(中央社記者林琳紐約二十九日專電)電玩新寵Wii的遙控器能偵測動作的特點已被駭客廣泛運用。原本這個控制器是讓電玩玩家透過單手的動作及指向與螢幕上虛擬物件互動,現在卻有人用Wii遙控器來控制音響、機器人和家電用品。 「華爾街日報」報導,Wii遙控器已經成為駭客最感興趣的更改密碼對象。他們會從網站下載軟體再更改密碼,把Wii遙控器每個動作的指令改用在另外的設備上。用改變過程式的Wii遙控器做的每一個動作,都會傳達一個資訊到電腦,由電腦來控制任何駭客連結的設備。
- Apr 30 Mon 2007 11:14
-
駭客改變Wii遙控器程式 延伸電玩以外功能
- Apr 30 Mon 2007 11:12
-
[大砲開講]國立故宮博物院藝術史討論區被值入惡意連結
國立故宮博物院藝術史討論區被值入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: 魂)
原文詳見此
原文詳見此
- Apr 30 Mon 2007 11:11
-
[大砲開講]7-11 網路購物取貨服務網站被值入惡意連結
7-11 網路購物取貨服務網站被值入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: 噢和 linkey)
原文詳見
原文詳見
- Apr 30 Mon 2007 11:09
-
資料庫系統安全框架與其各層安全技術
http://soft.yesky.com/securityw/aqff/478/3318478.shtml 資料庫系統安全框架與其各層安全技術 隨著電腦技術的飛速發展,資料庫的應用十分廣泛,深入到各個領域,但隨之而來產生了資料的安全問題。各種應用系統的資料庫中大量資料的安全問題、敏感性資料的防竊取和防篡改問題,越來越引起人們的高度重視。資料庫系統作為資訊的聚集體,是電腦資訊系統的核心部件,其安全性至關重要,關係到企業興衰、成敗。因此,如何有效地保證資料庫系統的安全,實現資料的保密性、完整性和有效性,已經成為業界人士探索研究的重要課題之一,本文就安全防入侵技術做簡要的討論。
- Apr 26 Thu 2007 11:19
-
常見拒絕服務攻擊類型及分析
2007真不愧是黑客年,這兩天很多客戶來電稱被拒絕服務,這樣的事情的確是非常麻煩,不過現在的情況來看更多的攻擊則來自有商業利益的攻擊行為,這不得不值得我們去思考。
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。其實對網絡帶寬 進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不 到合理的解決,究其原因是因為這是由於網絡協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。
攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器的緩衝區滿,不接收新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。其實對網絡帶寬 進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不 到合理的解決,究其原因是因為這是由於網絡協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。
攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器的緩衝區滿,不接收新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
- Apr 26 Thu 2007 11:14
-
Web威脅五季度來首攀升
趨勢科技於近日公佈第一季度網絡安全報告,報告中指出經過前五季度的下滑趨勢之後,目前Web安全威脅又再度攀升。 在全球性大規模疫情爆發時代結束後,迅速散播的蠕蟲病毒已逐漸被規模較小、目標較明確的攻擊所取代。病毒程序受僱於幕後操控者,利用不斷衍生的新變種與不斷變換攻擊的目標區域,一再發動游擊戰,而攻擊行動中幾乎脫離不了Web相關威脅 。 世界在你指尖,Web 威脅在彈指間 在Web應用無處不在的今天,由於互聯網的開放性,信息的加密方式和系統安全的不完備性,造成網絡攻擊和破壞事件的層出不窮。據趨勢科技用戶所作的調查 中,中小型企業客戶感受到 Web安全威脅已比往更先進,且更為複雜,有愈來愈多自動迅速更新變換型態的病毒襲擊網絡。在網絡上掀起軒然大波的「ANI病毒」和「熊貓燒香」正是典型 的通過Web途徑傳播的木馬程序及的殭屍網絡攻擊。 Web 相關威脅取代蠕蟲成為網絡安全主流 針對特定人群有策劃的傳播病毒 在本季度報告中指出,和過去大規模疫情爆發時代的無策略病毒傳播技巧相比,近期的病毒傳播顯現出針對特定人群精心策劃、連續不斷的攻擊手法。例 如,傳播病毒的電子郵件會使用與最近時事有關的主題。今年第一個高惡性木馬病毒TROJ_SMALL.EDW 是選在歐洲冬季風暴威力達到顛峰之時,宣稱提供有關這場風暴的詳細信息,通過電子郵件四處散播。 據瞭解,趨勢科技分析病毒傳播技巧的持續發展主要有兩個方向:第一是目標的轉變,從提高知名度轉變為謀取金錢報酬;第二個是手法的轉變,從廣泛攻擊全球計算機使用者轉變為鎖定特定階層或區域的使用者。 間諜軟件動私刑 刪除侵權影音文件 今年第一季度出現了創新的間諜軟件變種系列: TSPY_DENUTARO,它會刪除所有跟影像和音樂有關的文件。最新的變種 TSPY_DENUTARO.DM 更有明確的反盜版宣言,它會出現類似文字:「儘管金子勇已經被判刑,你依然還在使用Winny嗎?我恨死你們這些用 Winny 的人」 Winny 是日本最受歡迎的P2P網絡下載程序,由於該軟件可讓使用者完全匿名,難以追查身份。因此日本政府宣判作者金子勇協助侵犯版權,罰款一百五十萬日元。 趨勢科技表示從上述這個案例顯示間諜軟件不再只有竊取數據的能力,它已經具有毀壞文件的能力。 賭博網站成網絡釣魚新目標 與去年的數據相比,本季度使用快速消失網址的手法增長了一倍。部份原因是因為 Rock Phish 軟件能夠協助業餘黑客輕易製作網絡釣魚網址。根據研究機構Gartner的統計,2006年美國人因網絡釣魚的28億財務損失中,「Rock Phish」組織詐騙所得超過1億美金。 除了傳統的金融網站外,趨勢科技也發現首個針對在線賭博網站的釣魚網站: PartyPoker。這意味著網絡釣客已擴大加害目標。趨勢科技也發現第一季借助eMail 的網絡釣魚案例有下降趨勢,這代表著網絡罪犯已經找到了替代的方法,此類Web威脅仍需要高度關注。 亞洲的垃圾郵件數量持續上揚:1/3非英文垃圾郵件為中文 商務與金融性質的垃圾郵件依然是最盛行的,第一季度英文垃圾郵件增長19%。日文(58%)與中文(33%)在非英語系垃圾郵件語言中佔最多 數,超越去年居首的非英語系語言─俄文與西班牙文,而韓文也進入十大垃圾郵件偏好語言。趨勢科技分析,亞洲語系的垃圾郵件數量持續成長,原因在於美國與歐 洲已針對任意散播電子郵件的行為嚴格立法。
原文出處
原文出處
- Apr 26 Thu 2007 11:11
-
電腦防範黑客基本法則
目前,上網的電腦越來越多,特別是寬帶用戶在線時間長、速度快,因此容易成為黑客們的攻擊目標。現在網上出現了各種越來越詳細的「IP地址庫」,要知道一些用戶的IP是非常容易的事情。要怎麼保衛自己的網絡安全呢?不妨看看以下方法。 一、取消文件夾隱藏共享 如果你使用了Windows 2000/XP系統,右鍵單擊C盤或者其他盤,選擇"共享",你會驚奇地發現它已經被設置為「共享該文件夾」,而在「網上鄰居」中卻看不到這些內容,這是怎麼回事呢? 原來,在默認狀態下,Windows 2000/XP會開啟所有分區的隱藏共享,從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」,就可以看到硬盤上的每個分區 名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」,系統就會詢問用戶名和密碼,遺憾的是,大多數個人用戶系統Administrator的 密碼都為空,入侵者可以輕易看到C盤的內容,這就給網絡安全帶來了極大的隱患。 怎麼來消除默認共享呢?方法很簡單,打開註冊表編輯器,進入 「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters」, 新建一個名為「AutoShareWKs」的雙字節值,並將其值設為「0」,然後重新啟動電腦,這樣共享就取消了。 二、拒絕惡意代碼 惡意網頁成了寬帶的最大威脅之一。以前使用Modem,因為打開網頁的速度慢,在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬帶的速度這麼快,所以很容易就被惡意網頁攻擊。 一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序,只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。 運行IE瀏覽器,點擊「工具/Internet選項/安全/自定義級別」,將安全級別定義為「安全級- 高」,對「ActiveX控件和插件」中第2、3項設置為「禁用」,其它項設置為「提示」,之後點擊「確定」。這樣設置後,當你使用IE瀏覽網頁時,就能 有效避免惡意網頁中惡意代碼的攻擊。 三、封死黑客的「後門」
- Apr 26 Thu 2007 11:09
-
IPC$ 掃瞄和IPC$漏洞的防範
IPC$(Internet Process Connection)是共享"命名管道"的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道並以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。IPC$是NT/2000的一項新功能,它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。簡單點說就是通過你的系統帳號和密碼登陸 你的系統的一個通道!而 IPC$ 並不算是一個漏洞,但因一般電腦用戶設置系統的密碼為空,這就成為一個可給利用的漏洞了!別人用管理員權限的帳號和空 密碼登陸你的系統後,別人就可以開共享,執行命令、程序、木馬,還可以刪除你的系統文件,危險性極大!
怎樣防範
--------------------------------------------------------------------
請把你系統帳號設置為非空的密碼,而密碼不能太簡單!這樣,別人就掃瞄不出你的密碼!當然要你記得住,如果自己都記不住那就。。。。
請加一個防火牆,把IPC相關的端口禁止外網訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機子名字的端口,MAC掃瞄就是掃瞄這個端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃瞄)就掃不到你機子了!
如果禁止所以人連接你的 135 137 139 445 端口後,如果你是在一個局域網裡,那共享功能也無效了!可以設置防火牆允許局域網用戶通過,就可以解決共享問題!
如果你是一台機上網的,根本不用共享的功能,你可以關掉如下服務:
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火牆還是要開,因為有些工具還是可以通過
135端口的WMI服務,進行入侵!
啊D工具掃瞄,使用注意!
-------------------------------------------------------------------------------------------------------
當你使用啊D工具包進行掃瞄時,你也不想成為肉雞,請把你的帳號密碼不要設置為空,
並帳號的密碼不能太過簡單,並使用防火牆禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發,掃不到肉雞!
也請把下面的服務開啟!
Computer Browser
Server
Workstation
如上設置,你可以掃到別人,別人掃瞄不到你!這樣就可以進行漏洞檢測了!
怎樣防範
--------------------------------------------------------------------
請把你系統帳號設置為非空的密碼,而密碼不能太簡單!這樣,別人就掃瞄不出你的密碼!當然要你記得住,如果自己都記不住那就。。。。
請加一個防火牆,把IPC相關的端口禁止外網訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機子名字的端口,MAC掃瞄就是掃瞄這個端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃瞄)就掃不到你機子了!
如果禁止所以人連接你的 135 137 139 445 端口後,如果你是在一個局域網裡,那共享功能也無效了!可以設置防火牆允許局域網用戶通過,就可以解決共享問題!
如果你是一台機上網的,根本不用共享的功能,你可以關掉如下服務:
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火牆還是要開,因為有些工具還是可以通過
135端口的WMI服務,進行入侵!
啊D工具掃瞄,使用注意!
-------------------------------------------------------------------------------------------------------
當你使用啊D工具包進行掃瞄時,你也不想成為肉雞,請把你的帳號密碼不要設置為空,
並帳號的密碼不能太過簡單,並使用防火牆禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發,掃不到肉雞!
