信息安全技術(shù)教程清華大學(xué)出版社-第五章.ppt

2020 1 22 第5章安全事件處理 5 1攻擊及其相關(guān)概念5 2安全事件管理方法5 3惡意代碼5 4常見(jiàn)的攻擊類型5 5無(wú)線網(wǎng)絡(luò)安全5 6傳感網(wǎng)絡(luò)5 7習(xí)題 5 1攻擊及其相關(guān)概念 5 1 1安全事件5 1 2安全事件類型 2020 1 22 2020 1 22 5 1攻擊及其相關(guān)概念 什么是攻擊攻擊是指在未授權(quán)的情況下訪問(wèn)系統(tǒng)資源或阻止授權(quán)用戶正常訪問(wèn)系統(tǒng)資源攻擊者實(shí)施攻擊行為的主體 可以是一個(gè)個(gè)體 也可以是一個(gè)團(tuán)體攻擊的類型軍事情報(bào)攻擊 商業(yè)金融攻擊 恐怖襲擊 基于報(bào)復(fù)的攻擊 以炫耀為目的的攻擊 2020 1 22 5 1 1安全事件 任何違背本系統(tǒng)安全策略的行為都可以稱為安全事件安全事件處理最重要的步驟就是能夠及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的安全事件當(dāng)意識(shí)到系統(tǒng)存在攻擊行為時(shí) 就應(yīng)該迅速尋找到攻擊位置并判斷攻擊類型 2020 1 22 5 1 2安全事件類型 掃描掃描就是動(dòng)態(tài)地探測(cè)系統(tǒng)中開(kāi)放的端口 通過(guò)分析端口對(duì)某些數(shù)據(jù)包的響應(yīng)來(lái)收集網(wǎng)絡(luò)和主機(jī)的情況非授權(quán)訪問(wèn)非授權(quán)訪問(wèn)是指越過(guò)訪問(wèn)控制機(jī)制在未授權(quán)的情況下對(duì)系統(tǒng)資源進(jìn)行訪問(wèn)或是非法獲得合法用戶的訪問(wèn)權(quán)限后對(duì)系統(tǒng)資源進(jìn)行訪問(wèn) 惡意代碼惡意代碼可以是一個(gè)程序 一個(gè)進(jìn)程 也可以是其它的可執(zhí)行文件 共同特征是可以引發(fā)對(duì)系統(tǒng)資源的非授權(quán)修改或其它的非授權(quán)行為病毒 蠕蟲(chóng) 木馬拒絕服務(wù)破壞數(shù)據(jù)的可用性 5 2安全事件管理方法 5 2 1安全事件預(yù)防5 2 2安全事件處理標(biāo)準(zhǔn)的制定5 2 3對(duì)安全事件的事后總結(jié) 2020 1 22 2020 1 22 5 2安全事件管理方法 處理安全事件的步驟1 檢測(cè)安全事件是否發(fā)生 2 控制事件所造成的損害 3 將事件與事件造成的損害上報(bào)給合適的認(rèn)證方 4 調(diào)查事件的起因 來(lái)源 5 分析搜索到的線索 6 采取必要行動(dòng)避免類似事件發(fā)生 2020 1 22 事件響應(yīng)小組響應(yīng)小組通過(guò)使用工具及其它辦法調(diào)查與控制安全事件 每一種類型的事件都需要通過(guò)不同的行為來(lái)控制損害程度 在對(duì)事件進(jìn)行響應(yīng)的時(shí)候 響應(yīng)小組需要收集便于以后分析的信息以及可能成為證據(jù)的信息 證據(jù)可能是一個(gè)硬盤(pán) 一個(gè)軟件或其他可以證明攻擊者身份的數(shù)據(jù) 當(dāng)發(fā)現(xiàn)攻擊有違反法律法規(guī)的可能性時(shí)就及時(shí)報(bào)警 2020 1 22 5 2 1安全事件預(yù)防 安全策略資源網(wǎng)站 2020 1 22 5 2 2安全事件處理標(biāo)準(zhǔn)的制定 