身份验证技术 - PDF 免费下载

网络攻击检测胡伟南京大学计算机科学与技术系 whu@nju.edu.cn 第七章 : 网络攻击检测与网络蠕虫 1

目录网络攻击概述网络攻击的历史和现状网络攻击分类典型的网络攻击网络攻击检测网络蠕虫第七章 : 网络攻击检测与网络蠕虫 2

网络攻击检测技术网络系统中最易被攻击的部分是网络系统中出现的控制漏洞或者软件中存在的逻辑缺陷一旦受到敌方攻击后, 能够有效地防范敌方进一步攻击的措施是迅速地启动攻击检测和防范机制, 遏制攻击的蔓延网络身份验证技术和网络访问控制技术都是属于网络安全中的防御技术网络攻击检测技术就是用于检测在网络安全防御系统构建完毕之后, 是否还存在侵入系统内部的网络攻击第七章 : 网络攻击检测与网络蠕虫 3

网络攻击概述网络攻击表示对网络系统以及连接在网络系统中的计算机系统的一种非授权的侵入行为目的是获取网络系统中的保密数据非授权使用网络资源在网络系统连接的计算机上安装恶意软件拒绝服务攻击是一种恶意使用被攻击系统资源, 并没有侵入到被攻击系统内部但是, 确实是网络攻击的一种形式网络侵入 : 破坏网络系统的保密性和完整性拒绝服务 : 破坏网络系统的可用性系统渗透性第七章 : 网络攻击检测与网络蠕虫 4

网络攻击的历史从 20 世纪 80 年代初至今, 网络攻击有了较大的发展年代对计算机和网络系统的攻击 1980~1985 口令猜测自我复制恶意代码口令破解 1985~1990 探测已知缺陷关闭日志网络蠕虫恶意侵入后门攻击 1990~1995 虚假分组劫持会话自动探测扫描报文嗅探 GUI 入侵工具 1995~2000 大规模的拒绝服务攻击对浏览器的恶意代码攻击先进扫描技术基于 Windows 的远程可控特洛伊代码电子邮件传播恶意代码大规模传播特洛伊木马代码分布式攻击工具 2000~2004 分布式拒绝服务攻击大量变种网络蠕虫基于电子邮件传播的恶意代码防取证技术复杂的攻击控制技术和工具第七章 : 网络攻击检测与网络蠕虫 5

网络攻击的现状对网络攻击的预防检测和恢复成为网络安全研究中十分活跃的领域但是, 这些研究尚没有取得理想的效果, 这是因为网络攻击的目的和方法在近 20 年已经发生了根本的改变最初网络攻击者的动机只是为了证明自己能够攻入一个系统现在网络攻击的动机已经逐步变成了打击经济政治或者军事目标现在的网络入侵和攻击已经从传统的渗透式攻击发展成为拒绝服务式攻击现在的网络攻击已经不再是个人行为, 已经发展成为一个有组织的团体行为第七章 : 网络攻击检测与网络蠕虫 6

目录网络攻击概述网络攻击的历史和现状网络攻击分类典型的网络攻击网络攻击检测网络蠕虫第七章 : 网络攻击检测与网络蠕虫 7

网络攻击的分类入侵就是一种渗透类型的攻击技术入侵检测是为了检测网络环境下的渗透入侵检测技术属于网络攻击检测技术中的一种按照 Crocker 的观点, 目前网络攻击可以分成两大类基于系统渗透的攻击基于拒绝服务的攻击第七章 : 网络攻击检测与网络蠕虫 8

基于系统渗透的攻击基于系统渗透的攻击是攻击者发现被攻击网络系统的漏洞之后, 对网络系统进行的非授权的访问和操作网络系统的漏洞包括技术漏洞, 例如缓冲区溢出这类软件漏洞配置漏洞, 例如易于猜测的口令对网络系统的非授权访问和操作包括获取系统内部的数据插入恶意的数据或者程序毁坏系统中的数据或程序中断网络系统的服务第七章 : 网络攻击检测与网络蠕虫 9

防范系统渗透为了防范渗透型网络攻击, 必须设计较为坚固的网络体系结构正确地实现这种网络体系结构严密地配置这些网络系统的安全控制策略以及严格地训练网络系统的用户严格控制进出机构内部网的报文在机构内部网与公共因特网的所有连接点设置安全控制系统严格控制机构内计算机系统的配置机构内部所有计算机配置必须统一管理第七章 : 网络攻击检测与网络蠕虫 10

基于拒绝服务的网络攻击拒绝服务 (DOS) 已经成为现在因特网上一种最为严重的网络攻击形式被拒绝服务攻击的网络服务器是十分重要的网络服务器网络域名服务器拒绝服务攻击难以检测难以防范拒绝服务攻击的行为通常与正常网络访问的行为一样, 只是其访问量与正常网络访问不同分布式拒绝服务攻击 (DDOS) 第一个阶段是渗透阶段第二个阶段是攻击阶段第七章 : 网络攻击检测与网络蠕虫 11

