chanong 来源:长浩商业秘密律师(非法获取计算机信息系统数据罪、非法获取计算机信息系统数据)
1.网络入侵的方法
网络入侵是指具有熟练的计算机程序编写和调试技能,并利用这些技能获取非法或未经授权的网络或文件访问权限并侵入企业内部网的行为。
目前,网络入侵方法主要有以下几个方面:
1.1 病毒攻击
病毒是一种自我复制的计算机程序,旨在针对特定的系统资源、使用拒绝服务或损害数据的完整性。 它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性等特点。 目前,BBS、电子邮件、WWW浏览、FTP文件下载、点对点通信系统等是病毒攻击的主要环节。
1.2 身份攻击
网络服务通常需要确定用户的身份以提供相应的访问权限。 通过欺骗系统或窃取信息的方式冒充合法用户进入网络是一种常见的网络攻击。 主要包括信息收集攻击、密码攻击、漏洞攻击等。身份攻击是指攻击者使用大量的启发式方法扫描网络系统中的漏洞,或者扫描账户是否有系统可用的权限、端口扫描等。系统提供的服务,捕获系统漏洞,然后扫描用户输入的信息。 窃取账户和密码,然后利用公共协议和工具非法收集和篡改各种主机系统中的有用信息。
1.3 拒绝服务攻击
拒绝服务攻击简称DoS()。 这种攻击行为是向网络系统发送一定顺序、一定数量的消息,导致大量需要回复的信息淹没网络服务器,造成大量网络系统资源或网络带宽被消耗,从而导致正在运行的计算机网络或系统不堪重负、瘫痪,停止正常的网络服务,并造成死机、无响应等现象。
1.4 对防火墙的攻击
一般来说,防火墙的抗攻击能力很强,不易被攻破。 然而,防火墙的设计和实现不可避免地存在一定程度的缺陷,从而导致防火墙受到攻击。
随着互联网的兴起和网络技术的快速发展,直接攻击和非法防火墙绕过攻击给计算机网络安全带来了严重威胁。 如地址欺骗和TCP序列号协同攻击、利用FTP-pasv绕过防火墙认证的攻击以及其他非法绕过防火墙的攻击。 比如直接攻击防火墙拒绝服务漏洞。
2.入侵检测技术简介
入侵检测收集计算机网络或系统中的重要文件和关键数据,并通过分析发现网络或系统中是否存在违反安全策略和可能危害系统的攻击行为。 警报和阻止行为的过程,以保护系统的机密性、完整性和可用性。
入侵检测常用的分析技术包括模式匹配、异常发现和完整性分析:模式匹配是检测网络上的每个数据包,寻找网络攻击特征。 从可疑数据包的包头中取出一组与攻击特征长度相同的字节。 并比较两组字节; 如果两组字节相同,则检测到攻击特征; 重复该过程,直到将所有数据字节与攻击签名进行比较。 异常检测是收集一段时间内网络运行或运行的历史数据,建立正常网络活动的“活动概况”。 将网络当前的活动状态与“活动概况”进行比较,检测网络是否偏离正常行为模式,从而判断是否发生了入侵。 完整性分析检查网络上文件的内容、目录和属性是否处于正确状态且未被更改。 这种检测技术可以检测导致文件在任何地方被更改的入侵,并且在发现被更改的和专门的应用程序方面特别有效。
入侵检测方法可分为基于主机的检测和基于网络的检测:基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用安全审计记录,并采取日志文件和常见的已知攻击对其内部数据库进行比较,并将其收集到自己的特殊日志中以供管理员分析。 基于网络的入侵检测在路由器或主机级别扫描网络数据包,检查数据包信息,并将可疑数据包详细记录在特殊文件中。 基于这些可疑分组,基于网络的入侵检测可以扫描自己的已知网络攻击特征数据库,并为每个分组分配严重级别,以便安全组的成员可以进一步调查这些异常情况。
3、入侵检测技术在计算机网络安全维护中的应用
