黑客入侵常用方法与防范措施

HP-UX
Sco Solaris NT 服务器 Web 服务器 NT
指定IP、 实时发现、 制止阻断
IP包的格式
Internet
路由器/网关 HUB
监控系统
HUB/SWITCH
普通用户
普通用户
HUB/SWITCH
普通用户
普通用户
网络入侵取证系统—nIFS
➢ 识别 ➢ 保存 ➢ 分析 ➢ 提交
黑客入侵防范技术综述
许榕生
中科院高能物理所计算中心 研究员 国家计算机网络入侵防范中心 首席科学家
010-88257981 xurs@sun.ihep.ac.cn
Global Opportunities
622 Mbps +10 Gbps l
基于 Motorola DragonBall 系列的处理器 68k核心：DragonBall 68328、EZ、VZ、
参考对比表格
项目 产品
RealSecure
引擎 平台
NT Solaris
检测 项目
500～ 600
eTrust NT 300
双向 连接
不支持
不支持
防范 STICK
不支持
警报 过滤
支持
支持
不支持
无IP 抓包
支持
支持
NISDetector Linux 300
不支持 不支持 不支持 支持
响应 方法
R,V,L,M, O,S
• 降低误报率与漏报率 – 基于应用会话的分析检测技术 – 高级模式匹配 – 无阻塞处理
• 实时响应技术 – 提供多种响应方式 – 响应过滤技术 – 防火墙互动开放接口--OpenNIDS
NIDS产品技术(二)
• 系统自身保护 – 无IP抓包 – 响应过滤 – 模块化 – 多重监控
• 应用部署 – 支持双向连接及加密认证 – 引擎串接部署
国际计算机网络安全技术交流
FIRST年会介绍
• FIRST（Forum of Incident Response and Security Teams）
• 计算机网络事件响应和安全组织论坛。旨在联 络全世界的网络安全组织以及专家，针对日益 严重的网络安全课题采取技术及管理对策的高 级研讨会。
• 该会议已在世界各地召开过，其中包括：法国 的图卢兹、美国的芝加哥、澳大利亚的布里斯 班、墨西哥的蒙特雷、英国的布鲁斯托尔以及 美国加州的克拉拉。
近年FIRST年会讨论的热点内容 主要集中几个方面：
3.事件或具体攻击的分析研究报告： 一个全球性Internet蠕虫事件的调查； 911事件的相关情况报告； DoS攻击数据流量的分析； SYNDEF:战胜DoS/DDoS SYN洪水攻击的一种方法。
4.与法律相关的报告： CERTs新的合法性问题讨论； CSIRT培训：合法性问题； 版权侵范问题-未来十年事件响应的最大挑战；
Super VZ
ARM 核心：DragonBall MX1
网络存在的安全威胁
特洛伊木马
黑客攻击 后门、隐蔽通道
计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密
黒客攻击技术
入侵系统类攻击 1. 信息窃听 Sniffer 2. 口令攻击 John 3. 漏洞攻击 WIN/IIS、RPC
5.标准方面的报告：CVE的研究进展报告；
传统防范工具的局限
• 防火墙用于网络隔离与过滤，仅类似于门岗。
• 大多数入侵检测系统（IDS）依赖于网络数据的 片断，从法律的角度来看证据不够完整；但可以 将IDS看作盗贼警报。
缓冲区溢出攻击 获取ROOT口令 欺骗类攻击 拒绝服务攻击 DDOS
1. 拒绝服务攻击 2. 分布式拒绝服务攻击 对防火墙等安全设备的攻击 利用病毒攻击 木马程序攻击 后门攻击 ……
网络安全防范体系图
Internet
路由器
防火墙
内部网
管理 平台
其它智能系统 安全监控设备
网络隐患 扫描系统
IDS
陷阱机
备份
防病毒 服务器
取证 系统
系统
广域网的基本概念
• 广域网组成：结点交换机+链路 结点交换机执行分组存储转发的功能； 一个结点交换机可连接多个信道。
• 距离：广域网相隔几十或几百公里甚至几千公里。
提供的两类服务
网络隐患扫描
HP-UX
Sco Solaris NT 服务器 Web 服务器 NT
Internet 路由器
网络引擎2
Linux服务器
Windows服务器
...
...
...
内部子网1
网络引擎1 防火墙1 内部子网2
防火墙2 网络引擎2
防火墙3 内部子网3 网络引擎3
Internet
复
杂
路由器
网
络
控制台主机
环
Leabharlann Baidu
境
安全产品的性能问题
流量增加
规则集
膨胀
产品性能 降低
网络入侵监控系统—IMS
• 每届都有来自30多个不同国家的大致300多位 参加者，我国代表近几年参加会议。
•
近年FIRST年会讨论的热点内容 主要集中几个方面：
1.取证方面：相关的技术报告有：
1）Forensic Discovery（取证的发现）； 2）文件系统的内部结构调查导引； 3）Windows XP客户端的取证功能； 4）计算机取证在网络入侵调查中的重要作用； 5）计算机取证协议与步骤的标准化； 6）Pdd:手持式操作系统设备的存储映像与
取证分析。
近年FIRST年会讨论的热点内容 主要集中几个方面：
2.传统安全防护技术和手段的报告，如：
1）使用个人防火墙加固安全防范； 2）使用Ethereal实现入侵检测； 3）电子商务的安全：保护Web应用； 4）ESA网络安全策略的设计、处理及其实现； 5）NASIRC公告板实现方法和PKI； 6）UDP扫描的问题； 7）一种防止绕过NIDS的适应规则评估算法（ARE ）； 8）识别路由器配置中的安全漏洞；
评估、 服务检查、 攻击性测试、 提交安全建议报告
等功能
安全管理员
网络隐患扫描硬件产品化 iTOP Net-Scanner
网络入侵检测系统—IDS
HP-UX
Sco Solaris NT 服务器 Web 服务器 NT
实时发现、 发布警报、
与防火墙 联动等功能
分布式IDS架构
产品图
NIDS产品技术(一)
R,V,L,M O,S
R,V,L
天阗
天眼
Linux ？
不支持 ？
不支持 支持
Linux 850
支持
支持TCP 数据攻击 警报过滤
支持
支持
R,V,L,M, T
R,V,L,M, T,S,O,G
NIDS技术－体系结构
网络入侵检测系统示意图
简单网络环境
主机1 控制台主机
网络引擎1
内网
网络引擎3
防火墙 DMZ区