也請把下面的服務開啟!
Computer Browser
Server
Workstation
如上設置,你可以掃到別人,別人掃瞄不到你!這樣就可以進行漏洞檢測了!
- Apr 26 Thu 2007 11:06
-
小心 黑客可利用Google挖掘企業數據
據一位安全專家稱,知道看什麼地方的數字犯罪分子可能使用 Google的搜索工具挖掘大量的包括知識產權和口令在內的敏感的企業數據。Security Constructs公司總經理Tom Bowers原來曾是財富100強醫藥公司的信息安全業務經理。他說,IT專業人員必須學習這些壞蛋的技術以便關注Google,確保公司的機密不出現在 公共領域。 Bowers上個星期在波士頓舉行的SecureWorld會議上說,如果有什麼東西出現在Google搜索引擎中,它就成了公開信息。你的工作就是看你們的知識產權是否出現在Google搜索引擎中並且採取正確的防禦措施防止這種事情的發生。 Bowers並不是第一個對於Google搜索引擎可能用來挖掘企業的機密發出警告的安全專家。滲透測試專家Johnny Long曾介紹如何把Google變成惡意的工具。他的網站johnny.ihackstuff.com就包含一個「Google黑客數據庫」。但是, Bowers說,許多企業仍不知道Google的真正威脅是怎樣的。 Google上個星期宣佈,它將在它從數百萬全球用戶那裡收集到的大量的信息前面加上一個匿名盾牌,使人們很難從在線搜索的查詢的請求跟蹤到提 出這些搜索請求的人。但是,沒有任何跡象表明這會減少Bowers介紹的那種風險。一個理由是黑客已經顯示了繞過這種防禦盾牌的訣竅。 Bowers指出,許多Google黑客都曾經是為共產黨政權工作過的經驗豐富的間諜。當柏林牆倒塌的時候,這些間諜失業了並且轉變為經濟間諜。他還指出,醫藥公司曾僱用情報收集者以便更多地瞭解它們的競爭對手。 Google黑客能夠使用Google精細搜索工具接近其攻擊目標並且尋找可能成為信息金礦的財務文件和安全分析報告。更多的專業Google工具黑客發現了Google地球服務、Google專利搜索和Google博客搜索等工具。 Bowers說,Google地球服務能夠向間諜提供競爭對手的工廠的衛星照片。如果一個公司在它的一項專利中包含太多的信息,那麼,Google專利搜索工具就特別有價值。 Bowers說,一旦你有一項專利成功公開的信息,你就必須要小心你在專利中介紹的內容。你在專利中僅輸入足夠使其與眾不同和足以取得專利的內容即可,不要寫入太多的內容,因為你的競爭對手能夠看到它並且複製你的工藝。專利是信息的真正寶庫。 博客也是一家公司對付另一家公司的極好的信息來源。許多想法在博客領域都是共享的。有時候,許多知識產權也是共享的。 但是,Bowers說,最好的情報工具是Google快訊。這項服務能夠根據用戶自定義的標準向用戶提供內容。他說,你可以蒐集這種搜索詞彙作 為數據挖掘、商業情報和計算機證據。我的Google快訊每一天都用電子郵件發到我的郵箱裡。這種方法很容易使用,你可以快速使用這種方法找到你的公司的 信息並且開始調查這個信息是如何出現在Google搜索引擎中的。 Bowers還發現,Google還能夠用來挖掘企業認為已經銷毀了的表單文件。有些表單文件可能包含用戶名和口令等有價值的細節。例如,他就曾發現一個包含賬戶名和口令的表單文件。 對於那些要在Google搜索引擎上查詢自己公司的數據的IT專業人員來說,Bower的建議是開始提出一個問題,然後精細調整這個搜索,問更多的問題並且進行更多的精細搜索。一旦發現這個信息,就可以進行大量的數據分析以便確定文件的創建日期和找到隱藏的超鏈接。 Bower說。對於確實發現自己公司的敏感數據出現在Google搜索引擎上的那些人來說,他們可以填寫Google網站上的一個在線表格,讓Google刪除那部分信息。
- Apr 26 Thu 2007 11:05
-
台灣軍事機密不設防 大陸隨時可"分享"
據自由時報報導,台灣許多軍方人員違規在電腦灌入Foxy分享軟件,導致許多重要機密外洩,其中包括等級為機密的「漢光十八號演習督考報告簽呈」與「中科院漢光廿三號演習的UAV飛行路線圖」,甚至已在大陸黑客論壇被全文張貼,台軍軍機外洩情形非常嚴重。 報導說,早在三月初,在大陸黑客論壇就有人貼出透過Foxy搜尋到的台灣軍機,洋洋灑灑地列出數十個檔名,還將內容完整貼出,顯示台灣軍事人員的網絡保密觀念極為淡薄。 台灣軍方通資官員坦承確有此狀況,目前已全面移除在軍用電腦上所找到的Foxy軟體,併成立專案小組全面瞭解在民間網路流傳的軍事檔案。但他強調,此軟體不需經伺服器,導致清查困難。 據指出,分享軟件可決定要將電腦的哪一部份資料夾拿出來分享,但因介面設計的關係,經常會有使用者勾選錯誤,誤將電腦內所有硬碟都開放成分享,導致個人電腦內的資料全部外洩,而且一傳十、十傳百,無法停止。 目前使用Foxy軟件可以搜尋到許多軍事機密,輸入「漢光」、「陸軍」、「海軍」、「空軍」等關鍵字,就可輕易搜尋到漢光十八號演習督考報告,但這份報告 是規定到民國2012年6月1日才能解密的「機密」文件;另外包括「陸軍航特部人員名冊」、「萬安廿四號演習指揮所編組」、「海軍人員名冊」、「年度陸海 空軍軍官士官考核評鑑表橫式版」,日前在媒體曝光的漢光廿三號演習中科院無人飛行載具(UAV)的飛行路線圖也赫然在列。
