信息安全技术教程第五章

《信息安全技术教程第五章》由会员分享，可在线阅读，更多相关《信息安全技术教程第五章（43页珍藏版）》请在装配图网上搜索。

1、2022-9-8信息安全技术教程第五章第5章 安全事件处理 5.1 攻击及其相关概念 5.2 安全事件管理方法 5.3 恶意代码 5.4 常见的攻击类型 5.5 无线网络安全 5.6 传感网络 5.72022-9-8信息安全技术教程第五章5.1 攻击及其相关概念 5.1.1 安全事件 5.1.2 安全事件类型2022-9-8信息安全技术教程第五章5.1 攻击及其相关概念 什么是攻击 攻击是指在未授权的情况下访问系统资源或阻止授权用户正常访问系统资源 攻击者 实施攻击行为的主体，可以是一个个体，也可以是一个团体 攻击的类型 军事情报攻击，商业金融攻击，恐怖袭击，基于报复的攻击，以炫耀为目的的攻击

2、2022-9-8信息安全技术教程第五章5.1.1 安全事件 任何违背本系统安全策略的行为都可以称为安全事件 安全事件处理最重要的步骤就是能够及时发现已经发生的安全事件 当意识到系统存在攻击行为时，就应该迅速寻找到攻击位置并判断攻击类型2022-9-8信息安全技术教程第五章5.1.2 安全事件类型 扫描 扫描就是动态地探测系统中开放的端口，通过分析端口对某些数据包的响应来收集网络和主机的情况 非授权访问 非授权访问是指越过访问控制机制在未授权的情况下对系统资源进行访问或是非法获得合法用户的访问权限后对系统资源进行访问。恶意代码 恶意代码可以是一个程序，一个进程，也可以是其它的可执行文件，共同特征

3、是可以引发对系统资源的非授权修改或其它的非授权行为 病毒、蠕虫、木马 拒绝服务 破坏数据的可用性2022-9-8信息安全技术教程第五章5.2 安全事件管理方法 5.2.1 安全事件预防 5.2.2 安全事件处理标准的制定 5.2.3 对安全事件的事后总结2022-9-8信息安全技术教程第五章5.2 安全事件管理方法 处理安全事件的步骤 1.检测安全事件是否发生；2.控制事件所造成的损害；3.将事件与事件造成的损害上报给合适的认证方；4.调查事件的起因、来源；5.分析搜索到的线索；6.采取必要行动避免类似事件发生。2022-9-8信息安全技术教程第五章 事件响应小组 响应小组通过使用工具及其它办

4、法调查与控制安全事件，每一种类型的事件都需要通过不同的行为来控制损害程度。在对事件进行响应的时候，响应小组需要收集便于以后分析的信息以及可能成为证据的信息。证据可能是一个硬盘，一个软件或其他可以证明攻击者身份的数据。当发现攻击有违反法律法规的可能性时就及时报警。2022-9-8信息安全技术教程第五章5.2.1 安全事件预防 安全策略资源网站2022-9-8信息安全技术教程第五章5.2.2 安全事件处理标准的制定 安全事件处理流程 一部分小组成员负责评估损害程度 一部分成员负责将事件告知管理人员并与服务商联系寻求帮助 一个成员需要决定是否需要告知警察来协助调查 流程要求 每一个成员都会遵循事前制

5、定好的步骤 保证所有的处理过程专业化 一个记录着从开始到结束过程中每一步操作的详细文档 将与执法部门相关的要求加入到流程标准中2022-9-8信息安全技术教程第五章5.2.3 对安全事件的事后总结 开展小组会议 哪些是做得好的地方；响应是否及时并且恰当；哪些方面还可以提升；应急响应的动作是否顾及了系统的整体安全；能够采取什么样的措施来降低同类事件再次发生的可能性2022-9-8信息安全技术教程第五章5.3 恶意代码 5.3.1 病毒 5.3.2 蠕虫 5.3.3 特洛伊木马 5.3.4 网络控件2022-9-8信息安全技术教程第五章5.3.1 病毒 病毒病毒是最为常见的一种恶意代码，一个病毒就

