計算機網(wǎng)絡(luò)安全專題講座

1、第一講 計算機網(wǎng)絡(luò)安全概述解決網(wǎng)絡(luò)安全問題的策略要解決好網(wǎng)絡(luò)安全問題，為計算機網(wǎng)絡(luò)系統(tǒng)運行提供一個良好的環(huán)境，需要在三方面努力，即：網(wǎng)絡(luò)安全硬件、網(wǎng)絡(luò)安全軟件和網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)安全硬件包括：防火墻、虛擬專用網(wǎng)、獨立專用網(wǎng)、入侵檢測系統(tǒng)、認(rèn)證令牌與卡、生物識不系統(tǒng)、加密機與芯片。網(wǎng)絡(luò)安全軟件包括：安全內(nèi)容治理、防火墻、虛擬專用網(wǎng)、入侵檢測系統(tǒng)、安全3A（authorization authentication administration/accounting，即授權(quán)、認(rèn)證和治理/收費）、加密。其中網(wǎng)絡(luò)安全內(nèi)容治理包括防病毒、網(wǎng)絡(luò)操縱和郵件掃描等。網(wǎng)絡(luò)安全服務(wù)包括：顧問咨詢、設(shè)計實施、支持維護

2、、教育培訓(xùn)、安全培訓(xùn)。網(wǎng)絡(luò)安全及其學(xué)科的定義 網(wǎng)絡(luò)安全是一門設(shè)計計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 所謂網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到愛護，不因偶然的或者惡意的因素而受到破壞、更改或泄漏，系統(tǒng)可正常地運行。 本質(zhì)上講，網(wǎng)絡(luò)安全確實是網(wǎng)絡(luò)信息安全；從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可操縱性的相關(guān)技術(shù)和理論差不多上網(wǎng)絡(luò)安全研究的領(lǐng)域。信息安全及定義 信息安全（information security）是指信息的保密性（confidentiality）、完整性（integrity

3、）、可用性（availability）的保持。 信息的保密性是指保障信息只為那些被授權(quán)使用的人使用；信息的完整性是指信息在傳輸、存儲、處理和利用的過程中不被篡改、丟失、缺損等；信息的可用性是指被授使用的人在需要使用信息的時候即可使用信息。4、網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問操縱，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問或破壞網(wǎng)絡(luò)資源，愛護內(nèi)部網(wǎng)絡(luò)資源的一種安全技術(shù)。 防火墻能夠是硬件也能夠是軟件，還能夠是軟件硬件結(jié)合起來實現(xiàn)，它通過對兩個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按既定的安全策略來實施檢查以決定網(wǎng)絡(luò)之間的訪問是否被同意，防火墻也負(fù)責(zé)實時監(jiān)控網(wǎng)絡(luò)運行狀態(tài)。 防火墻是

4、一種差不多的網(wǎng)絡(luò)安全防護工具，是網(wǎng)絡(luò)安全的第一道防線，它可識不并阻擋許多黑客攻擊行為，然而它也對下列入侵無能為力，如：通過防火墻以外的其它手段侵入網(wǎng)絡(luò)的攻擊；來自內(nèi)部的蓄意或過失性操作所帶來的威脅；傳輸已感染病毒的軟件或文件所帶來的威脅；數(shù)據(jù)驅(qū)動型攻擊。 防火前一般被置于：單位內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的接口處；單位內(nèi)部各VLAN之間；單位總部與各分支機構(gòu)之間。5、入侵檢測技術(shù) 入侵檢測技術(shù)是一種利用系統(tǒng)審計記錄及時發(fā)覺并報告系統(tǒng)中的未授權(quán)訪問和異常事件存在的一種安全技術(shù)。入侵檢測技術(shù)的工作效率受到審計記錄和知識庫的阻礙。 入侵檢測產(chǎn)品要緊包含傳感器（sensor）與操縱臺（console）兩部分。傳感

