搜索
第六章系统安全桂小林2014.9.1726.1系统安全的概念6.2恶意攻击6.3入侵检测6.4攻击防护6.5网络安全通信协议6.6本章小结本章内容3第六章系统安全基本要求熟悉系统安全的概念和各种隐患了解恶意攻击的概念、来源和攻击的原理了解入侵检测的相关方法技术了解攻击防护技术相关概念熟悉网络安全通信协议根据本章文献,参阅一篇感兴趣的文献并总结。46.1系统安全概念系统安全的范畴嵌入式节点的安全网络通信系统的安全存储系统的安全56.1系统安全概念系统安全的隐患什么是安全威胁安全威胁是指对安全的一种潜在的侵害,威胁的实施称为攻击信息安全的威胁就是指某个主体对信息资源的机密性、完整性、可用性等所造成的侵害。系统缺陷系统缺陷又可称为系统漏洞,是指应用软件、操作系统或系统硬件在逻辑设计上无意造成的设计缺陷或错误。恶意软件攻击恶意软件的攻击主要表现在各种木马和病毒软件对信息系统的破坏66.1系统安全概念系统安全的隐患外部网络攻击TCPflood攻击Smurf攻击DDoS攻击钓鱼攻击非授权和认证访问行为否认非授权访问6.2恶意攻击什么是恶意攻击网络恶意攻击通常是指利用系统存在的安全漏洞或弱点,通过非法手段获得某信息系统机密信息的访问权,以及对系统部分或全部的控制权,并对系统安全构成破坏或威胁。恶意攻击的来源恶意软件•木马•蠕虫•病毒DDoS6.2恶意攻击病毒攻击的原理计算机病毒•计算机病毒(ComputerVirus)的广义定义是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。•《中华人民共和国计算机信息系统安全保护条例》中定义的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。6.2恶意攻击病毒攻击的原理病毒的特征•可执行性•传染性•非授权性•隐蔽性•潜伏性•破坏性•寄生性•不可预见性•诱惑欺骗性6.2恶意攻击病毒攻击的原理病毒的分类•引导型病毒•文件型病毒•复合型病毒•宏病毒•计算机蠕虫•特洛伊木马6.2恶意攻击病毒攻击的原理病毒攻击的原理分析•以引导型病毒为例分析正常DOS自举带病毒的DOS自举6.2恶意攻击木马攻击的原理什么是木马•木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制对方的计算机。•完整的木马程序一般由两个部份组成,一个是服务器被控制端程序,一个是客户端控制端程序。木马典型攻击原理•当服务器端在目标计算机上被执行后,木马打开一个默认的端口进行监听,当客户端(控制端)向服务器端(被控主机部分)提出连接请求,被控主机上的木马程序就会自动应答客户端的请求,服务器端程序与客户端建立连接后,客户端(控制端)就可以发送各类控制指令对服务器端(被控主机)进行完全控制,其操作几乎与在被控主机的本机操作权限完全相同。6.2恶意攻击木马攻击的原理木马植入原理•通过电子邮件附件的方式•捆绑在各类软件中•网页挂马木马隐藏原理•木马程序隐藏•启动隐藏方式•进程隐藏•通信隐藏•通过设备驱动和动态连接口隐藏6.3入侵检测入侵检测的概念入侵•入侵是指在信息系统中进行非授权的访问或活动,不仅指非系统用户非授地登陆系统和使用系统资源,还包括系统内的用户滥用权力对系统造成的破坏,如非法盗用他人帐户,非法获得系统管理员权限,修改或删除系统文件等。入侵检测•入侵检测可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程。•对外部入侵(非授权使用)行为的检测。•对内部用户(合法用户)滥用自身权限的检测。