2020 1 22 第5章安全事件處理 5 1攻擊及其相關概念5 2安全事件管理方法5 3惡意代碼5 4常見的攻擊類型5 5無線網(wǎng)絡安全5 6傳感網(wǎng)絡5 7習題 5 1攻擊及其相關概念 5 1 1安全事件5 1 2安全事件類型 2020 1 22 2020 1 22 5 1攻擊及其相關概念 什么是攻擊攻擊是指在未授權的情況下訪問系統(tǒng)資源或阻止授權用戶正常訪問系統(tǒng)資源攻擊者實施攻擊行為的主體 可以是一個個體 也可以是一個團體攻擊的類型軍事情報攻擊 商業(yè)金融攻擊 恐怖襲擊 基于報復的攻擊 以炫耀為目的的攻擊 2020 1 22 5 1 1安全事件 任何違背本系統(tǒng)安全策略的行為都可以稱為安全事件安全事件處理最重要的步驟就是能夠及時發(fā)現(xiàn)已經(jīng)發(fā)生的安全事件當意識到系統(tǒng)存在攻擊行為時 就應該迅速尋找到攻擊位置并判斷攻擊類型 2020 1 22 5 1 2安全事件類型 掃描掃描就是動態(tài)地探測系統(tǒng)中開放的端口 通過分析端口對某些數(shù)據(jù)包的響應來收集網(wǎng)絡和主機的情況非授權訪問非授權訪問是指越過訪問控制機制在未授權的情況下對系統(tǒng)資源進行訪問或是非法獲得合法用戶的訪問權限后對系統(tǒng)資源進行訪問 惡意代碼惡意代碼可以是一個程序 一個進程 也可以是其它的可執(zhí)行文件 共同特征是可以引發(fā)對系統(tǒng)資源的非授權修改或其它的非授權行為病毒 蠕蟲 木馬拒絕服務破壞數(shù)據(jù)的可用性 5 2安全事件管理方法 5 2 1安全事件預防5 2 2安全事件處理標準的制定5 2 3對安全事件的事后總結 2020 1 22 2020 1 22 5 2安全事件管理方法 處理安全事件的步驟1 檢測安全事件是否發(fā)生 2 控制事件所造成的損害 3 將事件與事件造成的損害上報給合適的認證方 4 調查事件的起因 來源 5 分析搜索到的線索 6 采取必要行動避免類似事件發(fā)生 2020 1 22 事件響應小組響應小組通過使用工具及其它辦法調查與控制安全事件 每一種類型的事件都需要通過不同的行為來控制損害程度 在對事件進行響應的時候 響應小組需要收集便于以后分析的信息以及可能成為證據(jù)的信息 證據(jù)可能是一個硬盤 一個軟件或其他可以證明攻擊者身份的數(shù)據(jù) 當發(fā)現(xiàn)攻擊有違反法律法規(guī)的可能性時就及時報警 2020 1 22 5 2 1安全事件預防 安全策略資源網(wǎng)站 2020 1 22 5 2 2安全事件處理標準的制定 安全事件處理流程一部分小組成員負責評估損害程度一部分成員負責將事件告知管理人員并與服務商聯(lián)系尋求幫助一個成員需要決定是否需要告知警察來協(xié)助調查流程要求每一個成員都會遵循事前制定好的步驟保證所有的處理過程專業(yè)化一個記錄著從開始到結束過程中每一步操作的詳細文檔將與執(zhí)法部門相關的要求加入到流程標準中 2020 1 22 5 2 3對安全事件的事后總結 開展小組會議哪些是做得好的地方 響應是否及時并且恰當 哪些方面還可以提升 應急響應的動作是否顧及了系統(tǒng)的整體安全 能夠采取什么樣的措施來降低同類事件再次發(fā)生的可能性 2020 1 22 5 3惡意代碼 5 3 1病毒5 3 2蠕蟲5 3 3特洛伊木馬5 3 4網(wǎng)絡控件 2020 1 22 5 3 1病毒 病毒是最為常見的一種惡意代碼 一個病毒就是一個簡單的程序 其目的在于尋找其他的程序 