入侵检测主要通过执行以下任务来实现计算机网络安全的维护:监视和分析用户和系统的活动; 审计系统结构和弱点; 识别反映已知攻击的活动模式并向相关个人发出警报; 异常行为模式统计分析; 评估重要系统和数据文件的完整性; 管理操作系统审计跟踪并识别用户违反安全策略的行为。 基于网络的入侵检测系统(IDS)一般具有多层体系结构,由三部分组成:Agent、Agent和入侵检测系统。 其基本工作原理是从代理收集信息,显示攻击信息,并允许您配置和管理属于某个管理器的代理。 Agent负责监听其所在网段的网络数据包。 将检测到的攻击和所有相关数据发送给管理员。 集中统一的日志和警报管理。 此外,还负责显示检测到的安全信息和详细的入侵报警信息(如入侵者的IP地址和目的IP地址、目的端口、攻击特征、当前用户和进程)、响应配置和攻击警告信息,以及执行控制将控制台发出的命令传输到控制台,完成入侵检测的整个过程。
具体应用分析如下:
3.1 信息收集
入侵检测的第一个要素是数据。 数据源可分为四类:系统日志文件和网络日志文件; 目录和文件发生意外更改; 程序执行中的意外行为; 和入侵信息的物理形式。 在应用过程中,信息采集需要在每个网段部署一个或多个IDS代理。 根据网络结构的不同,数据采集部分分为不同的连接形式。 如果网段之间用交换集线器连接,则交换机的核心芯片上一般有一个用于调试的端口,用户可以将IDS系统连接到该端口。 然后将入侵检测系统放在数据流关键出入口的交换机内部或者防火墙内部,获取几乎所有关键数据。
同时,在计算机网络系统中几个不同关键点的信息采集中,除了设置网络数据包拦截、根据待检测对象尽可能扩大检测范围外,
此外,还有一个薄弱环节,即来自某个对象的信息可能没有任何疑问。这就要求在收集入侵检测信息时,应从多个来源入手。
重点分析对象信息的不一致,作为入侵或可疑行为的最佳指标。 与整个网络相比,入侵行为属于少数行为。
因此,对于少量的异常数据,可以将其隔离出来,形成一个数据组进行集中处理,以增强入侵分析的针对性。 因此,基于孤立点的挖掘是入侵检测技术中信息收集的重要手段。 其基本操作是从大量的复杂数据中,从一小部分与常规数据模式显着不同的异常数据中挖掘出具有代表性的数据。 单独处理。 克服了目前异常检测中面临的训练样本正常模式不完整导致误报率高的问题。
3.2 信息分析
对于上述收集到的信息,通过模式匹配和异常发现分析模式对数据进行分析,发现违反安全策略的行为并将其发送给管理者。
设计者需要对各种网络协议、系统漏洞等行为有深入清晰的了解,然后制定相应的安全规则库和安全策略,然后分别建立滥用检测模型和异常检测模型,让机器模拟自己。分析过程识别具有已知特征的攻击和异常行为,最后将分析结果形成报警消息发送至控制管理中心。 同时,对于TCP/IP网络来说,网络检测引擎也是入侵检测的重要手段。 网络检测引擎相当于一个传感器。 主要采用旁路侦听的方式,动态监听网络上流动的所有数据包,根据用户定义的策略进行检测,识别网络中的各种事件,并报告给控制中心,控制中心进行报警和定位显示。
3.3 信息响应
IDS 的基本任务是对入侵做出适当的响应。 其过程是在分析数据的基础上检测本地网段,发现每个数据包中隐藏的恶意入侵,并对发现的入侵及时做出响应。 主要包括网络引擎报警/通知,如向控制台发出警报、向安全管理员发送电子邮件、查看实时会话以及通知其他控制台等; 记录场景,例如记录事件日志和整个会话; 采取安全响应措施,例如终止侵入连接、调整网络设备配置、执行特定用户响应程序等。
3.4 入侵检测技术与防火墙的结合应用
防火墙作为一种外围安全机制,只能对应用层或网络层的访问进行控制,在一定程度上无法对内部网络起到良好的监控效果。
因此,网络入侵者很容易通过协议隧道绕过防火墙,对网络安全构成威胁。 因此,防火墙并不能完全保证信息的安全。 因此,在实际应用中,我们可以设计入侵检测和防火墙的协同应用模型,以实现更有效的安全防护系统。
首先,防火墙或入侵检测系统开放一个接口供对方使用。 双方按照固定的协议进行通信。 双方可以事先约定并设置通信端口。
其次,防火墙采用过滤机制对通过的数据包进行分析,与预先定义的规则进行比较,过滤掉一些来自非信任用户的数据包。
最后,对于绕过防火墙的不可信用户的数据包,入侵检测系统根据已知的入侵特征定制规则集,检测符合规则定义的网络攻击并做出响应,用户针对相应的入侵采取措施进行处理攻击。 。
微信扫一扫打赏
支付宝扫一扫打赏