6.3入侵检测入侵检测的概念入侵检测系统•进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,IDS)入侵检测的内容•试图闯入•成功闯入•冒充其他用户•违反安全策略•合法用户的泄漏•独占资源以及恶意使用6.3入侵检测入侵检测系统组成•数据源•探测器•分析器•管理器•管理员•安全策略6.3入侵检测入侵检测系统入侵检测系统分类•基于网络的入侵检测系统(NetworkIntrusionDetectionSystem,NIDS)•基于主机的入侵检测系统(Host-basedIntrusionDetectionSystem,HIDS)NIDS•优势:独立与操作系统,检测实时性强•缺点:需要传回大量的网络数据包,无法分析加密数据,存在攻击特征被拆分的情况等6.3入侵检测入侵检测系统HIDS•优势–能很好的处理加密数据包–可以综合多个数据源进行分析–高速网络情况下不存在数据表丢失的情况•缺点–降低系统性能–配置和维护困难–逃避检测–存在数据欺骗的问题–实时性较差6.3入侵检测入侵检测系统入侵检测的方法•特征检测•统计检测•专家系统•其他检测方法6.3入侵检测入侵检测系统入侵检测的方法•特征检测•统计检测•专家系统•其他检测方法–基于免疫系统的检测方法–遗传算法–基于内核的检测方法6.3入侵检测入侵检测系统蜜罐和蜜网•蜜罐(Honeypot)–Honeypot是一种网络入侵检测系统,它诱导攻击者访问预先设置的蜜罐而不是工作中网络,可以提高检测攻击和攻击者行为的能力,降低攻击带来的破坏•蜜罐与NIDS相比较的特点–较小的数据量–减少误报率–捕获漏报–资源最小化6.3入侵检测入侵检测系统蜜罐和蜜网•蜜网(Honeynet)–蜜网的概念由蜜罐发展而来,是由真实计算机组成的网络系统,部署有入侵检测系统,系统和网络的安全防护级别设置较低,诱导入侵者进入系统,并监控和记录入侵者的行为•蜜网和蜜罐的异同–蜜网是一个网络系统,而并非某台单一主机–蜜网中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序–蜜罐是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈诱惑性的信息的假信息来诱骗入侵者–蜜网是在入侵检测的基础上实现入侵诱骗6.3入侵检测入侵检测系统蜜网的原型系统•防火墙•入侵检测系统•二层网关•蜜网6.3入侵检测入侵检测系统病毒检测•检测方法–直接观察法–特征代码法–校验和法–行为监测法–软件模拟法6.4攻击防护防火墙概念•防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络设备,常常被安装在受保护的内部网络连接到Internet的点上,它对传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许。•防火墙内的网络称为“可信赖的网络”(trustednetwork),而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。•防火墙可用来解决内联网和外联网的安全问题。6.4攻击防护防火墙功能•防火墙的功能有两个:阻止和允许。•“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。•“允许”的功能与“阻止”恰好相反。•防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。6.4攻击防护防火墙在网络中的位置G内联网可信赖的网络不可信赖的网络分组过滤路由器R分组过滤路由器R应用网关外局域网内局域网防火墙因特网6.4攻击防护防火墙恶意软件检测防护工具恶意软件检测防护工具的工作原理(Android系统)6.4攻击防护病毒查杀毒查杀就是指利用各类安全工具发现系统中隐藏的各类可疑病毒程序,并且能够清除感染对象中的病毒,恢复被病毒感染前的原始信息的能力。病毒查杀工具运行原理图(Android系统)6.4攻击防护沙箱工具沙箱是为一些来源不可信、具有破坏力或无法判定程序意图的程序同实验的环境。软件安全判定沙箱工具工作原理(Android系统)6.4网络安全通信协议协议协议是指两个或多个以上参与者为完成某项特定的任务而采取的一系列步骤。通信协议通信协议是指通信各方关于通信如何进行所达成的一致性规则,即由参与通信的各方按确定的步骤做出一系列通信动作,是定义通信实体之间交换信息的格式及意义的一组规则。