- Apr 26 Thu 2007 11:03
-
你的網站為什麼被黑?
n 網站被黑的原因 那些原因,是促使您遭受黑客攻擊呢?這其中當然有很大一部分是屬於經濟原因,但並非所有攻擊都是因為經濟緣故。大體來講,導致黑客攻擊的原因有: 1. 受僱於他人的黑客行為,如商業競爭對手惡意競爭通過黑客手法攻擊;如據互聯安全網報導: 黑客受僱惡意文檔攻擊西方企業 ,這類攻擊就屬於商業競爭行為。
- Apr 25 Wed 2007 10:48
-
轉載-淺談網絡攻擊檢測技術
保證信息系統安全的經典手段是「存取控制」或「訪問控 制」,但無論在理論上還是在實踐中,這種手段都不能徹底填補一個系統的安全漏洞,也還沒有一種切實可行的辦法解決合法用戶在通過「身份鑑別」或「身份認 證」後濫用特權的問題。攻擊檢測技術就像治安巡邏隊,專門注重於發現形跡可疑者。 計算機網絡技術的發展和應用對人類生活方式的影響越來越大。通過Internet網連
接到幾乎世界上任何一台計算機。因此,傳統的安全域的概念也已經發生了深刻的變化,邊界變得模糊了,網絡系統管理員再也不能滿足於守住安全邊界了;也不再 有信心保護敏感信息萬無一失。越來越多的證據表明計算機信息系統的安全性是十分脆弱的。基於計算機、網絡的信息系統的安全問題已經成為非常嚴重的問題。 一、存取控制與攻擊檢測:站崗與巡邏 保證信息系統安全的經典手段是「存取控制」或「訪問控制」,這種手段在經典的以及現代的安全理論中都是 實行系統安全策略的最重要的手段。但迄今為止,軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統的安全體系的程度,所以不可能百分之百地保證 任何一個系統(尤其是底層系統)中不存在安全漏洞。而且,無論在理論上還是在實踐中,試圖徹底填補一個系統的安全漏洞都是不可能的,也還沒有一種切實可行 的辦法解決合法用戶在通過「身份鑑別」或「身份認證」後濫用特權的問題。打個比方,經典的安全體系就像一座城池,身份認證就好像進城時的查路條一樣,著重 點在於防範奸細混入;但是這種措施對於城池的安全仍是遠遠不夠的。 攻擊檢測作為其他經典手段的補充和加強,是任何一個安全系統中不可或缺的最後一道防線;攻擊檢測可以分 為被動、非在線地發現和實時、在線地發現計算機網絡系統中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到,計算機系統的最基本防線「存 取控制」或「訪問控制」,在許多場合不是防止外界非法入侵和防止內部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由於系統內部人員不恰當地或惡意 地濫用特權而導致的。攻擊檢測技術則類似於治安巡邏隊,專門注重於發現形跡可疑者,信息系統的攻擊者很有可能通過了城門的身份檢查,或者爬越了城牆而混入 城中;這時要想進一步加強信息系統的安全強度,就需要增派一支巡邏隊,專門負責檢查在城市中鬼鬼祟祟行動可疑的人員。 攻擊檢測提供了一種機制,對合法用戶而言能夠在一定程度上使他們為其失誤或非法行為負責,從而增強他們 的責任感。對非法進入的攻擊者而言則意味著增強了糾察力度,行使著公安局、檢察院的職責。攻擊檢測具有最後防線性質的防範能力,或許是用來發現合法用戶濫 用特權的唯一方法,而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。 早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少。 二、攻擊檢測技術 1.攻擊分類 在信息系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和行為濫用。攻擊者來自該計算機 系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人企圖越權使用系統資源時視為內部攻擊,包括假冒者 (即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機制和存取控制的人員);特權濫用者也是計算機系統資源的合法用戶,表現為 有意或無意地濫用他們的特權。 通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發現假冒者;但要通過審計信息來發現那些權利濫用者往 往是很困難的。 基於審計信息的攻擊檢測特別難於防範具備較高優先特權的內部人員的攻擊,因為攻擊者可通過使用某些系統 特權或調用比審計本身更低級的操作來逃避審計。