基础知识 1.
肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。
2.
木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。
3.
网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
4.
挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
5.
后门:这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。 通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)
6.
rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。
7.
IPC$:是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
8.
弱口令:指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码)
9.
默认共享:默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了"$"符号,所以看不到共享的托手图表,也成为隐藏共享。
10.
shell:指的是一种命令指行环境,比如我们按下键盘上的“开始键+R”时出现“运行”对话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell
11.
WebShell:WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等
12.
溢出:确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:(1)堆溢出;(2)栈溢出。
13.
注入:随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即:SQL注意入。
14.
注入点:是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。
15.
内网:通俗的讲就是局域网,比如网吧,校园网,公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16.
外网:直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问,IP地址不是保留IP(内网)IP地址。
17.
端口:(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。
18.
3389、4899肉鸡:3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上,成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似,终端服务的连接非常稳定,而且任何杀毒软件都不会查杀,所以也深受黑客喜爱。黑客在入侵了一台主机后,通常都会想办法先添加一个属于自己的后门帐号,然后再开启对方的终端服务,这样,自己就随时可以使用终端服务来控制对方了,这样的主机,通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使以也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所用Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机,然后就可以登陆上去远程控制对恶劣,这样被控制的主机通常就被成做4899肉鸡。
19.
免杀:就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。
20.
加壳:就是利用特殊的酸法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
21.
花指令:就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是”杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了“。
B. 黑客是怎样通过网络入侵电脑的
黑客是入侵别人电脑的方法有9种。
1、获取口令
这又有三种方法:
一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。
此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。
当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:
一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;
二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
C. 家庭网络的网络安全
家庭网络的安全技术
家庭网络的安全技术涉及家庭网络内部终端设备和内部信息安全、业务系统的安全(如防攻击、防非法接入等),在特定场合还需要能追查恶意呼叫,确定其来源从而采取相应的措施。
(1)网络安全
家庭网络应通过防火墙与外界互联网进行联系,实现内部可信任网与外部不可信任网之间的隔离,并进行访问控制,保证家庭网络系统及家庭网络服务的安全性。
●家庭网络隔离及访问控制:在内外部网络之间设置防火墙,实现家庭网络内部的访问控制,根据防范的方式和侧重点的不同,可以选择分级过滤或应用代理等不同类型的防火墙。
●审计与监控:安装网络安全评估分析软件,利用此类软件对用户使用计算机网络系统的过程进行记录,以便发现和预防可能的破坏活动。
●网络反病毒:安装反病毒软件,预防、检测和消除病毒。
(2)业务系统安全
业务系统设备本身会有各种各样系统方面的漏洞,而这些漏洞往往会造成信息的泄露。为了维护家庭网络业务的安全,应做到以下几点。
●及时给系统进行升级、维护、打系统补丁。
●用户访问业务需进行认证,可以使用密码、智能卡和证书等认证的手段。
●系统要进行病毒的防范。病毒本身有很强的传染性,并增加设备的负担,给用户带来不便,甚至是重大的经济损失。病毒防范应做到定期更新,在出现重要病毒警告时要及时进行系统升级。
●记录日志。对系统进行攻击时,会对被攻击的设备进行端口扫描或多次连接尝试,所有这些攻击如果在日志中记录在案,则便于查找攻击的发起者。
D. 大数据可视化设计到底是啥,该怎么用
大数据可视化是个热门话题,在信息安全领域,也由于很多企业希望将大数据转化为信息可视化呈现的各种形式,以便获得更深的洞察力、更好的决策力以及更强的自动化处理能力,数据可视化已经成为网络安全技术的一个重要趋势。
文章目录
一、什么是网络安全可视化
1.1 故事+数据+设计 =可视化
1.2 可视化设计流程
二、案例一:大规模漏洞感知可视化设计
2.1整体项目分析
2.2分析数据
2.3匹配图形
2.4确定风格
2.5优化图形
2.6检查测试
三、案例二:白环境虫图可视化设计
3.1整体项目分析
3.2分析数据
3.3 匹配图形
3.4优化图形
3.5检查测试
一、什么是网络安全可视化
攻击从哪里开始?目的是哪里?哪些地方遭受的攻击最频繁……通过大数据网络安全可视化图,我们可以在几秒钟内回答这些问题,这就是可视化带给我们的效率 。 大数据网络安全的可视化不仅能让我们更容易地感知网络数据信息,快速识别风险,还能对事件进行分类,甚至对攻击趋势做出预测。可是,该怎么做呢?
1.1 故事+数据+设计 =可视化
做可视化之前,最好从一个问题开始,你为什么要做可视化,希望从中了解什么?是否在找周期性的模式?或者多个变量之间的联系?异常值?空间关系?比如政府机构,想了解全国各个行业漏洞的分布概况,以及哪个行业、哪个地区的漏洞数量最多;又如企业,想了解内部的访问情况,是否存在恶意行为,或者企业的资产情况怎么样。总之,要弄清楚你进行可视化设计的目的是什么,你想讲什么样的故事,以及你打算跟谁讲。
有了故事,还需要找到数据,并且具有对数据进行处理的能力,图1是一个可视化参考模型,它反映的是一系列的数据的转换过程:
我们有原始数据,通过对原始数据进行标准化、结构化的处理,把它们整理成数据表。
将这些数值转换成视觉结构(包括形状、位置、尺寸、值、方向、色彩、纹理等),通过视觉的方式把它表现出来。例如将高中低的风险转换成红黄蓝等色彩,数值转换成大小。
将视觉结构进行组合,把它转换成图形传递给用户,用户通过人机交互的方式进行反向转换,去更好地了解数据背后有什么问题和规律。
最后,我们还得选择一些好的可视化的方法。比如要了解关系,建议选择网状的图,或者通过距离,关系近的距离近,关系远的距离也远。
总之,有个好的故事,并且有大量的数据进行处理,加上一些设计的方法,就构成了可视化。
1.2 可视化设计流程
一个好的流程可以让我们事半功倍,可视化的设计流程主要有分析数据、匹配图形、优化图形、检查测试。首先,在了解需求的基础上分析我们要展示哪些数据,包含元数据、数据维度、查看的视角等;其次,我们利用可视化工具,根据一些已固化的图表类型快速做出各种图表;然后优化细节;最后检查测试。
具体我们通过两个案例来进行分析。
二、案例一:大规模漏洞感知可视化设计
图2是全国范围内,各个行业漏洞的分布和趋势,橙黄蓝分别代表了漏洞数量的高中低。
2.1整体项目分析
我们在拿到项目策划时,既不要被大量的信息资料所迷惑而感到茫然失措,也不要急于完成项目,不经思考就盲目进行设计。首先,让我们认真了解客户需求,并对整体内容进行关键词的提炼。可视化的核心在于对内容的提炼,内容提炼得越精确,设计出来的图形结构就越紧凑,传达的效率就越高。反之,会导致图形结构臃肿散乱,关键信息无法高效地传达给读者。
对于大规模漏洞感知的可视化项目,客户的主要需求是查看全国范围内,各个行业的漏洞分布和趋势。我们可以概括为三个关键词:漏洞量、漏洞变化、漏洞级别,这三个关键词就是我们进行数据可视化设计的核心点,整体的图形结构将围绕这三个核心点来展开布局。
2.2分析数据
想要清楚地展现数据,就要先了解所要绘制的数据,如元数据、维度、元数据间关系、数据规模等。根据需求,我们需要展现的元数据是漏洞事件,维度有地理位置、漏洞数量、时间、漏洞类别和级别,查看的视角主要是宏观和关联。涉及到的视觉元素有形状、色彩、尺寸、位置、方向,如图4。
2.3匹配图形
2.4确定风格
匹配图形的同时,还要考虑展示的平台。由于客户是投放在大屏幕上查看,我们对大屏幕的特点进行了分析,比如面积巨大、深色背景、不可操作等。依据大屏幕的特点,我们对设计风格进行了头脑风暴:它是实时的,有紧张感;需要新颖的图标和动效,有科技感;信息层次是丰富的;展示的数据是权威的。
