第10章 網(wǎng)絡(luò)安全技術(shù)

第10章網(wǎng)絡(luò)安全技術(shù)第10章網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全概述10.2數(shù)據(jù)加密技術(shù)10.3防火墻技術(shù)10.4網(wǎng)絡(luò)病毒與防范技術(shù)10.5入侵檢測(cè)技術(shù)10.1網(wǎng)絡(luò)安全概述10.1.1什么是網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。10.1.2網(wǎng)絡(luò)安全的特征概括起來(lái)說(shuō)，網(wǎng)絡(luò)安全的主要特征表現(xiàn)如下：1完整性完整性是指網(wǎng)絡(luò)中的信息安全、精確與有效，不因種種不安全因素而改變信息原有的內(nèi)容、形式與流向，確保信息在存儲(chǔ)或傳輸過(guò)程中不被修改、不被破壞和丟失。2保密性保密性是指網(wǎng)絡(luò)上的保密信息只供經(jīng)過(guò)允許的人員，以經(jīng)過(guò)允許的方式使用，信息不泄露給未授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用。10.1.2網(wǎng)絡(luò)安全的特征3可用性可用性是指網(wǎng)絡(luò)資源在需要時(shí)即可使用，不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對(duì)資源的使用。4不可否認(rèn)性不可否認(rèn)性，是面向通信雙方信息真實(shí)統(tǒng)一的安全要求，包括收、發(fā)方均不可抵賴。也就是說(shuō)，所有參與者不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)方不真實(shí)地否認(rèn)已發(fā)送的信息，利用遞交接收證據(jù)可以防止收方事后否認(rèn)已經(jīng)接收的信息。信息傳輸中信息的發(fā)送方可以要求提供回執(zhí)，但是不能否認(rèn)從未發(fā)過(guò)任何信息并聲稱該信息是接收方偽造的。信息的接收方不能對(duì)收到的信息進(jìn)行任何的修改和偽造，也不能抵賴收到的信息。10.1.2網(wǎng)絡(luò)安全的特征5可控性可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力的特性。信息接收方應(yīng)能證實(shí)它所收到的信息內(nèi)容和順序都是真實(shí)、合法、有效的，應(yīng)能檢驗(yàn)收到的信息是否過(guò)時(shí)或?yàn)橹夭サ男畔?。信息交換的雙方應(yīng)能對(duì)對(duì)方的身份進(jìn)行鑒別，以保證收到的信息是由確認(rèn)的對(duì)方發(fā)送過(guò)來(lái)的。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的研究始于1982年，于1988年完成，其成果標(biāo)志是ISO發(fā)布了ISO7498-2標(biāo)準(zhǔn)，作為OSI基本參考模型的補(bǔ)充。這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)。它定義了5類安全服務(wù)、9種安全機(jī)制。它確定了安全服務(wù)與安全機(jī)制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置。它還確定了OSI安全體系的安全管理。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)OSI網(wǎng)絡(luò)安全體系定義的5類安全服務(wù)是：1對(duì)等實(shí)體鑒別服務(wù)確認(rèn)有關(guān)的對(duì)等實(shí)體是所需的實(shí)體。這種服務(wù)由N層提供時(shí)，將使N+1層實(shí)體確信與之打交道的對(duì)等實(shí)體正是它所需要的N+1實(shí)體。2訪問(wèn)控制服務(wù)防止對(duì)資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。這種服務(wù)提供保護(hù)以對(duì)付開放系統(tǒng)互連可訪問(wèn)資源的非授權(quán)使用。3數(shù)據(jù)完整性服務(wù)這種服務(wù)對(duì)付主動(dòng)威脅。在一次連接上，連接開始時(shí)使用對(duì)某實(shí)體的鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來(lái)為在此連接上傳送的所有數(shù)據(jù)單元的來(lái)源提供確證，為這些數(shù)據(jù)單元的完整性提供確證。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)4禁止否認(rèn)服務(wù)這種服務(wù)可取如下兩種形式，或兩者之一：（1）有數(shù)據(jù)原發(fā)證明的抗否認(rèn)為數(shù)據(jù)的接收者提供數(shù)據(jù)的原發(fā)證據(jù)。