一.黑客常见的操作
1.制造并传播病毒木马
2.寝取隐私或敏感信息
3.控制你的计算机
4.服务器宕机(死机)
5网络瘫痪
二.常见的网络攻击手段:
网络攻击主要分为以下几种类型
(1)主动攻击:包含攻击者访问所需要信息的故意行为。
(2)被动攻击。主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括:
1、窃听:包括键击记录、网络监听、非法访问数据、获取密码文件。
2、欺骗:包括获取口令、恶意代码、网络欺骗。
3、拒绝服务:包括导致异常型、资源耗尽型、欺骗型。
4、数据驱动攻击:包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。
攻击的方法主要有:
- 口令入侵
- 特洛伊木马
- WWW欺骗
- 电子邮件
- 节点攻击
- 网络监听
- 黑客软件
- 安全漏洞
- 端口扫描
三、黑客入侵的基本步骤:
四.黑客入侵成功的三个条件:
1.被攻击目标要有漏洞,黑客能够发现漏洞-后门。
2 找到漏洞后能够利用它-恶意代码(不能被发现)
3.通过网络远程访问-且不能被被攻击目标发现不能被识别代码
五、防火墙是门,入侵检测是摄像头
1.FW是边界防护措施,IDS是动态监控措施;
2.FW靠制定规则防止非授权的人进行访问,是提高入侵者的门槛;IDS通过发现入侵者的异常行为,判断谁是黑客,用以对付“伪装”进来的高级入侵者。
六、怎样发现黑客
1.误用:
数据非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,称为误用检测。 - 指纹比对(犯罪记录):建立恶意代码库,动态比对;
- 模式匹配(盗窃方式):建立攻击者模型,采用状态机转态分析技术,连续符合一系列动作的行为链;
识别已知的黑客与已知的攻击方式,指纹要有样本才能提取;习行为链需要熟悉黑客做法的总结。
2、异常
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是疑似入侵,称为用户异常检测,如访问时间、流量大小、通信协议等;
- 统计基线:通过大量“学习“,建立建立基于统计的基线模型
- 数据挖掘:建立业务访问模型,建立违规业务模型。
*需要注意问题:
1.异常未必是入侵
2.入侵未必都有明显的异常
入侵检测技术是通过安全警报,引起管理者的关注,分析确认攻击者的动作行为后调动人员应急处理。
八、入侵检测系统产品组成
1.控制中心:
表现方式:软件
功能:
- 接受事件
- 策略下发
- 事件库升级
2.探测引擎:
表现方式:硬件/软件
功能: - 抓包、分析、上报事件
- 日志、分析、上报事件
九、网络入侵检测系统的部署方式
旁路并联:复制监控链路的流量,所以只报警,不阻断。重在分析,少影响业务。