第十一网络与信息安全-章系统安全-入侵检测.pdf
文本预览下载声明
第十一章系统安全-入侵检测
1
本章主要内容
基本概念
入侵检测
入侵检测系统
入侵检测系统的部署
CIDF
2
11.1 基本概念
入侵者
Anderson将入侵者分为3类
外部入侵
者 假冒用户:未授权使用计算机的个体,或潜入系统
的访问控制来获取合法用户的帐户。
内部入侵
者 违法用户:系统的合法用户访问未授权的数据、程
序或资源,或者授权者误用其权限。
内部与外
部入侵者 隐秘用户:通过某种方法夺取系统的管理控制权限
,并使用这种控制权躲避审计机制和访问控制,或
者取消审计集合的个体。
3
攻击
基于misuse检测
有意违犯规则的操作
异常检测
无意违犯规则的操作
可疑行为或操作
尝试攻击绕过攻击穿透攻击 内部攻击
4
入侵者的行为模式
黑客
经常寻找敌对方的目标并与他人共享信息。
犯罪
传统黑客是寻找有机会的目标,而犯罪黑客则有明
确的目标。一旦侵入系统,攻击者动作迅速,取得
尽可能多的信息后退出。
内部攻击
可能基于报复或者仅仅是为了体验权力的感觉。
执行最小权利制度
设置日志查看什么用户接入,都做了什么操作
对敏感资源加强认证
结束时删除员工计算机和网络的接入
结束时对员工硬盘做镜像。如果竞争者那里出现了公司的信息,
可以作为证据使用。
5
入侵技术 典型的获取口令方法
1.尝试标准帐户使用的系统缺省口令。
入侵的目标是获得系统的访问权限或者提升系
2.穷举尝试所有的短口令(1-3字符)
统的访问级别
3.系统在线字典中的词汇或者可能的口令列表。
4.收集用户的相关信息,例如全名、配偶和子女的
口令文件的保护方式
名字、办公室的图片以及与用户业余爱好有关的书
单向函数
籍等。
访问控制:访问口令文件的权限仅授予一个或非常
5.尝试用户的电话号码、SSN以及门牌号码等 。
有限的几个帐户
6.尝试该州所有的合法牌照号码。
7.使用木马绕开对访问的控制
8.在远程用户和主机系统之间搭线窃听。
另外还有不需要口令的入侵方法,如DDOS、缓冲
区溢出攻击等。
6
系统和网络 11.2 入侵检测
日志文件;
目录和文件
中的不期望
的改变;
网络入侵检测从计算机系统中若干关键点
程序执行中 分析机构 入侵检测系统
收集信息,并分析网络中是否存在入侵行析 分 关 相
的不期望行
显示全部