6、是一个简单的程序，其目的在于寻找其他的程序，通过将自身的复件嵌入到程序的方式来感染其它程序，被感染的程序就叫做病毒宿主，当主程序运行时，病毒代码同样也会运行.特点 需要一个用于感染的宿主，脱离宿主，病毒就不能自我复制2022-9-8信息安全技术教程第五章5.3.2 蠕虫 蠕虫的定义及分类 蠕虫也是一种病毒，具有病毒的传播性，隐蔽性，破坏性等特性。普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机2022-9-8信息安全技术教程第五章 蠕虫病毒的分类 针对计算机网络的，利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，如“红色代码”，“尼姆

7、达”针对个人主机的，通过网络(主要是电子邮件，恶意网页形式)进行迅速传播，如“爱虫病毒”，“求职信病毒”2022-9-8信息安全技术教程第五章 蠕虫的基本结构 传播过程扫描扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。攻击攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。复制复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。2022-9-8信息安全技术教程第五章蠕虫特点及危害 利用操作系统和应用程序的漏洞主动进行攻击。传播方式多

8、样 制作技术与传统的病毒不同 与黑客技术相结合，潜在的威胁和损失更大病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机，直接经济损失达9600万美元美丽杀手1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元2022-9-8信息安全技术教程第五章5.3.3 特洛伊木马“特洛伊

9、木马特洛伊木马”（简称（简称“木马木马”）是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或一个可爱的游戏，诱使用户将其安装在PC或者服务器上。2022-9-8信息安全技术教程第五章 木马组成 服务端（被控制端），客户端（控制端）启动 在Win.ini中启动：Win.ini的windows字段中有启动命令load=和run=，一般情况下=后面是没有内容的，而攻击者可以把木马程序放在“=”后面。在System.ini中启动 利用注册表加载运行：注册表的很

10、多位置都是木马藏身之所。在Autoexec.bat和Config.sys中启动 启动组：是木马隐藏的重要位置 制作好的带有木马启动命令的同名文件上传到服务端覆盖这些同名文件，达到启动木马的目的 修改文件关联、捆绑文件2022-9-8信息安全技术教程第五章 木马的隐藏 隐藏在任务栏。这是木马最基本的隐藏方式。隐藏在任务管理器。主机端口 隐藏通讯 隐藏加载方式，木马通过对加载方式的隐藏，使得用户运行木马程序 木马的特性 木马包含在正常程序中，随着正常程序的运行而启动，具有隐蔽性 具有自动运行性 对系统具有极大危害性。具有自动恢复功能。2022-9-8信息安全技术教程第五章 木马的种类木马种类描述破

11、坏型木马其功能是破坏并且删除文件，可以自动删除用户电脑上的DLL、INI、EXE文件。密码发送型木马有的用户喜欢把自己的各种密码以文件的形式存放在计算机中，还有的用户喜欢用Windows提供的密码记忆功能记忆密码，密码发送型木马可以找到这些文件，并把它们送到攻击者手中。也有些木马程序会长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。远程访问型木马可以实现远程控制，监视被控制主机的操作。键盘记录木马这种木马能记录受控主机的键盘敲击并在LOG文件里查找密码。DoS攻击木马被DoS攻击木马入侵的主机被攻击者控制成为“肉鸡”，向目标主机发动攻击。有一种类似于DoS的木马叫做邮件炸弹木马，一旦被感染