對於那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他 的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防範隱 秘的內部攻擊需要在技術手段以外確保管理手段行之有效,技術上則需要監視系統範圍內的某些特定的指標(如CPU、內存和磁盤的活動),並與通常情況下它們 的歷史記錄進行比較,以期發現之。 2.攻擊檢測技術分類 基於計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術。可以從審計系統篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術極其類似。 基於審計的自動分析檢測工具可以是脫機的,也可以是聯機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的入侵行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息。 對於信息系統安全強度而言,聯機或在線的攻擊檢測是比較理想的,能夠在案發現場及時發現攻擊行為,有利 於及時採取對抗措施,使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據。但是,聯機的或在線的攻擊檢測系統所需要的系統資源,幾乎隨著系統 內部活動數量的增長呈幾何級數增長。 3.攻擊檢測方法 (1)基於審計的攻擊檢測 基於審計信息的攻擊檢測工具以及自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告,通常是脫機的、滯後的。 對攻擊的實時檢測系統的工作原理是基於對用戶歷史行為的建模,以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤並監測該用戶的行為。 系統應具備處理自適應的用戶參數的能力。能夠判斷使用行為的合法或可疑。系統應當能夠避免「肅反擴大/縮小化」的問題。這種辦法同樣適用於檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。 (2)基於神經網絡的攻擊檢測技術 如上所述,基於審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常複雜的,所 以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。錯發的警報往往來自於對審計數據的統計算法所基於的不準確或不貼切的假設。SRI的研究小組 利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用於解決傳統的統計分析技術所面臨的以下幾個問題: ●難於建立確切的統計分佈 ●難於實現方法的普適性 ●算法實現比較昂貴 ●系統臃腫難於剪裁 目前,神經網絡技術提出了對基於傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。 (3)基於專家系統的攻擊檢測技術 進行安全檢測工作自動化的另外一個值得重視的研究方向就是基於專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然後再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。 所謂專家系統是基於一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登 錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基於規則的專家系統或推理系統也有其局限性,因為作為這 類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基於規則的專家系統是 一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。 (4)基於模型推理的攻擊檢測技術 攻擊者在入侵一個系統時往往採用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行 為特徵的模型,根據這種模型所代表的攻擊意圖的行為特徵,可以實時地檢測出惡意的攻擊企圖,儘管攻擊者並不一定都是惡意的。用基於模型的推理方法人們能夠 為某些行為建立特定的模型,從而能夠監視具有特定行為特徵的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了准確判斷,要為不 同的入侵者和不同的系統建立特定的攻擊腳本。 當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,以儘可能的避免錯報。 為了防止過多的不相干信息的干擾,用於安全目的的攻擊檢測系統在審計系統之外一般還配備適合系統安全策 略的信息採集器或過濾器。同時,還應當充分利用來自其它信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中採用三級審計跟 蹤,包括審計操作系統核心調用行為的跟蹤、審計用戶和操作系統界面級行為的跟蹤、和審計應用程序內部行為的跟蹤。 總之,和經典安全措施相同,任何一種攻擊檢測措施都不能視之為一勞永逸的,必須配合有效的管理和組織措施,形成立體的和縱深有序的安全防禦體系。原文出處
