信息与网络安全讲义四网络入侵与检测.doc

第四章网络入侵与防范
内容
概述
黑客文化
技术基础
入侵特征思想
OS
网络编程
IDS
IDS模型
IDS分类
IDS实现
思想
新方法*智能方法
典型攻击与防范
蠕虫
IP欺骗
DoS
Sniffer(网络侦听)
端口扫描
口令破译
特洛伊木马
缓冲区溢出
Web安全
IDS实例介绍
基于NN的IDS
基于ES的IDS
基于KDD的IDS
基于免疫的IDS


(入侵者)
Hacker创造新东西,Cracker破坏东西
黑客守则(杨P3)

Real programmer,—所有程序(OS)自己做,无任何bug/error
从1990年起,三个中心
MIT AI LAB以DEC的PDP-Ⅰ自编的ITS OS( patible Timesharing System)
Stanford大学的SAILà后来做了GUI
CMUà后来做ES,工业机器人
XEROX PARC(Palo Alto Research Center)
AT & Bell lab的Unix
Ken Thompson,, Dennis Ritchie, The C Programming language, C语言圣经又称“K&R”
-----Keep it Simple,Stupid
都以PDP-1,10,11为硬件
Bill gates是其中之一
Linux,
2600
——大屠杀2600 黑客组织,2000年已有150多万名成员(杨P13)




(1)UNIX的基本操作
(2)Linux的基本操作
(3)日志
(4)Windows
NT注册表
主键
编辑器
HKEY-CURRENT-USER(登录用户的配置信息)
HKEY-USERS
-LOCAL-MACHINE(5个副键)
Hardware
SAM
Security
Software
System
-CLASSES-ROOT(打开文件时所调用的程序)
-CURRENT-CONFIG
:查主键、副键
:查字符串、值、主键、副键


Linux网络编程
套接字系统调用如Socket() (杨P61)
Windows网络编程
Winsock 如Socket()打开一个流套接字(杨P69)
VC++的MFC
CSocket类

①确认攻击目标
任务:收集有用信息。如目标计算机的硬件信息、操作系统信息、应用软件信息、所在网络的信息、用户信息、存在的漏洞等。
使用的工具:端口扫描,网络命令等。
②选用合适方法入侵
利用口令猜测,重复登录,直至合法登录
发现漏洞(当然要有方法如缓冲区溢出法),直接登录
用IP欺骗取得目标计算机的信任
③留***(木马),删除入侵记录,继续收集有用信息(如用sniffer收集数据)等
具体实例(杨P175)
IDS
人工智能的重要性

①被动防御:加密、身份认证、访问控制、安全OS、安全路由器、防火墙
②主动防范:入侵检测
IDS原理
1980年,Anderson
1987年,
用户历史行为
用户当前行为
入侵检测
断开
记录
恢复
检测
入侵
Y
N
有三种主要部件:
事件产生器:Event Generator
活动记录器:Activity Profile
规则集:Rule Set
IDS分类
基于主机IDS和基于网络IDS(最常用)
按功能分类
扫描器:事前的IDS,对系统威胁进行定期评估
原理:通过比较已知的弱点数据库数据与系统配置的数据,探测系统或网络中的缺陷
系统IDS:针对一个系统的信息资源来检测攻击
原理:主要检查系统日志,不考虑数据包
不足:收集数据困难,各个节点的协调,系统开销大
网络IDS:视网络传输中和系统事件来对付攻击
原理:
不足:只能监视本网段的活动,精确度较低
按组成方式分类
集中式IDS:ID程序集中,各个主机上有一简单的审计程序
优点:
缺点:
分层式IDS:网络分层监视检测
优点:
缺点:
分布式IDS
(面