返回
Unit2_攻击技术分析.ppt

Unit2_攻击技术分析.ppt

ID:49310829

大小:132.50 KB

页数:50页

时间:2020-02-03

Unit2_攻击技术分析.ppt_第1页
Unit2_攻击技术分析.ppt_第2页
Unit2_攻击技术分析.ppt_第3页
Unit2_攻击技术分析.ppt_第4页
Unit2_攻击技术分析.ppt_第5页
资源描述:

《Unit2_攻击技术分析.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、入侵检测及扫描技术——攻击分类与分析主要内容相关术语入侵步骤攻击分类攻击语言分类拒绝服务攻击及其检测协议分析与模式匹配相关术语脆弱性(Vulnerability):指计算机系统的错误配置的或不完美的、能够被计算机未授权的用户所利用的元素。入侵(Intrusion):入侵是系统全策略的一种侵犯,是指任何企图破坏计算机资源的完整性(未授权的数据修改)、机密性(未授权的数据泄露或未授权的服务的使用)以及可用性(拒绝服务)的活动。入侵步骤入侵步骤的划分黑客入侵通常是一序列不确定的行为。每一次完整且成功的入侵都有很大差别,企图分析完整的入侵是很困难的。Ruiu把一次成功的网络入侵分成了

2、七个阶段:侦察、脆弱性识别、渗透、控制、嵌入、数据抽象和修改、攻击重放入侵步骤分析-侦察:信息的收集-脆弱性识别:对信息进行判断如端口扫描-渗透:进入目标系统,验证非法获得的口令、劫持TCP会话-控制:对目标系统实施控制-嵌入:对系统进行安装和修改,如特洛伊木马、后门、修改日志销毁痕迹-数据抽象和修改:进行破坏活动-攻击重放:利用被破坏的系统攻击分类攻击分类方法的理想特征Amoroso认为攻击分类方法应有以下6个特点:互斥性:各类别应该互斥,不能重叠;穷举性:全部类别包含了所有可能的攻击;非二义性:各类别应当精确、清晰,没有不确定性;可重复性:对一个样本多次分类的结果都应一样

3、可接受性:分类符合逻辑和知觉,能得到认同;可用性:分类可用于该领域中的深入调查、研究根据攻击发生的方式将攻击分为3类:(Anderson)外部攻击:非授权用户的攻击内部攻击:系统合法用户对访问权限以外的资源造成危害(80%)不当行为:系统合法用户对权限以内的资源的误用行为按照入侵行为的表现方式误用行为误用行为包括:企图非法闯入,伪装攻击,对安全控制系统的渗透,泄漏,拒绝服务,恶意使用等行为。异常行为异常行为描述的攻击涉及系统资源的不正常使用。按照攻击目的(或动机)(1)拒绝服务攻击是最容易实施的攻击行为,它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括:Land

4、,Synflooding(UDPflooding),Pingofdeath,Smurf(Fraggle),Teardrop,TCPRST攻击,Jot2,电子邮件炸弹,畸形消息攻击。(2)利用型攻击是一类试图直接对你的机器进行控制的攻击。主要包括:口令猜测,特洛伊木马,缓冲区溢出。按照攻击目的(或动机)(续1)(3)信息收集型攻击不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息。主要包括:扫描(包括:端口扫描、地址扫描、反向映射、慢速扫描),体系结构刺探,利用信息服务(包括:DNS域转换、Finger服务,LDAP服务)。(4)假消息攻击用于为攻击目标配置不正确的消息

5、,主要包括:DNS高速缓存污染、伪造电子邮件。按照使用的技术手段网络信息收集技术包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。目标网络权限提升技术包括本地权限提升和远程权限提升。目标网络渗透技术包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。目标网络摧毁技术包括目标服务终止、目标系统瘫痪和目标网络瘫痪。按照检测方式(1)检查单IP包首部(包括tcp、udp首部)即可发觉的攻击,如winnuke,pingofdeath,land,部分OSdetection,sourcerouting等。这些攻击往往在包头部分就有明显的

6、攻击特征。(2)检查单IP包,并同时要检查数据段信息才能发觉的攻击,如利用cgi漏洞,和大量的bufferoverflow攻击。这些攻击往往需要在数据段中查找相应的字符串来发现攻击行为。基于行为的分类Staliing针对信息传输系统,把攻击分为4类:中断(Interruption):摧毁系统,使其不可用拦截(Interception):未经授权获得资源的访问权修改(Modification):未经授权获得资源的访问权,并对资源进行破坏伪造(Fabrication):非授权人员将假冒对象放入被攻击系统的内部按照检测方式(续1)(3)通过检测发生频率才能发觉的攻击,如扫描,syn

7、flooding,smurf等。但是需要维持一个额外的按时间统计的发生频率统计表,且因为结论是通过统计得来的,所以报警阈值的选择比较关键,这会影响到误判、漏判。(4)通过组装分片可以发现的分片攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类漏洞,必须提前作组装尝试,即在IP层接收或转发时,而不是在向上层发送时。基于协议的网络攻击分类通过对常见攻击手段的分析,可以发现大多数的攻击手段集中于TCP/IP协议族的TCP、ICMP和UDP这三种协议之中,其中以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。