权执行的命令 还包括未经授权获取访问权限 如root Administrator 攻击方法分析 E MailDEBUGSendmail中存在的DEBUG命令允许远程Sendmail守护进程的调试 现在的Sendmail版本中已经不存在这个问题 但是老的版本允许入侵者通过远程使用这一命令获取该主机的root访问权限 FTPCWD root某些版本的FTP守护进程允许通过一系列的命令 最终为CWD root来实现对主机文件的访问 E MailPipeVulnerabilityCheck通过将管道符号 插入e mail的特定区域 Sendmail会被强迫在远程主机上执行命令 这导致了远程入侵者可以以root身份在受侵害主机上执行命令 攻击方法分析 未授权访问 FTPSiteExec FTPCWD root一些版本的wu ftpd允许使用站点可执行命令在远程主机上执行命令 通过提供一定特征的路径名 远程用户可以在FTP服务器上执行任意的命令 HP UXRemoteWatch一些安装了RemoteWatch的HP UX版本有这样的漏洞 它允许远程入侵者通过RemoteWatch服务在目标主机上执行任意命令 HPOpenViewSNMPBackdoor一个隐藏的community字符串被编码在HPOpenview4 xand5 xmanagementAgent中 这个communitystring具有对Agent配置的读写访问权 攻击方法分析 未授权访问 IPFragmentation用来越过路由器或防火墙的过滤规则和访问控制模块的攻击 HTTPSGIWebDistwebdistcgi bin程序存在一个漏洞 它允许远程入侵者在远程主机上执行任意命令 这个webdist程序是OutboxEnvironmentSubsystemforIRIX的一部分 被缺省安装在所有的运行IRIX6 2或更高版本的SGI系统上 老版本的IRIX中为可选的安装 攻击方法分析 未授权访问 IdentBufferOverflow连接ident服务来记录用户信息需要一个正确格式的应答 如果应答信息比所需要的长 应答的读缓冲就会溢出 使得远程用户能够在该主机上执行命令 HTTPIIS3 0AspDotMicrosoft的IIS3 0服务器有一个安全漏洞 它允许通过在活动的URL后面插入一个 来执行代码 NFSUIDCheck入侵者会递交一个非零的32位用户ID 这在实际中会被操作系统认为是16位的全零的用户ID 攻击方法分析 未授权访问 入侵者试图获取网络信息 如用户名 口令文件 服务版本号 这些信息在随后的未授权访问攻击中将被使用 攻击方法分析 预攻击探测 E MailEXPN mailserverEXPN命令被用来扩张远程系统上的用户的地址 有时也合法的用于发现某个邮件容器的完整地址 有时也通过发现是否存在一般的帐户来获取系统中的用户的信息 E MailVRFYVRFY命令用于核实是否一个用户在远程系统中存在 它有时被合法地用于发现目标主机上的消息容器是否能够接收消息 有时也通过发现主机上是否存在一般的帐户来获取系统的用户信息 攻击方法分析 预攻击探测 IPHalfScan一个标准的TCP连接首先向目标主机发送一个SYN请求包 如果目标主机对指定端口处于等待连接状态 则响应SYN应答包 初始连接者以应答数据包响应 这样一个连接建立成功 如果目标主机对指定端口未处于等待连接状态 将以RST包作为响应 多数系统日志对这种不完全连接不做记录 只有当收到最后的应答包以后才会记录下来 发送RST包而非最后的ACK应答包将导致连接不成功 因此不会记录任何日志 源主机可以判断目标主机发送了SYN ACK或是RST 攻击者可决定哪个端口开放 哪个端口关闭 完全在目标主机未察觉的情况下进行 攻击方法分析 预攻击探测 Portscan该检查识别发生在你的网络中的端口扫描 Portscan即端口扫描 攻击者根据探测每个端口的响应识别哪个端口正在运行 SATANSATAN是一个免费工具用来扫描目标系统的服务和少量的已知漏洞 HTTPtest cgi该程序存在于Apache和NCSAWebservers的某些版本中 使远程攻击者可以获得cgi bin目录内容的有关信息 作为进一步攻击的基础 攻击方法分析 预攻击探测 网卡被设置成乱序状态 获取全部的网络数据包 攻击方法分析 探测器 有时也叫trapdoor 是一个对程序或在线服务获取访问权限的秘密的方法 后门程序被最初的编程人员放入软件中作为获取特殊功能的权限的一种方法 例如 操作系统的后门程序会允许对运行该软件的任何主机的无限的访问权限 攻击方法分析 后门程序 NetBusNetBus是一个Windows95和WindowsNT的后门程序 根据NetBusweb主页 它会让入侵者对你的主机执行如下动作 打开 关闭CD ROM 显示一个BMP JPG图象 交换鼠标按钮 启动一个应用 播放一个音频文件 控制鼠标 显示不同种类的消息 关闭Windows 下载一个文件 去Internet上的一个URL 攻击方法分析 后门程序 BackOrifice一个叫CultoftheDeadCow的黑客组织发布了一个Windows95 98的后门程序名叫 BackOrifice BO 一旦安装了这个后门 就允许非授权的用户在受害主机上执行特权操作 允许任何知道监听端口号和BO口令的人远程控制该主机 入侵者用基于文本或图形的客户端访问BO服务器 服务器允许入侵者执行命令 列出文件 启动服务 共享目录 上载和下载文件 操纵注册表 杀死进程 列出进程 等等 攻击方法分析 后门程序 缓冲区溢出包括传递长度大于函数所允许的参数 函数将会失效 原因是参数的长度大于或等于所期望的长度 函数于是将长度很大的参数完全拷贝到一个很小的缓冲区 结果是函数的内存的某些部分被重写 这样会改变参数 调用堆栈 一个有目的的缓冲区溢出攻击会将特定的数值放入调用堆栈 