信息安全技术 教学课件 ppt 作者 周苏 第5-2讲 漏洞检测技术

信息安全技术,周苏 教授 Zsmail.hz.zj.cn QQ: 81505050,第 5 讲 安全检测技术,5.1 入侵检测技术与网络入侵检测系统产品 5.2 漏洞检测技术和微软系统漏洞检测工具MBSA,第 5 讲 安全检测技术,5.2 漏洞检测技术 和微软系统漏洞检测工具MBSA,第 5 讲 安全检测技术,就网络信息系统的安全而言，仅有事后追查或实时报警功能是不够的，还需要具备系统安全漏洞检测能力的事先检查型安全工具。 系统漏洞检测又称漏洞扫描，就是对网络信息系统进行检查，主动发现其中可被攻击者利用的漏洞。不管攻击者是从外部还是从内部攻击某一网络系统，一般都会利用该系统已知的漏洞。因此，漏洞扫描技术应该用在攻击者入侵和攻击网络系统之前。,第 5 讲 安全检测技术,1. 入侵攻击可利用的系统漏洞类型 入侵者常常从收集、发现和利用信息系统的漏洞来发起对系统的攻击。不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同，大致上可以分为3类 网络传输和协议的漏洞 系统的漏洞 管理的漏洞,第 5 讲 安全检测技术,(1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信任以及网络传输过程本身所存在的漏洞进入系统，例如，IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS协议的信任；而网络嗅探器则利用了网络信息明文传送的弱点。,第 5 讲 安全检测技术,另外，攻击者还可利用协议的特性进行攻击，例如，对TCP序列号的攻击等。攻击者还可以设法避开认证过程，或通过假冒 (如源地址) 而混过认证过程。例如，有的认证功能是通过主机地址来做认证的，一个用户通过认证，则这个机器上的所有用户就都通过了认证。此外，DNS、WHOIS、FINGER等服务也会泄露出许多对攻击者有用的信息，例如，用户地址、电话号码等。,第 5 讲 安全检测技术,(2) 系统的漏洞 攻击者可以利用服务进程的BUG和配置错误进行攻击，任何提供服务的主机都有可能存在这样的漏洞，它们常被攻击者用来获取对系统的访问权。由于软件的BUG不可避免，这就为攻击者提供了各种机会。另外，软件实现者为自己留下的后门 (和陷门) ，也为攻击者提供了机会。,第 5 讲 安全检测技术,系统内部的程序也存在许多BUG，因此，存在着入侵者利用程序中的BUG来获取特权用户权限的可能。 窃取系统中的口令是最简单和直截了当的攻击方法，因而对系统口令文件的保护方式也在不断的改进。口令文件从明文 (隐藏口令文件) 改进成密文，又改进成使用阴影 (Shadow) 的方式。,第 5 讲 安全检测技术,攻击者窃取口令的方法可以是： 窃取口令文件并做字典攻击。 从信道截获并做进一步分析。 利用特洛伊木马窃取。 采用其他方式进行窃取。,第 5 讲 安全检测技术,(3) 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入系统的信息，包括口令、用户名等。,第 5 讲 安全检测技术,通过对入侵攻击过程进行分析，可以将系统的安全漏洞划分为以下5类： 可使远程攻击者获得系统一般访问权限。 可使远程攻击者获得系统管理权限。 远程攻击者可使系统拒绝合法用户的服务请求。 可使一般用户获得系统管理权限。 一般用户可使系统拒绝其他合法用户的服务请求。,第 5 讲 安全检测技术,根据安全漏洞所在程序的类型，以上5类安全漏洞又可以划分为两类： 前3种安全漏洞主要存在于系统的网络服务程序中，包括TELNET，FTP等用户服务，也包括HTTP，Sendmail等共用网络服务； 后两种安全漏洞主要存在于一些系统服务程序及其配置文件中，尤其是以Root身份运行的服务程序。,第 5 讲 安全检测技术,从系统本身的层次结构看，系统的安全漏洞可以分为以下4类： 安全机制本身存在的安全漏洞。 系统服务协议中存在的安全漏洞，按层次可细分为物理层、数据链路层、IP与ICMP层、TCP层、应用服务层。 系统、服务管理与配置的安全漏洞。 安全算法、系统协议与服务实现中存在的安全问题等,第 5 讲 安全检测技术,针对攻击者利用网络各个层次上的安全漏洞破坏网络的安全性，系统安全必须进行全方位多层次的安全防卫，才能使系统安全的风险最小。,第 5 讲 安全检测技术,2. 漏洞检测技术分类 通常采用两种策略，即被动式和主动式策略。 被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查； 主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估，因此成为安全方案的一个重要组成部分。