5、器采集、分析數(shù)據(jù)并生成安全事件，而操縱臺則起中央治理作用，負(fù)責(zé)與治理員溝通，以及時對差不多檢測到的威脅采取措施。 入侵檢測產(chǎn)品可分為基于網(wǎng)絡(luò)的、基于主機的混合型三類。6、信息系統(tǒng)安全 信息系統(tǒng)安全技術(shù)要緊涉及到加密、解密和公鑰基礎(chǔ)設(shè)施。要保證一個信息系統(tǒng)的安全，包括如下四個方面的內(nèi)容：1）數(shù)據(jù)傳輸安全性即采納數(shù)據(jù)加密來保證數(shù)據(jù)在公網(wǎng)上的傳輸不被第三者竊取，如結(jié)合對稱密鑰和公開密鑰加密技術(shù)實現(xiàn)的數(shù)字信封技術(shù)。2）數(shù)據(jù)完整性即保證數(shù)據(jù)在傳輸過程不被篡改，散列函數(shù)和數(shù)字簽名是常用的保證數(shù)據(jù)完整性的技術(shù)。多重數(shù)字簽名可保證多方通信時的數(shù)據(jù)完整性。3）身份驗證即采納口令字技術(shù)、公開密鑰技術(shù)或數(shù)字簽名技術(shù)

6、以及數(shù)字證書技術(shù)等來實現(xiàn)對通信雙方進行身份真實性確認(rèn)的一種安全技術(shù)。4）不可抵賴性即通過數(shù)字簽名、數(shù)字證書等技術(shù)來確保信息發(fā)送或接收時帶有特有的、不可復(fù)制的信息，以保證通信雙方在交易時不發(fā)生糾紛。第二講 密碼學(xué)概述與公開密鑰體系基礎(chǔ)密碼學(xué) 密碼學(xué)（cryptology）是研究秘密書寫的原理和破譯密碼的方法的一門科學(xué)，要緊包括緊密相關(guān)的兩個方面：意識密碼編碼學(xué)（cryptography），要緊研究如何設(shè)計出好的密碼體制的方法，愛護信息不被偵破；二是密碼分析學(xué)（cryptanalysis），研究攻破一個密碼系統(tǒng)的方法，回復(fù)被隱藏起來的信息。密碼系統(tǒng) 一個密碼系統(tǒng)包括明文（cleartext或pla

7、intext）字母空間，密鑰（key）和算法（algorithm），其中算法和密鑰是差不多單元。算法是一些公式，法則，給定明文與密文之間的變換方法。密鑰能夠看作是算法的參數(shù)。Polybius校驗表加密 Polybius校驗表由一個5*5的網(wǎng)格組成，網(wǎng)格中包含26個英文字母，其中I和J在同一格中。每一個字母被轉(zhuǎn)換成兩個數(shù)字，即第一個字母所在的行數(shù)，第二個是字母所在的列數(shù)。如字母A就對應(yīng)著11，字母B對應(yīng)著12，以此類推。使用這種密碼能夠?qū)⒚魑摹癿essage”置換為密文“32 15 43 43 11 22 15”。密碼體制分類 按對明文的加密方式的不同，傳統(tǒng)的密碼體制能夠分為兩類：一類方式中，將

8、明文字符串分成多個字符的組，逐一進行加密得到密碼，被稱作流密碼或序列密碼。密碼攻擊 依照攻擊的方式不同，密碼攻擊可分為主動攻擊（active at tack）和被動攻擊（passive at tack）兩類。采納截獲密文進行分析的攻擊叫被動攻擊；采納刪除、修改、增添、重放、偽造等手段破壞系統(tǒng)正常通信并進行密碼分析的攻擊叫主動攻擊。凱撒密碼 “凱撒密碼”是古羅馬凱撒大帝用來愛護重要軍情的加密系統(tǒng)。它是一種替代密碼，通過將字母按順序推后起k位起到加密作用。假定選擇字母按順序推后3位作為密碼，那么指令：RETURN TO ROME加密后就成為：UHWXUA WR URPH。 只要通信雙方通過某安全渠