从而导致在溢出函数的安全上下文中特定的操作会被执行 如果这个函数运行在不同的调用环境中 甚至它被远程调用并以本地root身份运行 这个攻击会避开认证 攻击方法分析 缓冲区溢出 网络攻击方法小结 新的网络安全方向 可适应网络安全网络漏洞检测网络入侵发现安全事件紧急响应 可适应网络安全 信息系统安全方案 防火墙加密集中认证B级系统安全检测 可适应网络安全 系统安全建设不单纯是保护 攻击不可避免 CSI在1995年9月 考察了Furtune500家公司中的320家的计算机网 结果是20 的网站经历过安全事件 而这其中又有30 的Internet安全事故发生在防火墙安装之后 大至是配置不当 未检查后门连接等问题造成的 可适应网络安全 系统安全建设要考虑成本效益 英国1 英国国防部建立了世界上最大的计算机网络有五万个终端 称之为CHOTS 2 该网络按TCSECB2级的要求建设的 3 CHOTS花费了10亿美金 4 10年过去了 应用系统已无用 是世界上最贵的E mail系统美国用25年时间花费几十亿美金 建立的美军计算机安全系统 有的安全有的不安全 企图建立一个绝对安全的 不可侵入的安全系统 该系统中的大部分系统已过时 不能使用 可适应网络安全 1 TCSEC是针对孤立计算机系统 特别是小型机和主机系统 假设有一定的物理保障 该标准适合政府和军队 不适和企业 这个模型是静态的 2 NCSC的TNI是把TCSEC的思想用到网络上 缺少成功实践的支持 3 Moore sLaw 计算机的发展周期18个月 现在还有可能减少到一年 不允许长时间进行计算机安全建设 计算机安全建设要跟随计算机发展的规律 经典计算机安全模型 可适应网络安全 静态安全技术的不足 加密 认证防止数据传输过程中被偷听只能在 传输中 保护数据 可适应网络安全 静态安全技术的不足 防火墙 路由器限制来自外部的访问配置和管理方面的问题无法限制modems和远程访问60 80 的攻击来自内部本身的安全隐患 可适应网络安全 安全需要引入时间概念风险是动态变化的 安全模型应当是自适应的 计算机安全应当建立成本效益观念 称之为效益安全要承认系统的安全漏洞 正视计算机的威胁 需要建立新的安全模型 可适应网络安全 可适应网络安全 以安全策略为核心 可适应网络安全 企业安全策略 可适应网络安全 可适应安全管理体系 企业安全策略 数据库应用程序操作系统网络 可适应网络安全 可适应安全管理体系 企业安全策略 策略违反风险评估 可适应网络安全 可适应安全管理体系 企业安全策略 报告报警自动修正实时响应决策分析 可适应网络安全 可适应安全管理体系 什么是安全 新的定义 可适应网络安全 安全 及时的检测和处理 时间 可适应网络安全 安全 及时的检测和恢复 时间 可适应网络安全 可适应网络安全的核心 可适应网络安全的核心问题 检测和响应网络漏洞扫描系统漏洞扫描 数据库漏洞扫描实时监控 入侵发现 可适应网络安全 网络漏洞扫描 可适应网络安全 网络安全评估 企业安全策略 可适应网络安全 网络安全评估报告 不增加网络负载直观 易懂的评估报告全面的漏洞检测广泛的平台覆盖率 可适应网络安全 网络风险评估 网络漏洞扫描检查的内容 1 Browser BrowserPolicytestyourInternetExplorerandNetscapeNavigatorwebbrowsers BruteForce BruteForcecontainsthedefaultuserchecks InordertoruntheBruteForcechecks atleastonedefaultuserslistmustbeselected CGI Bin CGI BintestsforthepresenseofvulnerableCGIscripts CriticalNTIssues CriticalNTIssuestestsandmonitorssecurity relatedactivitiesonaWindowsNTcomputer DNS DNStestsDistributedNamingServiceimplementationsforvulnerabilities Daemons Daemonsdeterminesthepresenceofvariousprocessesandvulnerabilitiesassocatiatedwiththem DenialofService DenialofServicetestsforweaknessesandrunsattacksthatcoulddisableyoursystems E mail E mailteststheSimpleMailTransferProtocol SMTP anditsimplementations FTP FTPtestsweaknessesintheFileTransferProtocolanditsimplementations Firewalls Firewallstestsfirewallsfordefaultusersecurityweaknesses IPSpoofing IPSpoofingtestsforTCPsequencenumberpredictability LDAPNFS XWindows NFS X WindowsteststheNFSfilesystemandX Windowsinterface NIS NIStestsNetworkInformationSystemimplementationsforvulnerabilities NTGroups Networking NTGroups NetworkingdeterminesusergroupmembershipandnetworksecurityweaknessesspecifictoWindowsNT