,第 5 讲 安全检测技术,根据所采用的技术特点，漏洞检测技术可分为以下5类： 1) 基于应用的检测技术。采用被动、非破坏性的办法来检查应用软件包的设置，发现安全漏洞。 2) 基于主机的检测技术。采用被动、非破坏性的办法对系统进行检测，常涉及系统内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密，因此，这种技术可以非常准确地定位系统存在的问题，发现系统漏洞。其缺点是与平台相关，升级复杂。,第 5 讲 安全检测技术,3) 基于目标的检测技术。采用被动、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息摘要算法，对系统属性和文件属性进行杂凑 (Hash) 函数运算。如果函数的输入有一点变化，其输出就会发生大的变化，这样文件和数据流的细微变化都会被感知。这些算法实现是运行在一个闭环上，不断地处理文件和系统目标属性，然后产生校验数，把这些校验数同原来的校验数相比较，一旦发现改变就通知管理员。,第 5 讲 安全检测技术,4) 基于网络的检测技术。采用积极、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列脚本对系统进行攻击，然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现系统平台的一系列漏洞，也容易安装。但是，它容易影响网络的性能。 5) 综合技术。它集中了以上4种技术的优点，极大地增强了漏洞识别的精度。,第 5 讲 安全检测技术,3. 漏洞检测的基本要点 1) 检测分析的位置。在漏洞检测中，第一步是数据采集，第二步是数据分析。在大型网络中，通常采用控制台和代理相结合的结构，这种结构特别适用于异构型网络，检测不同的平台较容易。在不同威胁程度的环境下，可以有不同的检测标准。,第 5 讲 安全检测技术,2) 报告与安装。漏洞检测系统生成的报告是理解系统安全状况的关键，它记录了系统的安全特征，针对发现的漏洞提出需要采取的措施。整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。安全漏洞数据库可以不断更新补充。,第 5 讲 安全检测技术,3) 检测后的解决方案。如果发现了漏洞，一旦检测完毕，那么系统应有多种反应机制。预警机制可以让系统发送消息、电子邮件、传呼、短信等来报告发现了漏洞。报表机制生成综合的报表，列出所有的漏洞，管理员根据这些报告可以采取有针对性的补救措施。同入侵检测系统一样，漏洞检测有许多管理功能，通过一系列的报表可让系统管理员对这些结果做进一步的分析。,第 5 讲 安全检测技术,4) 检测系统本身的完整性。这里同样有许多在设计、安装、维护检测系统时要考虑的安全问题。安全数据库必须安全，否则就会成为黑客的工具，因此，加密就显得特别重要。由于新的攻击方法不断出现，所以要给用户提供一个更新系统的方法。更新的过程也必须进行加密，否则将产生新的危险。实际上，漏洞检测系统本身就是一种攻击，如果被黑客利用，那就会产生难以预料的后果，因此，必须采用保密措施。,第 5 讲 安全检测技术,4. 微软系统漏洞检测工具MBSA 为确保计算机系统的安全，除了安装安全防护软件 (如：杀毒软件、防火墙等) 外，及时安装漏洞补丁程序也是非常重要的。,第 5 讲 安全检测技术,例如对于Windows系统来说，几乎每个星期都有新的漏洞被发现。这些漏洞常被计算机病毒和黑客们用来非法入侵计算机和进行破坏。虽然微软会及时发布修补程序，但是发布时间是随机的，而且这些漏洞会因Windows软件版本的不同而发生变化；另一方面，尽管Windows的“附件”带了一个自动更新程序，但它只是机械地把一大堆补丁程序统统安装到系统中，安装完成后你仍然不知道系统还存在着哪些漏洞。因此，完全修补所有漏洞成为每个Windows用户的难题。,第 5 讲 安全检测技术,解决这个难题的简单方法，就是利用特定的软件，例如微软的系统漏洞检测工具MBSA (微软基准安全分析器) 对Windows系统进行扫描，检查是否存在漏洞？哪些方面存在漏洞？以便及时修补,第 5 讲 安全检测技术,MBSA是一个免费软件，它具有其他同类软件无法比拟的优点： 除了能检查Windows的漏洞，还能检测Office、IIS、SQL Server等微软产品的漏洞，扫描完成后会用“×”将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。对于每个使用微软产品并联网的用户来说，MBSA是个必装的软件。,第 5 讲 安全检测技术,除了MBSA之外，还有很多免费或共享的漏洞扫描工具，如HFNetChk、LANguard Network Security Scanner等，它们的功能也很实用。,