這將使發(fā)送者不承認(rèn)未發(fā)送過(guò)這些數(shù)據(jù)或否認(rèn)其內(nèi)容的企圖不能得逞。（2）有交付證明的抗否認(rèn)為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。這將使接收者事后不承認(rèn)收到過(guò)這些數(shù)據(jù)或否認(rèn)其內(nèi)容的企圖不能得逞。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)5數(shù)據(jù)保密性服務(wù)數(shù)據(jù)保密性服務(wù)是針對(duì)信息泄露、竊聽等威脅的防御措施，它的目的是保護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)，防止因數(shù)據(jù)被截獲而造成的泄密。這種服務(wù)又分為信息保密、選擇段保密和業(yè)務(wù)流保密。信息保密是保護(hù)通信系統(tǒng)中的信息或網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的數(shù)據(jù)；選擇段保密是保護(hù)信息中被選擇的部分?jǐn)?shù)據(jù)段；業(yè)務(wù)流保密是防止攻擊者通過(guò)觀察業(yè)務(wù)流，如信源、信宿、轉(zhuǎn)送時(shí)間、頻率和路由等來(lái)得到敏感的信息。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)OSI網(wǎng)絡(luò)安全體系定義的9種安全機(jī)制是：1加密機(jī)制加密機(jī)制主要用來(lái)加密存儲(chǔ)數(shù)據(jù)，是保護(hù)數(shù)據(jù)最常用的方法。2數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制由兩個(gè)過(guò)程組成：對(duì)信息進(jìn)行簽字的過(guò)程和對(duì)已簽字信息進(jìn)行證實(shí)的過(guò)程。簽名機(jī)制必須保證簽名只能由簽名者的私有信息產(chǎn)生。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)3訪問(wèn)控制機(jī)制訪問(wèn)控制機(jī)制是從計(jì)算機(jī)系統(tǒng)的處理能力方面對(duì)信息提供保護(hù)。它根據(jù)實(shí)體的身份及其信息，來(lái)決定該實(shí)體的訪問(wèn)權(quán)限。訪問(wèn)控制按照事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法。4數(shù)據(jù)完整性機(jī)制在網(wǎng)絡(luò)中傳輸或存儲(chǔ)數(shù)據(jù)可能會(huì)因?yàn)橐恍┮蛩?，使?shù)據(jù)的完整性受到破壞。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)5認(rèn)證機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)中認(rèn)證主要有站點(diǎn)認(rèn)證、報(bào)文認(rèn)證、用戶和進(jìn)程的認(rèn)證等。多數(shù)認(rèn)證過(guò)程采用密碼技術(shù)和數(shù)字簽名技術(shù)。對(duì)于用戶身份認(rèn)證，隨著科學(xué)技術(shù)的發(fā)展，用戶生理特性認(rèn)證技術(shù)將得到越來(lái)越多的應(yīng)用。6業(yè)務(wù)流量填充機(jī)制攻擊者攻擊的方法之一就是流量分析。攻擊者通常通過(guò)分析網(wǎng)絡(luò)中某一路徑上的業(yè)務(wù)流量和流向來(lái)判斷某些事件的發(fā)生。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)7路由控制機(jī)制在大型計(jì)算機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)從源節(jié)點(diǎn)到達(dá)目的節(jié)點(diǎn)可能存在多條路徑，其中有些路徑是安全的，而有些路徑是不安全的。路由控制機(jī)制可根據(jù)信息發(fā)送者的申請(qǐng)，選擇安全路徑，以確保數(shù)據(jù)安全。為了使用安全的子網(wǎng)、中繼站和鏈路，既可預(yù)先安排網(wǎng)絡(luò)中的路由，也可對(duì)其動(dòng)態(tài)地進(jìn)行選擇。8公證機(jī)制引入公證機(jī)制后，通信雙方進(jìn)行數(shù)據(jù)通信時(shí)必須經(jīng)過(guò)這個(gè)機(jī)構(gòu)來(lái)交換，以確保公證機(jī)構(gòu)能得到必要的信息，供以后仲裁時(shí)使用。仲裁數(shù)字簽名技術(shù)就是這種公證機(jī)制的一種技術(shù)支持。10.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)9安全審計(jì)跟蹤機(jī)制審計(jì)跟蹤機(jī)制能創(chuàng)建和維護(hù)受保護(hù)客體的訪問(wèn)審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它進(jìn)行訪問(wèn)或破壞。