“入侵”是一个广义上的概念,所谓入侵是指任何威胁和破坏系统资源的行为,例如,非授权访问或越权访问系统资源、搭线窃听网络信息等均属入侵,实施入侵行为的“人”称为入侵者。而攻击是入侵者进行入侵所采取的技术手段和方法,入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击,有时也把入侵者称为攻击者。
“入侵”是一个广义上的概念,所谓入侵是指任何威胁和破坏系统资源的行为,例如,非授权访问或越权访问系统资源、搭线窃听网络信息等均属入侵,实施入侵行为的“人”称为入侵者。而攻击是入侵者进行入侵所采取的技术手段和方法,入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击,有时也把入侵者称为攻击者。
入侵者可能是具有系统访问权限的授权用户,也可能是非授权用户,或者是它们的冒充者。入侵者的入侵途径有三种。一是物理途径——入侵者利用管理缺陷或人们的疏忽大意,乘虚而入,侵入目标主机,或企图登录系统,或偷窃重要资源进行研究分析;二是系统途径——入侵者使用自己所拥有的较低级别的操作权限进入目标系统,或安装“后门”、或复制信息、或破坏资源、或寻找系统可能的漏洞以获取更高级别的操作特权等,以达到个人目的;三是网络途径——入侵者通过网络渗透到目标系统中,进行破坏活动。
入侵者所采用的攻击手段主要有以下八种特定类型。
1)冒充:将自己伪装成具有较高权限的用户,并以他的名义攻击系统。
2)重演:利用复制合法用户所发出的数据(或部分数据)并重发,以欺骗接收者,进而达到非授权入侵的目的。
3)篡改:通过秘密篡改合法用户所传送数据的内容,实现非授权入侵的目的。
4)服务拒绝:中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据,如流向安全审计服务的数据信息。
5)内部攻击:利用其所拥有的权力或越权对系统进行破坏活动。这是最危险的类型,已有资料表明70%以上的犯罪事件都与内部攻击有关。
6)外部攻击:通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户或系统的组成部分、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。
7)陷阱门:首先通过某种方式侵入系统,然后,安装陷阱门。并通过更改系统功能属性和相关参数,使入侵者在非授权情况下能对系统进行各种非法操作。
8)特洛伊木马:这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但拥有授权功能,而且还拥有非授权功能,一旦建立这样的体系,整个系统便被占领。例如,一个同时向非授权信道复制消息的中继就是一个特洛伊木马。