信息安全技术教程清华大学出版社-第五章.ppt

2020 1 24 第5章安全事件处理 5 1攻击及其相关概念5 2安全事件管理方法5 3恶意代码5 4常见的攻击类型5 5无线网络安全5 6传感网络5 7习题 5 1攻击及其相关概念 5 1 1安全事件5 1 2安全事件类型 2020 1 24 2020 1 24 5 1攻击及其相关概念 什么是攻击攻击是指在未授权的情况下访问系统资源或阻止授权用户正常访问系统资源攻击者实施攻击行为的主体 可以是一个个体 也可以是一个团体攻击的类型军事情报攻击 商业金融攻击 恐怖袭击 基于报复的攻击 以炫耀为目的的攻击 2020 1 24 5 1 1安全事件 任何违背本系统安全策略的行为都可以称为安全事件安全事件处理最重要的步骤就是能够及时发现已经发生的安全事件当意识到系统存在攻击行为时 就应该迅速寻找到攻击位置并判断攻击类型 2020 1 24 5 1 2安全事件类型 扫描扫描就是动态地探测系统中开放的端口 通过分析端口对某些数据包的响应来收集网络和主机的情况非授权访问非授权访问是指越过访问控制机制在未授权的情况下对系统资源进行访问或是非法获得合法用户的访问权限后对系统资源进行访问 恶意代码恶意代码可以是一个程序 一个进程 也可以是其它的可执行文件 共同特征是可以引发对系统资源的非授权修改或其它的非授权行为病毒 蠕虫 木马拒绝服务破坏数据的可用性 5 2安全事件管理方法 5 2 1安全事件预防5 2 2安全事件处理标准的制定5 2 3对安全事件的事后总结 2020 1 24 2020 1 24 5 2安全事件管理方法 处理安全事件的步骤1 检测安全事件是否发生 2 控制事件所造成的损害 3 将事件与事件造成的损害上报给合适的认证方 4 调查事件的起因 来源 5 分析搜索到的线索 6 采取必要行动避免类似事件发生 2020 1 24 事件响应小组响应小组通过使用工具及其它办法调查与控制安全事件 每一种类型的事件都需要通过不同的行为来控制损害程度 在对事件进行响应的时候 响应小组需要收集便于以后分析的信息以及可能成为证据的信息 证据可能是一个硬盘 一个软件或其他可以证明攻击者身份的数据 当发现攻击有违反法律法规的可能性时就及时报警 2020 1 24 5 2 1安全事件预防 安全策略资源网站 2020 1 24 5 2 2安全事件处理标准的制定 安全事件处理流程一部分小组成员负责评估损害程度一部分成员负责将事件告知管理人员并与服务商联系寻求帮助一个成员需要决定是否需要告知警察来协助调查流程要求每一个成员都会遵循事前制定好的步骤保证所有的处理过程专业化一个记录着从开始到结束过程中每一步操作的详细文档将与执法部门相关的要求加入到流程标准中 2020 1 24 5 2 3对安全事件的事后总结 开展小组会议哪些是做得好的地方 响应是否及时并且恰当 哪些方面还可以提升 应急响应的动作是否顾及了系统的整体安全 能够采取什么样的措施来降低同类事件再次发生的可能性 2020 1 24 5 3恶意代码 5 3 1病毒5 3 2蠕虫5 3 3特洛伊木马5 3 4网络控件 2020 1 24 5 3 1病毒 病毒是最为常见的一种恶意代码 一个病毒就是一个简单的程序 其目的在于寻找其他的程序 通过将自身的复件嵌入到程序的方式来感染其它程序 被感染的程序就叫做病毒宿主 当主程序运行时 病毒代码同样也会运行 特点需要一个用于感染的宿主 脱离宿主 病毒就不能自我复制 2020 1 24 5 3 2蠕虫 蠕虫的定义及分类蠕虫也是一种病毒 具有病毒的传播性 隐蔽性 破坏性等特性 2020 1 24 蠕虫病毒的分类针对计算机网络的 利用系统漏洞 主动进行攻击 可以对整个互联网造成瘫痪性的后果 如 红色代码 尼姆达 针对个人主机的 通过网络 主要是电子邮件 恶意网页形式 进行迅速传播 如 爱虫病毒 求职信病毒 2020 1 24 蠕虫的基本结构 传播过程扫描 由蠕虫的扫描功能模块负责探测存在漏洞的主机 