黑客入侵常用方法與防范措施PPT課件

1、2021/3/9中科院高能所 黑客入侵防范技術(shù)綜述黑客入侵防范技術(shù)綜述2021/3/9中科院高能所 Global Opportunities622 Mbps +10 Gbps l2021/3/9中科院高能所 基于 Motorola DragonBall 系列的處理器 68k核心：DragonBall 68328、EZ、VZ、 Super VZARM 核心：DragonBall MX1 2021/3/9中科院高能所 網(wǎng)絡(luò)存在的安全威脅網(wǎng)絡(luò)存在的安全威脅網(wǎng)絡(luò)網(wǎng)絡(luò)內(nèi)部、外部泄密內(nèi)部、外部泄密拒絕服務(wù)攻擊拒絕服務(wù)攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計(jì)算機(jī)病毒計(jì)算機(jī)病毒信息丟失、信息

2、丟失、篡改、銷毀篡改、銷毀后門、隱蔽通道后門、隱蔽通道蠕蟲蠕蟲2021/3/9中科院高能所 n 入侵系統(tǒng)類攻擊入侵系統(tǒng)類攻擊 n 信息竊聽信息竊聽 SnifferSniffern 口令攻擊口令攻擊 Johnn 漏洞攻擊漏洞攻擊 WIN/IIS、RPCn 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 獲取獲取ROOTROOT口令口令n 欺騙類攻擊欺騙類攻擊n 拒絕服務(wù)攻擊拒絕服務(wù)攻擊 DDOSDDOSn 拒絕服務(wù)攻擊拒絕服務(wù)攻擊n 分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊n 對(duì)防火墻等安全設(shè)備的攻擊對(duì)防火墻等安全設(shè)備的攻擊n 利用病毒攻擊利用病毒攻擊n 木馬程序攻擊木馬程序攻擊n 后門攻擊后門攻擊n 2021/3/

3、9中科院高能所 網(wǎng)絡(luò)安全防范體系圖網(wǎng)絡(luò)安全防范體系圖 InternetInternet路由器路由器管理管理平臺(tái)平臺(tái)安全監(jiān)控設(shè)備安全監(jiān)控設(shè)備防火墻防火墻IDSIDS防病毒防病毒服務(wù)器服務(wù)器內(nèi)部網(wǎng)內(nèi)部網(wǎng)備份備份系統(tǒng)系統(tǒng)網(wǎng)絡(luò)隱患網(wǎng)絡(luò)隱患掃描系統(tǒng)掃描系統(tǒng)陷阱機(jī)陷阱機(jī)取證取證系統(tǒng)系統(tǒng)其它智能系統(tǒng)其它智能系統(tǒng)2021/3/9中科院高能所 廣域網(wǎng)的基本概念2021/3/9中科院高能所 提供的兩類服務(wù)2021/3/9中科院高能所 網(wǎng)絡(luò)隱患掃描網(wǎng)絡(luò)隱患掃描評(píng)估、評(píng)估、服務(wù)檢查、服務(wù)檢查、攻擊性測(cè)試、攻擊性測(cè)試、提交安全建議報(bào)告提交安全建議報(bào)告等功能等功能2021/3/9中科院高能所 網(wǎng)絡(luò)隱患掃描硬件產(chǎn)品化網(wǎng)絡(luò)隱

4、患掃描硬件產(chǎn)品化 iTOP Net-Scanner2021/3/9中科院高能所 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS實(shí)時(shí)發(fā)現(xiàn)、實(shí)時(shí)發(fā)現(xiàn)、發(fā)布警報(bào)、發(fā)布警報(bào)、與防火墻與防火墻聯(lián)動(dòng)等功能聯(lián)動(dòng)等功能2021/3/9中科院高能所 分布式IDS架構(gòu) 2021/3/9中科院高能所 產(chǎn)品圖2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 NIDS產(chǎn)品技術(shù)產(chǎn)品技術(shù)(一一)2021/3/9中科院高能所 NIDS產(chǎn)品技術(shù)產(chǎn)品技術(shù)(二)2021/3/9中科院高能所 參考對(duì)比表格2021/3/9中科院高能所 NIDS技術(shù)體系結(jié)構(gòu)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)示意圖2021/3/9中科院高能