最后根据设计风格进一步确定了深蓝为标准色,代表科技与创新;橙红蓝分别代表漏洞数量的高中低,为辅助色;整体的视觉风格与目前主流的扁平化一致。
2.5优化图形
有了图形后,尝试把数据按属性绘制到各维度上,不断调整直到合理。虽然这里说的很简单,但这是最耗时耗力的阶段。维度过多时,在信息架构上广而浅或窄而深都是需要琢磨的,而后再加上交互导航,使图形更“可视”。
在这个任务中,图形经过很多次修改,图7是我们设计的过程稿,深底,高亮的地图,多颜色的攻击动画特效,营造紧张感;地图中用红、黄、蓝来呈现高、中、低危的漏洞数量分布情况;心理学认为上方和左方易重视,“从上到下”“从左至右”的“Z”字型的视觉呈现,简洁清晰,重点突出。
完成初稿后,我们进一步优化了维度、动效和数量。维度:每个维度,只用一种表现,清晰易懂;动效:考虑时间和情感的把控,从原来的1.5ms改为3.5ms;数量:考虑了太密或太疏时用户的感受,对圆的半径做了统一大小的处理。
2.6检查测试
最后还需要检查测试,从头到尾过一遍是否满足需求;实地投放大屏幕后,用户是否方便阅读;动效能否达到预期,色差是否能接受;最后我们用一句话描述大屏,用户能否理解。
三、案例二:白环境虫图可视化设计
如果手上只有单纯的电子表格(左),要想找到其中IP、应用和端口的访问模式就会很花时间,而用虫图(右)呈现之后,虽然增加了很多数据,但读者的理解程度反而提高了。
3.1整体项目分析
当前,企业内部IT系统复杂多变,存在一些无法精细化控制的、非法恶意的行为,如何精准地处理安全管理问题呢?我们的主要目标是帮助用户监测访问内网核心服务器的异常流量,概括为2个关键词:内网资产和访问关系,整体的图形结构将围绕这两个核心点来展开布局。
3.2分析数据
接下来分析数据,案例中的元数据是事件,维度有时间、源IP、目的IP和应用,查看的视角主要是关联和微观。
3.3 匹配图形
根据以往的经验,带有关系的数据一般使用和弦图和力导向布局图。最初我们采用的是和弦图,圆点内部是主机,用户要通过3个维度去寻找事件的关联。通过测试发现,用户很难理解,因此选择了力导向布局图(虫图)。第一层级展示全局关系,第二层级通过对IP或端口的钻取进一步展现相关性。
3.4优化图形
优化图形时,我们对很多细节进行了调整: – 考虑太密或太疏时用户的感受,只展示了TOP N。 – 弧度、配色的优化,与我们UI界面风格相一致。 – IP名称超长时省略处理。 – 微观视角中,源和目的分别以蓝色和紫色区分,同时在线上增加箭头,箭头向内为源,向外是目的,方便用户理解。 – 交互上,通过单击钻取到单个端口和IP的信息;鼠标滑过时相关信息高亮展示,这样既能让画面更加炫酷,又能让人方便地识别。
3.5检查测试
通过调研,用户对企业内部的流向非常清楚,视觉导向清晰,钻取信息方便,色彩、动效等细节的优化帮助用户快速定位问题,提升了安全运维效率。
四、总结
总之,借助大数据网络安全的可视化设计,人们能够更加智能地洞悉信息与网络安全的态势,更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。
可视化设计的过程中,我们还需要注意:1、整体考虑、顾全大局;2、细节的匹配、一致性;3、充满美感,对称和谐。