NTPassword NTPasswordtestsWindowsNTaccounts includingUser Passwordpolicy andLockoutpolicychecks NTRegistry NTRegistryteststhesecurityofahosts抯registry includingkeysthatprotecttheSimpleNetworkManagementProtocol SNMP NTServices NTServicesdetectrunningWindowsNTservicesandsecurityweaknessesassociatedwithservices 网络漏洞扫描检查的内容 2 NTUsers NTUsersdetermineifadditionaluser levelsecurityhasbeenimplemented NetBIOSMisc NetBIOSMisc performspatchandoperatingsystemversionstests determineslogaccess anddisplaysinformationavailablethroughtheNetBIOSprotocol Network NetworktestsforTCP IP anddatatransportvulnerabilities OraclePasswords OraclePasswordsattemptstoguesspasswordsrequiredtologintoanOracledatabase Pre attackprobeProxy Proxy DNSperformsproxyserverandDNStesting RPC RPCtestsRemoteProcedureCall RPC servicesandvulnerabilities Router Switch Router Switchtestspacketroutersandnetworkinghardwareforvulnerabilities 网络漏洞扫描检查的内容 3 SNMP SNMPtestsSimpleNetworkManagementProtocolimplementationsforvulnerabilities SecurityZones SecurityZonestestURLsecuritylevelsdependingonhowyouclassifyahostorwebsite Shares DCOM Shares DCOMtestsNetBIOSshares DCOMRegistrykeys andDCOMpermissions UnauthorizedaccessattemptWebScan WebScantestsHTTPwebservervulnerabilities Other 网络漏洞扫描检查的内容 4 系统漏洞扫描 可适应网络安全 系统漏洞扫描检查的内容 1 Browser BrowserPolicytestyourInternetExplorerandNetscapeNavigatorwebbrowsers CriticalNTIssues CriticalNTIssuestestsandmonitorssecurity relatedactivitiesonaWindowsNTcomputer DNS DNStestsDistributedNamingServiceimplementationsforvulnerabilities Daemons Daemonsdeterminesthepresenceofvariousprocessesandvulnerabilitiesassocatiatedwiththem DenialofService DenialofServicetestsforweaknessesandrunsattacksthatcoulddisableyoursystems E mail E mailteststheSimpleMailTransferProtocol SMTP anditsimplementations FTP FTPtestsweaknessesintheFileTransferProtocolanditsimplementations NTGroups Networking NTGroups NetworkingdeterminesusergroupmembershipandnetworksecurityweaknessesspecifictoWindowsNT NTPassword NTPasswordtestsWindowsNTaccounts includingUser Passwordpolicy andLockoutpolicychecks NTRegistry NTRegistryteststhesecurityofahosts抯registry includingkeysthatprotecttheSimpleNetworkManagementProtocol SNMP NTServices NTServicesdetectrunningWindowsNTservicesandsecurityweaknessesassociatedwithservices NTUsers NTUsersdetermineifadditionaluser levelsecurityhasbeenimplemented NetBIOSMisc NetBIOSMisc performspatchandoperatingsystemversionstests determineslogaccess anddisplaysinformationavailablethroughtheNetBIOSprotocol