通過將自身的復件嵌入到程序的方式來感染其它程序 被感染的程序就叫做病毒宿主 當主程序運行時 病毒代碼同樣也會運行 特點需要一個用于感染的宿主 脫離宿主 病毒就不能自我復制 2020 1 22 5 3 2蠕蟲 蠕蟲的定義及分類蠕蟲也是一種病毒 具有病毒的傳播性 隱蔽性 破壞性等特性 2020 1 22 蠕蟲病毒的分類針對計算機網(wǎng)絡的 利用系統(tǒng)漏洞 主動進行攻擊 可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果 如 紅色代碼 尼姆達 針對個人主機的 通過網(wǎng)絡 主要是電子郵件 惡意網(wǎng)頁形式 進行迅速傳播 如 愛蟲病毒 求職信病毒 2020 1 22 蠕蟲的基本結構 傳播過程掃描 由蠕蟲的掃描功能模塊負責探測存在漏洞的主機 當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后 就得到一個可傳播的對象 攻擊 攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象 取得該主機的權限 一般為管理員權限 獲得一個shell 復制 復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動 2020 1 22 蠕蟲特點及危害 利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊 傳播方式多樣制作技術與傳統(tǒng)的病毒不同與黑客技術相結合 潛在的威脅和損失更大 2020 1 22 5 3 3特洛伊木馬 特洛伊木馬 簡稱 木馬 是一種秘密潛伏的能夠通過遠程網(wǎng)絡進行控制的惡意程序 控制者可以控制被秘密植入木馬的計算機的一切動作和資源 是惡意攻擊者進行竊取信息等的工具 特洛伊木馬沒有復制能力 它的特點是偽裝成一個實用工具或一個可愛的游戲 誘使用戶將其安裝在PC或者服務器上 2020 1 22 木馬組成服務端 被控制端 客戶端 控制端 啟動在Win ini中啟動 Win ini的 windows 字段中有啟動命令 load 和 run 一般情況下 后面是沒有內容的 而攻擊者可以把木馬程序放在 后面 在System ini中啟動利用注冊表加載運行 注冊表的很多位置都是木馬藏身之所 在Autoexec bat和Config sys中啟動啟動組 是木馬隱藏的重要位置制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這些同名文件 達到啟動木馬的目的修改文件關聯(lián) 捆綁文件 2020 1 22 木馬的隱藏隱藏在任務欄 這是木馬最基本的隱藏方式 隱藏在任務管理器 主機端口隱藏通訊隱藏加載方式 木馬通過對加載方式的隱藏 使得用戶運行木馬程序木馬的特性木馬包含在正常程序中 隨著正常程序的運行而啟動 具有隱蔽性具有自動運行性對系統(tǒng)具有極大危害性 具有自動恢復功能 2020 1 22 木馬的種類 2020 1 22 5 3 4網(wǎng)絡控件 現(xiàn)在的Web瀏覽器和其它的網(wǎng)絡應用都依賴于能夠提供大量復雜功能的可執(zhí)行程序 這種插件程序可以很容易地保證系統(tǒng)處于最新狀態(tài)并且能夠支持很多新文件的類型 但是這些程序同樣可以被某些人利用 使其很容易就將惡意代碼發(fā)送到用戶主機 作為用戶 必須保證病毒掃描器和防御軟件可以有效地保護系統(tǒng)不被惡意程序損壞 2020 1 22 5 4常見的攻擊類型 5 