9、道明白了密鑰k，則密碼和解密過程就專門容易進行。 但通常情況下明文和密文空間中元素個數(shù)n均專門小，且0=kn，因此，要破解任意密碼最多只需嘗試n次即可得到有意義的明文，這種攻擊稱作窮舉攻擊（Exhaustive key search）。簡單置換密碼系統(tǒng)DES 數(shù)據(jù)加密標(biāo)準(zhǔn)（data encryption standard，DES）出自IBM，并在1997年被美國政府正式采納，在愛護金融數(shù)據(jù)的安全中它得到廣泛應(yīng)用，通常自動取款機ATM差不多上用DES.9、對稱密碼體制的總結(jié)：同一個密鑰，既用于加密也用于解密；加密與解密速度快；安全性高；所得到的密文緊湊；要在收發(fā)雙方安全地傳遞密鑰，在現(xiàn)實環(huán)境下專

10、門難做到；通信參與者數(shù)目較大時，系統(tǒng)所需密鑰數(shù)與參與者的數(shù)目的平方成正比，密鑰治理難度專門大，故對稱密碼體制專門難用于參與者數(shù)目較多的情況；對稱加密技術(shù)不適合于數(shù)字簽名和不可否認(rèn)性操縱。10、公鑰密碼體制 公開密鑰體制中，每個用戶U均擁有兩個密鑰，一個是加密密鑰K，另一個是解密密鑰Ke，另一個是解密密鑰Kd，且關(guān)于任意可能的消息m，均有（即要求）：PK1:D(Kd，E(Ke，m)=m 如此，假定A要發(fā)信息給B，則A只要從公告環(huán)境中均查到B的加密密鑰Keb即可完成信息的加密：E(Keb，m)=c；而當(dāng)B收到11、數(shù)字簽名 數(shù)字簽名的差不多要求是：收方能依照信任的第三方來證明報文內(nèi)容的真實性；發(fā)方

11、不能依照自己的利益要求，事后對報文真實性進行否認(rèn)；收方不能依照自己的利益要求對報文或簽名進行偽造。12、數(shù)字簽名的過程要確認(rèn)用戶身份，發(fā)送方應(yīng)該具備一對用于數(shù)字簽名的密鑰對KDSe和KDSd，且對任意消息m滿足下式：PK4:E(KDSe，D(KDSd，m)=m數(shù)據(jù)發(fā)送方在簽名時執(zhí)行：c=D(KDSd，m)接收方在確認(rèn)發(fā)送方身份時執(zhí)行：m=E(KDSe，c)=E(KDSe，D(KDSd，m)現(xiàn)在，KDSe、KDSd均是數(shù)據(jù)發(fā)送方的簽名密鑰，幾乎所有人均能夠執(zhí)行同意者的操作，讀出m，然而只有發(fā)送方才能產(chǎn)生如下偶對：(m，D(KDSd，m)，故使用那個偶對能夠?qū)λ腥斯家粋€確認(rèn)發(fā)送者身份的消息，能

12、夠防止發(fā)送者事后否認(rèn)。假如要保證只有授權(quán)用戶才能夠讀消息，則在發(fā)送消息的時候能夠加入授權(quán)者的公鑰，收發(fā)雙方操作如下：發(fā)送方：c=E(Ke b，D(KDSd a，m)接收方：E(KDSe a，D(Kd b，c)=E(KDSe a，D(Kd b，E(Ke b，D(KDSd a，m)=m如此，盡管其他用戶明白KDSe a和c然而他們不明白B的私鑰Kd b，故也不能解密出m，秘密消息就被安全傳送到B了。13、公鑰密碼體制的特點 1）兩個密鑰，一個用于加密另一個用于解密 2）加密體制是安全的 3）發(fā)送者不必分發(fā)密鑰給同意者，故不用建立專用渠道用于密鑰分發(fā)與治理，也不存在密鑰被截獲的可能性 4）系統(tǒng)分發(fā)的

