黑客常用系统攻击方法
网络安全中的黑客攻击类型
网络安全中的黑客攻击类型网络安全是当今社会的一大难题,各种黑客攻击事件不断发生,对个人、企业、国家造成了巨大的损失,也对社会造成了严重的威胁。
黑客攻击是指未经授权的人试图入侵计算机系统、网络设备、应用程序或数据的活动。
黑客攻击的手段层出不穷,这里列举了几种常见的黑客攻击类型,以供参考。
一、网络钓鱼攻击网络钓鱼攻击是黑客常用的一种攻击手段。
网络钓鱼攻击的基本方法是以一个合法的名义来欺骗用户,使用户上当受骗。
黑客通常会通过行动称呼(如银行、政府、社交网络等),通过虚假的电子邮件、短信、社交网络等方式向用户发送欺骗信息。
这些信息通常要求用户点击链接,输入密码、信用卡号等敏感信息,以便进行盗窃活动。
二、密码攻击密码攻击是指黑客利用各种技术手段破解密码的一种攻击方法。
密码攻击常用的方式包括:暴力破解、字典攻击和胁迫。
暴力破解是指黑客尝试所有可能的密码组合,对于短密码或者简单密码,成功的几率较大。
字典攻击是指黑客通过预先准备好的“密码字典”进行攻击,一旦用户使用该字典中的密码,黑客就能轻松破解。
胁迫则是指黑客通过恐吓、诱骗等手段,逼迫用户提供密码。
三、木马攻击木马是一种美丽而有害的计算机程序。
它通常隐藏在看似无害的程序中,并且能够做很多破坏性的事情。
木马一旦被安装,就能够监视用户活动、窃取敏感信息、修改系统设置和执行其他恶意操作。
木马攻击通常通过下载可疑软件或者点击病毒链接进行传播。
一旦用户被感染,木马就进入了他们的计算机,进行各种袭击活动。
四、拒绝服务攻击拒绝服务攻击是一种通过大量流量洪水式攻击目标系统,使得该系统无法正常工作的攻击。
黑客通常通过利用大量计算机制造虚假流量,使目标系统服务器超负荷,从而引起服务器崩溃。
拒绝服务攻击常被用于企业、政府机构、金融机构等重要目标,在攻击发生后对目标系统的影响非常大。
五、社交工程攻击社交工程攻击是指黑客利用社交网络平台等方式,获得用户密码、敏感信息或者控制用户计算机等行为。
第2章黑客常用的系统攻击方法
任课教师:余文琼 2006年2月15日
第2 章
黑客常用的系统攻击方法
主要内容
2.1 黑客概述:由来、动机、攻击过程、攻击技术
及发展趋势
2.2 2.3 2.4 2.5 2.6
网络扫描原理与常用工具使用 网络监听原理与常用工具使用 木马攻击原理、常用工具与预防 拒绝服务攻击原理与预防 缓冲区溢出攻击原理与预防
2.2
网络安全扫描技术
一、安全扫描技术的基本原理: 安全扫描技术的基本原理: 安全扫描也称为脆弱性评估,其基本原理是采用 安全扫描也称为脆弱性评估 模拟黑客攻击的形式对目标可能存在的已知的安全 漏洞进行逐项检查,然后根据扫描结果向系统管理 员提供周密的、可靠的安全性分析报告,为提高网 络安全整体水平提供重要依据。 显然,安全扫描软件是把双刃剑,黑客可以利用它 来入侵系统,而系统管理员掌握它又可以有效地防 范黑客入侵。因此,安全扫描是保证系统和网络安 全必不可少的手段,要求仔细研究利用。
早期的黑客是指那些乐于深入探究系统的奥秘、寻找系统的 早期的黑客 漏洞、为别人解决困难,并不断挣脱网络和计算机给人们带 来的限制的计算机技术行家。早期的许多黑客,现在已成为 IT界的著名企业家或者安全专家。 到了20世纪80年代 80年代 80年代以后,随着计算机网络技术的发展,黑客 们把精力放在了各种系统漏洞上,并通过暴露网络系统中的 缺陷与非授权更改服务器等行为,来达到表现自我和反对权 威的目的。 21世纪 世纪以后,黑客群体又有了新的变化和新的特征:黑客群 21世纪 体扩大化、组织化、集团化、商业化、政治化。
三、网络安全扫描技术分类
目前安全扫描技术主要分两类:基于主机和基 于网络的安全扫描。 基于主机的扫描技术:它采用被动的、非破坏性的 基于主机的扫描技术
网络安全中黑客主要手段和攻击方法
网络安全中黑客主要手段和攻击方法(一)黑客常用手段1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。
通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。
欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。
欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。
当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。
利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。