12、，木马就会随机生成各种主题的信件，对特定的邮箱不停地发送邮件，直到对方瘫痪、不能接受邮件为止。代理木马代理木马使得受感染主机变成了攻击者发动攻击的跳板。通过代理木马，攻击者可以在匿名的情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。程序杀手木马这种木马的功能就是关闭对方主机上的防木马程序，保证其它木马能发挥更大作用。反弹端口型木马一般的防火墙对于请求连入的链接会进行严格的过滤，而对请求连出的链接却疏于防范。反弹端口型木马就是针对这一性质开发的，其服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口。木马服务端定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制

13、端。为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，也不容易发现这种类型的木马。2022-9-8信息安全技术教程第五章5.3.4 网络控件 现在的Web浏览器和其它的网络应用都依赖于能够提供大量复杂功能的可执行程序。这种插件程序可以很容易地保证系统处于最新状态并且能够支持很多新文件的类型。但是这些程序同样可以被某些人利用，使其很容易就将恶意代码发送到用户主机。作为用户，必须保证病毒扫描器和防御软件可以有效地保护系统不被恶意程序损坏。2022-9-8信息安全技术教程第五章5.4 常见的攻击类型 5.4.1 后门攻击 5.4.2 暴力攻击 5.4.3 缓冲区溢出 5

14、.4.4 拒绝服务攻击 5.4.5 中间人攻击 5.4.6 社会工程学 5.4.7 对敏感系统的非授权访问2022-9-8信息安全技术教程第五章5.4.1 后门攻击 定义 通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法 道德败坏的程序编写者能够利用后门获取非授权的数据 对策 预防后门最好的方法就是通过加强控制和安全关联测试来检验后门是否存在，并在发现后门时及时采取措施。2022-9-8信息安全技术教程第五章5.4.2 暴力攻击 定义 通过尝试系统可能使用的所有字符组合来猜测系统口 对策 小心保管系统口令并在系统中设置允许输入口令次数的最大值，若超过这个数值，账号就会被自动锁定。同时

15、要对登陆行为进行日志记录，可以在日后用于调查。2022-9-8信息安全技术教程第五章5.4.3 缓冲区溢出 定义 利用存储的字符串长度超过目标缓冲区存储空间而覆盖在合法数据上进行攻击 两种方法 植入法植入法：攻击者向被攻击的程序输入一串字符串，程序会将这个字符串放到缓冲区，字符串内包含的可能是被攻击平台的指令序列，缓冲区可以设在任何地方：堆栈、堆或静态存储区。利用已经存在的代码：利用已经存在的代码：很多时候，攻击者需要的代码已经存在于被攻击的程序中，攻击者要做的就是传递一些参数2022-9-8信息安全技术教程第五章5.4.4 拒绝服务攻击 定义 用于摧毁系统的可用性，导致系统过于繁忙以至于没有

16、能力去响应合法的请求 分布式拒绝服务攻击（Ddos）SYN Flood攻击2022-9-8信息安全技术教程第五章5.4.5 中间人攻击 通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，然后把这台计算机模拟一台或两台原始计算机，使“中间人”（入侵者放置的计算机）能够与原始计算机建立活动连接，而两台原始计算机用户却意识不到“中间人”的存在，只以为是和彼此进行通信。2022-9-8信息安全技术教程第五章5.4.6 社会工程学 概念 利用被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱，以交谈、欺骗、假冒等方式，从合法用户中套取用户系统秘密的一种攻击方法 对

17、策 对付这种类型的攻击最有效的方法就是加强安全意识教育。要让用户记住任何情况下都不能向其他人泄露自己的口令，任何想要进入系统的用户都应该被及时报告给上级。通过这些简单的规则可以有效地降低社会工程学的攻击。2022-9-8信息安全技术教程第五章5.4.7 对敏感系统的非授权访问 大部分攻击的目标都是访问系统的敏感信息。一种情况是攻击者获取具有经济价值的信息，例如关于某个投资项目竞标的信息；另一种情况是攻击者只想修改信息，例如在某次考试中成绩不理想的同学，就会想办法进入成绩数据库，将自己的成绩信息进行修改。无论是处于哪种目的，对敏感信息的非授权访问都会对系统造成严重的损害。2022-9-8信息安全