13、密鑰數(shù)只是用戶的公鑰，與用戶數(shù)量一致 5）支持?jǐn)?shù)字簽名 6）加密和解密過程較之于對稱密鑰體制為慢 7）可能導(dǎo)致密文變長14、RSA密碼體制RSA算法是最聞名的公開密碼體制，1978年提出，基于大數(shù)分解(NP)的難度。其公開密鑰e和私人密鑰d是一對大素數(shù)的函數(shù)，從一個公開密鑰e和密文c中恢復(fù)出明文m的難度等價于分解兩個大素數(shù)之積n。RSA算法過程：首先是設(shè)計密鑰，然后是對消息加密，最后是對密文解密。設(shè)計密鑰先產(chǎn)生兩個足夠大的強質(zhì)數(shù)p、q(通常為百余位長)?？傻胮與q的乘積n=p*q。再由p和q算出另一個數(shù)z=(p-1)*(q-1)，然后再選取一個與z互素的奇數(shù)e(1ez)，稱e為公開指數(shù)；從那個

14、e值找出另一個值d(1dz)，滿足e*d=1 mod(z)。舍棄p和q(但絕不能泄露)。由此而得到的兩組數(shù)(n，e)和(n，d)分不被稱為公開密鑰和秘密密鑰，或簡稱為公鑰和私鑰。加密關(guān)于明文M，用公鑰(n，e)加密可得到密文C：C=Me mod(n)解密關(guān)于密文C，用私鑰(n，d)解密可得到明文M。M=Cd mod(n)當(dāng)定義先用私鑰(n，d)進行解密后，然后用公鑰(n，e)進行加密，確實是數(shù)字簽名。第三講 防火墻基礎(chǔ)防火墻的概念防火前是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的集合，它執(zhí)行預(yù)先制定好的訪問操縱策略，決定內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問方式。作為一種隔離技術(shù)，防火墻一方面要拒絕未

15、經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)或存取敏感數(shù)據(jù)；另一方面要保證合法用戶不受阻礙地使用防火墻的作用網(wǎng)絡(luò)安全的屏障，即通過執(zhí)行精心設(shè)計的網(wǎng)絡(luò)安全策略，防火墻能夠阻止不安全的服務(wù)訪問網(wǎng)絡(luò)，最大限度地保證網(wǎng)絡(luò)安全。能夠強化網(wǎng)絡(luò)安全策略，即通過將網(wǎng)絡(luò)安全配置集中在防火墻進行，既減少組織與治理的苦惱，還更經(jīng)濟。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。在假如所有通信都必須通過防火墻來完成，則防火墻能夠?qū)νㄐ艃?nèi)容進行日志記錄和網(wǎng)絡(luò)情況統(tǒng)計。當(dāng)網(wǎng)絡(luò)被攻擊時能夠及時報警并采取措施。防止內(nèi)部網(wǎng)絡(luò)信息的外泄。通過防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)對內(nèi)部網(wǎng)絡(luò)重點網(wǎng)段的隔離，從而減少重點網(wǎng)段敏感數(shù)據(jù)對全網(wǎng)安全帶來的阻礙。同時使用防火墻屏蔽內(nèi)部網(wǎng)絡(luò)

16、的細(xì)節(jié)，能夠減少諸如Finger.、DNS等服務(wù)帶來的不良阻礙。除了安全作用，防火墻還支持VPN。防火墻工作原理 依照防火墻功能實現(xiàn)在TCP/IP模型中的層次，防火墻工作原理能夠分為三類：一是分組過濾技術(shù)，在網(wǎng)絡(luò)層實現(xiàn)防火墻功能；一是代理服務(wù)技術(shù)，在應(yīng)用層實現(xiàn)防火墻功能；一是狀態(tài)檢測技術(shù)，在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層實現(xiàn)防火墻功能。分組過濾技術(shù) 本技術(shù)基于路由器技術(shù)，通常由分組過濾路由器對IP分組進行分組選擇，同意或拒絕特定的IP分組。 分組過濾的依據(jù)要緊有源IP、目的IP、源端口、目的端口。 基于源或目的IP的過濾依照制定的安全規(guī)則，將具有特定IP特性的分組過濾掉，從而實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的愛護。分組