OraclePasswords OraclePasswordsattemptstoguesspasswordsrequiredtologintoanOracledatabase SNMP SNMPtestsSimpleNetworkManagementProtocolimplementationsforvulnerabilities SecurityZones SecurityZonestestURLsecuritylevelsdependingonhowyouclassifyahostorwebsite 系统漏洞扫描检查的内容 2 Shares DCOM Shares DCOMtestsNetBIOSshares DCOMRegistrykeys andDCOMpermissions WebScan WebScantestsHTTPwebservervulnerabilities 系统漏洞扫描检查的内容 3 数据库漏洞扫描 可适应网络安全 网络入侵发现 可适应网络安全 来自外部的攻击 ALERT ATTACKDETECTED RECORDSESSION TERMINATESESSION ALERT ATTACKDETECTED EMAIL LOG REPORT EMAIL LOG REPORT RECORDSESSIONSENDEMAILLOGSESSION 入侵监控 集中管理远程监控自动响应与其它网管系统 静态安全技术协同工作犯罪取证在危险发生时保护网络 可适应网络安全 入侵监控 入侵发现检查的内容 1 拒绝服务攻击Anattempttocauseavictimdevicetostopprovidingsomeorallofitsservices usuallybyover loadingacriticalsystemresource ExamplesofdenialofserviceattacksincludeSYNFlood PingFlood andWindowsOutofBand WinNuke attacks 非法访问企图Anattacker sattempttoread writer orexecuteprotectedfiles Thisalsoincludesattemptstogainprotectedaccessprivileges ExamplesofsuchattemptsincludeFTProotande mailWIZ 入侵发现检查的内容 2 侦察 预攻击Anattemptbyanattackertogaininformationfromoraboutanetwork e g usernames pass words thatwillbeusedinasubsequentunauthorizedaccessattempt Examplesofpre attackprobesincludeSATANscans portscans andIPhalfscans 可疑事件Networktrafficpatternsthatlieoutsidetheusualdefinitionsof standard trafficandwhichmightindicateundesiredactivityonthenetwork ExamplesofsuspiciousactivityincludeDupli cateIPAddressandIPUnknownProtocolevents 入侵发现检查的内容 3 协议分析Networkactivitythatcanbeusedinoneoftheundesiredmethodsaboveandwhichhasbeendecodedanddisplayedforthebenefitofthenetworkorsecurityadministrator Decodedproto colinformationmayormaynotindicateundesirableactivity ExamplesofprotocoldecodesincludeFTPUserandPortmapperProxydecodes 针对主机的攻击Theseattacksarelaunchedagainstanindividualhost notanetwork ThesearemonitoredbytheRealSecureSystemAgent 网络入侵发现的模式 统计异常发现方法模式匹配发现方法基于主机的发现方法基于网络的发现方法 可适应网络安全 检测体系的建立 网络漏洞扫描InternetScanner 系统漏洞扫描SystemScanner 基于主机的入侵发现RealSecureSystemAgent 基于网络的入侵发现RealSecureNetworkEngine 数据库漏洞扫描DBSScanner 控制管理中心Console集成网管系统 可适应网络安全 异常处理的通常规则 不要惊慌记录入侵发现确定处理程序理解和判定入侵的性质 危险性确定是否制止入侵拷贝和备份系统发现被入侵的原因监视入侵者 跟踪入侵者报警发现入侵的常用系统命令 finger users who ps w netstat http发现入侵后要检查 口令文件 重要系统文件 SUID文件 开机文件 隐藏文件 可适应网络安全 可适应网络安全的关键是管理 通过管理实现安全策略 安全管理 可适应网络安全 安全管理的复杂性 系统不在安全模式下工作未使用安全审计静态配置系统缺少安全测试工具缺少黑客攻击发现手段网络出口混乱防火墙设置不正确无安全管理技术规范没有配备安全系统管理员 可适应网络安全 信息系统安全的原则 安全管理是整个信息系统安全的关键人员管理是安全管理要害安全策略是安全管理的依据安全工具是安全管理的保证提高综合能力 可适应网络安全 感谢大家