5、所 簡(jiǎn)單網(wǎng)絡(luò)環(huán)境2021/3/9中科院高能所 復(fù)雜網(wǎng)絡(luò)環(huán)境2021/3/9中科院高能所 安全產(chǎn)品的性能問題規(guī)則集 產(chǎn)品性能降低流量增加2021/3/9中科院高能所 網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)IMS指定指定IP、實(shí)時(shí)發(fā)現(xiàn)、實(shí)時(shí)發(fā)現(xiàn)、制止阻斷制止阻斷2021/3/9中科院高能所 IP包的格式2021/3/9中科院高能所 普通用戶普通用戶HUB/SWITCH普通用戶普通用戶HUB/SWITCHHUB路由器/網(wǎng)關(guān)監(jiān)控系統(tǒng)Internet2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3/9中科院高能所 2021/3

6、/9中科院高能所 2021/3/9中科院高能所 網(wǎng)絡(luò)入侵取證系統(tǒng)網(wǎng)絡(luò)入侵取證系統(tǒng)nIFS2021/3/9中科院高能所 國(guó)際計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)交流國(guó)際計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)交流FIRSTFIRST年會(huì)介紹年會(huì)介紹 2021/3/9中科院高能所 近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集中幾個(gè)方面主要集中幾個(gè)方面：2021/3/9中科院高能所 近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集中幾個(gè)方面主要集中幾個(gè)方面：2021/3/9中科院高能所 近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集中幾個(gè)方面主要集中幾個(gè)方面：2021

7、/3/9中科院高能所 傳統(tǒng)防范工具的局限傳統(tǒng)防范工具的局限2021/3/938入侵取證 2021/3/9中科院高能所 取證取證( (Forensic)Forensic)2021/3/9中科院高能所 取證科學(xué)取證科學(xué)2021/3/9中科院高能所 入侵取證技術(shù)動(dòng)態(tài)入侵取證技術(shù)動(dòng)態(tài)2021/3/9中科院高能所 2121世紀(jì)的網(wǎng)絡(luò)安全管理與取證技術(shù)世紀(jì)的網(wǎng)絡(luò)安全管理與取證技術(shù) 13屆FIRST年會(huì)報(bào)告Guardent公司2021/3/9中科院高能所 入侵取證模型入侵取證模型技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)類類法律基準(zhǔn)法律基準(zhǔn)證據(jù)的法律和法規(guī)證據(jù)的法律和法規(guī)技術(shù)基準(zhǔn)技術(shù)基準(zhǔn)分分 析析 策策 略略技術(shù)解決方案技術(shù)解決方案

8、法法律律標(biāo)標(biāo)準(zhǔn)準(zhǔn)類類2021/3/944（一）網(wǎng)絡(luò)入侵取證 2021/3/9中科院高能所 網(wǎng)絡(luò)取證的設(shè)計(jì)與有關(guān)步驟網(wǎng)絡(luò)取證的設(shè)計(jì)與有關(guān)步驟2021/3/9中科院高能所 網(wǎng)絡(luò)取證分析過程網(wǎng)絡(luò)取證分析過程系統(tǒng)信息分析模塊網(wǎng)絡(luò)數(shù)據(jù)分析模塊相關(guān)性分析模塊分析結(jié)果報(bào)表審計(jì)數(shù)據(jù)分析子模塊系統(tǒng)日志分析子模塊入侵分析子模塊還原分析子模塊統(tǒng)計(jì)分析子模塊取證機(jī)記錄系統(tǒng)信息網(wǎng)絡(luò)數(shù)據(jù)2021/3/9中科院高能所 事件分析案例事件分析案例2021/3/9中科院高能所 事件分析案例事件分析案例2021/3/9中科院高能所 事件分析案例（續(xù)）事件分析案例（續(xù)）2021/3/950（二）計(jì)算機(jī)取證 2021/3/9中科院高能

9、所 文件被刪除后文件被刪除后2021/3/9中科院高能所 UNIX/Linux文件系統(tǒng)文件系統(tǒng)directory /home/you inode 123data blocksdata blockdata blockdata block2021/3/9中科院高能所 直接和間接數(shù)據(jù)塊直接和間接數(shù)據(jù)塊inodeblock 0block 111 indirect2 indirect3 indirectblock 12blk 20591 indirect1 indirect2 indirect2 indirectblk 206041963631 indirect1 indirectSpecific bl

