黑客入侵常用方法与防范措施PPT课件

1、2021/3/9中科院高能所 黑客入侵防范技术综述黑客入侵防范技术综述2021/3/9中科院高能所 Global Opportunities622 Mbps +10 Gbps l2021/3/9中科院高能所 基于 Motorola DragonBall 系列的处理器 68k核心：DragonBall 68328、EZ、VZ、 Super VZARM 核心：DragonBall MX1 2021/3/9中科院高能所 网络存在的安全威胁网络存在的安全威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息

2、丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2021/3/9中科院高能所 n 入侵系统类攻击入侵系统类攻击 n 信息窃听信息窃听 SnifferSniffern 口令攻击口令攻击 Johnn 漏洞攻击漏洞攻击 WIN/IIS、RPCn 缓冲区溢出攻击缓冲区溢出攻击 获取获取ROOTROOT口令口令n 欺骗类攻击欺骗类攻击n 拒绝服务攻击拒绝服务攻击 DDOSDDOSn 拒绝服务攻击拒绝服务攻击n 分布式拒绝服务攻击分布式拒绝服务攻击n 对防火墙等安全设备的攻击对防火墙等安全设备的攻击n 利用病毒攻击利用病毒攻击n 木马程序攻击木马程序攻击n 后门攻击后门攻击n 2021/3/

3、9中科院高能所 网络安全防范体系图网络安全防范体系图 InternetInternet路由器路由器管理管理平台平台安全监控设备安全监控设备防火墙防火墙IDSIDS防病毒防病毒服务器服务器内部网内部网备份备份系统系统网络隐患网络隐患扫描系统扫描系统陷阱机陷阱机取证取证系统系统其它智能系统其它智能系统2021/3/9中科院高能所 广域网的基本概念2021/3/9中科院高能所 提供的两类服务2021/3/9中科院高能所 网络隐患扫描网络隐患扫描评估、评估、服务检查、服务检查、攻击性测试、攻击性测试、提交安全建议报告提交安全建议报告等功能等功能2021/3/9中科院高能所 网络隐患扫描硬件产品化网络隐

4、患扫描硬件产品化 iTOP Net-Scanner2021/3/9中科院高能所 网络入侵检测系统网络入侵检测系统IDS实时发现、实时发现、发布警报、发布警报、与防火墙与防火墙联动等功能联动等功能2021/3/9中科院高能所 分布式IDS架构 2021/3/9中科院高能所 产品图2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 NIDS产品技术产品技术(一一)2021/3/9中科院高能所 NIDS产品技术产品技术(二)2021/3/9中科院高能所 参考对比表格2021/3/9中科院高能所 NIDS技术体系结构网络入侵检测系统示意图2021/3/9中科院高能

5、所 简单网络环境2021/3/9中科院高能所 复杂网络环境2021/3/9中科院高能所 安全产品的性能问题规则集 产品性能降低流量增加2021/3/9中科院高能所 网络入侵监控系统网络入侵监控系统IMS指定指定IP、实时发现、实时发现、制止阻断制止阻断2021/3/9中科院高能所 IP包的格式2021/3/9中科院高能所 普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3

6、/9中科院高能所 2021/3/9中科院高能所 网络入侵取证系统网络入侵取证系统nIFS2021/3/9中科院高能所 国际计算机网络安全技术交流国际计算机网络安全技术交流FIRSTFIRST年会介绍年会介绍 2021/3/9中科院高能所 近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：2021/3/9中科院高能所 近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：2021/3/9中科院高能所 近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：2021

7、/3/9中科院高能所 传统防范工具的局限传统防范工具的局限2021/3/938入侵取证 2021/3/9中科院高能所 取证取证( (Forensic)Forensic)2021/3/9中科院高能所 取证科学取证科学2021/3/9中科院高能所 入侵取证技术动态入侵取证技术动态2021/3/9中科院高能所 2121世纪的网络安全管理与取证技术世纪的网络安全管理与取证技术 13届FIRST年会报告Guardent公司2021/3/9中科院高能所 入侵取证模型入侵取证模型技技术术标标准准类类法律基准法律基准证据的法律和法规证据的法律和法规技术基准技术基准分分 析析 策策 略略技术解决方案技术解决方案