18、技术教程第五章5.5 无线网络安全 5.5.1 无线网络基础 5.5.2 无线网络协议标准 5.5.3 无线网络安全 5.5.4 无线局域网存在的安全问题2022-9-8信息安全技术教程第五章5.5.1 无线网络基础 分类u按传输媒体按传输媒体：输媒体主要有两种，即红外线和无线电波u按调制方式按调制方式：扩频方式与窄带调制方式 2022-9-8信息安全技术教程第五章5.5.2 无线网络协议标准图5-3 802.11系列协议的实际参数2022-9-8信息安全技术教程第五章5.5.3 无线网络安全 WEP（Wired Equivalent Privacy）和WPA（Wi-Fi Protected

19、Access）是无线网络安全中最重要的两个安全加密模式uWEP WEP算法通过一个长度为40位的密钥来提供身份认证与加密。在WEP安全机制中，同一无线网络的所有用户和接入访问点（AP）使用相同的密钥来加密和解密，网络中的每个用户和AP都存放着一份密钥。2022-9-8信息安全技术教程第五章无线网络完整性校验过程 校验和计算、密钥流生成、数据加密、数据传输2022-9-8信息安全技术教程第五章uWPA 以一把 128位元的钥匙和一个48位元的初向量(IV)的 RC4流密码来加密 使用称为“Michael”的更安全的讯息认证码（在 WPA 中叫做讯息完整性查核，MIC）增大钥匙和初向量、减少和钥匙

20、相关的封包个数、增加安全讯息验证系统 2022-9-8信息安全技术教程第五章5.5.4 无线局域网存在的安全问题 身份标识 入侵者可以通过克隆MAC地址来试图连接网络 攻击者可以利用厂商默认SSID来渗透无线局域网 缺乏访问控制机制 攻击者可以通过更改本身的MAC地址进入网 802.11标准中缺乏认证机制 WEP密钥的管理问题 WEP密钥管理的缺失是另一个较为重要的安全漏洞 大型网络架构包含众多漫游基站与客户端，而相互之间缺乏内部访问协议2022-9-8信息安全技术教程第五章5.6 传感网络 5.6.1 传感网络的基本元素 5.6.2 无线传感网络安全2022-9-8信息安全技术教程第五章5.

21、6 传感网络 传感网络是指相互合作的多个独立设备以自组织的形式构成网络，并通过多跳中继方式将监控数据传到汇聚节点。这些相互合作的独立设备在传感网络中称为传感器，用于侦查、监督、追踪周边环境变量，如不同地点的温度、声音、振动和压力。2022-9-8信息安全技术教程第五章5.6.1 传感网络的基本元素路由 以数据为中心的路由协议，分层次的路由协议和基于地点的路由协议功耗容错性 任何传感网络的可靠性必须强，能够不受单个节点错误的影响可扩展性 当有新的节点加入时，传感网络应该不受影响；生产成本 无线传感网络通常使用大量的传感节点，每个独立的传感节点都关系着整个传感网络的成本传感网络的拓扑结构传输介质 红外、蓝牙、无线射频或光波2022-9-8信息安全技术教程第五章5.6.2 无线传感网络安全u(一)无线传感网络安全需求节点的物理安全性真实性、完整性、可用性安全功能的低能耗性节点之间的合作性攻击容忍性 攻击发现和排除 2022-9-8信息安全技术教程第五章u（二）无线传感网络的安全机制抗干扰访问控制 密钥管理数据备份抗节点劫持2022-9-8信息安全技术教程第五章习题一、选择题1.以下哪一项不属于恶意代码？A.病毒B.特洛伊木马C.系统漏洞D.蠕虫2.使授权用户泄露安全数据或允许非授权访问的攻击方式称作A.拒绝服务攻击B.中间人攻击C.社会工程学D.后门攻击