第3章 计算机网络入侵与攻击
知识点
● 入侵与攻击的基本概念
● 典型攻击方法及其原理——扫描器法、特洛伊木马法、缓冲区溢出法、拒绝服务攻击法、网络监听法、电子欺骗法和计算机病毒
● 防止入侵和攻击的主要技术方法——访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理
● 入侵检测技术——入侵检测的概念、入侵检测技术的发展、入侵检测系统及其缺陷
重点和难点
● 典型攻击方法及原理
● 入侵检测技术方法
要求
掌握
● 防止入侵和攻击的主要技术措施
● 典型的攻击方法及其原理
● 入侵检测系统原理、功能特点及其存在的缺陷
了解
● 入侵和攻击的基本概念、关系及导致入侵和攻击的原因
● 入侵检测的概念和基本方法
3.1 概述
3.1.1 入侵和攻击的概念
“入侵”是一个广义上的概念,所谓入侵是指任何威胁和破坏系统资源的行为,例如,非授权访问或越权访问系统资源、搭线窃听网络信息等均属入侵,实施入侵行为的“人”称为入侵者。而攻击是入侵者进行入侵所采取的技术手段和方法,入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击,有时也把入侵者称为攻击者。
入侵者可能是具有系统访问权限的授权用户,也可能是非授权用户,或者是它们的冒充者。入侵者的入侵途径有三种。一是物理途径——入侵者利用管理缺陷或人们的疏忽大意,乘虚而入,侵入目标主机,或企图登录系统,或偷窃重要资源进行研究分析;二是系统途径——入侵者使用自己所拥有的较低级别的操作权限进入目标系统,或安装“后门”、或复制信息、或破坏资源、或寻找系统可能的漏洞以获取更高级别的操作特权等,以达到个人目的;三是网络途径——入侵者通过网络渗透到目标系统中,进行破坏活动。
入侵者所采用的攻击手段主要有以下八种特定类型。
1)冒充:将自己伪装成具有较高权限的用户,并以他的名义攻击系统。
2)重演:利用复制合法用户所发出的数据(或部分数据)并重发,以欺骗接收者,进而达到非授权入侵的目的。
3)篡改:通过秘密篡改合法用户所传送数据的内容,实现非授权入侵的目的。
4)服务拒绝:中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据,如流向安全审计服务的数据信息。
5)内部攻击:利用其所拥有的权力或越权对系统进行破坏活动。这是最危险的类型,已有资料表明70%以上的犯罪事件都与内部攻击有关。
6)外部攻击:通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户或系统的组成部分、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。
7)陷阱门:首先通过某种方式侵入系统,然后,安装陷阱门。并通过更改系统功能属性和相关参数,使入侵者在非授权情况下能对系统进行各种非法操作。
8)特洛伊木马:这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但拥有授权功能,而且还拥有非授权功能,一旦建立这样的体系,整个系统便被占领。例如,一个同时向非授权信道复制消息的中继就是一个特洛伊木马。
3.1.2 入侵与攻击的关系
入侵与攻击是直接相关的,入侵是目的,攻击是手段,攻击存在于整个入侵过程之中。在现实生活中,要进行入侵的人可能是攻击者本人,也可能是幕后操纵者。入侵者的目的就是抢夺和占有别人的资源,但他不一定具有攻击能力,他可以雇用攻击者来达到入侵的目的。显而易见,攻击是由入侵者发起并由攻击者实现的一种“非法”行为。无论是入侵,还是攻击,仅仅是在形式上和概念描述上有所区别而已。对计算机系统和网络而言,入侵与攻击没有什么本质区别,入侵伴随着攻击,攻击的结果就是入侵。例如,在入侵者没有侵入目标网络之前,他想方设法利用各种手段对目标网络进行攻击(这是在目标网络外的主动攻击行为)。当攻击得手而侵入目标网络之后,入侵者利用各种手段掠夺和破坏别人的资源(这是在目标网络内的主动攻击行为)。
从网络安全角度看,入侵和攻击的结果都是一样的。一般情况下,入侵者或攻击者可能是黑客、破坏者、间谍、内部人员、被雇用者、计算机犯罪者或恐怖主义者。攻击时,所使用的工具(或方法)可能是电磁泄漏、搭线窃听、程序或脚本、软件工具包、自治主体(能独立工作的小软件)、分布式工具、用户命令或特殊操作等。
3.1.3 导致入侵和攻击的原因
导致入侵和攻击的原因十分复杂,其可能的原因归纳如下:
1)窃取情报、获取文件和传输的数据信息;
2)安装有害程序、病毒或特殊进程等;
3)获得更高的系统使用权限;
4)搜索系统漏洞、安装后门等;
5)非法访问、进行非法操作等;
6)干扰网络系统工作、拒绝服务等;
7)其他目的,例如,传播非法信息、篡改数据、欺骗、挑战、政治企图、危害国家经济利益、破坏等;
8)电子信息战的需要。
3.1.4 防止入侵和攻击的主要技术措施
在网络环境下,由于种种原因,网络被入侵和攻击是难免的,可谓是防不胜防,但是,通过加强管理和采用必要的技术手段可以减少入侵和攻击行为,避免可能因入侵和攻击而造成的各种损失。网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
1.访问控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。
(1)网络登录控制
网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。
网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。
网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。
(2)网络使用权限控制
当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。
网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类,一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。
(3)目录级安全控制
用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。
(4)属性安全控制
属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。
通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。
(5)服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
2.防火墙技术
防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问,有关防火墙的技术细节参见第4章。
3.入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。
入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估,有关入侵检测技术的细节参见第3.3节。