10、ock number are typical for Berkeley FFS-like systems2021/3/9中科院高能所 典型的UNIX/Linux磁盤布局label / swap /usr partition /home partition zone zone zone zone zone super inode data inode data block bitmap bitmap blocks blocks-Entire disk-UNIX/Linux file systemFile system zone如果可能的話，文件的所有數(shù)據(jù)會(huì)放在同一區(qū)域內(nèi)2021/3/9中科院高能

11、所 文件被刪除后保留的信息directory /home/you inode 123data blocksdata blockdata blockdata block= UNIX+LINUX= LINUX only*zero references*status change time = time of deletion2021/3/9中科院高能所 被刪除文件信息能存活很長(zhǎng)時(shí)間被刪除文件信息能存活很長(zhǎng)時(shí)間2021/3/9中科院高能所 獲取被刪除文件信息的工具獲取被刪除文件信息的工具2021/3/958計(jì)算機(jī)取證計(jì)算機(jī)取證WINDOWS2000/XP 平臺(tái)平臺(tái)2021/3/9中科院高能所 202

12、1/3/9中科院高能所 NTFS 文件系統(tǒng)特性2021/3/9中科院高能所 NTFS 文件磁盤結(jié)構(gòu)2021/3/9中科院高能所 NTFS 中的元數(shù)據(jù)2021/3/9中科院高能所 有用的功能有用的功能2021/3/9中科院高能所 幾個(gè)恢復(fù)工具幾個(gè)恢復(fù)工具 2021/3/9中科院高能所 Windows 2000/xp 中的系統(tǒng)日志文件2021/3/9中科院高能所 用戶日志文件2021/3/9中科院高能所 注冊(cè)表2021/3/9中科院高能所 一些應(yīng)用文件格式2021/3/9中科院高能所 典型foxmail郵件箱格式2021/3/9中科院高能所 一些應(yīng)用程序緩沖2021/3/9中科院高能所 一個(gè)取證系

13、統(tǒng)的框架磁 盤 現(xiàn) 有 數(shù) 據(jù) 獲 取磁 盤 數(shù) 據(jù) 恢 復(fù)恢 復(fù) 數(shù) 據(jù) 整 理待 分 析 數(shù) 據(jù) 預(yù) 處 理系 統(tǒng) 元 數(shù) 據(jù) 分 析系 統(tǒng) 與 用 戶 日 志 分析用 戶 文 檔 分 析系 統(tǒng) 注 冊(cè) 表 分 析綜 合 分 析中科院高能所2021/3/9中科院高能所 掌上操作系統(tǒng)設(shè)備的記憶成像掌上操作系統(tǒng)設(shè)備的記憶成像Joe GrandJoe Grand11:45am-12: 30pm11:45am-12: 30pmJune 26, 2002-7-31 June 26, 2002-7-31 1414thth Annual FIRST Computer Annual FIRST Computer Security IncidentSecurity IncidentHanding ConferenceHanding Conference2021/3/973網(wǎng)絡(luò)入侵陷阱技術(shù)ITS 2021/3/9中科院高能所 陷阱機(jī)系統(tǒng)陷阱機(jī)系統(tǒng)系統(tǒng)內(nèi)核系統(tǒng)內(nèi)核陷阱機(jī)內(nèi)核套陷阱機(jī)內(nèi)核套陷阱機(jī)設(shè)置和日志陷阱機(jī)設(shè)置和日志陷阱陷阱Email陷阱陷阱Web陷阱陷阱FTP陷阱陷阱DNS2021/3/9中科院高能所 網(wǎng)絡(luò)陷阱機(jī)網(wǎng)絡(luò)陷阱機(jī)2021/3/9中科院高能所 網(wǎng)絡(luò)入侵誘騙網(wǎng)絡(luò)入侵誘騙2021/3/9中科院高能所 陷阱主機(jī)InternetIDS探測(cè)器2交換機(jī)一個(gè)陷阱主機(jī)可虛擬四個(gè)