主動(dòng)攻擊與被動(dòng)攻擊概念

主動(dòng)攻擊

包含攻擊者訪問他所需信息的故意行為。攻擊者是在主動(dòng)地做一些不利于你的或公司系統(tǒng)的事情。主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。

被動(dòng)攻擊

主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對這種活動(dòng)一點(diǎn)也不會(huì)覺察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。

這樣分類不是說主動(dòng)攻擊不能收集信息或被動(dòng)攻擊不能被用來訪問系統(tǒng)。多數(shù)情況下這兩種類型被聯(lián)合用于入侵一個(gè)站點(diǎn)。但是，大多數(shù)被動(dòng)攻擊不一定包括可被跟蹤的行為，因此更難被發(fā)現(xiàn)。從另一個(gè)角度看，主動(dòng)攻擊容易被發(fā)現(xiàn)但多數(shù)公司都沒有發(fā)現(xiàn)，所以發(fā)現(xiàn)被動(dòng)攻擊的機(jī)會(huì)幾乎是零。

再往下一個(gè)層次看，當(dāng)前網(wǎng)絡(luò)攻擊的方法沒有規(guī)范的分類模式，方法的運(yùn)用往往非常靈活，很難以一個(gè)統(tǒng)一的模式對各種攻擊手段進(jìn)行分類。例如有如下的分類模式：

網(wǎng)絡(luò)攻擊分類

攻擊的目的

拒絕服務(wù)攻擊（Dos）、獲取系統(tǒng)權(quán)限的攻擊、獲取敏感信息的攻擊

攻擊的切入點(diǎn)

緩沖區(qū)溢出攻擊、系統(tǒng)設(shè)置漏洞的攻擊等

攻擊的縱向?qū)嵤┻^程

獲取初級權(quán)限攻擊、提升最高權(quán)限的攻擊、后門攻擊、跳板攻擊等

攻擊的類型

包括對各種操作系統(tǒng)的攻擊、對網(wǎng)絡(luò)設(shè)備的攻擊、對特定應(yīng)用系統(tǒng)的攻擊等

實(shí)際上黑客實(shí)施一次入侵行為，為達(dá)到他的攻擊目的會(huì)結(jié)合采用多種攻擊手段，在不同的入侵階段使用不同的方法和可利用的攻擊工具。

安全計(jì)算

要想解決網(wǎng)絡(luò)安全問題，需要制定出一整套完整的網(wǎng)絡(luò)安全防范策略，并以此策略結(jié)合具體的技術(shù)條件和經(jīng)費(fèi)，再制定出具體的網(wǎng)絡(luò)安全解決方案。下面簡單介紹有關(guān)安全服務(wù)技術(shù)的一些概念。

1．?dāng)?shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)信息安全系統(tǒng)中使用最普遍的技術(shù)之一。未經(jīng)加密的消息被稱為明文，如果用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密。已被加密的消息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。

對明文進(jìn)行加密時(shí)所采用的一組規(guī)則稱為加密算法，而對密文進(jìn)行解密所采取的一組規(guī)則稱為解密算法。加密算法和解密算法通常在一對密鑰控制下進(jìn)行，分別稱為加密密鑰和解密密鑰。加密算法通常分為對稱密碼算法和非對稱密碼算法兩類。

1）、對稱密碼算法

使用的加密密鑰和解密密鑰相同，并且從加密過程能夠推導(dǎo)出解密過程。

具有很高的保密強(qiáng)度。擁有加密能力就可以實(shí)現(xiàn)解密，因此必須加強(qiáng)密鑰的管理。

2）、非對稱密碼算法

使用不同的密鑰對數(shù)據(jù)進(jìn)行加密和解密，從加密過程不能推導(dǎo)出解密過程。

適合開發(fā)的使用環(huán)境，密碼管理方便，可安全地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。

保密強(qiáng)度遠(yuǎn)遠(yuǎn)不如對稱密碼算法。

2．身份認(rèn)證

身份認(rèn)證是指對用戶身份的正確識(shí)別和校驗(yàn)，它包括識(shí)別和驗(yàn)證兩方面的內(nèi)容。

識(shí)別是指要明確訪問者的身份，為了區(qū)別不同的用戶，每個(gè)用戶使用的標(biāo)識(shí)各不相同。

驗(yàn)證是指在訪問者聲明其身份后，系統(tǒng)對他的身份的檢驗(yàn)，以防止假冒。目前廣泛使用的有口令驗(yàn)證、信物驗(yàn)證，以及利用個(gè)人獨(dú)有的特性進(jìn)行驗(yàn)證等方法。

