用戶入侵:利用系統漏洞進行未授權登錄、或者授權用戶非法獲得更高級別權限
軟件入侵方式:通過網絡傳播病毒、蠕蟲和特洛伊木馬
阻止合法用戶正常使用服務器的拒絕服務攻擊
一、防火墻
- 訪問控制技術
- 通過嚴格控制進出網絡邊界的分組,禁止任何不必要的通信,從而減少潛在入侵的發生
- 系統防御的第二道防線:入侵檢測系統IDS
- 通過對進入網絡的分組進行深度分析與檢測發現疑似入侵行為的網絡活動
- 特殊編程的路由器,安裝在網點和網絡的其余部分之間,目的:實施訪問控制策略
- 防火墻技術:
- 分組過濾路由器:根據過濾規則對進出內部網絡的分組執行轉發或者丟棄
- 過濾規則:基于分組的網絡層或運輸層首部的信息
- 無狀態:獨立地處理每一個分組
- 有狀態:跟蹤每個連接或會話的通信狀況,根據信息決定是否轉發分組
- 對于用戶是透明的,但不能對高層數據進行過濾
- 應用網關:代理服務器
- 在應用層通信中扮演報文中繼的角色
- 例如:萬維網緩存
- 實現基于應用層數據的過濾和高層用戶鑒別
- 所有進出網絡的應用程序報文都必須通過應用網關
- 缺點:
- 每種應用都需要一個不同的應用網關
- 在應用層轉發和處理報文,處理負擔較重
- 對應用程序不透明,需在應用程序客戶端配置應用網關地址
- 分組過濾路由器:根據過濾規則對進出內部網絡的分組執行轉發或者丟棄
二、入侵檢測系統IDS
IDS:對進入網絡的分組執行深度分組檢車,當觀察到可疑分組時,向網絡管理員發出告警或執行阻斷操作
IDS能檢測多種網絡攻擊:網絡映射、端口掃描、DoS攻擊、蠕蟲和病毒、系統漏洞攻擊等
入侵檢測方法兩種:
- 基于特征的入侵檢測
- 維護一個所有已知攻擊標志性特征的數據庫
- 每一個特征是一個與某種入侵活動相關聯的規律集
- 匹配的分組或分組序列可能有入侵行為
- 缺點:只能檢測已知攻擊、對未知攻擊則束手無策
- 基于異常的入侵檢測
- 通過觀察正常運行的網絡流量,學習正常流量的統計特性和規律
- 當檢測到網絡中流量的某種統計規律不符合正常情況,則認為可能發生入侵行為
