黑客入侵常用方法与防范措施PPT推荐.ppt

1、距离：提供的两类服务网络隐患扫描网络隐患扫描HP-UXHP-UXScoScoSolarisSolarisNT NT 服务器服务器服务器服务器 Web Web 服务器服务器服务器服务器NT NT 安全管理员安全管理员评估、评估、服务检查、服务检查、攻击性测试、攻击性测试、提交安全建议报告提交安全建议报告等功能等功能 网络隐患扫描硬件产品化网络隐患扫描硬件产品化 iTOP Net-Scanner网络入侵检测系统网络入侵检测系统IDSHP-UXHP-UXScoScoSolarisSolarisNT NT 服务器服务器服务器服务器 Web Web 服务器服务器服务器服务器NT NT 实时发现、实时发现

2、、发布警报、发布警报、与防火墙与防火墙联动等功能联动等功能分布式IDS架构 产品图NIDS产品技术产品技术（一一）n n降低误报率与漏报率降低误报率与漏报率uu基于应用会话的分析检测技术基于应用会话的分析检测技术uu高级模式匹配高级模式匹配uu无阻塞处理无阻塞处理n n实时响应技术实时响应技术uu提供多种响应方式提供多种响应方式uu响应过滤技术响应过滤技术uu防火墙互动开放接口防火墙互动开放接口-OpenNIDSOpenNIDSNIDS产品技术产品技术（二）n n系统自身保护系统自身保护uu无无IPIP抓包抓包uu响应过滤响应过滤uu模块化模块化uu多重监控多重监控n n应用部署应用部署uu支

3、持双向连接及加密认证支持双向连接及加密认证uu引擎串接部署引擎串接部署参考对比表格项目项目 产品产品引擎引擎平台平台检测检测项目项目双向双向连接连接防范防范STICKSTICK警报警报过滤过滤无无IPIP抓包抓包响应响应方法方法RealSecureRealSecureNTNTSolarisSolaris500500600600不支持不支持不支持不支持支持支持支持支持R,V,L,M,R,V,L,M,O,SO,SeTrusteTrustNTNT300300不支持不支持支持支持不支持不支持支持支持R,V,L,MR,V,L,MO,SO,SNISDetectorNISDetectorLinuxLinux

4、300300不支持不支持不支持不支持不支持不支持支持支持R,V,LR,V,L天阗天阗天阗天阗LinuxLinux？不支持不支持？不支持不支持支持支持R,V,L,M,R,V,L,M,T T天眼天眼LinuxLinux850850支持支持支持支持TCPTCP数据攻击数据攻击警报过滤警报过滤支持支持支持支持R,V,L,M,R,V,L,M,T,S,O,GT,S,O,GNIDS技术体系结构网络入侵检测系统示意图简单网络环境复杂网络环境 安全产品的性能问题规则集膨胀产品性能降低流量增加网络入侵监控系统网络入侵监控系统IMSHP-UXHP-UXScoScoSolarisSolarisNT NT 服务器服务器

5、服务器服务器 Web Web 服务器服务器服务器服务器NT NT 指定指定IP、实时发现、实时发现、制止阻断制止阻断IP包的格式普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络入侵取证系统网络入侵取证系统nIFS识别识别识别识别保存保存保存保存分析分析分析分析提交提交提交提交国际计算机网络安全技术交流国际计算机网络安全技术交流FIRSTFIRST年会介绍年会介绍n nFIRSTFIRSTFIRSTFIRST（Forum of Incident Response and Security TeamsForum of Incid

6、ent Response and Security TeamsForum of Incident Response and Security TeamsForum of Incident Response and Security Teams）n n计计算机网算机网络络事件响事件响应应和安全和安全组织论坛组织论坛。旨在。旨在联联络络全世界的网全世界的网络络安全安全组织组织以及以及专专家，家，针对针对日益日益严严重的网重的网络络安全安全课题课题采取技采取技术术及管理及管理对对策的高策的高级级研研讨讨会。会。n n该该会会议议已在世界各地召开已在世界各地召开过过，其中包括：法国，其中包括：法国的的

7、图卢兹图卢兹、美国的芝加哥、澳大利、美国的芝加哥、澳大利亚亚的布里斯的布里斯班、墨西哥的蒙特雷、英国的布班、墨西哥的蒙特雷、英国的布鲁鲁斯托斯托尔尔以及以及美国加州的克拉拉。美国加州的克拉拉。n n每届都有来自每届都有来自3030多个不同国家的大致多个不同国家的大致300300多位多位参加者，我国代表近几年参加会议参加者，我国代表近几年参加会议。n n 近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：1.1.取证方面：相关的技术报告有：取证方面：1 1）Forensic DiscoveryForensic Discovery（取证的发现）；取证

8、的发现）；2 2）文件系统的内部结构调查导引；文件系统的内部结构调查导引；3 3）Windows XPWindows XP客户端的取证功能；客户端的取证功能；4 4）计算机取证在网络入侵调查中的重要作用；）计算机取证在网络入侵调查中的重要作用；5 5）计算机取证协议与步骤的标准化；）计算机取证协议与步骤的标准化；6 6）Pdd:Pdd:手持式操作系统设备的存储映像与手持式操作系统设备的存储映像与 取证分析。取证分析。近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：2.2.传统安全防护技术和手段的报告，如：传统安全防护技术和手段的报告，如：1 1

9、）使用个人防火墙加固安全防范；）使用个人防火墙加固安全防范；2 2）使用）使用EtherealEthereal实现入侵检测；实现入侵检测；3 3）电子商务的安全：保护）电子商务的安全：保护WebWeb应用；应用；4 4）ESAESA网络安全策略的设计、处理及其实现；网络安全策略的设计、处理及其实现；5 5）NASIRCNASIRC公告板实现方法和公告板实现方法和PKIPKI；6 6）UDPUDP扫描的问题；扫描的问题；7 7）一种防止绕过）一种防止绕过NIDSNIDS的适应规则评估算法的适应规则评估算法（AREARE）；）；8 8）识别路由器配置中的安全漏洞；）识别路由器配置中的安全漏洞；3.

10、3.事件或具体攻击的分析研究报告事件或具体攻击的分析研究报告：一个全球性一个全球性InternetInternet蠕虫事件的调查；蠕虫事件的调查；911911事件的相关情况报告；事件的相关情况报告；DoS DoS攻击数据流量的分析；攻击数据流量的分析；SYNDEF:战胜战胜DoS/DDoS SYNDoS/DDoS SYN洪水攻击的一种方法。洪水攻击的一种方法。4.4.与法律相关的报告：与法律相关的报告：CERTs CERTs新的合法性问题讨论；新的合法性问题讨论；CSIRT CSIRT培训：合法性问题；培训：版权侵范问题版权侵范问题-未来十年事件响应的最大挑战；未来十年事件响应的最大挑战；5.

11、5.标准方面的报告：标准方面的报告：CVECVE的研究进展报告；的研究进展报告；传统防范工具的局限传统防范工具的局限n n防火墙用于网络隔离与过滤，仅类似于门岗。防火墙用于网络隔离与过滤，仅类似于门岗。n n大多数入侵检测系统（大多数入侵检测系统（IDSIDS）依赖于网络数据依赖于网络数据的片断，从法律的角度来看证据不够完整；但的片断，从法律的角度来看证据不够完整；但可以将可以将IDSIDS看作盗贼警报。看作盗贼警报。=网络取证网络取证设备如视频相机用来捕获盗贼的行设备如视频相机用来捕获盗贼的行 踪记录证据，通过分析报告或者提交法庭、或踪记录证据，通过分析报告或者提交法庭、或者提供加强防卫的具

12、体措施。者提供加强防卫的具体措施。入侵取证 取证取证（Forensic）Forensic）n n针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。n n证据的分析可以看作是对受侵计算机系统进行详细的解剖过程，对入侵的事件过程进行重建。n n所提供的计算机证据与分析必须能够给法庭呈堂供证。取证科学取证科学n n取证技术的有效性和可靠性以及取证专家基于科学分析的结果所得出的报告将作为法庭判决至关重要的依据。n n整个取证过程中需要遵照操作规程和协议以确保证据进行过正确的分析并保证自始至终没有被篡改过。入侵取证技术动态入侵取证技术动态n n1995年的一项美国Secret Servic

13、e调查报告指出，7070的法律部门拥有自己的计算机取证实验室，美国国防部至少在六年前就存在计算机取证实验室（CFLab），近年来披露出丰富的实用工具与产品。n n中国至今还缺乏入侵取证方面专门有效的产品。2121世纪的网络安全管理与取证技术世纪的网络安全管理与取证技术13届FIRST年会报告n nForensicForensic（取证）的定义取证）的定义n n计算机犯罪斗争中的体系结构、计算机犯罪斗争中的体系结构、IDSIDS和取证技术和取证技术n n一种新的取证范例一种新的取证范例n n案例研究案例研究-IISIIS 漏洞（漏洞（20012001年中美黑客大战年中美黑客大战）2002年安然事件年安然事件Guardent公司入侵取证模型入侵取证模型法律基准法律基准证据的法律和法规证据的法律和法规技术基准技术基准分分 析析 策策 略略技术解决方案技术解决方案（一）网络入侵取证 网络取证的设计与有关步骤网络