逻辑炸弹计算机程序中的一条指令,能触发恶意操作。
9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10、口令破译--用软件猜出口令。
通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11、社交工程--与公司雇员谈话,套出有价值的信息。
12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
(二)黑客攻击的方法:1、隐藏黑客的位置典型的黑客会使用如下技术隐藏他们真实的IP地址:利用被侵入的主机作为跳板;在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。
网络安全攻击方法
网络安全攻击方法在网络安全领域,黑客和恶意用户利用各种方法来攻击系统和获取敏感信息。
以下是一些常见的网络安全攻击方法:1. 木马程序:木马是一种被恶意用户植入目标系统中的恶意软件。
它可以隐藏在看似合法的程序中,一旦安装并启动,就能在后台执行恶意操作,例如获取敏感信息、监控用户行为或破坏系统。
2. SQL注入:SQL注入是一种攻击技术,通过在应用程序的输入字段中注入恶意SQL代码来获取未授权的访问或更改数据库的权限。
黑客可以通过此方法绕过验证机制或者获取敏感数据。
3. 会话劫持:会话劫持是指黑客在网络会话过程中盗取合法用户的身份认证信息,然后利用这些信息冒充用户身份来进行非法操作。
这种攻击方式可能会导致用户隐私泄露和金融损失。
4.钓鱼攻击:钓鱼是一种通过伪造合法和可信的通信方式,诱使用户点击恶意链接、提供个人信息或下载恶意软件的攻击方法。
钓鱼邮件、钓鱼网站和钓鱼短信是常见的钓鱼攻击手段。
5. DDoS攻击:分布式拒绝服务(DDoS)攻击旨在通过同时向目标系统发送大量流量,超过其处理能力,使其无法正常运行。
这种攻击会导致目标系统崩溃,无法提供服务。
6.恶意软件:恶意软件包括病毒、蠕虫、间谍软件和广告软件等,它们都旨在植入目标系统并执行恶意操作,例如损坏数据、窃取信息或远程控制。
7.密码破解:黑客可以使用各种方法来获取用户的密码,例如使用暴力破解工具、利用弱密码或通过社交工程方法猜测密码。
一旦黑客获得密码,他们可以轻松地获取用户的敏感信息。
8.网络钓鱼:网络钓鱼是一种通过伪造合法机构的某种通信方式,欺骗用户提供个人信息或敏感数据的攻击方法。
这种攻击可以通过电子邮件、社交媒体、即时消息和网站进行。
9.无线网络攻击:黑客可以利用无线网络安全漏洞来攻击无线网络和连接到该网络的设备。
他们可以进行中间人攻击、无线网络钓鱼或通过无线网络获取用户敏感信息。
10.社交工程:社交工程是黑客通过欺骗、说服或威胁技术,从合法用户那里获取敏感信息或未经授权的访问权限的攻击方法。
网络安全漏洞利用黑客的攻击方法分析
网络安全漏洞利用黑客的攻击方法分析网络安全一直是当前社会亟待解决的问题,而黑客的攻击方法是导致网络安全漏洞的重要原因之一。
本文将对黑客利用网络安全漏洞的攻击方法进行分析,并探讨相应的应对策略。
一、漏洞扫描黑客首先会对目标系统进行漏洞扫描,以发现系统中存在的安全漏洞。
他们会使用各种扫描工具,如Nmap、OpenVAS等,对目标系统进行端口扫描、服务识别和漏洞探测,以此找到系统的薄弱点。
二、社会工程学攻击社会工程学攻击是黑客获取目标系统信息的一种常见方法。
他们通过伪装成信任的个体,如通过发送钓鱼邮件或进行电话欺诈等手段,骗取用户的敏感信息,例如账号密码、银行卡信息等。
这些信息会被黑客用于后续的攻击行动。
三、密码攻击黑客利用密码攻击技术来获取系统管理员或用户的密码信息。
其中,常见的攻击手段包括暴力破解和字典攻击。
暴力破解通过不断尝试各种组合的密码来找到正确的密码,而字典攻击则是通过使用密码字典中的预定义密码进行尝试。
四、缓冲区溢出攻击缓冲区溢出攻击是一种利用编程错误或缓冲区边界限制不当的漏洞进行攻击的方法。
黑客通过向缓冲区输入超过分配的内存空间的数据,从而覆盖系统内存中的其他关键数据或操纵系统的执行流。
五、拒绝服务攻击拒绝服务攻击是指黑客通过发送大量的恶意请求或者利用系统的软件漏洞,导致目标系统无法提供正常的服务。
这类攻击旨在耗尽系统的计算资源、网络资源或者应用程序资源,使其无法正常工作。
六、跨站脚本攻击(XSS)跨站脚本攻击是指黑客向目标网站插入恶意脚本代码,当用户访问该网站时,恶意脚本会在用户的浏览器上执行,从而实现攻击者的恶意目的,如窃取用户的个人信息、操纵用户的行为等。
