网络安全入侵者

关于网络安全入侵者第1页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院2入侵者网络系统面临的严重安全问题：

不友善访问或未授权访问通过网络或本地进行攻击入侵者：假冒者（外部）非法者（内部）秘密的用户（内部或外部）权限级别的变化第2页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院3入侵者入侵者威胁已众所周知从1986/87的“WilyHacker”到CERT的统计结果第3页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院4第4页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院5入侵技术入侵目标是获得访问或提高在系统的特权基本的攻击方法熟悉目标，收集信息初始访问特权提升掩盖攻击关键往往是获得口令使用所有者的访问权限第5页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院6口令猜测最常见的攻击方法之一攻击者知道一个登录帐号(从邮件或网页等)视图猜测口令默认的，短的，常用单词口令用户信息(姓名，生日，电话，常用词或兴趣的变体)穷举所有可能的口令通过登录进行检验，或破解偷来的口令文件能否成功依赖于用户所设定的口令调查表明许多用户选择的口令很弱第6页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院7口令获取另一种攻击涉及口令获取严密监视口令的输入用户木马程序收集监听一个不安全网络的登录如.telnet,FTP,web,email提取成功登录后记录的信息(网页历史文件/cache,上次所拨号码等)使用有效登录/口令，假冒用户需要教育用户采取适当的预防或对抗措施第7页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院8入侵检测难免会有安全失误入侵检测：如果很快检测到了入侵，则迅速阻止入侵。作为入侵的又一道屏障收集信息，增强安全性假设入侵者的行为不同于合法用户的行为但两者的差别不是很明显第8页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院9入侵检测方法统计异常检测阈值基于轮廓的检测基于规则的检测异常检测：行为的偏差渗透鉴别：专家系统第9页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院10第10页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院11审计记录入侵检测的基本工具原始审计记录多用户操作系统的一个构成部分使用就绪缺点：信息格式可能不合适，或内容不全。检测专用的审计记录收集指定的信息对系统带来额外开销第11页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院12统计异常检测阈值检测在时间段内指定的事件发生次数如果超过了可能的值，则认为发生了入侵仅此判断是粗糙且效率不高的基于轮廓用户过去的行为特征检测与此有明显偏差的行为用户的特性常用多个参数加以描述第12页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院13审计记录分析统计分析的基础分析记录以得到一段时间来的规律计数器,标准值,间隔计时器,资源利用用变量对这些进行测试，以决定当前行为是否可以接受均值和标准偏差,多变量,马尔可夫处理,时间序列,操作主要优点是不用预先知道安全漏洞的知识第13页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院14基于规则的入侵检测观察系统中的事件并应用规则对行为是否可疑作出判断基于规则的异常检测分析历史审计记录，确定使用模式，自动产生描述此模式的规则。观察当前行为，判断是否符合已有模式。不需要安全缺陷的预先知识第14页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院15基于规则的入侵检测基于规则的渗透鉴别使用专家系统技术利用规则确定已知渗透，弱点渗透，或可疑行为与审计记录比较或与规则匹配规则与特定的机器或OS有关规则由专家们定义好坏依赖于规则建立的技术第15页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院16出错的概率实际的入侵检测系统需要一个可接受的虚假报警率如果检测到很少的入侵，则造成安全的假象如果检测到太多的入侵，则被忽视或浪费时间做好很难已有系统做的还不够好第16页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院17分布式入侵检测单一系统但一般都是网络系统更多有效防御的方法用于检测入侵包括处理各种形式的审计记录网络数据的完整性和保密性集中和非集中式结构第17页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院18分布式入侵检测－结构第18页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院19分布式入侵检测－代理结构第19页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院20蜜罐引诱攻击者的诱惑系统转移攻击者远离可访问的关键系统用于收集攻击者的行为信息希望攻击者在系统中逗留更多时间，以使管理员能对此攻击作出响应。使用虚假信息欺骗攻击者收集攻击者的详细行为信息一个或多个网络系统IETF，入侵检测工作小组标准入侵检测交换格式第20页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院21口令管理入侵者面对的第一条防线：口令系统用户提供两者:用户名–决定用户的特权口令–确定用户口令常加密保存Unix采用multipleDES(带有“盐”值修改，variantwithsalt)最近更多的系统采用加密散列函数

（cryptohashfunction）应该保护系统中的口令文件第21页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院22第22页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院23第23页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院24口令研究许多口令很短许多口令可被猜到结果表明用户经常使用弱口令需要对此进行研究找出对策告诉用户应该如何选择口令计算机产生口令口令自检查口令预检查第24页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院25口令管理–教育指导采用策略和更多的用户教育，尤其是对好口令重要性的教育给出好口令的指导长度不能太短(>6)大小写字母，数字，标点符号的混合非字典中的单词但仍会被许多用户忽视第25页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院26口令管理–计算机产生让计算机生成口令因为有随机性，所以不便记忆，故会写下来，不安全。

即使可发音也仍难以记忆用户一直很难接受FIPSPUB181是一个很好的口令自动生成器有描述和样例代码用随机音节构成单词第26页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院27口令管理–口令自检查定期运行口令猜测工具对于几乎所有语言/兴趣组，都有很好的字典可供使用被破解的口令置为无效不可用但猜测所需的资源是很大的直到不好的口令被发现，安全风险一直存在。第27页，共30页，编辑于2022年，星期二2023/11/1西安电子科技大学计算机学院28口令管理–口令预检查增强口令安全性最可行的办法允许用户选择自己的口令但系统检查口令是否可被接受简化了强化规则与坏口令字典可以比对采用一定的算法