荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: manet (天马行空), 信区: WinNT
标 题: 攻击和攻击检测方法
发信站: BBS 荔园晨风站 (Mon Mar 1 08:38:38 1999), 站内信件 (WWW POST)
攻击和攻击检测方法
攻击
美国IDG Infoworld测试中心小组开发了一种可以称之为Benchmarking类型的测试基准?
WSS16。该小组收集了若干种典型且可以公开得到的攻击方法,对其进行组合,形成
IWSS16。IWSS16组合了四种主要类型的攻击手段:
收集信息
网络攻击者经常在正式攻击之前,进行试探性的攻击,目标是获取系统有用的信息,
主要手段有PING扫描,端口扫描,帐户扫描,DNS转换等操作。
获取访问权限
以各种手段获取对网络和系统的特权访问,其中,包括许多故障制造攻击,例如,
发送邮件故障,远程IMAP缓冲区溢出,FTP故障,等。通过这些攻击造成的故障,
暴露系统的安全漏洞,获取访问权限。
拒绝服务(Denial of Service)
DoS是最不容易捕获的攻击,因为它不易留下痕迹,安全管理人员不易确定攻击来源。
由于其攻击目标是使系统瘫痪,因此,是很危险的攻击。当然,就防守一方的难度而言,
拒绝服务攻是比较容易防御的攻击类型。这类攻击的特点是以潮水般的申请使系统在迎接不
暇的状态中崩溃;除此之外,拒绝服务攻击还可以利用操作系统的弱点,有目标地进行针对
性的攻击。
逃避检测
入侵者往往在攻击之后,使用各种逃避检测的手段,使其攻击的行为不留痕迹。
典型的特点是修改系统的安全审计记录。然而,魔高一尺,道高一丈,克服逃
避检测已成为攻击检测技术的发展研究方向之一。
攻击检测方法
检测隐藏的非法行为
基于审计信息的脱机攻击检测工作,以及自动分析工具,可以向系统安全管理员
报告此前一天计算机系统活动的评估报告.
对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的证
据或者模型的基础。审计系统实时地检测用户对系统的使用情况,根据系统内部
保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,
保持跟踪并监测,记录该用户的行为。
IDES(Intrusion-Detection Expert System),攻击检测专家系统,就是采用基于
审计统计数据的技术,它具有一些天生的弱点,因为用户的行为可以是非常复杂的,
所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来
自对审计数据的统计算法所基于的不准确或不贴切的假设。
基于神经网络的攻击检测技术
为改进基于统计数据的技术,SRI(Stanford Research Institute,斯坦福研究所)
的研究小组利用和发展了神经网络技术来进行攻击检测。
基于专家系统的攻击检测技术
进行安全检测工作自动化的另一个值得重视的研究方向就是,基于专家系统的攻击
检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此
基础上构成相应的专家系统。专家系统可以自动进行对所涉及的攻击操作的分析工作。
基于模型推理的攻击检测技术
攻击者在攻击一个系统时,往往采用一定的行为程序,如猜测口令的程序,这种行为
程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可
以实时地检
测出恶意的攻击企图。虽然攻击者并不一定都是恶意的。用基于模型的推理方法,
人们能够为某些行为建立特定的模型,从而,能够监视具有特定行为特征的某些活动。
根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,
要为不同的攻击者和不同的系统建立特定的攻击脚本。
当有证据表明某种特定的攻击模型发生时,系统应当收集其它证据来证实或者否
定其攻击的真实,既不能漏报攻击,对信息系统造成实际的损害,又要尽可能的
避免错报。
--
※ 修改:.manet 于 Mar 1 16:46:00 修改本文.[FROM: 172.21.24.102]
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.0.16]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店