七、SQL注入攻击SQL注入攻击是黑客通过在网站或应用程序的数据库查询中注入恶意的SQL代码,从而绕过应用程序的认证和授权机制,窃取、修改或删除数据库中的数据。
这种攻击方法非常危险,能够导致重大的数据泄露和系统瘫痪。
八、木马与后门攻击黑客利用木马程序或后门程序来入侵目标系统,以获取系统的控制权和敏感信息。
黑客常用的攻击方法以及防范措施
黑客常用的攻击方法以及防范措施1.密码暴力破解包括操作系统的密码和系统运行的应用软件的密码,密码暴力破解方法虽然比较笨,成功几率小,可是却是最有效的入侵方法之一。
因为服务器一般都是很少关机,所以黑客就有很多时间暴力破解密码,所以给系统及应用软件起一个足够复杂的密码非常重要。
2。
利用系统自身安全漏洞每一次严重的系统漏洞被发现,都会掀起找肉鸡(被入侵并被安装了后门的计算机)热,因为这类入侵经常发生在系统补丁发布与客户部署更新这个时间段里,所以在第一时间内给系统打上补丁相当重要,这就要求广大的网络管理员了解关注这方面的信息。
3。
特洛伊木马程序特洛伊木马的由来:大约在公元前12世纪,希腊向特洛伊城宣战。
这是因为特洛伊王子劫持了Sparta国王Menelaus的妻子Helen(据说是当时最美的女子).战争持续了10年,特洛伊城十分坚固,希腊军队无法取得胜利。
最终,希腊军队撤退,在特洛伊城外留下很多巨大的木马,里面藏有希腊最好的战士.特洛伊城的人民看到这些木马,以为是希腊军队留给他们的礼物,就将这些木马弄进城。
到了夜晚,藏在木马中的希腊士兵在Odysseus的带领下打开特洛伊城的城门,让希腊军队进入,然后夺下特洛伊城。
据说“小心希腊人的礼物”这一谚语就是出自这个故事.特洛伊木马是指一个程序表面上在执行一个任务,实际上却在执行另一个任务。
黑客的特洛伊木马程序事先已经以某种方式潜入你的计算机,并在适当的时候激活,潜伏在后台监视系统的运行,执行入侵者发出的指令,木马程序是一种计算机病毒,也叫后门程序。
4.网络监听网络监听工具原来是提供给网络管理员的管理工具,用来监视网络的状态,数据流动情况,现在也被网络入侵者广泛使用。
入侵者通过在被入侵的计算机上安装Sniffer软件,可以捕获该网段的敏感信息,其中包括一些明文密码,并对数据包进行详细的分析,就有可能对该网段其他的计算机产生安全威胁,所以说网络监听造成的安全风险级别很高。
黑客常用的攻击手法
黑客常用的攻击手法互联网发展至今,除了它表面的繁荣外,也出现了一些不好的现象,其中网络安全问题特别被人们看重。
黑客是网上比较神秘的一类人物,真正的黑客是为保护网络安全而工作的,但近年来出现了许多的黑客软件,进而产生一些伪黑客,他们不必了解互联网知识,使用一些黑客软件就能对他人造成损害,从而使互联网安全出现了许多危机。
黑客进行攻击的手法很多,我在这里为大家介绍一下常见的几种。
一、利用网络系统漏洞进行攻击许多的网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。
黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。
在个人电脑上网时出现的蓝屏炸弹就是利用了Windows在网络方面的一个Bug。
二、通过电子邮件进行攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。
黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。
当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。
三、解密攻击在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。
而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进行监听。
因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。
黑客的常用攻击手段
3.无中生有——伪造信息攻击 通过发送伪造的路由信息,构造系统源主机和目标主机的虚假路径,从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给人提供敏感的信息和有用的密码。
4.暗渡陈仓——针对信息协议弱点攻击 IP地址的源路径选项允许IP数据包自己选择一条通往系统目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的的主机A。
以下简述了几种黑客常用到的攻击手段,为了让大家在遇到有类似情况发生时能有所防备.