17、過濾技術(shù)的優(yōu)點： 邏輯簡單；價格廉價；對網(wǎng)絡(luò)性能阻礙小；對用戶透明性好；與具體的應(yīng)用程序無關(guān)；易于安裝。 分組過濾技術(shù)的缺點：配置基于分組過濾的防火墻，需要對TCP、IP以及各種應(yīng)用協(xié)議有較深入的了解，否則容易配置出錯。過濾過程只能對網(wǎng)絡(luò)層的數(shù)據(jù)包進行判不，無法滿足一些專門的安全要求，如身份鑒不機制無法實現(xiàn)。代理服務(wù)技術(shù)代理服務(wù)技術(shù)是由一個高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，同意來自外部的應(yīng)用連接請求，在代理服務(wù)器上進行安全檢查后，再與被愛護的應(yīng)用服務(wù)器連接，使得外部用戶能夠在受操縱的前提下使用內(nèi)部網(wǎng)絡(luò)的服務(wù)。同時內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接請求也在該網(wǎng)關(guān)的監(jiān)控下進行，從而保證內(nèi)部網(wǎng)絡(luò)得到更好的愛護。

18、代理服務(wù)技術(shù)的特點：由于代理服務(wù)作用于應(yīng)用層，它能夠理解應(yīng)用層上的協(xié)議，因此能夠作更復(fù)雜更細(xì)致的訪問操縱；由于所有進出服務(wù)器的客戶請求均要通過代理網(wǎng)關(guān)的檢查，故詳細(xì)的注冊和審計記錄變得可行；認(rèn)證、授權(quán)等高層安全操縱手段能夠方便地應(yīng)用于代理服務(wù)器上，故內(nèi)部網(wǎng)絡(luò)能夠得到更好的愛護。然而代理服務(wù)工作過程對用戶不透明，用戶使用時要對不同的協(xié)議和服務(wù)設(shè)置不同的代理，使用過程不方便。狀態(tài)檢測技術(shù) 狀態(tài)檢測技術(shù)既像分組過濾技術(shù)一樣在IP層上檢測IP地址和端口，對數(shù)據(jù)包進行過濾；也能夠同代理服務(wù)一樣，在應(yīng)用層上對數(shù)據(jù)包的內(nèi)容進行檢查，應(yīng)用高層的網(wǎng)絡(luò)安全協(xié)議。 狀態(tài)檢測技術(shù)采納一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件

19、引擎(檢測模塊)，對網(wǎng)絡(luò)通信額各層實施檢測分析，提取相關(guān)的通信和狀態(tài)信息，并在一個稱作動態(tài)鏈接表的數(shù)據(jù)表中存儲和更新，為下一個通信檢查提供數(shù)據(jù)。假如一個訪問違反了網(wǎng)絡(luò)安全策略，檢測模塊將拒絕訪問并在日志中作出記錄。 狀態(tài)監(jiān)測防火墻的另一個優(yōu)點是它會監(jiān)測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用RPC和用戶數(shù)據(jù)包UDP之類端口，其安全級不就更高了。 狀態(tài)監(jiān)測防火墻安全性高，然而它會降低網(wǎng)絡(luò)的速度，安全策略配置過程也比較復(fù)雜。防火墻體系結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)這是最差不多的結(jié)構(gòu)，能夠由專門的路由器來實現(xiàn)，也能夠使用主機來實現(xiàn)，屏蔽路由器作為內(nèi)外網(wǎng)連接的唯一通道，要求所有報文均在此同意檢查，過濾未授權(quán)的報文。這一結(jié)構(gòu)一旦被