3．訪問控制技術(shù)

訪問控制的基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)，以及合法用戶對系統(tǒng)資源的非法使用，訪問控制包括兩個(gè)處理過程：識(shí)別與認(rèn)證用戶，這是身份認(rèn)證的內(nèi)容，通過對用戶的識(shí)別和認(rèn)證，可以確定該用戶對某一系統(tǒng)資源的訪問權(quán)限。訪問控制技術(shù)主要有以下幾種類型：

根據(jù)實(shí)現(xiàn)技術(shù)不同

可分為自主訪問控制（DAC）強(qiáng)制訪問控制（mac）基于角色的訪問控制（RBAC）。

根據(jù)應(yīng)用環(huán)境的不同

可分為網(wǎng)絡(luò)訪問控制主機(jī)、操作系統(tǒng)訪問控制應(yīng)用程序訪問控制。

自主訪問控制（Discretionary Access Control，DAC）是自主訪問控制機(jī)制允許對象的屬主來制定針對該對象的保護(hù)策略。通常DAC通過授權(quán)列表（或訪問控制列表）來限定哪些主體針對哪些客體可以執(zhí)行什么操作。如此將可以非常靈活地對策略進(jìn)行調(diào)整。由于其易用性與可擴(kuò)展性，自主訪問控制機(jī)制經(jīng)常被用于商業(yè)系統(tǒng)。

強(qiáng)制訪問控制（Mandatory Access Control ，MAC）是用來保護(hù)系統(tǒng)確定的對象，對此對象用戶不能進(jìn)行更改。也就是說，系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制，用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩浴＿@樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標(biāo)簽，訪問控制機(jī)制通過比較安全標(biāo)簽來確定授予還是拒絕用戶對資源的訪問。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級劃分，所以經(jīng)常用于軍事用途。

基于角色的訪問控制（RBAC）：角色（Role）是一定數(shù)量的權(quán)限的集合。指完成一項(xiàng)任務(wù)必須訪問的資源及相應(yīng)操作權(quán)限的集合。基于角色的訪問控制（Role-Based Access Control，RBAC）是通過對角色的訪問所進(jìn)行的控制。使權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到其角色的權(quán)限。可極大地簡化權(quán)限管理。

網(wǎng)絡(luò)訪問控制：訪問控制機(jī)制應(yīng)用在網(wǎng)絡(luò)安全環(huán)境中，主要是限制用戶可以建立什么樣的連接以及通過網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù)，這就是傳統(tǒng)的網(wǎng)絡(luò)防火墻。防火墻作為網(wǎng)絡(luò)邊界阻塞點(diǎn)來過濾網(wǎng)絡(luò)會(huì)話和數(shù)據(jù)傳輸。根據(jù)防火墻的性能和功能，這種控制可以達(dá)到不同的級別。

主機(jī)、操作系統(tǒng)訪問控制：目前主流的操作系統(tǒng)均提供不同級別的訪問控制功能。通常，操作系統(tǒng)借助訪問控制機(jī)制來限制對文件及系統(tǒng)設(shè)備的訪問。例如：windows操作系統(tǒng)應(yīng)用訪問控制列表來對本地文件進(jìn)行保護(hù)，訪問控制列表指定某個(gè)用戶可以讀、寫或執(zhí)行某個(gè)文件。文件的所有者可以改變該文件訪問控制列表的屬性。

應(yīng)用程序訪問控制往往嵌入應(yīng)用程序（或中間件）中以提供更細(xì)粒度的數(shù)據(jù)訪問控制。當(dāng)訪問控制需要基于數(shù)據(jù)記錄或更小的數(shù)據(jù)單元實(shí)現(xiàn)時(shí)，應(yīng)用程序?qū)⑻峁┢鋬?nèi)置的訪問控制模型。比較典型的例子是電子商務(wù)應(yīng)用程序，該程序認(rèn)證用戶的身份并將其置于特定的組中，這些組對應(yīng)用程序中的某一部分?jǐn)?shù)據(jù)擁有訪問權(quán)限。

4．入侵檢測

入侵檢測是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)、數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

●監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

●系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

●識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

●異常行為模式的統(tǒng)計(jì)分析；

●評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

●操作系統(tǒng)的審計(jì)跟蹤管理；

●識(shí)別用戶違反安全策略的行為。