4 1后門攻擊5 4 2暴力攻擊5 4 3緩沖區(qū)溢出5 4 4拒絕服務攻擊5 4 5中間人攻擊5 4 6社會工程學5 4 7對敏感系統(tǒng)的非授權訪問 5 4 1后門攻擊 定義通過后門繞過軟件的安全性控制從而獲取程序或系統(tǒng)訪問權的方法道德敗壞的程序編寫者能夠利用后門獲取非授權的數(shù)據(jù)對策預防后門最好的方法就是通過加強控制和安全關聯(lián)測試來檢驗后門是否存在 并在發(fā)現(xiàn)后門時及時采取措施 2020 1 22 5 4 2暴力攻擊 定義通過嘗試系統(tǒng)可能使用的所有字符組合來猜測系統(tǒng)口對策小心保管系統(tǒng)口令并在系統(tǒng)中設置允許輸入口令次數(shù)的最大值 若超過這個數(shù)值 賬號就會被自動鎖定 同時要對登陸行為進行日志記錄 可以在日后用于調查 2020 1 22 5 4 3緩沖區(qū)溢出 定義利用存儲的字符串長度超過目標緩沖區(qū)存儲空間而覆蓋在合法數(shù)據(jù)上進行攻擊兩種方法植入法 攻擊者向被攻擊的程序輸入一串字符串 程序會將這個字符串放到緩沖區(qū) 字符串內包含的可能是被攻擊平臺的指令序列 緩沖區(qū)可以設在任何地方 堆棧 堆或靜態(tài)存儲區(qū) 利用已經(jīng)存在的代碼 很多時候 攻擊者需要的代碼已經(jīng)存在于被攻擊的程序中 攻擊者要做的就是傳遞一些參數(shù) 2020 1 22 5 4 4拒絕服務攻擊 定義用于摧毀系統(tǒng)的可用性 導致系統(tǒng)過于繁忙以至于沒有能力去響應合法的請求分布式拒絕服務攻擊 Ddos SYNFlood攻擊 2020 1 22 5 4 5中間人攻擊 通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間 然后把這臺計算機模擬一臺或兩臺原始計算機 使 中間人 入侵者放置的計算機 能夠與原始計算機建立活動連接 而兩臺原始計算機用戶卻意識不到 中間人 的存在 只以為是和彼此進行通信 2020 1 22 5 4 6社會工程學 概念利用被攻擊者心理弱點 本能反應 好奇心 信任 貪婪等心理陷阱 以交談 欺騙 假冒等方式 從合法用戶中套取用戶系統(tǒng)秘密的一種攻擊方法對策對付這種類型的攻擊最有效的方法就是加強安全意識教育 要讓用戶記住任何情況下都不能向其他人泄露自己的口令 任何想要進入系統(tǒng)的用戶都應該被及時報告給上級 通過這些簡單的規(guī)則可以有效地降低社會工程學的攻擊 2020 1 22 5 4 7對敏感系統(tǒng)的非授權訪問 大部分攻擊的目標都是訪問系統(tǒng)的敏感信息 一種情況是攻擊者獲取具有經(jīng)濟價值的信息 例如關于某個投資項目競標的信息 另一種情況是攻擊者只想修改信息 例如在某次考試中成績不理想的同學 就會想辦法進入成績數(shù)據(jù)庫 將自己的成績信息進行修改 無論是處于哪種目的 對敏感信息的非授權訪問都會對系統(tǒng)造成嚴重的損害 2020 1 22 2020 1 22 5 5無線網(wǎng)絡安全 5 5 1無線網(wǎng)絡基礎5 5 2無線網(wǎng)絡協(xié)議標準5 5 3無線網(wǎng)絡安全5 5 4無線局域網(wǎng)存在的安全問題 5 5 1無線網(wǎng)絡基礎 分類按傳輸媒體 輸媒體主要有兩種 即紅外線和無線電波按調制方式 擴頻方式與窄帶調制方式 2020 1 22 5 5 2無線網(wǎng)絡協(xié)議標準 2020 1 22 圖5 3802 11系列協(xié)議的實際參數(shù) 