20、攻破，專門難發(fā)覺；同時這種結(jié)構(gòu)也專門難識不不同德用戶。雙穴主機網(wǎng)關(guān)結(jié)構(gòu) 這是一臺裝有兩張網(wǎng)卡的主機做防火墻，兩塊網(wǎng)卡分不與受愛護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，堡壘主機上運行防火墻軟件，負(fù)責(zé)對過往的數(shù)據(jù)包進行檢查。其結(jié)構(gòu)圖可表示為：本結(jié)構(gòu)優(yōu)于屏蔽路由器結(jié)構(gòu)的地點時堡壘主機系統(tǒng)能夠維護系統(tǒng)日志、硬件復(fù)制日志或遠(yuǎn)程日志，對日后檢查有利；但本結(jié)構(gòu)不能確定哪些主機可能已被入侵；另外本結(jié)構(gòu)下，假如堡壘主機被攻陷，則所有內(nèi)部網(wǎng)絡(luò)均暴露在黑客面前。屏蔽主機網(wǎng)關(guān)結(jié)構(gòu) 在屏蔽主機網(wǎng)關(guān)結(jié)構(gòu)中外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間增設(shè)一個包過濾路由器，并在其上建立包過濾規(guī)則，使得堡壘主機是外部網(wǎng)絡(luò)能夠見到的唯一主機，從而起到愛護內(nèi)部網(wǎng)絡(luò)的作用

21、。 本結(jié)構(gòu)中，網(wǎng)關(guān)的差不多操縱策略均由安裝在路由器和堡壘主機上的軟件決定，假如攻擊者設(shè)法登陸到上面，則內(nèi)部網(wǎng)絡(luò)中的主機就將受到專門大威脅，情況就與雙穴主機網(wǎng)關(guān)結(jié)構(gòu)類似了。屏蔽子網(wǎng)結(jié)構(gòu) 這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，再用兩臺分組過濾路由器將這一子網(wǎng)與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)連接起來，能夠再選擇性地設(shè)置一個堡壘主機支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理，其結(jié)構(gòu)圖可表示： 此結(jié)構(gòu)中，假如攻擊者試圖完全破壞防火墻，他必須重新配置內(nèi)部路由器和外部路由器，既要不切斷連接又要保證不把自己鎖在不處，還要注意自己不能被發(fā)覺，盡管能夠?qū)崿F(xiàn)然而難度較大。 假如治理員設(shè)置路由器禁止訪問或只能被內(nèi)部網(wǎng)絡(luò)中某

22、些主機訪問，則攻擊成功的可能性就專門小了；此種情況下，攻擊者得先侵入堡壘主機，然后進入內(nèi)部網(wǎng)絡(luò)主機，再返回來破壞屏蔽路由器，整個過程還要注意不能被發(fā)覺，難度專門大。防火墻技術(shù)存在如下不足無法阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊。而有過半數(shù)網(wǎng)絡(luò)攻擊事件正是來自內(nèi)部網(wǎng)絡(luò)。防火墻對信息流的操縱缺乏靈活性。防火墻工作過程往前依靠于治理員設(shè)置的網(wǎng)絡(luò)安全規(guī)則，絕不試圖對規(guī)則進行調(diào)整；而治理員在設(shè)置規(guī)則時或過于嚴(yán)格或過于寬松，專門難做到“恰到好處”。攻擊發(fā)生后，利用防火墻保存的信息專門難調(diào)查取證。第四講 入侵檢測技術(shù)入侵網(wǎng)絡(luò)入侵是指試圖破壞信息系統(tǒng)的完整性、機密性、可靠性的任何網(wǎng)絡(luò)活動。入侵檢測入侵檢測(Intrusio

23、n Detection)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上能夠獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。 入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時愛護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。 因此，入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，它在不阻礙網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測分類依照檢測對象的不同，入侵檢測系統(tǒng)可分為：基于主機的入侵檢測系統(tǒng)這類入侵檢測系統(tǒng)通常安裝在被愛護的主機上，要緊對該主機的網(wǎng)絡(luò)連接、系統(tǒng)審計日志進行實時的分析與