安全事件處理流程一部分小組成員負(fù)責(zé)評(píng)估損害程度一部分成員負(fù)責(zé)將事件告知管理人員并與服務(wù)商聯(lián)系尋求幫助一個(gè)成員需要決定是否需要告知警察來(lái)協(xié)助調(diào)查流程要求每一個(gè)成員都會(huì)遵循事前制定好的步驟保證所有的處理過(guò)程專業(yè)化一個(gè)記錄著從開(kāi)始到結(jié)束過(guò)程中每一步操作的詳細(xì)文檔將與執(zhí)法部門相關(guān)的要求加入到流程標(biāo)準(zhǔn)中 2020 1 22 5 2 3對(duì)安全事件的事后總結(jié) 開(kāi)展小組會(huì)議哪些是做得好的地方 響應(yīng)是否及時(shí)并且恰當(dāng) 哪些方面還可以提升 應(yīng)急響應(yīng)的動(dòng)作是否顧及了系統(tǒng)的整體安全 能夠采取什么樣的措施來(lái)降低同類事件再次發(fā)生的可能性 2020 1 22 5 3惡意代碼 5 3 1病毒5 3 2蠕蟲(chóng)5 3 3特洛伊木馬5 3 4網(wǎng)絡(luò)控件 2020 1 22 5 3 1病毒 病毒是最為常見(jiàn)的一種惡意代碼 一個(gè)病毒就是一個(gè)簡(jiǎn)單的程序 其目的在于尋找其他的程序 通過(guò)將自身的復(fù)件嵌入到程序的方式來(lái)感染其它程序 被感染的程序就叫做病毒宿主 當(dāng)主程序運(yùn)行時(shí) 病毒代碼同樣也會(huì)運(yùn)行 特點(diǎn)需要一個(gè)用于感染的宿主 脫離宿主 病毒就不能自我復(fù)制 2020 1 22 5 3 2蠕蟲(chóng) 蠕蟲(chóng)的定義及分類蠕蟲(chóng)也是一種病毒 具有病毒的傳播性 隱蔽性 破壞性等特性 2020 1 22 蠕蟲(chóng)病毒的分類針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的 利用系統(tǒng)漏洞 主動(dòng)進(jìn)行攻擊 可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果 如 紅色代碼 尼姆達(dá) 針對(duì)個(gè)人主機(jī)的 通過(guò)網(wǎng)絡(luò) 主要是電子郵件 惡意網(wǎng)頁(yè)形式 進(jìn)行迅速傳播 如 愛(ài)蟲(chóng)病毒 求職信病毒 2020 1 22 蠕蟲(chóng)的基本結(jié)構(gòu) 傳播過(guò)程掃描 由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī) 當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后 就得到一個(gè)可傳播的對(duì)象 攻擊 攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象 取得該主機(jī)的權(quán)限 一般為管理員權(quán)限 獲得一個(gè)shell 復(fù)制 復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng) 2020 1 22 蠕蟲(chóng)特點(diǎn)及危害 利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊 傳播方式多樣制作技術(shù)與傳統(tǒng)的病毒不同與黑客技術(shù)相結(jié)合 潛在的威脅和損失更大 2020 1 22 5 3 3特洛伊木馬 特洛伊木馬 簡(jiǎn)稱 木馬 是一種秘密潛伏的能夠通過(guò)遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序 控制者可以控制被秘密植入木馬的計(jì)算機(jī)的一切動(dòng)作和資源 是惡意攻擊者進(jìn)行竊取信息等的工具 特洛伊木馬沒(méi)有復(fù)制能力 它的特點(diǎn)是偽裝成一個(gè)實(shí)用工具或一個(gè)可愛(ài)的游戲 誘使用戶將其安裝在PC或者服務(wù)器上 2020 1 22 木馬組成服務(wù)端 被控制端 客戶端 控制端 啟動(dòng)在Win