4.安全扫描
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。
安全扫描所涉及的检测技术主要有以下四种:
1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及系统的内核,文件的属性,操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
4)基于网络的检测技术,它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
安全扫描技术正逐渐向模块化和专家系统两个方向发展。
在模块化方面,整个安全扫描系统由若干个插件组成,每个插件封装一个或多个漏洞扫描方法,主扫描过程通过调用插件的方法来执行扫描任务。系统更新时,只需添加新的插件就可增加新的扫描功能。另外,由于插件的规范化和标准化,使得安全扫描系统具有较强的灵活性、扩展性和可维护性。
在专家系统方面,安全扫描能够对扫描结果进行整理,形成报表,同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展,希望安全扫描系统能够对网络状况进行整体评估,并提出针对整个网络的安全解决方案。未来的系统,不仅仅是一个漏洞扫描工具,还应该是一个安全评估专家。
5.安全审计
安全审计是在网络中模拟社会活动的监察机构,对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估,还可以为制定合理的安全策略和加强安全管理提供决策依据,使网络系统能够及时调整对策。
在网络安全整体解决方案日益流行的今天,安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估,是保障网络安全的重要手段。
计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计,以及加强安全教育,增强安全责任意识。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的可视化审计,就不能及时评估系统的安全性和发现系统中存在的安全隐患。
目前,网络安全审计系统包含的主要功能和所涉及的共性问题如下:
(1)网络安全审计系统的主要功能
1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。
2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
3)日志查询。能以多种方式查询网络中的日志信息,并以报表形式显示。
4)入侵检测。使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
5)自动生成安全分析报告。根据日志数据库记录的日志信息,分析网络或系统的安全性,并向管理员提交安全性分析报告。
6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
7)事件响应机制。当安全审计系统检测到安全事件时,能够及时响应和自动报警。
8)集中管理。安全审计系统可利用统一的管理平台,实现对日志代理、安全审计中心和日志数据库的集中管理。
(2)网络安全审计系统所涉及的共性问题
1)日志格式兼容问题。通常情况下,不同类型的设备或系统所产生的日志格式互不兼容,这为网络安全事件的集中分析带来了巨大难度。
2)日志数据的管理问题。日志数据量非常大,不断地增长,当超出限制后,不能简单地丢弃。需要一套完整的备份、恢复、处理机制。
3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击,如果单个分析每个目标主机上的日志信息,不仅工作量大,而且很难发现攻击。如何将多个目标主机上的日志信息关联起来,从中发现攻击行为是安全审计系统所面临的重要问题。
4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息,巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此,提供一种直观的分析报告及统计报表的自动生成机制是十分必要的,它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。
6.安全管理
(1)信息安全管理的内涵
根据我国计算机信息系统安全等级保护管理要求(GA/T 391—2002)中的描述,信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理,它包括:
1)落实安全组织及安全管理人员,明确角色与职责,制定安全规划;
2)开发安全策略;
3)实施风险管理;
4)制定业务持续性计划和灾难恢复计划;
5)选择与实施安全措施;
6)保证配置、变更的正确与安全;
7)进行安全审计;
8)保证维护支持;
9)进行监控、检查,处理安全事件;
10)安全意识与安全教育;
11)人员安全管理。
一般意义上讲,安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段,包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。
(2)信息安全管理的基本原则
需要明确指出的一点是:不论多么先进的安全技术,都只是实现信息安全管理的手段而已。信息安全源于有效的管理,要使先进的安全技术发挥较好的效果,就必须建立良好的信息安全管理体系,这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题,并将信息安全管理的责任限制在技术人员身上,事实上这种观点和做法是十分错误的。
现在,信息已成为企业发展的重要资产,企业高层领导必须重视信息安全管理,必须参与信息安全管理工作,将信息安全管理视为现有管理措施的一个重要组成部分。
在我国,加强对信息安全工作的领导,建立、健全信息安全管理责任制,通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求,坚持的总原则是:主要领导人负责原则;规范定级原则;依法行政原则;以人为本原则;适度安全原则;全面防范、突出重点原则;系统、动态原则;以及控制社会影响原则。而信息安全管理的主要策略是:分权制衡、最小特权、选用成熟技术和普遍参与。
(3)信息安全管理的基本过程
安全管理是一个不断发展、不断修正的动态过程,贯穿于信息系统生命周期,涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。图3-1描述了一个信息系统安全管理过程的基本模型,在该模型中,每个阶段的管理工作重点不同,要求也不同。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密,防止数据的非授权修改、丢失和破坏,防止系统能力的丧失、降低,防止欺骗,保证信息及系统的可信度和资产的安全。
图3-1 信息系统安全管理过程的基本模型