5 5 3無線網(wǎng)絡安全 WEP WiredEquivalentPrivacy 和WPA Wi FiProtectedAccess 是無線網(wǎng)絡安全中最重要的兩個安全加密模式WEPWEP算法通過一個長度為40位的密鑰來提供身份認證與加密 在WEP安全機制中 同一無線網(wǎng)絡的所有用戶和接入訪問點 AP 使用相同的密鑰來加密和解密 網(wǎng)絡中的每個用戶和AP都存放著一份密鑰 2020 1 22 2020 1 22 無線網(wǎng)絡完整性校驗過程校驗和計算 密鑰流生成 數(shù)據(jù)加密 數(shù)據(jù)傳輸 2020 1 22 WPA以一把128位元的鑰匙和一個48位元的初向量 IV 的RC4流密碼來加密使用稱為 Michael 的更安全的訊息認證碼 在WPA中叫做訊息完整性查核 MIC 增大鑰匙和初向量 減少和鑰匙相關的封包個數(shù) 增加安全訊息驗證系統(tǒng) 5 5 4無線局域網(wǎng)存在的安全問題 身份標識入侵者可以通過克隆MAC地址來試圖連接網(wǎng)絡攻擊者可以利用廠商默認SSID來滲透無線局域網(wǎng)缺乏訪問控制機制攻擊者可以通過更改本身的MAC地址進入網(wǎng)802 11標準中缺乏認證機制WEP密鑰的管理問題WEP密鑰管理的缺失是另一個較為重要的安全漏洞大型網(wǎng)絡架構包含眾多漫游基站與客戶端 而相互之間缺乏內部訪問協(xié)議 2020 1 22 5 6傳感網(wǎng)絡 5 6 1傳感網(wǎng)絡的基本元素5 6 2無線傳感網(wǎng)絡安全 2020 1 22 2020 1 22 5 6傳感網(wǎng)絡 傳感網(wǎng)絡是指相互合作的多個獨立設備以自組織的形式構成網(wǎng)絡 并通過多跳中繼方式將監(jiān)控數(shù)據(jù)傳到匯聚節(jié)點 這些相互合作的獨立設備在傳感網(wǎng)絡中稱為傳感器 用于偵查 監(jiān)督 追蹤周邊環(huán)境變量 如不同地點的溫度 聲音 振動和壓力 5 6 1傳感網(wǎng)絡的基本元素 路由以數(shù)據(jù)為中心的路由協(xié)議 分層次的路由協(xié)議和基于地點的路由協(xié)議功耗容錯性任何傳感網(wǎng)絡的可靠性必須強 能夠不受單個節(jié)點錯誤的影響可擴展性當有新的節(jié)點加入時 傳感網(wǎng)絡應該不受影響 生產(chǎn)成本無線傳感網(wǎng)絡通常使用大量的傳感節(jié)點 每個獨立的傳感節(jié)點都關系著整個傳感網(wǎng)絡的成本傳感網(wǎng)絡的拓撲結構傳輸介質紅外 藍牙 無線射頻或光波 2020 1 22 5 6 2無線傳感網(wǎng)絡安全 一 無線傳感網(wǎng)絡安全需求節(jié)點的物理安全性真實性 完整性 可用性安全功能的低能耗性節(jié)點之間的合作性攻擊容忍性攻擊發(fā)現(xiàn)和排除 2020 1 22 二 無線傳感網(wǎng)絡的安全機制抗干擾訪問控制密鑰管理數(shù)據(jù)備份抗節(jié)點劫持 2020 1 22 2020 1 22 習題 一 選擇題1 以下哪一項不屬于惡意代碼 A 病毒B 特洛伊木馬C 系統(tǒng)漏洞D 蠕蟲2 使授權用戶泄露安全數(shù)據(jù)或允許非授權訪問的攻擊方式稱作A 拒絕服務攻擊B 中間人攻擊C 社會工程學D 后門攻擊 2020 1 22 二 問答題1 病毒與蠕蟲有何區(qū)別 試舉例常見的病毒和蠕蟲 2 簡述WEP算法原理 3 常見的攻擊類型有哪些 該如何防范這些攻擊