目录网络攻击概述网络攻击的历史和现状网络攻击分类典型的网络攻击网络攻击检测网络蠕虫第七章 : 网络攻击检测与网络蠕虫 12

典型的网络攻击 Denning 在 1987 年列出了一些典型的网络攻击行为, 并进一步分析这些网络攻击通常表现出异常的使用网络的行为试图闯入假冒者或成功闯入合法用户的渗透特洛伊木马病毒拒绝服务第七章 : 网络攻击检测与网络蠕虫 13

试图闯入如果某个不断重试某个系统中某个用户账户的口令, 则说明他正在对该系统实施试图闯入的攻击该攻击者的异常行为通常表现为 : 针对单个账户或者对于整个系统产生不正常的很高的输入口令失败率第七章 : 网络攻击检测与网络蠕虫 14

假冒者或成功闯入如果某人使用非授权账户和口令成功地闯入了某个系统, 则说明他已经对该系统实施了成功闯入的攻击该攻击者的异常行为可能表现为 : 具有与该账户的合法用户具有不同的登录时间登录地点和连接类型 ; 花费较多的时间用于浏览目录执行系统状态监视命令, 而合法用户通常大部分时间用于编辑文件编译和连接程序第七章 : 网络攻击检测与网络蠕虫 15

合法用户的渗透如果某个系统的合法用户试图访问系统中未授权的文件或者程序, 则他正在实施合法用户的渗透性攻击该攻击者的异常行为可能表现为 : 执行多种违反访问控制权限的程序, 或者触发操作系统对违反访问控制的保护机制如果他渗透成功, 则他将访问或者执行他没有被授权的文件或命令第七章 : 网络攻击检测与网络蠕虫 16

特洛伊木马如果一个程序非授权地安装到系统中, 或者置换系统中已有的程序, 并且在适当的条件下执行非授权的操作, 这就是特洛伊木马攻击这个攻击的异常行为可能表现为 : 这类攻击程序与合法程序具有不同的 CPU 执行时间和输入 / 输出操作第七章 : 网络攻击检测与网络蠕虫 17

病毒如果一个程序非授权地安装到系统中, 或者置换系统中已有的程序, 并且能够在适当的条件下自我繁殖和传播, 执行妨碍系统正常运行的操作, 这就是病毒攻击这种攻击的异常行为可能表现为 : 增加可执行文件的重写频率, 增大可执行文件占用的存储空间, 执行一些可疑的用于传播病毒的程序第七章 : 网络攻击检测与网络蠕虫 18

拒绝服务如果某个用户长时间地大量使用某些资源, 使得其他用户很少, 甚至无法使用这些资源, 这就是拒绝服务攻击这类攻击的异常行为不明显, 通常表现为通过大量的重复的操作占用某些资源, 而其他用户很少或无法使用这些资源第七章 : 网络攻击检测与网络蠕虫 19

目录网络攻击概述网络攻击检测网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法网络蠕虫第七章 : 网络攻击检测与网络蠕虫 20

网络攻击检测的基本假定前提任何可检测的网络攻击都有异常行为网络攻击检测主要是检测网络中的异常行为根据检测网络异常行为的不同方法, 以及检测网络异常行为的不同位置, 可以设计不同的攻击检测方案网络攻击检测实际上也是网络安全系统中不可或缺的一个环节第七章 : 网络攻击检测与网络蠕虫 21

网络攻击检测概述网络攻击包括了攻击者和受害者从攻击者角度看, 网络攻击主要采用攻击的意图攻击被暴露的危险程度等特征描述从受害者角度看, 网络攻击主要采用攻击的显露程度以及攻击可能造成的损失等特征描述目前采用的攻击检测方法通常是从攻击者角度分析和研究网络攻击的特征但是, 为了有效的部署和配置网络攻击检测系统, 也需要从受害者角度分析网络攻击第七章 : 网络攻击检测与网络蠕虫 22

网络攻击的攻击者网络攻击者主要从以下方面考虑网络攻击什么是网络攻击的目标? 选定了攻击的目标才能进一步设计攻击方案目标系统存在何种网络安全漏洞? 根据目标系统具有不同的安全漏洞设计不同的攻击方案, 而为了确定目标系统的安全漏洞, 可以首先对目标系统进行探测和扫描可能对被攻击系统造成何种危害或者其他影响? 网络攻击可能是网络上的恶作剧, 有可能是有组织的网络犯罪活动, 也有可能是网络安全检查对网络攻击危害性的设定决定了网络攻击的不同性质是否有可用的攻击脚本代码或者攻击辅助工具? 现代网络攻击已不再需要从零开始, 已有许多工具和脚本代码供参考攻击被暴露的危险程度有多大? 第七章 : 网络攻击检测与网络蠕虫 23