審計(jì)跟蹤機(jī)制提供了一種不可忽視的安全機(jī)制，它潛在的價(jià)值在于經(jīng)事后的安全審計(jì)可以檢測(cè)和調(diào)查網(wǎng)絡(luò)中的安全漏洞。安全服務(wù)與安全機(jī)制有著密切的聯(lián)系，安全服務(wù)由安全機(jī)制來(lái)實(shí)現(xiàn)，它體現(xiàn)了網(wǎng)絡(luò)安全模型的功能。一個(gè)安全服務(wù)可以由一個(gè)或幾個(gè)安全機(jī)制來(lái)實(shí)現(xiàn)，同樣，一個(gè)安全機(jī)制也可用于實(shí)現(xiàn)不同的安全服務(wù)中。10.2數(shù)據(jù)加密技術(shù)10.2.1數(shù)據(jù)加密算法一個(gè)密碼體制通常由5個(gè)部分構(gòu)成，如圖10-1所示：（1）全體明文集合M，稱為明文空間（2）全體密文集合C，稱為密文空間（3）全體密鑰集合K，稱為密鑰空間（4）加密算法E，由加密密鑰控制的加密變換集合（5）加密算法D，由解密密鑰控制的解密變換集合任意m屬于M，k屬于K，有Dk（Ek（m））＝m。10.2.1數(shù)據(jù)加密算法10.2.1數(shù)據(jù)加密算法按密鑰管理方式的不同來(lái)分，密碼體制可以分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩類。對(duì)稱密鑰體制也稱私密鑰、單密鑰；非對(duì)稱密鑰體制也稱公開密鑰、雙密鑰。1對(duì)稱加密算法對(duì)稱密碼技術(shù)采用的解密算法是加密算法的逆運(yùn)算。該技術(shù)的特點(diǎn)是在保密通信系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方通信所用的秘密密鑰必須妥善保管。對(duì)稱密碼技術(shù)的典型代表有：古典密碼技術(shù)、序列密碼技術(shù)和分組密碼技術(shù)(如DES、IDEA、AES等)。10.2.1數(shù)據(jù)加密算法2非對(duì)稱加密算法非對(duì)稱加密算法，也稱為公用密鑰算法。在非對(duì)稱加密算法中，用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái)。非對(duì)稱加密算法的典型代表是RSA算法。10.2.2常用的數(shù)據(jù)加密標(biāo)準(zhǔn)1美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)是在20世紀(jì)70年代中期由美國(guó)IBM公司的一個(gè)密碼算法發(fā)展而來(lái)的，1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局公布DES密碼算法作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)。直到今日，盡管DES已經(jīng)經(jīng)歷了20多個(gè)年頭，但在已知的公開文獻(xiàn)中，還是無(wú)法完全地、徹底地把DES給破解掉。換句話說(shuō)，DES這套加密方法至今仍被公認(rèn)是安全的。DES算法從誕生開始，就被各個(gè)領(lǐng)域廣泛采用，包括ATM柜員機(jī)、POS系統(tǒng)、收費(fèi)站等，DES以它高強(qiáng)度的保密性能為大眾服務(wù)。10.2.2常用的數(shù)據(jù)加密標(biāo)準(zhǔn)2國(guó)際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）國(guó)際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）是由瑞士聯(lián)邦理工學(xué)院XuejiaLai和JamesMassey的在1990年提出的。IDEA是最近幾年提出的用來(lái)替代DES的許多算法中的一種，是一個(gè)對(duì)稱分組密碼算法。IDEA是一種使用128位密鑰以64位分組為單位加密數(shù)據(jù)的分組密碼算法。10.2.2常用的數(shù)據(jù)加密標(biāo)準(zhǔn)3RSA算法RSA算法是一個(gè)非對(duì)稱密鑰加密算法，是公開密碼體制中最著名的一個(gè)。它由Rivest、Shamir和Adleman于1978年提出。RSA的取名就是來(lái)源于三個(gè)人名字的首寫字母。它是基于數(shù)論中大整數(shù)的素?cái)?shù)分解是困難的(即尋求兩個(gè)人素?cái)?shù)比較簡(jiǎn)單，但是將它們的乘積分解開卻是極其困難的)這一問(wèn)題而提出的。10.2.2常用的數(shù)據(jù)加密標(biāo)準(zhǔn)運(yùn)用RSA算法進(jìn)行加密和解密，按以下步驟進(jìn)行。(1)先任意選取兩個(gè)不同的質(zhì)數(shù)p和q。 (2)計(jì)算n=p×q和歐拉函數(shù)z=(p-1)×(q-1)。(3)選擇一個(gè)與z互質(zhì)的數(shù)d。(4)求出e，滿足d×e=lmodz。