当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后 就得到一个可传播的对象 攻击 攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象 取得该主机的权限 一般为管理员权限 获得一个shell 复制 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动 2020 1 24 蠕虫特点及危害 利用操作系统和应用程序的漏洞主动进行攻击 传播方式多样制作技术与传统的病毒不同与黑客技术相结合 潜在的威胁和损失更大 2020 1 24 5 3 3特洛伊木马 特洛伊木马 简称 木马 是一种秘密潜伏的能够通过远程网络进行控制的恶意程序 控制者可以控制被秘密植入木马的计算机的一切动作和资源 是恶意攻击者进行窃取信息等的工具 特洛伊木马没有复制能力 它的特点是伪装成一个实用工具或一个可爱的游戏 诱使用户将其安装在PC或者服务器上 2020 1 24 木马组成服务端 被控制端 客户端 控制端 启动在Win ini中启动 Win ini的 windows 字段中有启动命令 load 和 run 一般情况下 后面是没有内容的 而攻击者可以把木马程序放在 后面 在System ini中启动利用注册表加载运行 注册表的很多位置都是木马藏身之所 在Autoexec bat和Config sys中启动启动组 是木马隐藏的重要位置制作好的带有木马启动命令的同名文件上传到服务端覆盖这些同名文件 达到启动木马的目的修改文件关联 捆绑文件 2020 1 24 木马的隐藏隐藏在任务栏 这是木马最基本的隐藏方式 隐藏在任务管理器 主机端口隐藏通讯隐藏加载方式 木马通过对加载方式的隐藏 使得用户运行木马程序木马的特性木马包含在正常程序中 随着正常程序的运行而启动 具有隐蔽性具有自动运行性对系统具有极大危害性 具有自动恢复功能 2020 1 24 木马的种类 2020 1 24 5 3 4网络控件 现在的Web浏览器和其它的网络应用都依赖于能够提供大量复杂功能的可执行程序 这种插件程序可以很容易地保证系统处于最新状态并且能够支持很多新文件的类型 但是这些程序同样可以被某些人利用 使其很容易就将恶意代码发送到用户主机 作为用户 必须保证病毒扫描器和防御软件可以有效地保护系统不被恶意程序损坏 2020 1 24 5 4常见的攻击类型 5 4 1后门攻击5 4 2暴力攻击5 4 3缓冲区溢出5 4 4拒绝服务攻击5 4 5中间人攻击5 4 6社会工程学5 4 7对敏感系统的非授权访问 5 4 1后门攻击 定义通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法道德败坏的程序编写者能够利用后门获取非授权的数据对策预防后门最好的方法就是通过加强控制和安全关联测试来检验后门是否存在 并在发现后门时及时采取措施 2020 1 24 5 4 2暴力攻击 定义通过尝试系统可能使用的所有字符组合来猜测系统口对策小心保管系统口令并在系统中设置允许输入口令次数的最大值 若超过这个数值 账号就会被自动锁定 同时要对登陆行为进行日志记录 可以在日后用于调查 2020 1 24 5 4 3缓冲区溢出 定义利用存储的字符串长度超过目标缓冲区存储空间而覆盖在合法数据上进行攻击两种方法植入法 攻击者向被攻击的程序输入一串字符串 程序会将这个字符串放到缓冲区 字符串内包含的可能是被攻击平台的指令序列 缓冲区可以设在任何地方 堆栈 堆或静态存储区 利用已经存在的代码 很多时候 攻击者需要的代码已经存在于被攻击的程序中 攻击者要做的就是传递一些参数 2020 1 24 5 4 4拒绝服务攻击 定义用于摧毁系统的可用性 导致系统过于繁忙以至于没有能力去响应合法的请求分布式拒绝服务攻击 Ddos SYNFlood攻击 2020 1 24 