网络安全入侵者.ppt

网络安全入侵者.ppt

《网络安全入侵者.ppt》由会员分享，可在线阅读，更多相关《网络安全入侵者.ppt（30页珍藏版）》请在冰豆网上搜索。

Chapter18入入侵侵者者密码编码学与网络安全密码编码学与网络安全密码编码学与网络安全密码编码学与网络安全入侵者入侵者n网络系统面临的严重安全问题：

网络系统面临的严重安全问题：

不友善访问或未授权访问不友善访问或未授权访问n通过网络或本地进行攻击通过网络或本地进行攻击n入侵者：

入侵者：

q假冒者（外部）假冒者（外部）q非法者（内部）非法者（内部）q秘密的用户（内部或外部）秘密的用户（内部或外部）n权限级别的变化权限级别的变化2022/10/272西安电子科技大学计算机学院入侵者入侵者n入侵者威胁已众所周知入侵者威胁已众所周知q从从1986/87的的“WilyHacker”q到到CERT的统计结果的统计结果2022/10/273西安电子科技大学计算机学院2022/10/274西安电子科技大学计算机学院入侵技术入侵技术n入侵目标是获得访问或提高在系统的特权n基本的攻击方法q熟悉目标，收集信息q初始访问q特权提升q掩盖攻击n关键往往是获得口令n使用所有者的访问权限2022/10/275西安电子科技大学计算机学院口令猜测口令猜测n最常见的攻击方法之一n攻击者知道一个登录帐号（从邮件或网页等）n视图猜测口令q默认的，短的，常用单词口令q用户信息（姓名，生日，电话，常用词或兴趣的变体）q穷举所有可能的口令n通过登录进行检验，或破解偷来的口令文件n能否成功依赖于用户所设定的口令n调查表明许多用户选择的口令很弱2022/10/276西安电子科技大学计算机学院口令获取口令获取n另一种攻击涉及口令获取q严密监视口令的输入q用户木马程序收集q监听一个不安全网络的登录n如.telnet,FTP,web,emailq提取成功登录后记录的信息（网页历史文件/cache,上次所拨号码等）n使用有效登录/口令，假冒用户n需要教育用户采取适当的预防或对抗措施2022/10/277西安电子科技大学计算机学院入侵检测入侵检测n难免会有安全失误n入侵检测：

q如果很快检测到了入侵，则迅速阻止入侵。

q作为入侵的又一道屏障q收集信息，增强安全性n假设入侵者的行为不同于合法用户的行为q但两者的差别不是很明显2022/10/278西安电子科技大学计算机学院入侵检测方法入侵检测方法n统计异常检测q阈值q基于轮廓的检测n基于规则的检测q异常检测：

行为的偏差q渗透鉴别：

专家系统2022/10/279西安电子科技大学计算机学院2022/10/2710西安电子科技大学计算机学院审计记录审计记录n入侵检测的基本工具n原始审计记录q多用户操作系统的一个构成部分q使用就绪q缺点：

信息格式可能不合适，或内容不全。

n检测专用的审计记录q收集指定的信息q对系统带来额外开销2022/10/2711西安电子科技大学计算机学院统计异常检测统计异常检测n阈值检测q在时间段内指定的事件发生次数q如果超过了可能的值，则认为发生了入侵q仅此判断是粗糙且效率不高的n基于轮廓q用户过去的行为特征q检测与此有明显偏差的行为q用户的特性常用多个参数加以描述2022/10/2712西安电子科技大学计算机学院审计记录分析审计记录分析n统计分析的基础n分析记录以得到一段时间来的规律q计数器,标准值,间隔计时器,资源利用n用变量对这些进行测试，以决定当前行为是否可以接受q均值和标准偏差,多变量,马尔可夫处理,时间序列,操作n主要优点是不用预先知道安全漏洞的知识2022/10/2713西安电子科技大学计算机学院基于规则的入侵检测基于规则的入侵检测n观察系统中的事件并应用规则对行为是否可观察系统中的事件并应用规则对行为是否可疑作出判断疑作出判断n基于规则的异常检测基于规则的异常检测q分析历史审计记录，确定使用模式，自动产生描分析历史审计记录，确定使用模式，自动产生描述此模式的规则。

述此模式的规则。

q观察当前行为，判断是否符合已有模式。

观察当前行为，判断是否符合已有模式。

q不需要安全缺陷的预先知识不需要安全缺陷的预先知识2022/10/2714西安电子科技大学计算机学院基于规则的入侵检测基于规则的入侵检测n基于规则的渗透鉴别基于规则的渗透鉴别q使用专家系统技术使用专家系统技术q利用规则确定已知渗透，弱点渗透，或可疑行为利用规则确定已知渗透，弱点渗透，或可疑行为q与审计记录比较或与规则匹配与审计记录比较或与规则匹配q规则与特定的机器或规则与特定的机器或OS有关有关q规则由专家们定义规则由专家们定义q好坏依赖于规则建立的技术好坏依赖于规则建立的技术2022/10/2715西安电子科技大学计算机学院出错的概率出错的概率n实际的入侵检测系统需要一个可接受的虚实际的入侵检测系统需要一个可接受的虚假报警率假报警率q如果检测到很少的入侵，则造成安全的假象如果检测到很少的入侵，则造成安全的假象q如果检测到太多的入侵，则被忽视或浪费时间如果检测到太多的入侵，则被忽视或浪费时间n做好很难做好很难n已有系统做的还不够好已有系统做的还不够好2022/10/2716西安电子科技大学计算机学院分布式入侵检测分布式入侵检测n单一系统单一系统n但一般都是网络系统但一般都是网络系统n更多有效防御的方法用于检测入侵更多有效防御的方法用于检测入侵n包括包括q处理各种形式的审计记录处理各种形式的审计记录q网络数据的完整性和保密性网络数据的完整性和保密性q集中和非集中式结构集中和非集中式结构2022/10/2717西安电子科技大学计算机学院分布式入侵检测结构分布式入侵检测结构2022/10/2718西安电子科技大学计算机学院分布式入侵检测代理结构分布式入侵检测代理结构2022/10/2719西安电子科技大学计算机学院蜜蜜罐罐n引诱攻击者的诱惑系统引诱攻击者的诱惑系统q转移攻击者远离可访问的关键系统转移攻击者远离可访问的关键系统q用于收集攻击者的行为信息用于收集攻击者的行为信息q希望攻击者在系统中逗留更多时间，以使管理员能对此希望攻击者在系统中逗留更多时间，以使管理员能对此攻击作出响应。

攻击作出响应。

n使用虚假信息欺骗攻击者使用虚假信息欺骗攻击者n收集攻击者的详细行为信息收集攻击者的详细行为信息n一个或多个网络系统一个或多个网络系统nIETF，入侵检测工作小组标准，入侵检测工作小组标准q入侵检测交换格式入侵检测交换格式2022/10/2720西安电子科技大学计算机学院口令管理口令管理n入侵者面对的第一条防线：

口令系统入侵者面对的第一条防线：

口令系统n用户提供两者用户提供两者:

q用户名用户名决定用户的特权决定用户的特权q口令口令确定用户确定用户n口令常加密保存口令常加密保存qUnix采用采用multipleDES（带有带有“盐盐”值修改，值修改，variantwithsalt）q最近更多的系统采用加密散列函数最近更多的系统采用加密散列函数（cryptohashfunction）n应该保护系统中的口令文件应该保护系统中的口令文件2022/10/2721西安电子科技大学计算机学院2022/10/2722西安电子科技大学计算机学院2022/10/2723西安电子科技大学计算机学院口令研究口令研究n许多口令很短许多口令很短n许多口令可被猜到许多口令可被猜到n结果表明用户经常使用弱口令结果表明用户经常使用弱口令n需要对此进行研究找出对策需要对此进行研究找出对策q告诉用户应该如何选择口令告诉用户应该如何选择口令q计算机产生口令计算机产生口令q口令自检查口令自检查q口令预检查口令预检查2022/10/2724西安电子科技大学计算机学院口令管理口令管理教育指导教育指导n采用策略和更多的用户教育，尤其是对好采用策略和更多的用户教育，尤其是对好口令重要性的教育口令重要性的教育n给出好口令的指导给出好口令的指导q长度不能太短长度不能太短（6）q大小写字母，数字，标点符号的混合大小写字母，数字，标点符号的混合q非字典中的单词非字典中的单词n但仍会被许多用户忽视但仍会被许多用户忽视2022/10/2725西安电子科技大学计算机学院口令管理口令管理计算机产生计算机产生n让计算机生成口令让计算机生成口令n因为有随机性，所以不便记忆，故会写下来，因为有随机性，所以不便记忆，故会写下来，不安全。

不安全。

n即使可发音也仍难以记忆即使可发音也仍难以记忆n用户一直很难接受用户一直很难接受nFIPSPUB181是一个很好的口令自动生成器是一个很好的口令自动生成器q有描述和样例代码有描述和样例代码q用随机音节构成单词用随机音节构成单词2022/10/2726西安电子科技大学计算机学院口令管理口令管理口令自检查口令自检查n定期运行口令猜测工具定期运行口令猜测工具q对于几乎所有语言对于几乎所有语言/兴趣组，都有很好的字典可供兴趣组，都有很好的字典可供使用使用n被破解的口令置为无效不可用被破解的口令置为无效不可用n但猜测所需的资源是很大的但猜测所需的资源是很大的n直到不好的口令被发现，安全风险一直存在。

直到不好的口令被发现，安全风险一直存在。

2022/10/2727西安电子科技大学计算机学院口令管理口令管理口令预检查口令预检查n增强口令安全性最可行的办法增强口令安全性最可行的办法n允许用户选择自己的口令允许用户选择自己的口令n但系统检查口令是否可被接受但系统检查口令是否可被接受q简化了强化规则简化了强化规则q与坏口令字典可以比对与坏口令字典可以比对q采用一定的算法检测弱口令采用一定的算法检测弱口令（markov模型或模型或bloom过滤器过滤器）2022/10/2728西安电子科技大学计算机学院小小结结q入侵问题入侵问题q入侵检测入侵检测n基于统计异常的入侵检测基于统计异常的入侵检测n基于规则的入侵检测基于规则的入侵检测q口令管理口令管理2022/10/2729西安电子科技大学计算机学院第第14章作业章作业n思考题，19题2022/10/2730西安电子科技大学计算机学院