网络攻击的受害者网络攻击的受害者主要从以下方面考虑网络攻击何时发生的网络攻击? 确定分析和研究网络攻击的范围谁受到网络攻击的影响? 如何受到网络攻击的影响? 分析和研究网络攻击对系统造成的危害, 以及如何恢复被网络攻击的系统谁是网络攻击者? 网络攻击起源于何时何地? 从源头阻止类似网络攻击的发生如何进行网络攻击? 研究网络攻击的整个机理, 协助分析和研究自身网络系统的安全缺陷为什么能够实施网络攻击? 分析和研究自身网络安全系统的漏洞, 或者网络安全管理方便的缺陷, 防范网络攻击的再次发生第七章 : 网络攻击检测与网络蠕虫 24

目录网络攻击概述网络攻击检测网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法网络蠕虫第七章 : 网络攻击检测与网络蠕虫 25

一个典型网络攻击检测系统结构图见 P106, 图 5.1 设置在企业网与公共因特网连接部分网络探测点设置在因特网段企业外部网段和企业内部网段, 用于提取可疑的分组传递给网络分析器主机探测点应用探测点网络分析器主机 / 应用分析器攻击检测控制台将分析结果提交给攻击检测控制台第七章 : 网络攻击检测与网络蠕虫 26

目录网络攻击概述网络攻击检测网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法网络蠕虫第七章 : 网络攻击检测与网络蠕虫 27

网络攻击检测分类按照检测的对象不同进行分类基于网络的攻击检测技术基于主机的攻击检测技术按照检测的方法不同进行分类本质区别特征检测方法异常检测方法第七章 : 网络攻击检测与网络蠕虫 28

基于网络的攻击检测技术基于网络的攻击检测技术是通过监视和分析网络上传递的一组可疑报文, 检测网络上可能发生的或者正在发生的网络攻击的一类技术部署在企业网多个关键的网段上基于网络的攻击检测技术通过采集网络上传递的可疑报文, 可以同时检测对多台主机的网络攻击能力基于网络的攻击检测系统可以独立于网络设备和网络主机部署, 不影响网络服务器和客户机的性能, 易于配置和管理, 所以得到了较为广泛的应用第七章 : 网络攻击检测与网络蠕虫 29

基于主机的攻击检测技术基于主机的攻击检测技术是通过检查计算机系统的日志数据和审核数据, 以及监视应用与主机操作系统之间可以的交互, 检测可能发生的正在发生的或者已经发生的网络攻击的一类技术基于主机的攻击检测技术可以检测某些针对主机的攻击, 这些对网络主机的攻击时难以或者无法通过基于网络的攻击检测技术检测到的基于主机的攻击检测技术需要再网络主机中安装和运行主机探测点软件和应用探测点软件, 会在一定程度上影响网络主机的配置, 降低网络主机的处理性能通常综合基于网络的攻击检测技术和基于主机的攻击检测技术第七章 : 网络攻击检测与网络蠕虫 30

网络攻击的特征检测方法无论是基于网络的攻击检测技术, 还是基于主机的攻击检测技术, 都需要设计具体的攻击检测方法检测网络攻击就是识别这些网络的非正常行为在分析已有的网络攻击的基础上, 提取出网络攻击的特征模式, 则可以通过对网络中正在发生的或者已经发生的行为进行模式匹配, 找到可能发生的正在发生的或者已经发生的网络攻击特征检测方法网络攻击的特征检测方法的最大优点是对已经发现的网络攻击检测的精确度较高, 它的最大缺点是无法检测到未知的网络攻击第七章 : 网络攻击检测与网络蠕虫 31

网络攻击的异常检测方法攻击检测系统不能仅仅检测已经造成危害的网络攻击, 必须能够及早发现可能的新出现的网络攻击需要从网络正常行为角度检测可能的网络攻击在正确地分析正常网络行为的基础上, 建立一个正常网络行为的模式, 则可以对网络上正在发生的和已经发生的行为进行分析过滤, 提取出非正常的网络行为, 在进一步对非正常网络行为进行分析的基础上, 检测出可能发生的正在发生的或者已经发生的网络攻击行为网络攻击的异常检测方法的主要优点是能够发现未知的可能的网络攻击它的主要不足是会将尚未描述的正常网络行为也作为网络攻击行为, 造成较高的网络攻击误报率第七章 : 网络攻击检测与网络蠕虫 32

目录网络攻击概述网络攻击检测网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法网络蠕虫第七章 : 网络攻击检测与网络蠕虫 33