24、檢查，當(dāng)發(fā)覺可疑行為和安全違規(guī)事件時，系統(tǒng)就向治理員報警以便采取措施。入侵檢測專家系統(tǒng)(Intrusion Detection Expert System，IDES)就屬于這類，它是一個獨立于系統(tǒng)、應(yīng)用環(huán)境、系統(tǒng)弱點和入侵類型的實時入侵檢測專家系統(tǒng)。該系統(tǒng)能夠看作是一個基于規(guī)則的模式匹配系統(tǒng)，審計記錄一旦產(chǎn)生就與相應(yīng)的描述模型中的特定信息進行比較，確定使用什么規(guī)則來更新描述模型、檢測異?；顒雍蛨蟾鏅z測異常結(jié)果。規(guī)則和描述模型（缺） 基于入侵檢測系統(tǒng)一般安裝在需要愛護的網(wǎng)段中，實時監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)進行分析，假如發(fā)覺入侵行為和可疑事件，入侵檢測系統(tǒng)就會發(fā)出警報甚至切斷網(wǎng)絡(luò)。

25、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)自成系統(tǒng)，它的運行可不能給原網(wǎng)絡(luò)與系統(tǒng)增加任何負(fù)擔(dān)。 網(wǎng)絡(luò)安全監(jiān)視器(Network Security Monitor)就屬于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，它并不檢測主機的審計記錄，而是通過在局域網(wǎng)上主動地監(jiān)視網(wǎng)絡(luò)信息流來追蹤可疑的行為。它第一次直接將網(wǎng)絡(luò)數(shù)據(jù)流作為審計數(shù)據(jù)來源，因此能夠在不將數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一格式的情況下完成對異種主機的監(jiān)控。 實際應(yīng)用中，專門多網(wǎng)絡(luò)安全解決方案均同時采納了這兩種互補的入侵檢測技術(shù)。依照入侵檢測系統(tǒng)使用的檢測方法不同，能夠?qū)⑷肭謾z測系統(tǒng)分為基于攻擊特征 模式匹配的入侵檢測系統(tǒng)和基于行為統(tǒng)計分析的入侵檢測系統(tǒng)。1） 模式匹配法，要緊適用于對已知攻擊方

26、法的攻擊行為進行檢測。它通過分析攻擊原理與過程，提取相關(guān)特征，建立攻擊特征庫，對截獲的數(shù)據(jù)包進行分析和模式匹配，從而發(fā)覺攻擊行為。這種方法的優(yōu)點是識不準(zhǔn)確，誤報率低，但其缺點也明顯，即對未知攻擊方法的攻擊行為卻無能為力，同時當(dāng)新的攻擊方法被發(fā)覺時，需及時更新特征庫。2）缺 統(tǒng)計分析法的優(yōu)點是它能夠“學(xué)習(xí)”用戶的使用適應(yīng)，從而有較高的檢出率和可用性；然而較之于前一種方法，它的誤報率高專門多；另外，它的“學(xué)習(xí)”能力，也給入侵者以機會，入侵者能夠通過逐步的“訓(xùn)練”來使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。入侵檢測系統(tǒng)與防火墻的配合使用由入侵檢測技術(shù)與防火墻技術(shù)的特點可知，將入侵檢測系

27、統(tǒng)與防火墻配合使用，能夠極大地提高網(wǎng)絡(luò)安全防備能力。 入侵檢測系統(tǒng)與防火墻的結(jié)合方式有專門多種，常見的有：入侵檢測引擎放在防火墻之外。這種情況下，入侵檢測系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，治理員能夠清晰地看到所有來自Internet的攻擊，從而能夠設(shè)置防火墻的安全策略，將攻擊擋在門外。入侵檢測引擎放在防火墻之內(nèi)。這種情況下，只有穿透防火墻的攻擊才可能被入侵檢測系統(tǒng)檢測到，治理員能夠清晰地看到哪些攻擊是未被防火墻過濾掉的，從而能夠改善防火墻的安全策略。防火墻內(nèi)外均有入侵檢測引擎。這種情況下，能夠檢測到來自內(nèi)部和外部的所有攻擊，治理員能夠清晰地看出是否有攻擊穿透防火墻，所發(fā)生的攻擊是來自網(wǎng)絡(luò)內(nèi)部