1.瞒天过海——数据驱动攻击 当有些表面看来无害的特殊程序在被发送或复制到网络主机上并被执行发起攻击时,就会发生数据驱动攻击。例如,一种数据驱动的攻击可以造成一台主机修改与网络安全有关的文件,从而使黑客下一次更容易入侵该系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于主机的IDS(HIDS)优点
(1)能够监视特定的系统行为。HIDS能够监视所有 的用户登录和退出,甚至用户所做的所有操作, 日志里记录的审计系统策略的改变,关键系统文 件和可执行文件的改变等。
(2)HIDS能够确定攻击是否成功。由于使用含有已 经发生事件的信息,它们可以比网络入侵检测系统 更加准确地判断攻击是否成功。
特征检测
主要局限性表现在:
(1) 不能检测未知的入侵行为。 (2) 与系统的相关性很强,即检测系统知识库中的入 侵攻击知识与系统的运行环境有关。对于不同的操作 系统,由于其实现机制不同,对其攻击的方法也不尽 相同,因而很难定义出统一的模式库。 (3) 对于系统内部攻击者的越权行为,由于他们没有 利用系统的缺陷,因而很难检测出来。
IPS入侵防御系统位置
由此可以得出结论,办公网中,至少需要在以下区 域部署IPS,即:
(1)办公网与外部网络的连接部位(入口/出口); (2)重要服务器集群前端; (3)办公网内部接入层。
至于其它区域,可以根据实际情况与重要程度,酌情部署。
IPS与IDS的区别
IPS对于初始者来说,是位于防火墙和网络的设备 之间的设备。这样,如果检测到攻击,IPS会在这 种攻击扩散到网络的其它地方之前阻止这个恶意 的通信。而IDS只是存在于你的网络之外起到报警 的作用,而不是在你的网络前面起到防御的作用。
采用两种技术混合的入侵检测
入侵检测的两种最常用技术在实现机理、处理 机制上存在明显的不同,而且各自都有着自身 无法逾越的障碍,使得各自都有着某种不足。 但是采用这两种技术混合的方案,将是一种理 想的选择,这样可以做到优势互补。
8.4 IDS在企业网中的应用——部署位置
IDS在交换式网络中的位置一般选择为:尽可能靠 近攻击源、尽可能靠近受保护资源。这些位置通 常是:
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。 (2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。 (4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
入侵检测系统
全称为Detection System,缩写为 IDS,可以是软件,也可以是一种进行入侵 检测的软件与硬件的组合。
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的 通信信息,另一种是在一台单独的机器上运行以 监测所有网络设备的通信信息,比如Hub、路由 器。
代理
域名 服务器
这种防护用以 监测系统上正 在运行的进程 是否合法
基于主机的IDS
基于主机的入侵检测系统通常以系统日志、应用 程序日志等审计记录文件作为数据源。它是通过 比较这些审计记录文件的记录与攻击签名 (Attack Signature,指用一种特定的方式来表示 已知的攻击模式)以发现它们是否匹配。如果匹配, 检测系统就向系统管理员发出入侵报警并采取相 应的行动。基于主机的IDS可以精确地判断入侵事 件,并可对入侵事件作出立即反应。
分布式的IDS将是今后人们研究的重点,它是一种相 对完善的体系结构,为日趋复杂的网络环境下的安全 策略的实现提供了最佳的解决方案。
8.3 IDS分析技术
异常检测(Anomaly Detection) 特征检测(Signature-based detection)
异常检测
原理:首先建立系统或用户的
服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。
IDS的部署位置
内部局 域网
可以部署于网络内部
Snort
防火墙
Snort
DMZ
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
Internet
WEBSrv 没有IDS系统的企业 网络是极不安全的
第八章 入侵检测技术
2020/10/9
本章主要内容
8.1 入侵检测概述 8.2 入侵检测系统分类 8.3 入侵检测在企业网中的应用 8.4 入侵检测系统目前存在的问题 8.5 入侵检测的发展趋势
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
记入日志 实时报警
入侵检测系统的两个性能指标
一是漏报率,指攻击事件没有被IDS检测到,与其 相对的是检出率;
二是误报率,指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。
100%
误 报 率
检出率 100%
性能指标计算公式:
网络中发生的真实的攻击事件数量为M,IDS漏报 的事件数量为N,则
通常对IDS的部署的唯一要求是:IDS应当挂接在 所有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访 问流量和需要进行统计、监视的网络报文。
入侵检测系统工作原理
信息收集
信息分析
是否是
N
攻击
忽略
Y 记录/报警
收集流量的内容、用户连接的状态和行为 通过模式匹配,统计分析和完 整性分析三种手段进行分析
IPS检测攻击的方法也与IDS不同。一般来说,IPS 系统都依靠对数据包的检测。IPS将检查入网的数 据包,确定这种数据包的真正用途,然后决定是 否允许这种数据包进入你的网络。
什么是入侵(Intrusion)行为?