网络攻击检测模型 Denning 在 1987 年描述了一种网络攻击检测模型 IDES, 是一种基于异常检测的网络攻击模型主体 : 网络操作发起方, 相当于网络操作中请求服务的用户或程序客体 : 网络操作的对象, 相当于提供服务的文件系统或者数据库审核记录 : 客体所在的计算机系统产生的有关主体对客体已经执行的或者试图执行的操作结果的记录行为简本 : 一种数据结构, 按照被观察操作的统计制度和统计模型刻画主体相对于客体的行为异常记录 : 检测到异常行为时产生的一种记录行动规则 : 当某些条件满足时, 攻击检测系统进行的操作规则第七章 : 网络攻击检测与网络蠕虫 34

目录网络攻击概述网络攻击检测网络蠕虫恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫第七章 : 网络攻击检测与网络蠕虫 35

网络蠕虫网络蠕虫是一类网络上不请自到的恶意程序或者恶意代码移动代码 : 方便网络管理网络配置或者网络其他功能的实现而设计和部署的一类可以在网络上自动传播的合法代码网络蠕虫目前已经成为计算机网络上的头号安全威胁, 迄今为止已经在国际上造成了上百亿美元的经济损失, 防范和控制网络蠕虫已经成为网络安全研究的头等大事第七章 : 网络攻击检测与网络蠕虫 36

恶意代码与网络蠕虫恶意代码是一种有意设计的程序, 用于执行非授权的, 通常是有害的或不受欢迎的动作病毒是一种恶意代码, 具有自我繁殖能力的恶意代码蠕虫是一种恶意代码, 不仅具有自我繁殖能力, 而且还可以在网络上进行传播蠕虫传播时不需要借助人工操作, 而病毒传播一定需要借助人工发起的某项操作病毒一定要感染某个文件, 而蠕虫不需要感染某个文件病毒一定要附着在计算机系统的其他对象上进行繁殖, 而蠕虫可以独立进行自身繁殖蠕虫也是一种特殊类型的病毒第七章 : 网络攻击检测与网络蠕虫 37

特洛伊木马特洛伊木马是一种看似有用的计算机程序, 但是它隐藏了潜在有害的功能它与病毒蠕虫的区别是 : 没有自我复制的能力, 即没有自我繁殖的能力远地访问特洛伊是一种特洛伊木马, 一旦被执行, 它允许非授权的用户远程访问和控制被它攻破的系统后门, 有时也称为陷门, 是程序设计者在程序中设置的一项功能, 它允许设计者完全地或者部分地非授权访问执行该程序的系统第七章 : 网络攻击检测与网络蠕虫 38

目录网络攻击概述网络攻击检测网络蠕虫恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫第七章 : 网络攻击检测与网络蠕虫 39

电子邮件蠕虫在 2003 年前后爆发的网络恶意代码起始于电子邮件蠕虫的发明目前已经存在几百种电子邮件蠕虫还有一些与电子邮件蠕虫传播方式相似的文件共享应用类蠕虫欺骗用户执行不可信的文件传播和启动蠕虫电子邮件蠕虫是一种程序, 它被执行后, 会利用本地系统上用户的电子邮件功能向其他主机传播自身程序从 2002 年开始, 电子邮件蠕虫的发展势头开始减缓, 基于对等文件共享系统蠕虫开始急剧增加第七章 : 网络攻击检测与网络蠕虫 40

目录网络攻击概述网络攻击检测网络蠕虫恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫第七章 : 网络攻击检测与网络蠕虫 41

Windows 文件共享蠕虫 1999 年 ExploreZip 电子邮件蠕虫利用普遍存在的 Windows 文件共享协议 Windows 文件共享蠕虫利用了微软公司 Windows 操作系统提供的对等服务功能, 该功能允许 Windows 可以在任何时候确定网络系统中是否存在联网硬件设备良好配置的防火墙可以完全隔断来自外部公共因特网的文件共享连接尼姆达蠕虫, 利用电子邮件和 HTTP 穿透企业网的防火墙, 然后再利用文件共享协议在企业网内部大量传播第七章 : 网络攻击检测与网络蠕虫 42

目录网络攻击概述网络攻击检测网络蠕虫恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫第七章 : 网络攻击检测与网络蠕虫 43

传统蠕虫传统蠕虫很大程度上是按照 1988 年的莫里斯蠕虫模型设计的一类网络蠕虫, 这类蠕虫主要利用 TCP/IP 建立的直接连接, 在因特网发起攻击, 查找可以连接的网络主机操作系统和应用软件的漏洞或者猜测用户账户的口令入侵系统编制传统蠕虫比较复杂, 目前在因特网上传播的传统网络蠕虫也比较少第七章 : 网络攻击检测与网络蠕虫 44

小结网络攻击概述网络攻击的历史网络攻击分类典型的网络攻击网络攻击检测网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法网络蠕虫网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫第七章 : 网络攻击检测与网络蠕虫 45

谢谢! 第七章 : 网络攻击检测与网络蠕虫 46