(5)(e,n)作為公開的加密密鑰，將明文分成長(zhǎng)度小于lnn位的明文塊，欲加密的明文信息為P(0≤P<n)，加密過(guò)程為C=Pemodn。(6)(d，n)作為秘密的解密密鑰，解密過(guò)程為P=Cdmodn。10.3防火墻技術(shù)10.3.1防火墻概述防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。防火墻的英文名為“Firewall”，是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)安全控制的一組組件集合。10.3.1防火墻概述路由器Internet防火墻交換機(jī)用戶內(nèi)部網(wǎng)外部網(wǎng)網(wǎng)絡(luò)管理平臺(tái)內(nèi)網(wǎng)服務(wù)器群外網(wǎng)服務(wù)器群10.3.2防火墻的功能（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄10.3.2防火墻的功能同時(shí)防火墻還有一定的局限性：（1）不能防范惡意知情者泄密。（2）不能防御繞過(guò)防火墻的攻擊。（3）不能防御完全新的威脅。（4）不能防止特洛伊木馬。（5）不能防止傳送已感染病毒的軟件或文件。（6）不能防御內(nèi)部攻擊。（7）影響網(wǎng)絡(luò)性能。10.3.3防火墻的分類防火墻有很多種分類方法：（1）按軟、硬件形式劃分軟件防火墻：軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。硬件防火墻：傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。芯片級(jí)防火墻：芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。10.3.3防火墻的分類（2）按防火墻技術(shù)劃分防火墻技術(shù)雖然出現(xiàn)了許多，但總體來(lái)講可分為“分組過(guò)濾型”、“應(yīng)用代理型”以及“分組過(guò)濾型”與“應(yīng)用代理型”相結(jié)合的“狀態(tài)檢測(cè)型”三大類?！胺纸M過(guò)濾型”以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表，“應(yīng)用代理型”后者以美國(guó)NAI公司的Gauntlet防火墻為代表。10.3.3防火墻的分類（3）按防火墻結(jié)構(gòu)劃分從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置劃分如果按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。（5）按防火墻性能劃分按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。10.3.3防火墻的分類防火墻的部類比較多，但總的來(lái)說(shuō)可以分為兩種：包過(guò)濾防火墻和代理服務(wù)器。（1）包過(guò)濾防火墻（IPFiltingFirewall）包過(guò)濾（PacketFilter）是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過(guò)。2）代理服務(wù)器（ProxyServer）代理服務(wù)器通常也稱作應(yīng)用級(jí)防火墻。包過(guò)濾防火墻可以按照IP地址來(lái)禁止未授權(quán)者的訪問(wèn)。但是它不適合單位用來(lái)控制內(nèi)部人員訪問(wèn)外界的網(wǎng)絡(luò)，對(duì)于這樣的企業(yè)來(lái)說(shuō)應(yīng)用級(jí)防火墻是更好的選擇。10.3.4防火墻的主要技術(shù)（1）分組過(guò)濾技術(shù)其原理在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入流出的包，拒絕發(fā)送那些可疑的包。由于分組過(guò)濾技術(shù)無(wú)法有效地區(qū)分相同IP地址的不同用戶，安全性相對(duì)較差。（2）代理服務(wù)技術(shù)其原理是在網(wǎng)關(guān)計(jì)算機(jī)上運(yùn)行應(yīng)用代理程序，運(yùn)行時(shí)由兩部分連接構(gòu)成：一部分是應(yīng)用網(wǎng)關(guān)同內(nèi)部網(wǎng)用戶計(jì)算機(jī)建立的連接，另一部分是代替原來(lái)的客戶程序與服務(wù)器建立的連接。10.3.4防火墻的主要技術(shù)（3）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）其原理如同電話交換總機(jī)，當(dāng)不同的內(nèi)部網(wǎng)絡(luò)用戶向外連接時(shí)，使用相同的IP地址(總機(jī)號(hào)碼)；內(nèi)部網(wǎng)絡(luò)用戶互相通信時(shí)則使用內(nèi)部IP地址(分機(jī)號(hào)碼)。內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)來(lái)說(shuō)是不可見(jiàn)的，防火墻能詳盡記錄每一個(gè)內(nèi)部網(wǎng)計(jì)算機(jī)的通信，確保每個(gè)數(shù)據(jù)包的正確傳送。