ini中啟動(dòng) Win ini的 windows 字段中有啟動(dòng)命令 load 和 run 一般情況下 后面是沒(méi)有內(nèi)容的 而攻擊者可以把木馬程序放在 后面 在System ini中啟動(dòng)利用注冊(cè)表加載運(yùn)行 注冊(cè)表的很多位置都是木馬藏身之所 在Autoexec bat和Config sys中啟動(dòng)啟動(dòng)組 是木馬隱藏的重要位置制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這些同名文件 達(dá)到啟動(dòng)木馬的目的修改文件關(guān)聯(lián) 捆綁文件 2020 1 22 木馬的隱藏隱藏在任務(wù)欄 這是木馬最基本的隱藏方式 隱藏在任務(wù)管理器 主機(jī)端口隱藏通訊隱藏加載方式 木馬通過(guò)對(duì)加載方式的隱藏 使得用戶運(yùn)行木馬程序木馬的特性木馬包含在正常程序中 隨著正常程序的運(yùn)行而啟動(dòng) 具有隱蔽性具有自動(dòng)運(yùn)行性對(duì)系統(tǒng)具有極大危害性 具有自動(dòng)恢復(fù)功能 2020 1 22 木馬的種類 2020 1 22 5 3 4網(wǎng)絡(luò)控件 現(xiàn)在的Web瀏覽器和其它的網(wǎng)絡(luò)應(yīng)用都依賴于能夠提供大量復(fù)雜功能的可執(zhí)行程序 這種插件程序可以很容易地保證系統(tǒng)處于最新?tīng)顟B(tài)并且能夠支持很多新文件的類型 但是這些程序同樣可以被某些人利用 使其很容易就將惡意代碼發(fā)送到用戶主機(jī) 作為用戶 必須保證病毒掃描器和防御軟件可以有效地保護(hù)系統(tǒng)不被惡意程序損壞 2020 1 22 5 4常見(jiàn)的攻擊類型 5 4 1后門攻擊5 4 2暴力攻擊5 4 3緩沖區(qū)溢出5 4 4拒絕服務(wù)攻擊5 4 5中間人攻擊5 4 6社會(huì)工程學(xué)5 4 7對(duì)敏感系統(tǒng)的非授權(quán)訪問(wèn) 5 4 1后門攻擊 定義通過(guò)后門繞過(guò)軟件的安全性控制從而獲取程序或系統(tǒng)訪問(wèn)權(quán)的方法道德敗壞的程序編寫(xiě)者能夠利用后門獲取非授權(quán)的數(shù)據(jù)對(duì)策預(yù)防后門最好的方法就是通過(guò)加強(qiáng)控制和安全關(guān)聯(lián)測(cè)試來(lái)檢驗(yàn)后門是否存在 并在發(fā)現(xiàn)后門時(shí)及時(shí)采取措施 2020 1 22 5 4 2暴力攻擊 定義通過(guò)嘗試系統(tǒng)可能使用的所有字符組合來(lái)猜測(cè)系統(tǒng)口對(duì)策小心保管系統(tǒng)口令并在系統(tǒng)中設(shè)置允許輸入口令次數(shù)的最大值 若超過(guò)這個(gè)數(shù)值 賬號(hào)就會(huì)被自動(dòng)鎖定 同時(shí)要對(duì)登陸行為進(jìn)行日志記錄 可以在日后用于調(diào)查 2020 1 22 5 4 3緩沖區(qū)溢出 定義利用存儲(chǔ)的字符串長(zhǎng)度超過(guò)目標(biāo)緩沖區(qū)存儲(chǔ)空間而覆蓋在合法數(shù)據(jù)上進(jìn)行攻擊兩種方法植入法 攻擊者向被攻擊的程序輸入一串字符串 程序會(huì)將這個(gè)字符串放到緩沖區(qū) 字符串內(nèi)包含的可能是被攻擊平臺(tái)的指令序列 緩沖區(qū)可以設(shè)在任何地方 堆棧 堆或靜態(tài)存儲(chǔ)區(qū) 利用已經(jīng)存在的代碼 很多時(shí)候 攻擊者需要的代碼已經(jīng)存在于被攻擊的程序中 攻擊者要做的就是傳遞一些參數(shù) 2020 1 22 5 4 4拒絕服務(wù)攻擊 定義用于摧毀系統(tǒng)的可用性 導(dǎo)致系統(tǒng)過(guò)于繁忙以至于沒(méi)有能力去響應(yīng)合法的請(qǐng)求分布式拒絕服務(wù)攻擊 