5 4 5中间人攻击 通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间 然后把这台计算机模拟一台或两台原始计算机 使 中间人 入侵者放置的计算机 能够与原始计算机建立活动连接 而两台原始计算机用户却意识不到 中间人 的存在 只以为是和彼此进行通信 2020 1 24 5 4 6社会工程学 概念利用被攻击者心理弱点 本能反应 好奇心 信任 贪婪等心理陷阱 以交谈 欺骗 假冒等方式 从合法用户中套取用户系统秘密的一种攻击方法对策对付这种类型的攻击最有效的方法就是加强安全意识教育 要让用户记住任何情况下都不能向其他人泄露自己的口令 任何想要进入系统的用户都应该被及时报告给上级 通过这些简单的规则可以有效地降低社会工程学的攻击 2020 1 24 5 4 7对敏感系统的非授权访问 大部分攻击的目标都是访问系统的敏感信息 一种情况是攻击者获取具有经济价值的信息 例如关于某个投资项目竞标的信息 另一种情况是攻击者只想修改信息 例如在某次考试中成绩不理想的同学 就会想办法进入成绩数据库 将自己的成绩信息进行修改 无论是处于哪种目的 对敏感信息的非授权访问都会对系统造成严重的损害 2020 1 24 2020 1 24 5 5无线网络安全 5 5 1无线网络基础5 5 2无线网络协议标准5 5 3无线网络安全5 5 4无线局域网存在的安全问题 5 5 1无线网络基础 分类按传输媒体 输媒体主要有两种 即红外线和无线电波按调制方式 扩频方式与窄带调制方式 2020 1 24 5 5 2无线网络协议标准 2020 1 24 图5 3802 11系列协议的实际参数 5 5 3无线网络安全 WEP WiredEquivalentPrivacy 和WPA Wi FiProtectedAccess 是无线网络安全中最重要的两个安全加密模式WEPWEP算法通过一个长度为40位的密钥来提供身份认证与加密 在WEP安全机制中 同一无线网络的所有用户和接入访问点 AP 使用相同的密钥来加密和解密 网络中的每个用户和AP都存放着一份密钥 2020 1 24 2020 1 24 无线网络完整性校验过程校验和计算 密钥流生成 数据加密 数据传输 2020 1 24 WPA以一把128位元的钥匙和一个48位元的初向量 IV 的RC4流密码来加密使用称为 Michael 的更安全的讯息认证码 在WPA中叫做讯息完整性查核 MIC 增大钥匙和初向量 减少和钥匙相关的封包个数 增加安全讯息验证系统 5 5 4无线局域网存在的安全问题 身份标识入侵者可以通过克隆MAC地址来试图连接网络攻击者可以利用厂商默认SSID来渗透无线局域网缺乏访问控制机制攻击者可以通过更改本身的MAC地址进入网802 11标准中缺乏认证机制WEP密钥的管理问题WEP密钥管理的缺失是另一个较为重要的安全漏洞大型网络架构包含众多漫游基站与客户端 而相互之间缺乏内部访问协议 2020 1 24 5 6传感网络 5 6 1传感网络的基本元素5 6 2无线传感网络安全 2020 1 24 2020 1 24 5 6传感网络 传感网络是指相互合作的多个独立设备以自组织的形式构成网络 并通过多跳中继方式将监控数据传到汇聚节点 这些相互合作的独立设备在传感网络中称为传感器 用于侦查 监督 追踪周边环境变量 如不同地点的温度 声音 振动和压力 5 6 1传感网络的基本元素 路由以数据为中心的路由协议 分层次的路由协议和基于地点的路由协议功耗容错性任何传感网络的可靠性必须强 能够不受单个节点错误的影响可扩展性当有新的节点加入时 传感网络应该不受影响 生产成本无线传感网络通常使用大量的传感节点 每个独立的传感节点都关系着整个传感网络的成本传感网络的拓扑结构传输介质红外 蓝牙 无线射频或光波 2020 1 24 5 6 2无线传感网络安全 一 无线传感网络安全需求节点的物理安全性真实性 完整性 可用性安全功能的低能耗性节点之