(精选)信息安全检测课件.ppt

第6章　信息安全检测 6.3 入侵响应 第二步是选择信息源，或包含有存放信息的日志文件。可以通过系统日志配置文件/etc/syslog. conf了解所需的信息被记录在哪里。例如，使用以下命令可以得知电子邮件日志存放位置的配置代码信息： cat/ctc/syslog.conf\grep mail mail.debug ifdef(‘LOGHOST’， /var/log/syslog，@loghost) 第6章　信息安全检测 6.3 入侵响应 最后一步就是定义触发器，即指定将要记录的日志信息。在这里我们需要的两个针对sendmail的触发器如下： 试图将邮件服务器作为邮件转发器的非授权IP地址； 试图使用已经被关闭的用户的IP地址。 第6章　信息安全检测 6.3 入侵响应 4. 发现系统已经被入侵之后 如果发现有人已经破坏了系统安全的时候，系统管理员首先应做的是面对肇事用户。如果该用户不是蓄意的，则系统管理员只需清理系统。 如果该用户造成了某些损坏，则应当报告有关人士，并且应尽可能地将系统恢复到原来的状态。 第6章　信息安全检测 6.3 入侵响应 如果肇事者是非授权用户，那就得做最坏的假设了：肇事者已设法成为root且本系统的文件和程序已经泄密了。系统管理员应当设法查出谁是肇事者，他造成了什么损坏。还应当对整个文件做一次全面的检查，而不只是检查SUID和SGID以及设备文件。 第6章　信息安全检测 6.3 入侵响应 如果系统安全被一个敌对的用户破坏了，应当采用下面的步骤： 关闭系统，然后重新引导，不进入多用户方式，而是进入单用户方式。 安装含有本系统原始Unix版本的磁带和软盘。 将/bin、/usr/bin、/etc、/usr/lib中的文件拷贝到一个临时目录中。 将临时目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和。 第6章　信息安全检测 6.3 入侵响应 在确认系统中的命令还未被篡改之前，还要用系统中原有的命令。 根据临时目录中所有系统命令的存取许可，检查系统中所有命令的存取许可。 检查所有系统目录的存取许可，用perms检查permlist文件是否被篡改过。 第6章　信息安全检测 6.3 入侵响应 改变系统中的所有口令，并通知用户他们的口令已经改变。 设法查明安全破坏是如何发生的。 如果能发现肇事者是如何进入系统的，就应设法堵住这个安全漏洞。 第6章　信息安全检测 6.3 入侵响应 6.3.3 入侵响应 Garfinkel和Spafford于1996年推荐了两种重要的响应方案。 第一种，保持冷静不要惊慌。 第二个建议是对每件事情都进行记录。 第6章　信息安全检测 6.3 入侵响应 Chapman与Zwicky提出了如下七步建议： 第一步：估计形势并决定需要做出那些响应 第二步：如果必要则断开连接或关闭资源 第三步：事故分析和响应 第6章　信息安全检测 6.3 入侵响应 第四步：根据响应策略向其他人报警 第五步：保存系统状态 第六步：恢复遭到攻击的系统工程 第七步：记录所发生的一切 第6章　信息安全检测 6.4 入侵检测系统应用 在包含有入侵检测系统的网络安全解决方案中，将入侵检测系统部署在什么地方是非常关键的。一个基本的原则是：运行入侵检测系统的计算机应当独立于被检测系统。这样，入侵检测系统将不受被检测系统的响应时间和其他一些因素的影响，并且也有利于被检测系统的安全。 下面是几个入侵检测的例子，通过这些入侵检测例子可以体会到怎样来识别网络攻击。 第6章　信息安全检测 6.4 入侵检测系统应用 6.4.1 网络路由探测攻击 网络路由探测攻击是指攻击者对目标系统的网络路由进行探测和追踪，收集有关网络系统结构方面的信息，寻找适当的网络攻击点。 第6章　信息安全检测 6.4 入侵检测系统应用 如果该网络系统受到强大防火墙的保护而难以攻破，攻击者可以对该网络系统发起拒绝服务攻击，造成该网络系统的出口处被阻塞。因此，网络路由探测是发动网络攻击的第一步。 第6章　信息安全检测 6.4 入侵检测系统应用 检测网络路由探测攻击的方法比较简单，查找若干个主机2秒之内的路由追踪记录，在这些记录中找出相同和相似名字的主机。 图 6?9所示的例子是 4个来自于不同网络的