Ddos SYNFlood攻擊 2020 1 22 5 4 5中間人攻擊 通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間 然后把這臺(tái)計(jì)算機(jī)模擬一臺(tái)或兩臺(tái)原始計(jì)算機(jī) 使 中間人 入侵者放置的計(jì)算機(jī) 能夠與原始計(jì)算機(jī)建立活動(dòng)連接 而兩臺(tái)原始計(jì)算機(jī)用戶卻意識(shí)不到 中間人 的存在 只以為是和彼此進(jìn)行通信 2020 1 22 5 4 6社會(huì)工程學(xué) 概念利用被攻擊者心理弱點(diǎn) 本能反應(yīng) 好奇心 信任 貪婪等心理陷阱 以交談 欺騙 假冒等方式 從合法用戶中套取用戶系統(tǒng)秘密的一種攻擊方法對(duì)策對(duì)付這種類型的攻擊最有效的方法就是加強(qiáng)安全意識(shí)教育 要讓用戶記住任何情況下都不能向其他人泄露自己的口令 任何想要進(jìn)入系統(tǒng)的用戶都應(yīng)該被及時(shí)報(bào)告給上級(jí) 通過(guò)這些簡(jiǎn)單的規(guī)則可以有效地降低社會(huì)工程學(xué)的攻擊 2020 1 22 5 4 7對(duì)敏感系統(tǒng)的非授權(quán)訪問(wèn) 大部分攻擊的目標(biāo)都是訪問(wèn)系統(tǒng)的敏感信息 一種情況是攻擊者獲取具有經(jīng)濟(jì)價(jià)值的信息 例如關(guān)于某個(gè)投資項(xiàng)目競(jìng)標(biāo)的信息 另一種情況是攻擊者只想修改信息 例如在某次考試中成績(jī)不理想的同學(xué) 就會(huì)想辦法進(jìn)入成績(jī)數(shù)據(jù)庫(kù) 將自己的成績(jī)信息進(jìn)行修改 無(wú)論是處于哪種目的 對(duì)敏感信息的非授權(quán)訪問(wèn)都會(huì)對(duì)系統(tǒng)造成嚴(yán)重的損害 2020 1 22 2020 1 22 5 5無(wú)線網(wǎng)絡(luò)安全 5 5 1無(wú)線網(wǎng)絡(luò)基礎(chǔ)5 5 2無(wú)線網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)5 5 3無(wú)線網(wǎng)絡(luò)安全5 5 4無(wú)線局域網(wǎng)存在的安全問(wèn)題 5 5 1無(wú)線網(wǎng)絡(luò)基礎(chǔ) 分類按傳輸媒體 輸媒體主要有兩種 即紅外線和無(wú)線電波按調(diào)制方式 擴(kuò)頻方式與窄帶調(diào)制方式 2020 1 22 5 5 2無(wú)線網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn) 2020 1 22 圖5 3802 11系列協(xié)議的實(shí)際參數(shù) 5 5 3無(wú)線網(wǎng)絡(luò)安全 WEP WiredEquivalentPrivacy 和WPA Wi FiProtectedAccess 是無(wú)線網(wǎng)絡(luò)安全中最重要的兩個(gè)安全加密模式WEPWEP算法通過(guò)一個(gè)長(zhǎng)度為40位的密鑰來(lái)提供身份認(rèn)證與加密 在WEP安全機(jī)制中 同一無(wú)線網(wǎng)絡(luò)的所有用戶和接入訪問(wèn)點(diǎn) AP 使用相同的密鑰來(lái)加密和解密 網(wǎng)絡(luò)中的每個(gè)用戶和AP都存放著一份密鑰 2020 1 22 2020 1 22 無(wú)線網(wǎng)絡(luò)完整性校驗(yàn)過(guò)程校驗(yàn)和計(jì)算 密鑰流生成 數(shù)據(jù)加密 數(shù)據(jù)傳輸 2020 1 22 WPA以一把128位元的鑰匙和一個(gè)48位元的初向量 