28、依舊外部等，從而能夠?qū)ψ约核媾R的網(wǎng)絡(luò)安全威脅有一個比較全面的了解。將入侵檢測引擎裝在其它關(guān)鍵位置。有時受愛護網(wǎng)絡(luò)上的部分主機或部分子網(wǎng)重要性異于其它部分，能夠在其上設(shè)置入侵檢測引擎，從而對網(wǎng)絡(luò)中的關(guān)鍵位置是否受到攻擊進行準(zhǔn)確推斷。網(wǎng)絡(luò)數(shù)據(jù)包截獲即從網(wǎng)絡(luò)通信設(shè)施上獵取通信數(shù)據(jù)包，事實上是一把雙刃劍，一方面，網(wǎng)絡(luò)治理員能夠用于監(jiān)聽網(wǎng)絡(luò)流量，開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員能夠用于實現(xiàn)網(wǎng)絡(luò)應(yīng)用程序；另一方面，黑客能夠用于刺探網(wǎng)絡(luò)上傳輸?shù)臋C密信息。網(wǎng)卡工作模式與包截獲以太網(wǎng)中，以太網(wǎng)卡有兩種接收模式，即混雜模式和非混雜模式。混雜模式下，網(wǎng)卡接收所有數(shù)據(jù)包，不管目的地址是否是自己；非混雜模式下，網(wǎng)卡只接收目的地址

29、為自己的數(shù)據(jù)包已廣播數(shù)據(jù)包(組播數(shù)據(jù)幀)。故，要截獲以太網(wǎng)上的數(shù)據(jù)包，要讓網(wǎng)卡工作于混雜模式。第五講 計算機病毒防治計算機病毒的定義從不同角度，能夠給計算機病毒作不同的定義。1984年，計算機病毒之父弗雷德科恩博士(Fred Cohen)把它定義為：“計算機病毒是一種計算機程序，它通過修改其它程序把自身或其演化體插入它們中，從而感染它們。” 國外最流行的定義是：“計算機病毒，是一段附著在其他程序上的能夠?qū)崿F(xiàn)自我生殖的程序代碼。” 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全愛護條例，在條例第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入破壞計算機功

30、能或者毀壞數(shù)據(jù)，阻礙計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！庇嬎銠C病毒的產(chǎn)生過程計算機病毒從產(chǎn)生到最終對計算機系統(tǒng)產(chǎn)生破壞作用全過程能夠分為如下幾個時期：程序設(shè)計期。計算機病毒作為一個軟件“產(chǎn)品”，也有其分析、設(shè)計與實現(xiàn)的過程，即“制造者”將自己的企圖利用某一門程序設(shè)計語言表現(xiàn)出來的過程。隨著計算機程序設(shè)計語言的進展，現(xiàn)在掌握一定計算機程序設(shè)計初級知識的人都能夠設(shè)計出計算機病毒來。孕育期。即“制造者”將自己的“作品”想方設(shè)法地傳播出去，如感染一個流行程序再將被感染的流行程序廣為流傳。埋伏期。計算機病毒要想達到自己的目的，一般要在爆發(fā)之前先行完成足夠多次的自我復(fù)制，并入侵到盡可能多的計算機系統(tǒng)中去，以求被激活后能夠破壞更多的計算機資源。 計算機病毒在被激活之前的漫長的時刻即為埋伏期。在這一時期的計算機病毒除了非法占用存儲空間外并無其它破壞行為。發(fā)作期。帶有破壞機制的計算機病毒會在遇到某一特定的條件時發(fā)作，并完成預(yù)期的破壞活動。如某一特定日期的出現(xiàn)(如3月6日、4月26日)或某一指