入侵行为主要是指对系统资源的非授 权使用,不仅包括发起攻击的人取得超出 范围的系统控制权,也包括收集漏洞信息, 造成拒绝访问等对计算机造成危害的行为。
什么是入侵检测?
入侵检测是指通过从计算机网络系统 中的若干关键点收集信息,并分析这些信 息,从而发现网络或系统中是否有违反安 全策略的行为和遭到袭击的迹象的一种安 全技术。
漏报率=N/M*100%
误报率的计算方法很多,各种算法之间最大的不同 都在分母的取值上,目前比较常见的IDS误报率的 计算方法是:
误报率=存在误报的事件数(X)/ 事件库总量(N) *100%(其中某IDS的事件总是为N,存在 误报的事件数为X)
例 子:
已知10个网络事件,其中6个正常事件,4个攻击 事件;现有一入侵检测系统检测到5个攻击事件的 发生,但其中有2个事件为正常事件被误判作为攻 击事件,则:
为什么要用入侵检测系统?
“防火墙”,是指一种将内部网和公众访问网(如 Internet)分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺 度,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外,最大限 度地阻止网络中的黑客来访问你的网络。换句话说, 如果不通过防火墙,公司内部的人就无法访问 Internet,Internet上的人也无法和公司内部的人 进行通信。
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
Internet
DMZ
WEBSrv
基于主机的 IDS
邮件服务器
部署于主机上的IDS
I对网络流量进行监 控的IDS
基于网络的 IDS
打印服务器
8.5 入侵检测系统目前存在的问题
特征检测
特征检测又称滥用检测Misuse detection,这一检 测假设所有入侵行为和手段都能够表达为一种模式 或特征,因而所有已知的入侵方法都可以用匹配的 方法发现,但对新的入侵方法无能为力。
基本前提是:假定所有可能的入侵行为都能被识别 和表示。
其难点在于如何设计模式既能够表达“入侵”现象 又不会将正常的活动包含进来。
IPS是英文“Intrusion Prevention System”的缩 写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的 不断发现,传统防火墙技术加传统的入侵检测技 术,已经无法应对一些安全威胁。在这种情况下, IPS技术应运而生,IPS技术可以深度感知并检测 流经的数据流量,对恶意报文进行丢弃以阻断攻 击,对滥用报文进行限流以保护网络带宽资源。
8.2 入侵检测系统分类
➢ 基于主机(Host-Based)的入侵检测系统 ➢ 基于网络(Network-Based)的入侵检测系统 ➢ 分布式入侵检测系统
8.2.1 基于主机的IDS
主机型入侵检
测系统保护的
防火墙
是主机系统
主机IDS
代理
代理
邮件 服务器
WWW 服务器
每台主机上安 装一个入侵检
测代理
行为特征
动态产生新 的行为特征
异常检测
从异常检测的实现机理来看,异常检测所面临的关键 问题有:
(1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取
从异常检测的原理我们可以看出,该方法的技术难点 在于:
“正常”行为特征轮廓的确定; 特征量的选取;特征轮廓的更新。 由于这几个因素的制约,异常检测的误报率会很高,但对 于未知的入侵行为的检测非常有效,同时它也是检测冒充 合法用户的入侵行为的有效方法。
“正常”行为特征轮廓,通过
比较当前的系统或用户的行为
是否偏离正常的行为特征轮廓
来判断是否发生了入侵行为。
与系统相对无关,通用性强
能检测出新的攻击方法
审计数据
误检率较高
异常检测是根据使用者的行为
或资源使用状况来判断是否入
侵,所以异常检测又称基于行
为的入侵检测。
更新
系统正常的统计分析 入侵 行 为 特 征 轮 廓偏 离 正 常 行 为