IV 的RC4流密碼來(lái)加密使用稱為 Michael 的更安全的訊息認(rèn)證碼 在WPA中叫做訊息完整性查核 MIC 增大鑰匙和初向量 減少和鑰匙相關(guān)的封包個(gè)數(shù) 增加安全訊息驗(yàn)證系統(tǒng) 5 5 4無(wú)線局域網(wǎng)存在的安全問(wèn)題 身份標(biāo)識(shí)入侵者可以通過(guò)克隆MAC地址來(lái)試圖連接網(wǎng)絡(luò)攻擊者可以利用廠商默認(rèn)SSID來(lái)滲透無(wú)線局域網(wǎng)缺乏訪問(wèn)控制機(jī)制攻擊者可以通過(guò)更改本身的MAC地址進(jìn)入網(wǎng)802 11標(biāo)準(zhǔn)中缺乏認(rèn)證機(jī)制WEP密鑰的管理問(wèn)題WEP密鑰管理的缺失是另一個(gè)較為重要的安全漏洞大型網(wǎng)絡(luò)架構(gòu)包含眾多漫游基站與客戶端 而相互之間缺乏內(nèi)部訪問(wèn)協(xié)議 2020 1 22 5 6傳感網(wǎng)絡(luò) 5 6 1傳感網(wǎng)絡(luò)的基本元素5 6 2無(wú)線傳感網(wǎng)絡(luò)安全 2020 1 22 2020 1 22 5 6傳感網(wǎng)絡(luò) 傳感網(wǎng)絡(luò)是指相互合作的多個(gè)獨(dú)立設(shè)備以自組織的形式構(gòu)成網(wǎng)絡(luò) 并通過(guò)多跳中繼方式將監(jiān)控?cái)?shù)據(jù)傳到匯聚節(jié)點(diǎn) 這些相互合作的獨(dú)立設(shè)備在傳感網(wǎng)絡(luò)中稱為傳感器 用于偵查 監(jiān)督 追蹤周邊環(huán)境變量 如不同地點(diǎn)的溫度 聲音 振動(dòng)和壓力 5 6 1傳感網(wǎng)絡(luò)的基本元素 路由以數(shù)據(jù)為中心的路由協(xié)議 分層次的路由協(xié)議和基于地點(diǎn)的路由協(xié)議功耗容錯(cuò)性任何傳感網(wǎng)絡(luò)的可靠性必須強(qiáng) 能夠不受單個(gè)節(jié)點(diǎn)錯(cuò)誤的影響可擴(kuò)展性當(dāng)有新的節(jié)點(diǎn)加入時(shí) 傳感網(wǎng)絡(luò)應(yīng)該不受影響 生產(chǎn)成本無(wú)線傳感網(wǎng)絡(luò)通常使用大量的傳感節(jié)點(diǎn) 每個(gè)獨(dú)立的傳感節(jié)點(diǎn)都關(guān)系著整個(gè)傳感網(wǎng)絡(luò)的成本傳感網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)傳輸介質(zhì)紅外 藍(lán)牙 無(wú)線射頻或光波 2020 1 22 5 6 2無(wú)線傳感網(wǎng)絡(luò)安全 一 無(wú)線傳感網(wǎng)絡(luò)安全需求節(jié)點(diǎn)的物理安全性真實(shí)性 完整性 可用性安全功能的低能耗性節(jié)點(diǎn)之間的合作性攻擊容忍性攻擊發(fā)現(xiàn)和排除 2020 1 22 二 無(wú)線傳感網(wǎng)絡(luò)的安全機(jī)制抗干擾訪問(wèn)控制密鑰管理數(shù)據(jù)備份抗節(jié)點(diǎn)劫持 2020 1 22 2020 1 22 習(xí)題 一 選擇題1 以下哪一項(xiàng)不屬于惡意代碼 A 病毒B 特洛伊木馬C 系統(tǒng)漏洞D 蠕蟲(chóng)2 使授權(quán)用戶泄露安全數(shù)據(jù)或允許非授權(quán)訪問(wèn)的攻擊方式稱作A 拒絕服務(wù)攻擊B 中間人攻擊C 社會(huì)工程學(xué)D 后門攻擊 2020 1 22 二 問(wèn)答題1 病毒與蠕蟲(chóng)有何區(qū)別 試舉例常見(jiàn)的病毒和蠕蟲(chóng) 2 簡(jiǎn)述WEP算法原理 3 常見(jiàn)的攻擊類型有哪些 該如何防范這些攻擊