網(wǎng)絡(luò)攻擊以及防范措施有哪些
網(wǎng)絡(luò)攻擊以及防范措施有哪些
今天學(xué)習(xí)啦小編就要跟大家講解下網(wǎng)絡(luò)攻擊以及防范措施~那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!
網(wǎng)絡(luò)安全與網(wǎng)絡(luò)攻擊:
Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問題。為了解決這些安全問題,各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
(1) 每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境。防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
(2)安全工具的使用受到人為因素的影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。
(3)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題,多數(shù)情況下,這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個(gè)問題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進(jìn)而對系統(tǒng)進(jìn)行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因?yàn)閷τ诜阑饓碚f,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個(gè)后綴。
(4)只要有程序,就存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會(huì)產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(5)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí),其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。
對網(wǎng)絡(luò)入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進(jìn)行分析后,我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。
一、利用數(shù)據(jù)流特征來檢測攻擊的思路
掃描時(shí),攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描??紤]下面幾種思路:
1.特征匹配。找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。
2.統(tǒng)計(jì)分析。預(yù)先定義一個(gè)時(shí)間段,在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù),認(rèn)為是端口掃描。
3.系統(tǒng)分析。若攻擊者對同一主機(jī)使用緩慢的分布式掃描方法,間隔時(shí)間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個(gè)網(wǎng)段,將探測步驟分散在幾個(gè)會(huì)話中,不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導(dǎo)致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計(jì)分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。
二、檢測本地權(quán)限攻擊的思路
行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。
1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見,因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。
2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查??梢圆捎胏hecksum的方式,對重要文件做先驗(yàn)快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。
3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗(yàn)快照, 檢測對這些系統(tǒng)變量的訪問,防止篡改導(dǎo)向攻擊。
4.虛擬機(jī)技術(shù)。通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。
三、后門留置檢測的常用技術(shù)
1.對比檢測法。檢測后門時(shí),重要的是要檢測木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施,因此檢測木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?,F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。
2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。
3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集,以及滲透攻擊,木馬程序必然會(huì)使用主機(jī)的一部分資源,因此通過對主機(jī)資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲(chǔ)設(shè)備和注冊表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。
4.協(xié)議分析法。協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會(huì)話進(jìn)行對比分析,從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。
網(wǎng)絡(luò)安全防范措施一:
專業(yè)管理人才隊(duì)伍的建設(shè)。制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,通過網(wǎng)絡(luò)管理人員與使用人員的共同努力,盡可能地把不安全的因素降到最低。同時(shí),不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,大力加強(qiáng)安全技術(shù)建設(shè),強(qiáng)化使用人員和管理人員的安全防范意識(shí)。對于故意造成災(zāi)害的入員必須依據(jù)制度嚴(yán)肅處理,使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障,從而使廣大用戶的利益得到保障。
安全加密技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于網(wǎng)絡(luò)上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。
建立安全意識(shí)。加強(qiáng)網(wǎng)絡(luò)管理人員以及使用人員的安全意識(shí),加強(qiáng)常用口令的復(fù)雜性,這是防病毒進(jìn)程中,最輕易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令,對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。
網(wǎng)絡(luò)防火墻技術(shù)。這是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的非凡網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng),并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