（4）虛擬專用網(wǎng)VPN技術(shù)虛擬專用網(wǎng)(VPN)是局域網(wǎng)在廣域網(wǎng)上的擴(kuò)展，是專用計(jì)算機(jī)網(wǎng)絡(luò)在Internet上的延伸。VPN通過(guò)專用隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線，實(shí)現(xiàn)安全的信息傳輸。雖然VPN不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。10.3.4防火墻的主要技術(shù)（5）審計(jì)技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪問(wèn)過(guò)程進(jìn)行記錄和產(chǎn)生日志，并對(duì)日志進(jìn)行統(tǒng)計(jì)處理，從而對(duì)網(wǎng)絡(luò)資源的使用情況進(jìn)行分析，對(duì)異?，F(xiàn)象進(jìn)行追蹤監(jiān)視。（6）信息加密技術(shù)加密路由器對(duì)路由的信息進(jìn)行加密處理，然后通過(guò)Internet傳輸?shù)侥康亩诉M(jìn)行解密。10.4網(wǎng)絡(luò)病毒與防范技術(shù)10.4.1什么是網(wǎng)絡(luò)病毒計(jì)算機(jī)病毒是一種人為制造的、在計(jì)算機(jī)運(yùn)行中對(duì)計(jì)算機(jī)信息或系統(tǒng)起破壞作用的程序。這種程序不是獨(dú)立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行；重則使機(jī)器處于癱瘓，會(huì)給用戶帶來(lái)不可估量的損失。通常就把這種具有破壞作用的程序稱為計(jì)算機(jī)病毒。10.4.2網(wǎng)絡(luò)病毒的特點(diǎn)計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：（1）寄生性計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。（2）傳染性計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。（3）潛伏性有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。

（4）隱蔽性計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常，這類病毒處理起來(lái)通常很困難。10.4.3常見(jiàn)網(wǎng)絡(luò)病毒的種類（1）蠕蟲病毒蠕蟲病毒的前綴是Worm，是一種與傳統(tǒng)計(jì)算機(jī)病毒相近的獨(dú)立程序，通常不依附于其他程序。這種病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)）、小郵差（發(fā)帶毒郵件）等。（2）特洛伊木馬病毒特洛伊木馬病毒簡(jiǎn)稱木馬病毒，其前綴是Trojan，是一種計(jì)算機(jī)程序，它駐留在目標(biāo)計(jì)算機(jī)里。木馬病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。（3）惡意網(wǎng)頁(yè)惡意網(wǎng)頁(yè)是指網(wǎng)頁(yè)中的“地雷”程序，它主要是利用軟件或系統(tǒng)操作平臺(tái)等存在的安全漏洞，通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)內(nèi)的JavaApplet小應(yīng)用程序、JavaScript腳本語(yǔ)言程序和ActiveX可自動(dòng)執(zhí)行的代碼程序等，強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表、更改系統(tǒng)實(shí)用配置程序。10.4.4網(wǎng)絡(luò)病毒防范技術(shù)（1）安裝防毒殺毒軟件不少DOS防毒殺毒軟件都兼顧網(wǎng)絡(luò)上的DOS病毒。如：CPAV中的VSAFE就具有探測(cè)網(wǎng)絡(luò)安全能力，設(shè)置相應(yīng)的參數(shù)后，每當(dāng)遇到網(wǎng)絡(luò)訪問(wèn)時(shí)，它都會(huì)提供安全檢測(cè)。CPAV中還有網(wǎng)絡(luò)支撐文件ISCPSTSR.EXE，用于檢測(cè)VSAFE是否常駐內(nèi)存。（2）及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用程序的漏洞操作系統(tǒng)中的漏洞給網(wǎng)絡(luò)病毒開啟了方便之門。例如紅色代碼蠕蟲（CodeRed）在Windows操作系統(tǒng)的IIS服務(wù)器中引起緩沖區(qū)溢出。網(wǎng)絡(luò)病毒以操作系統(tǒng)中的漏洞作為突破口時(shí)，根本不需要借助計(jì)算機(jī)操作者的任何干預(yù)，而自動(dòng)感染和傳播。