8、法法律律标标准准类类2021/3/944（一）网络入侵取证 2021/3/9中科院高能所 网络取证的设计与有关步骤网络取证的设计与有关步骤2021/3/9中科院高能所 网络取证分析过程网络取证分析过程系统信息分析模块网络数据分析模块相关性分析模块分析结果报表审计数据分析子模块系统日志分析子模块入侵分析子模块还原分析子模块统计分析子模块取证机记录系统信息网络数据2021/3/9中科院高能所 事件分析案例事件分析案例2021/3/9中科院高能所 事件分析案例事件分析案例2021/3/9中科院高能所 事件分析案例（续）事件分析案例（续）2021/3/950（二）计算机取证 2021/3/9中科院高能

9、所 文件被删除后文件被删除后2021/3/9中科院高能所 UNIX/Linux文件系统文件系统directory /home/you inode 123data blocksdata blockdata blockdata block2021/3/9中科院高能所 直接和间接数据块直接和间接数据块inodeblock 0block 111 indirect2 indirect3 indirectblock 12blk 20591 indirect1 indirect2 indirect2 indirectblk 206041963631 indirect1 indirectSpecific bl

10、ock number are typical for Berkeley FFS-like systems2021/3/9中科院高能所 典型的UNIX/Linux磁盘布局label / swap /usr partition /home partition zone zone zone zone zone super inode data inode data block bitmap bitmap blocks blocks-Entire disk-UNIX/Linux file systemFile system zone如果可能的话，文件的所有数据会放在同一区域内2021/3/9中科院高能

11、所 文件被删除后保留的信息directory /home/you inode 123data blocksdata blockdata blockdata block= UNIX+LINUX= LINUX only*zero references*status change time = time of deletion2021/3/9中科院高能所 被删除文件信息能存活很长时间被删除文件信息能存活很长时间2021/3/9中科院高能所 获取被删除文件信息的工具获取被删除文件信息的工具2021/3/958计算机取证计算机取证WINDOWS2000/XP 平台平台2021/3/9中科院高能所 202

12、1/3/9中科院高能所 NTFS 文件系统特性2021/3/9中科院高能所 NTFS 文件磁盘结构2021/3/9中科院高能所 NTFS 中的元数据2021/3/9中科院高能所 有用的功能有用的功能2021/3/9中科院高能所 几个恢复工具几个恢复工具 2021/3/9中科院高能所 Windows 2000/xp 中的系统日志文件2021/3/9中科院高能所 用户日志文件2021/3/9中科院高能所 注册表2021/3/9中科院高能所 一些应用文件格式2021/3/9中科院高能所 典型foxmail邮件箱格式2021/3/9中科院高能所 一些应用程序缓冲2021/3/9中科院高能所 一个取证系

13、统的框架磁 盘 现 有 数 据 获 取磁 盘 数 据 恢 复恢 复 数 据 整 理待 分 析 数 据 预 处 理系 统 元 数 据 分 析系 统 与 用 户 日 志 分析用 户 文 档 分 析系 统 注 册 表 分 析综 合 分 析中科院高能所2021/3/9中科院高能所 掌上操作系统设备的记忆成像掌上操作系统设备的记忆成像Joe GrandJoe Grand11:45am-12: 30pm11:45am-12: 30pmJune 26, 2002-7-31 June 26, 2002-7-31 1414thth Annual FIRST Computer Annual FIRST Computer Security IncidentSecurity IncidentHanding ConferenceHanding Conference2021/3/973网络入侵陷阱技术ITS 2021/3/9中科院高能所 陷阱机系统陷阱机系统系统内核系统内核陷阱机内核套陷阱机内核套陷阱机设置和日志陷阱机设置和日志陷阱陷阱Email陷阱陷阱Web陷阱陷阱FTP陷阱陷阱DNS2021/3/9中科院高能所 网络陷阱机网络陷阱机2021/3/9中科院高能所 网络入侵诱骗网络入侵诱骗2021/3/9中科院高能所 陷阱主机InternetIDS探测器2交换机一个陷阱主机可虚拟四个