接到幾乎世界上任何一台計算機。因此,傳統的安全域的概念也已經發生了深刻的變化,邊界變得模糊了,網絡系統管理員再也不能滿足於守住安全邊界了;也不再 有信心保護敏感信息萬無一失。越來越多的證據表明計算機信息系統的安全性是十分脆弱的。基於計算機、網絡的信息系統的安全問題已經成為非常嚴重的問題。 一、存取控制與攻擊檢測:站崗與巡邏 保證信息系統安全的經典手段是「存取控制」或「訪問控制」,這種手段在經典的以及現代的安全理論中都是 實行系統安全策略的最重要的手段。但迄今為止,軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統的安全體系的程度,所以不可能百分之百地保證 任何一個系統(尤其是底層系統)中不存在安全漏洞。而且,無論在理論上還是在實踐中,試圖徹底填補一個系統的安全漏洞都是不可能的,也還沒有一種切實可行 的辦法解決合法用戶在通過「身份鑑別」或「身份認證」後濫用特權的問題。打個比方,經典的安全體系就像一座城池,身份認證就好像進城時的查路條一樣,著重 點在於防範奸細混入;但是這種措施對於城池的安全仍是遠遠不夠的。 攻擊檢測作為其他經典手段的補充和加強,是任何一個安全系統中不可或缺的最後一道防線;攻擊檢測可以分 為被動、非在線地發現和實時、在線地發現計算機網絡系統中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到,計算機系統的最基本防線「存 取控制」或「訪問控制」,在許多場合不是防止外界非法入侵和防止內部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由於系統內部人員不恰當地或惡意 地濫用特權而導致的。攻擊檢測技術則類似於治安巡邏隊,專門注重於發現形跡可疑者,信息系統的攻擊者很有可能通過了城門的身份檢查,或者爬越了城牆而混入 城中;這時要想進一步加強信息系統的安全強度,就需要增派一支巡邏隊,專門負責檢查在城市中鬼鬼祟祟行動可疑的人員。 攻擊檢測提供了一種機制,對合法用戶而言能夠在一定程度上使他們為其失誤或非法行為負責,從而增強他們 的責任感。對非法進入的攻擊者而言則意味著增強了糾察力度,行使著公安局、檢察院的職責。攻擊檢測具有最後防線性質的防範能力,或許是用來發現合法用戶濫 用特權的唯一方法,而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。 早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少。 二、攻擊檢測技術 1.攻擊分類 在信息系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和行為濫用。攻擊者來自該計算機 系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人企圖越權使用系統資源時視為內部攻擊,包括假冒者 (即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機制和存取控制的人員);特權濫用者也是計算機系統資源的合法用戶,表現為 有意或無意地濫用他們的特權。 通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發現假冒者;但要通過審計信息來發現那些權利濫用者往 往是很困難的。 基於審計信息的攻擊檢測特別難於防範具備較高優先特權的內部人員的攻擊,因為攻擊者可通過使用某些系統 特權或調用比審計本身更低級的操作來逃避審計。對於那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他 的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防範隱 秘的內部攻擊需要在技術手段以外確保管理手段行之有效,技術上則需要監視系統範圍內的某些特定的指標(如CPU、內存和磁盤的活動),並與通常情況下它們 的歷史記錄進行比較,以期發現之。 2.攻擊檢測技術分類 基於計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術。