因此，網(wǎng)絡(luò)用戶一定要及時(shí)對(duì)操作系統(tǒng)軟件進(jìn)行及時(shí)升級(jí)，還要盡快為系統(tǒng)軟件和應(yīng)用軟件打上最新補(bǔ)丁。（3）數(shù)據(jù)備份及恢復(fù)對(duì)于計(jì)算機(jī)中存放的重要數(shù)據(jù)要有定期數(shù)據(jù)備份計(jì)劃，用磁盤、光盤等介質(zhì)及時(shí)備份數(shù)據(jù)，妥善存檔保管。有數(shù)據(jù)恢復(fù)方案，在系統(tǒng)癱瘓或出現(xiàn)嚴(yán)重故障時(shí)，能夠進(jìn)行數(shù)據(jù)恢復(fù)。10.5入侵檢測(cè)技術(shù)10.5.1入侵檢測(cè)概述入侵檢測(cè)（IntrusionDetection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。10.5.1入侵檢測(cè)概述入侵檢測(cè)研究最早可追溯到1980年，JamesAderson首先提出了入侵檢測(cè)的概念。Aderson提出審計(jì)追蹤可應(yīng)用于監(jiān)視入侵威脅的思想，但由于當(dāng)時(shí)所有的系統(tǒng)安全程序都側(cè)重于拒絕未經(jīng)認(rèn)證主體對(duì)重要數(shù)據(jù)的訪問(wèn)，這一思想的重要性當(dāng)時(shí)并未被理解。1987年Dorothy.E.Denning提出了入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）的抽象模型，首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御的策略提出，與傳統(tǒng)加密和訪問(wèn)控制的方法相比，IDS是全新的計(jì)算機(jī)安全策略。10.5.2入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的安全防護(hù)工具，它的主要作用有：（1）通過(guò)檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生；（2）檢測(cè)其它安全措施未能阻止的攻擊或安全違規(guī)行為；（3）檢測(cè)黑客在攻擊前的探測(cè)行為，預(yù)先給管理員發(fā)出警報(bào)；（4）報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅；（5）提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，利于其進(jìn)行修補(bǔ)；（6）在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。10.5.3入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)數(shù)據(jù)采集（Sensor）分析器知識(shí)庫(kù)響應(yīng)/控制響應(yīng)政策

配置信息告警控制遠(yuǎn)程管理10.5.3入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)10.5.4入侵檢測(cè)系統(tǒng)Snortsnort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。1嗅探器所謂的嗅探器模式就是snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在控制臺(tái)上。首先，我們從最基本的用法入手。如果只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：./snort-v使用這個(gè)命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果要看到應(yīng)用層的數(shù)據(jù)，可以使用：./snort-vd

這條命令使snort在輸出包頭信息的同時(shí)顯示包的數(shù)據(jù)信息。如果還要顯示數(shù)據(jù)鏈路層的信息，就使用下面的命令：./snort-vde注意這些選項(xiàng)開關(guān)還可以分開寫或者任意結(jié)合在一塊。例如：下面的命令就和上面最后的一條命令等價(jià)：./snort-d-v–e10.5.4入侵檢測(cè)系統(tǒng)Snort2數(shù)據(jù)包記錄器如果要把所有的包記錄到硬盤上，需要指定一個(gè)日志目錄，snort就會(huì)自動(dòng)記錄數(shù)據(jù)包：./snort-dev-l./log為了只對(duì)本地網(wǎng)絡(luò)進(jìn)行日志，需要給出本地網(wǎng)絡(luò)：./snort-dev-l./log-h192.168.1.0/24這個(gè)命令告訴snort把進(jìn)入C類網(wǎng)絡(luò)192.168.1的所有包的數(shù)據(jù)鏈路、TCP/IP以及應(yīng)用層的數(shù)據(jù)記錄到目錄./log中。使用下面的命令可以把所有的包記錄到一個(gè)單一的二進(jìn)制文件中：./snort-l./log–b如果在嗅探器模式下把一個(gè)tcpdump格式的二進(jìn)制文件中的包打