掃描系統(tǒng)漏洞,給漏洞打上補(bǔ)丁。解決系統(tǒng)BUG、網(wǎng)絡(luò)層安全問題要清楚網(wǎng)絡(luò)中存在哪些隱患、需要修正多少BUG。使用一種能查找網(wǎng)絡(luò)安全漏洞的掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。如大家可以使用“360安全衛(wèi)士”查殺木馬,掃描漏洞并直接進(jìn)行補(bǔ)丁下載,能方便地解決此類問題。當(dāng)然現(xiàn)流行的許多殺毒軟件也有類似功能。有新的程序就有新的BUG,只有經(jīng)常性的更新優(yōu)化系統(tǒng)才能讓黑客無從下手。
綜上所述,網(wǎng)絡(luò)安全是一個(gè)綜合性課題,涉及技術(shù)、治理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,不能依靠防火墻等單個(gè)的系統(tǒng),而需要仔細(xì)考慮系統(tǒng)的安全需求,綜合使用各種安全技術(shù),才能生成一個(gè)高效、安全的網(wǎng)絡(luò)系統(tǒng)。與此同時(shí),網(wǎng)絡(luò)安全還是一個(gè)復(fù)雜的社會(huì)問題。國家要建立健全法律法規(guī),技術(shù)也要相應(yīng)提高才能提高網(wǎng)絡(luò)安全性,這不是短期能夠發(fā)展起來的,與此同時(shí),網(wǎng)絡(luò)的發(fā)展必將帶來很多以前沒有過的問題,具有一定的前瞻性準(zhǔn)備,可以避免屆時(shí)遇到問題措手不及。
網(wǎng)絡(luò)安全防范措施二:
當(dāng)前可提高計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)
(一)網(wǎng)絡(luò)安全的審計(jì)和跟蹤技術(shù)
審計(jì)和跟蹤這種機(jī)制一般情況下并不干涉和直接影響主業(yè)務(wù)流程,而是通過對主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等來完成以審計(jì)、完整性等要求為主的安全功能。審計(jì)和跟蹤所包括的典型技術(shù)有:入侵檢測系統(tǒng)(IDS)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng),等等。我們以IDS為例,IDS是作為防火墻的合理補(bǔ)充,能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測是一種主動(dòng)保護(hù)網(wǎng)絡(luò)和系統(tǒng)安全的技術(shù),它從計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中采集、分析數(shù)據(jù),查看網(wǎng)絡(luò)或主機(jī)系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,并采取適當(dāng)?shù)捻憫?yīng)措施來阻擋攻擊,降低可能的損失。它能提供對內(nèi)部攻擊、外部攻擊和誤操作的保護(hù)。入侵檢測系統(tǒng)可分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩類。
(二)運(yùn)用防火墻技術(shù)
防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù),它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境。防火墻的最大優(yōu)勢就在于可以對兩個(gè)網(wǎng)絡(luò)之間的訪問策略進(jìn)行控制,限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。它具有以下特性:所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它;只有內(nèi)部訪問策略授權(quán)的通信才允許通過;系統(tǒng)本身具有高可靠性。不僅如此,防火墻作為網(wǎng)絡(luò)安全的監(jiān)視點(diǎn),它還可以記錄所有通過它的訪問,并提供統(tǒng)計(jì)數(shù)據(jù),提供預(yù)警和審計(jì)功能。防火墻的體系結(jié)構(gòu)有三種:(1)雙重宿主主機(jī)體系結(jié)構(gòu)。它是圍繞具有雙重宿主功能的主機(jī)而構(gòu)筑的,是最基本的防火墻結(jié)構(gòu)。主機(jī)充當(dāng)路由器,是內(nèi)外網(wǎng)絡(luò)的接口,能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。這種類型的防火墻完全依賴于主機(jī),因此該主機(jī)的負(fù)載一般較大,容易成為網(wǎng)絡(luò)瓶頸。對于只進(jìn)行IP層過濾的安全要求來說,只需在兩塊網(wǎng)卡之間轉(zhuǎn)發(fā)的模塊上插入對IP包的ACL控制即可。但是如果要對應(yīng)用層進(jìn)行代理控制,其代理就要設(shè)置到這臺(tái)雙宿主主機(jī)上,所有的應(yīng)用要先于這個(gè)主機(jī)進(jìn)行連接。這樣每個(gè)人都需要有一個(gè)登錄賬號,增加了聯(lián)網(wǎng)的復(fù)雜性。(2)屏蔽主機(jī)體系結(jié)構(gòu),又稱主機(jī)過濾結(jié)構(gòu),它使用一個(gè)單獨(dú)的路由器來提供內(nèi)部網(wǎng)絡(luò)主機(jī)之間的服務(wù),在這種體系結(jié)構(gòu)中,主要的安全機(jī)制由數(shù)據(jù)包過濾系統(tǒng)來提供。相對于雙重宿主主機(jī)體系結(jié)構(gòu),這種結(jié)構(gòu)允許數(shù)據(jù)包從Internet上進(jìn)入內(nèi)部網(wǎng)絡(luò),因此對路由器的配置要求較高。
(三)數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ),數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別,以及密鑰的管理技術(shù)。數(shù)據(jù)存儲(chǔ)加密技術(shù)是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)丟失為目的,可分為密文存儲(chǔ)和存取兩種,數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,系統(tǒng)通過對比驗(yàn)證對輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。
(四)網(wǎng)絡(luò)病毒的防范
在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。于是,局域網(wǎng)就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件,識(shí)別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動(dòng)升級,及時(shí)為每臺(tái)客戶端計(jì)算機(jī)打好補(bǔ)丁,加強(qiáng)日常監(jiān)測,使網(wǎng)絡(luò)免受病毒的侵襲。
(五)提高網(wǎng)絡(luò)工作人員的素質(zhì),強(qiáng)化網(wǎng)絡(luò)安全責(zé)任
為了強(qiáng)化網(wǎng)絡(luò)安全的責(zé)任,還有一項(xiàng)重要任務(wù)――提高網(wǎng)絡(luò)工作人員的管理素質(zhì)。要結(jié)合數(shù)據(jù)、軟件、硬件等網(wǎng)絡(luò)系統(tǒng)各方面對工作人員進(jìn)行安全教育,提高責(zé)任心,并通過相關(guān)業(yè)務(wù)技術(shù)培訓(xùn),提高工作人員的操作技能,網(wǎng)絡(luò)系統(tǒng)的安全管理要加以重視,避免人為事故的發(fā)生。總之,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅,采取強(qiáng)有力的安全防范,對于保障網(wǎng)絡(luò)的安全性將變得十分重要。