100網(wǎng)絡(luò)基礎(chǔ)知識安全篇

網(wǎng)絡(luò)基礎(chǔ)知識（安全篇）網(wǎng)關(guān)級的安全產(chǎn)品Firewall，IDS，UTM等安全架構(gòu)安全網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備端點系統(tǒng)IDPasswdVPNOS、APPScan、IPSIDS、AVFW端點可信代理–PTA網(wǎng)關(guān)可信代理-GTA可信安全管理系統(tǒng)-TSM網(wǎng)絡(luò)可信代理-NTAVPNScan、IPSIDS、AVFWRouterAccessSwitch信任管理身份管理脆弱性管理威脅管理防火墻防火墻防火墻發(fā)展歷史IDS多重檢測技術(shù)網(wǎng)絡(luò)數(shù)據(jù)誤用檢測異常檢測智能協(xié)議分析會話狀態(tài)分析報警事件實時關(guān)聯(lián)檢測IDS部署InternetDMZNGIDS控制臺NGIDS引擎服務(wù)器區(qū)Intranet中小型網(wǎng)絡(luò)環(huán)境IDS：誤用檢測入侵規(guī)則庫行為模式匹配入侵誤用檢測（MisuseDetection

）指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。異常檢測行為尺度可能的入侵異常檢測(AnomalyDetection）指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。協(xié)議分析充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，使用這些知識快速檢測某個攻擊特征的存在。與非智能化的模式匹配相比，協(xié)議分析減少了誤報的可能性。與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)包和會話時更迅速、有效。智能協(xié)議分析EthernetIPTCP模式匹配EthernetIPTCP智能協(xié)議分析HTTPUnicodeXML會話檢測

按照客戶-服務(wù)器間的通信內(nèi)容，把數(shù)據(jù)包重組為連續(xù)的會話流。而基于數(shù)據(jù)包的入侵檢測技術(shù)只對每個數(shù)據(jù)包進行檢查。與基于數(shù)據(jù)包的入侵檢測技術(shù)相比，準確率高。實時關(guān)聯(lián)檢測UTM和安全網(wǎng)關(guān)安全網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備端點系統(tǒng)IDPasswdVPNOS、APPScan、IPSIDS、AVFW端點可信代理–PTA網(wǎng)關(guān)可信代理-GTA可信安全管理系統(tǒng)-TSM網(wǎng)絡(luò)可信代理-NTAVPNScan、IPSIDS、AVFWRouterAccessSwitch信任管理身份管理脆弱性管理威脅管理集成網(wǎng)關(guān)FWIDSAVASVPNIPS各種名詞FirewallIntensiondetectionsystemAntivirusesAntispamVirtualprivatenetIntensionprotectionsystem認識病毒病毒問題病毒蠕蟲木馬傳統(tǒng)的病毒分類Worm

Aprogramwhichcopiesitselffromonecomputersystemtoanother.TrojanHorse

Programwithahiddenpayload Trojanhorseisaprogramwhichappearstoserveausefulpurpose,yetactuallyintentionallyperformsamaliciousaction.

Theymustberunbyanunsuspectinguserormanuallyintroducedbyathirdparty.PolymorphicVirus

Mutatesitselfeachtimeitinfectsanewapplication,diskordocument!“RetroViruses”

Attackanti-virussoftware! Typicallydeletefingerprintfilesorchangedetectionvirussignaturedatabases. WillnotinfectAVproductsthatperformselfchecks.病毒演化的趨勢郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波蠕蟲病毒W(wǎng)ORM_SASSER.A染毒電腦未修補漏洞的系統(tǒng)已修補漏洞的系統(tǒng)隨機攻擊隨機攻擊隨機攻擊被感染不被感染被感染被感染不被感染不被感染UnitedStatesSouthKoreaChinaGermanyFranceTaiwanCanadaItalyGreatBritainJapanTotal35.4%12.8%6.9%6.7%4.0%3.9%3.2%3.0%2.2%1.8%80.0%40.0%7.4%6.9%7.6%5.2%2.4%3.0%2.7%2.1%2.1%79.6%29.6%8.8%7.8%5.9%4.5%2.6%3.9%2.5%2.5%2.0%70.1%CountryPercentofTotal

(July1,2002–Dec31,2002)PercentofTotal

(Jan1,2002–July31,2002)PercentofTotal

(July1,2001–Dec31,2001)TopTenAttackingCountries

(July1,2001–December30,2002)部署在DMZ區(qū)的前面spam垃圾郵件的發(fā)展速度和趨勢數(shù)據(jù)來源：Radicati，2004.6據(jù)調(diào)查結(jié)果表明，全球垃圾信息的數(shù)量增長之快令人吃驚，2004年與2003年的150億條相比增長了115%，達到350億條。美國SBL著名垃圾郵件對比資料庫提供的資料表明，中國是全球第二大垃圾郵件受害國，僅位居美國之后。SBL稱，中國網(wǎng)民收到的垃圾郵件數(shù)量占全球的十分之一，并且這個數(shù)字每五個月會翻一番。中國垃圾郵件現(xiàn)狀處理垃圾郵件原理郵件服務(wù)器正常行為郵件SMTP路由時間特征服務(wù)器特征頻度動態(tài)IPSMTP會話發(fā)信地址內(nèi)容特征攻擊特征行為模式識別模型外來郵件垃圾郵件可疑郵件硬件架構(gòu)分析從X86到ASIC硬件架構(gòu)的趨勢硬件平臺技術(shù)分析-x86基于X86的平臺主要提供商Intel，AMD特點：軟件開發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境硬件平臺技術(shù)分析-其他嵌入式基于其他嵌入的平臺包括PowerPC、ARM、MIPS……特點：產(chǎn)品穩(wěn)定低功耗，低成本軟件比較靈活開發(fā)環(huán)境需要投資受總線帶寬的限制硬件平臺技術(shù)分析-ASIC基于ASIC的平臺采用廠家Netscreen、Fortinet特點：性價比比較高產(chǎn)品穩(wěn)定可以滿足高性能要求靈活性不高投資非常大門檻高硬件平臺技術(shù)分析-NPU基于NPU的平臺提供廠家Intel、IBM、