1.入侵检测技术概述
主要包括入侵检测相关基础知识,包括入侵检测的产生与发展历程、入侵检测的基本概念合作用、研究入侵检测的必要性以及入侵检测面临的问题和入侵检测技术的发展趋势
首先我们了解一下
入侵检测的基本概念
入侵检测是一种动态的监控、预防或抵御系统入侵行为的安全机制,主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。
入侵监测的基本作用和功能
1.监控、分析用户和系统的活动
2.审计系统的配置和弱点
3.评估关键系统和数据文件的完整性
4.识别共计的活动模式
5.对异常的活动进行统计分析
6.对操作系统进行审计跟踪管理,识别违反政策的用户活动
目前入侵检测面临的问题
1.高速网络环境的性能提高问题
2.IDS(Intrusion Detection Syetem)主动防御能力不足的问题
3.IDS体系结构问题
4.IDS自身的健壮性问题
5.云环境下的入侵检测问题
2.入侵方法及手段
首先讲一下
网络入侵的一般流程
1.确定目标
2.信息收集
3.漏洞挖掘
4.实施攻击
5.留下后门
6.清除日志
安全威胁的表现形式有很多种,包括仅仅干扰网络的正常运作(通常称这种攻击位拒绝服务攻击,简称Dos攻击),也可以复杂到对选定的目标主动地进行攻击,修改或者控制网络资源。
常见威胁如下
1.口令破解
2.漏洞保护
3.特洛伊木马攻击
4.DoS攻击
5.IP地址欺骗
6.网络监听
7.病毒攻击
8.社会工程攻击等
拒绝服务攻击
先讲一下拒绝服务攻击的基本原理
拒绝服务供给是因特网中非常普遍的和难以预防的一种攻击形式。
拒绝服务攻击的方式有很多种。最基本的拒绝服务攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程等。这种攻击会导致网络设备或操作系统资源的匮乏。
典型拒绝服务攻击的手段
1.SYN湮没
SYN是TCP/IP建立连接时使用的握手信号,
在客户及和服务器之间建立正常的网络连接
2.Land攻击
通过利用某些操作系统在TCP/IP实现方式上的漏洞来破坏主机
3.Smurf攻击
该方法结合使用的IP欺骗和ICMP恢复方法使大量数据充斥目标系统,引起目标系统不能为正常系统进行服务
4.Teardrop
可以使得目标主机崩溃或挂起。Teardrop攻击和其他类似的攻击发出的TCp或UDP包包含了错误的IP包重组信息,这样主机就会使用错误的信息重新组合一个完整的包,结果造成助记词听崩溃或者挂起。
缓冲区溢出攻击
缓冲区是计算机内存中临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建。
一个强健的程序应该可以创建足够大的缓冲区来保存它接受的数据,或者可以检测缓冲区的使用情况并拒绝接收超过缓冲区保存上线的数据。
假如一个程序从表单中获取输入信息。如果这个程序为表单数据分配的缓冲区是16kb,而输入者试图输入18kb的数据,那么这个程序可能会允许没有检查的输入数据,而不考虑大小问题,则结果超出缓冲区的数据就可能被写入到其他的内存区域中。如果在这部分内存中已经存放了一些重要的内容,那么有可能造成数据丢失或者系统崩溃。
这种攻击的危险在于:如果缓冲区溢出引起数据覆盖了一个相邻的内存区域,而这个区域又是计算机指令堆栈的一部分的话,那么恶意用户就可能利用这一部分的指令做出危险的行为。
跨站脚本攻击
因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或者转换,从而导致了跨站脚本执行的漏洞。CGI的输入形式主要分为两种:
1.显式输入
2.隐式输入
其中显式输入明确要求用户输入数据,而隐式输入并不要求用户输入数据,但是用户可以通过输入数据来干扰。
显是输入又可以分为两种:
1.输入完成立刻输出结果
2.输入完成后先存储在文本文件或者数据库中,然后再输出结果。
后者可能会导致网站显是中的问题,而隐式输入除了一些正常的情况以外,还可以利用服务器或者CGI程序处理错误信息的方式来实施。
SQL Injection攻击
在应用程序中,往往采用Visual Basic等第三代语言来组织SQl语句,然后传递给后台执行,以建立、删除、查询和管理后台数据库资料。由于数据库资料非常敏感,因此利用SQl实现的渗透和信息窃取,一般危害较大。
暂时先写到这。