可以從審計系統篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術極其類似。 基於審計的自動分析檢測工具可以是脫機的,也可以是聯機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的入侵行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息。 對於信息系統安全強度而言,聯機或在線的攻擊檢測是比較理想的,能夠在案發現場及時發現攻擊行為,有利 於及時採取對抗措施,使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據。但是,聯機的或在線的攻擊檢測系統所需要的系統資源,幾乎隨著系統 內部活動數量的增長呈幾何級數增長。 3.攻擊檢測方法 (1)基於審計的攻擊檢測 基於審計信息的攻擊檢測工具以及自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告,通常是脫機的、滯後的。 對攻擊的實時檢測系統的工作原理是基於對用戶歷史行為的建模,以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤並監測該用戶的行為。 系統應具備處理自適應的用戶參數的能力。能夠判斷使用行為的合法或可疑。系統應當能夠避免「肅反擴大/縮小化」的問題。這種辦法同樣適用於檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。 (2)基於神經網絡的攻擊檢測技術 如上所述,基於審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常複雜的,所 以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。錯發的警報往往來自於對審計數據的統計算法所基於的不準確或不貼切的假設。SRI的研究小組 利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用於解決傳統的統計分析技術所面臨的以下幾個問題: ●難於建立確切的統計分佈 ●難於實現方法的普適性 ●算法實現比較昂貴 ●系統臃腫難於剪裁 目前,神經網絡技術提出了對基於傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。 (3)基於專家系統的攻擊檢測技術 進行安全檢測工作自動化的另外一個值得重視的研究方向就是基於專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然後再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。 所謂專家系統是基於一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登 錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基於規則的專家系統或推理系統也有其局限性,因為作為這 類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基於規則的專家系統是 一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。 (4)基於模型推理的攻擊檢測技術 攻擊者在入侵一個系統時往往採用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行 為特徵的模型,根據這種模型所代表的攻擊意圖的行為特徵,可以實時地檢測出惡意的攻擊企圖,儘管攻擊者並不一定都是惡意的。用基於模型的推理方法人們能夠 為某些行為建立特定的模型,從而能夠監視具有特定行為特徵的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了准確判斷,要為不 同的入侵者和不同的系統建立特定的攻擊腳本。 當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,以儘可能的避免錯報。 為了防止過多的不相干信息的干擾,用於安全目的的攻擊檢測系統在審計系統之外一般還配備適合系統安全策 略的信息採集器或過濾器。同時,還應當充分利用來自其它信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中採用三級審計跟 蹤,包括審計操作系統核心調用行為的跟蹤、審計用戶和操作系統界面級行為的跟蹤、和審計應用程序內部行為的跟蹤。 總之,和經典安全措施相同,任何一種攻擊檢測措施都不能視之為一勞永逸的,必須配合有效的管理和組織措施,形成立體的和縱深有序的安全防禦體系。原文出處