6.4网络安全通信协议安全协议安全协议是指通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则。网络安全通信协议属于安全协议,是指在计算机网络中使用的具有安全功能的通信协议。6.4网络安全通信协议TCP/IP安全分析由于TCP/IP协议簇在早期设计时是以面向应用为根本目的的,因此未能充分考虑到安全性及协议自身的脆弱性、不完备性,导致网络中存在着许多可能遭受攻击的漏洞。网络层协议的安全隐患•IP协议在实现通信的过程中并不能为数据提供完整性和机密性保护,缺少基于IP地址的身份认证机制,容易遭到IP地址欺骗攻击6.4网络安全通信协议传输层协议的安全隐患TCP协议的安全隐患•服务器端维持大量的半连接列表而耗费一定的资源。•序列号可计算UDP协议的安全隐患•不确认报文是否到达•不进行流量控制•不作纠错和重传6.4网络安全通信协议应用层协议的安全隐患大部分协议以超级管理员的权限运行,一旦这些程序存在安全漏洞且被攻击者利用,极有可能取得整个系统的控制权。许多协议采用简单的身份认证方式,并且在网络中以明文方式传输。6.4网络安全通信协议TCP/IP的安全体系结构SNMPPGPS/MIMEPEMSETIKETELNETHTTPSX.509RIPv2SNMPv3BGP-4SSLTLSTCPUDPIPsec(AH)IPsec(ESP)IPPPTPL2TPPPPL2F硬件设备驱动程序及介质介入协议应用层传输层网络层链路层6.4网络安全通信协议IPSec协议IPSec(IPSecurity)是IETF于1998年11月公布的IP安全标准,目标是为IPv4和IPv6提供透明的安全服务。IPSec通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族,用于保证数据的机密性、来源可靠性、无连接的完整性并提供抗重播服务。6.4网络安全通信协议IPSec协议IPSec的组成•AuthenticationHeader(AH,验证报头)协议–定义了认证的应用方法,提供数据源认证和完整性保证•EncapsulatingSecurityPayload(ESP,封装安全有效负载)协议–定义了加密和可选认证的应用方法,提供可靠性保证•InternetKeyExchange(IKE,密钥的交换标准)协议–用于密钥交换6.4网络安全通信协议IPSec协议IPSec的体系结构6.4网络安全通信协议IPSec协议IPSec的工作模式•传输模式–传送模式用来保护上层协议,用于两个主机之间端对端的通信•隧道模式–也称通道模式,是用来保护整个IP数据报,通常在SA的一端或是两端都是安全网关时使用6.4网络安全通信协议IPSec协议IPSec工作模式比较传输模式隧道模式AH验证IP有效载荷和IP报头及IPv6扩展报头的选择部分验证各个内部的IP包(内部报头加上IP有效载荷),加上外部IP报头和外部IPv6扩展报头的选择部分ESP加密IP有效载荷和跟在ESP报头后面的任何IPv6扩展加密内部IP包具有身份验证的ESP加密IP有效载荷和跟在ESP报头后面的任何IPv6扩展;验证IP有效载荷,但没有IP报头加密内部IP包和验证内部IP包6.4网络安全通信协议IPSec协议安全关联(SecurityAssociation,SA)•为了正确封装和提取IPsec的数据包,有必要采取一套专门的方案,将安全服务、密钥等与要保护的通信数据联系在一起,这样的构建方案称为安全关联。•SA是发送者和接收者两个IPsec系统之间的一个单向逻辑连接,若要在一个对等系统间进行源和目的的双向安全通信,则需要两个SA。•安全关联SA通过一个三元组(安全参数索引SPI、目的IP地址和安全协议AH或ESP)来唯一标识。6.4网络安全通信协议IPSec协议抗重播服务•IPSec协议通过数据包使用一个序列号和一个滑动的接收窗口实现抗重播服务•每个IPSec头内,都包含了一个独一无二、且单调递增的序列号•接收窗口的大小可为大于32的任何值,但推荐为64。从性能考