Intrusion
用户入侵:未授权登录、授权用户非法取得更高级别的权限
口令文件的保护方式:
- 单向加密:只保存密文
- 访问控制:只有几个账号能访问口令文件
1. Intrusion Detection
入侵检测注重掌握攻击成功前后所采用的思路
检测到入侵的速度足够快,就能在破坏发生越少时将入侵者驱逐出去。
基本工具:Audit Records
1.1 基于统计
收集一段时间内用户的行为,用统计方法观测,判定是否为合法行为
- 阈值检测:为各种事件发生的频率设置报警阈值
- 基于轮廓的检测:归纳出每个用户过去的行为特征,用于发现有重大偏差的行为
1.2 基于规则
用规则集判定给定的活动模式是否可疑
- 异常检测:定义规则,用于检测现在的行为和以前使用的模式的差别。
- 渗透鉴别:专家系统查找可疑行为
1.3 HoneyPot
建一个合法用户无法访问,内含虚假信息的网络、系统,诱导攻击者;
任何对蜜罐的攻击,都会得到攻击成功的假象
使真正工作的系统免于受损,管理员有时间转移、记录、跟踪攻击者
2. Malware
恶意软件的分类:
2.1 Trap Door
程序的秘密入口;可以通过它获取非法访问权,执行程序
2.2 Logical Bomb
当设定的事件出现时,运行破坏性代码(预先规定病毒、蠕虫的发作时间)
Case: Timothy Lloyd and Omega Engineering Corp.
2.3 Trojan Horse
一种表面看上去有用的程序,内含隐蔽代码
区别:后门:仅仅提供远程访问;木马:将后门功能伪装成良性程序
构成:
- 木马(服务器)程序:驻留在受害者系统中,接收控制端指令
- 木马配置程序:设置木马程序的端口号、触发条件、木马名称等
- 控制端程序
常用手段:
- 名字欺骗
- 与正常程序/文件捆绑
- 通过含病毒的软件下载
- HTML 传播
2.4 Zombie
秘密接管其它计算机,使用这些计算机对被攻击服务发动拒绝服务攻击(Denial of Service)
2.5 Virus
- 寄生性病毒:依附在可执行文件上,并对自身进行复制
- 引导扇区病毒:感染主引导记录/分区引导记录,使自己得以运行、复制
- 常驻存储器病毒:以常驻系统的程序的形式寄居在主存储器上面,感染所有的文件
- 隐蔽性病毒:为了躲避反病毒软件的检测
- 多态性病毒:每次感染时,放入宿主程序的代码互不相同,不断变化
2.6 Worm
- 独立程序,无需宿主
- 自我复制,自主传播(时刻寻找更多的计算机并伺机传染)
- 不伪装成其它程序
- 占用资源,破坏程序
传播方式:
- 电子邮件(将自身的拷贝以邮件形式发到其它系统)
Case: Morris Worm
Last update:
December 1, 2021
Authors: