第九章 網(wǎng)絡(luò)安全

第九章

計算機網(wǎng)絡(luò)安全本章內(nèi)容9.1網(wǎng)絡(luò)安全問題概述9.2計算機病毒知識9.3加密技術(shù)9.4防火墻技術(shù)9.5入侵檢測技術(shù)9.1網(wǎng)絡(luò)安全問題概述

一、計算機網(wǎng)絡(luò)安全1．網(wǎng)絡(luò)安全的定義計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全。9.1網(wǎng)絡(luò)安全問題概述2．計算機網(wǎng)絡(luò)安全的特征（1）保密性

（2）完整性（3）可用性（4）可控性

二、網(wǎng)絡(luò)所面臨的安全威脅

1．計算機網(wǎng)絡(luò)安全威脅的來源

（1）天災(zāi)

（2）人為因素

（3）系統(tǒng)本身原因2．威脅的具體表現(xiàn)形式計算機網(wǎng)絡(luò)上的通信面臨以下的四種威脅：(1)截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。(2)中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改——故意篡改網(wǎng)絡(luò)上傳送的報文。(4)偽造——偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。對網(wǎng)絡(luò)的被動攻擊和主動攻擊

截獲篡改偽造中斷被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站被動攻擊和主動攻擊

在被動攻擊中，攻擊者只是觀察和分析某一個數(shù)據(jù)單元而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的數(shù)據(jù)單元進行各種處理。更改報文流拒絕報文服務(wù)偽造連接初始化

9.2計算機病毒知識

一、計算機病毒

1．計算機病毒的定義

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或者程序代碼。20世紀(jì)60年代初，美國貝爾實驗室三個年輕的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲，游戲中的一方通過復(fù)制自身來擺脫對方的控制，這就是所謂“計算機病毒第一個雛形”。20世紀(jì)70年代，美國作家雷恩在其出版的《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制的計算機程序，并第一次稱之為“計算機病毒”。2.計算機病毒的發(fā)展過程到了20世紀(jì)80年代后期，巴基斯坦有兩個以編軟件為生的兄弟（也就是現(xiàn)在的程序員），他們?yōu)榱舜驌裟切┍I版軟件的使用者，設(shè)計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行的第一個真正的病毒。1988年至1989年，我國也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)的Stoned（石頭）病毒，該病毒替代碼中有明顯的標(biāo)志“YourPcisnowStoned！”。20世紀(jì)90年代以前病毒的弱點被感染的文件大小明顯增加病毒代碼主體沒有加密。訪問文件的日期得到更新。很容易被debug工具跟蹤這些病毒中，稍微有點對抗反病毒手段的只有YankeeDoole病毒，當(dāng)它發(fā)現(xiàn)你用Debug工具跟蹤它的時候，它會自動從文件中消失。接著，就出現(xiàn)了一些能對自身進行簡單加密的病毒，譬如當(dāng)內(nèi)存有1741病毒，用DIR列目錄表的時候，這個病毒就會掩蓋被感染文件后增加的字節(jié)數(shù)，使人看起來文件的大小沒有什么變化。1992年以后，出現(xiàn)了是一種叫做DIR2的病毒，這種病毒非常典型，并且其整個程序大小只有263個字節(jié)。20世紀(jì)內(nèi)，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80%的病毒能在Windows中傳染。宏病毒的出現(xiàn)，代表有美麗莎,臺灣一號等病毒生產(chǎn)機現(xiàn)身，1996年下半年在國內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)機軟件”1998年2月，臺灣省的陳盈豪，編寫出了破壞性極大的惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞CIH介紹陳盈豪：當(dāng)時臺灣的一個大學(xué)生1998年2月，1.2版1998年4月26日，臺灣少量發(fā)作1999年4月26日，全球發(fā)作破壞主板BIOSCIH特點通過網(wǎng)絡(luò)（軟件下載）傳播全球有超過6000萬臺的機器被感染第一個能夠破壞計算機硬件的病毒全球直接經(jīng)濟損失超過10億美元1999年2月，“美麗莎”病毒席卷了整個歐美大陸這是世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò)蠕蟲大泛濫?！懊利惿苯榻B大衛(wèi).史密斯，美國新澤西州工程師在16小時內(nèi)席卷全球互聯(lián)網(wǎng)至少造成10億美元的損失！通過email傳播傳播規(guī)模（50的n次方，n為傳播的次數(shù)）2000年5月，在歐美又爆發(fā)了“愛蟲”網(wǎng)絡(luò)蠕蟲病毒，造成了比“美麗莎”病毒破壞性更大的經(jīng)濟損失。這個病毒屬于vbs腳本病毒，可以通過html，irc，email進行大量的傳播。愛蟲病毒介紹菲律賓“AMA”電腦大學(xué)計算機系的學(xué)生一個星期內(nèi)就傳遍5大洲微軟、Intel等在內(nèi)的大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓全球經(jīng)濟損失達幾十億美元愛蟲病毒特點通過電子郵件傳播，向地址本中所有用戶發(fā)帶毒郵件通過聊天通道IRC、VBS、網(wǎng)頁傳播能刪除計算機內(nèi)的部分文件制造大量新的電子郵件，使用戶文件泄密、網(wǎng)絡(luò)負荷劇增。一年后出現(xiàn)的愛蟲變種VBS／LoveLetter．CM它還會在Windows目錄下駐留一個染有CIH病毒的文件，并將其激活。再后來就出現(xiàn)有更多的網(wǎng)絡(luò)蠕蟲。譬如，紅色代碼，藍色代碼、求職者病毒、尼姆達（Nimda）、FUN_LOVE，最近還在流行的新歡樂時光等等。7月18日午夜，紅色代碼大面積暴發(fā)，被攻擊的電腦數(shù)量達到35.9萬臺。被攻擊的電腦中44%位于美國，11%在韓國，5%在中國，其余分散在世界各地。7月19日，“紅色代碼”病毒開始瘋狂攻擊美國白宮網(wǎng)站，白宮網(wǎng)站管理員將白宮網(wǎng)站從原來的IP地址轉(zhuǎn)移到另外一個地址，才幸免于難。

7月31日，格林尼治時間午夜整點，“紅色代碼II”爆發(fā)，在全球大面積蔓延。據(jù)統(tǒng)計：紅色代碼發(fā)作的行業(yè)集中在計算機信息行業(yè)和網(wǎng)站，約占70-80%其次就是企事業(yè)單位，包括學(xué)校，政府機構(gòu)等，約占20%-30%。其中北京地區(qū)發(fā)作最為嚴重，約占80%。紅色代碼II特點可以攻擊任何語言的系統(tǒng)。在遭到攻擊的機器上植入“特洛伊木馬”，擁有極強的可擴充性。未感染則注冊Atom并創(chuàng)建300個病毒線程。當(dāng)判斷到系統(tǒng)默認的語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個。IP隨機數(shù)發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)電腦IP地址。(40萬/天）當(dāng)病毒在判斷日期大于2002年10月時，會立刻強行重啟計算機???紅色代碼造成的危害網(wǎng)絡(luò)性能急劇下降，路由器、交換機等網(wǎng)絡(luò)設(shè)備負載加重，甚至崩潰等。硬盤數(shù)據(jù)能夠被遠程讀寫直接經(jīng)濟損失：26億美元2001年9月18日出現(xiàn)的尼姆達病毒2001年最為兇猛的惡意蠕蟲病毒，豈今為止已給全球帶來不可估量的經(jīng)濟損失。該病毒不僅傳播速度快、危害性強，而且自我繁殖能力更是位居各大病毒之首。已有五種新變種相繼粉墨登場，作惡不可謂不大。利用unicode漏洞，與黑客技術(shù)相結(jié)合。尼姆達病毒的傳播過程2001年9月18日，首先在美國出現(xiàn)，當(dāng)天下午，有超過130，000臺服務(wù)器和個人電腦受到感染。（北美洲）2001年9月18日晚上，在日本、香港、南韓、新加坡和中國都收到了受到感染的報告。（亞洲）2001年9月19日，有超過150000個公司被感染，西門子在他的網(wǎng)絡(luò)受到滲透之后，被迫關(guān)掉服務(wù)器。（歐洲）尼姆達的四種傳播方式尼姆達的四種傳播方式2002年6月6日，“中國黑客”病毒出現(xiàn)，它發(fā)明了全球首創(chuàng)的“三線程”技術(shù)。主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件。分線程1：監(jiān)視主線程并保證主線程的運行，一旦主線程被清除，這個監(jiān)視器就將主病毒體再次調(diào)入。分線程2：不斷監(jiān)視注冊表的某個值（run項），一旦被人工或反病毒軟件修改，他立即重新寫入這個值，保證自己下次啟動時拿到控制權(quán)。

“中國黑客”病毒的特點很多反病毒軟件一般都是直接修改會引起病毒自動加載的注冊表選項，但是它沒有注意到這個病毒馬上又將這個值改回去了。在傳播方式上，“中國黑客”尋找用戶郵件地址薄來向外發(fā)病毒郵件傳播，或通過局域網(wǎng)傳播，這一點與求職信病毒非常相似。另外，在Windows95/98/Me系統(tǒng)下，“中國黑客”病毒學(xué)習(xí)了CIH病毒，它取得了系統(tǒng)的最高權(quán)限。此外，“中國黑客”病毒還預(yù)留了接口，只要作者愿意的話很多破壞功能與傳播方式很快就可以加上。還有，病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文件，但實際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可以實現(xiàn)感染W(wǎng)indows下的.EXE、.DLL、.SCR等文件。

從以上病毒的發(fā)展過程我們可以看出病毒有如下的發(fā)展趨勢：病毒向有智能和有目的的方向發(fā)展未來凡能造成重大危害的，一定是“蠕蟲”?！叭湎x”的特征是快速地不斷復(fù)制自身，以求在最短的時間內(nèi)傳播到最大范圍。病毒開始與黑客技術(shù)結(jié)合，他們的結(jié)合將會為世界帶來無可估量的損失病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分基于分布式通信的病毒很可能在不久即將出現(xiàn)未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競爭力之一。二、計算機病毒的特征

計算機病毒是一種特殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。通過對計算機病毒的研究，可以總結(jié)出它的幾個特征。1．傳染性2．潛伏性3．破壞性4．可觸發(fā)性5．針對性6．衍生性

三、計算機網(wǎng)絡(luò)病毒

1．計算機網(wǎng)絡(luò)病毒的特點

(1)入侵計算機網(wǎng)絡(luò)的病毒形式多樣(2)不需要寄主(3)電子郵件成為新的載體(4)利用操作系統(tǒng)安全漏洞主動攻擊

2．計算機網(wǎng)絡(luò)病毒的傳播方式

計算機應(yīng)用的普及使信息交換日益頻繁，信息共享也成為一種發(fā)展趨勢，所以病毒入侵計算機系統(tǒng)的途徑也成倍增長。通常把病毒入侵途徑劃分為兩大類：傳統(tǒng)方式Internet方式如圖所示。3．計算機網(wǎng)絡(luò)病毒的危害性

破壞磁盤文件分配表(FAT表)(2)刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件(3)修改或破壞文件中的數(shù)據(jù)(4)產(chǎn)生垃圾文件(5)破壞硬盤的主引導(dǎo)扇區(qū)(6)對整個磁盤或磁盤的特定扇區(qū)進行格式化(7)對CMOS進行寫入操作(8)非法使用及破壞網(wǎng)絡(luò)中的資源(9)占用CPU運行時間(10)破壞外設(shè)的正常工作(11)破壞系統(tǒng)設(shè)置或?qū)ο到y(tǒng)信息加密四、計算機病毒檢測方法

檢測計算機上是否被病毒感染，通?？梢苑謨煞N方法：手工檢測和自動檢測。手工檢測：是指通過一些工具軟件，如D、Pctools.exe、N和Sysinfo.exe等進行病毒的檢測。

自動檢測：是指通過一些診斷軟件和殺毒軟件，來判斷一個系統(tǒng)或磁盤是否有毒，如使用瑞星、金山毒霸等。該方法可以方便地檢測大量病毒，且操作簡單，一般用戶都可以進行。五、計算機病毒的防范

1．在思想和制度方面

（1）加強立法、健全管理制度（2）加強教育和宣傳、打擊盜版2．在技術(shù)措施方面（1）系統(tǒng)安全

（2）軟件過濾（3）軟件加密（4）備份恢復(fù)（5）建立嚴密的病毒監(jiān)視體系（6）在內(nèi)部網(wǎng)絡(luò)出口進行訪問控制8.3加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)。對稱加密算法（私鑰密碼體系）非對稱加密算法（公鑰密碼體系）一般的數(shù)據(jù)加密模型

E加密算法D解密算法加密密鑰K解密密鑰K明文X明文X密文Y=EK(X)截取者截獲篡改密鑰源安全信道一些重要概念

密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計學(xué)密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。一些重要概念如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。8.3.1

對稱密鑰系統(tǒng)對稱密鑰系統(tǒng)，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為常規(guī)密鑰密碼體制。我們先介紹在常規(guī)密鑰密碼體制中的兩種最基本的密碼。

替代密碼替代密碼(substitutioncipher)的原理可用一個例子來說明。（密鑰是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c變成了密文F替代密碼(substitutioncipher)的原理可用一個例子來說明。（密鑰是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文a變成了密文D替代密碼(substitutioncipher)的原理可用一個例子來說明。（密鑰是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文e變成了密文HCIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個字母中的先后順序，我們可以得出密鑰中的每一個字母的相對先后順序。因為密鑰中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序為145326。CIPHER145326attackbeginsatfour密文的得出密鑰順序明文先讀順序為1的明文列，即aba

CIPHER145326attackbeginsatfour密鑰順序明文再讀順序為2的明文列，即cnu

CIPHER145326attackbeginsatfour密鑰順序明文再讀順序為3的明文列，即aio

CIPHER145326attackbeginsatfour密鑰順序明文再讀順序為4的明文列，即tet

CIPHER145326attackbeginsatfour密鑰順序明文再讀順序為5的明文列，即tgf

CIPHER145326attackbeginsatfour密鑰順序明文最后讀順序為6的明文列，即ksr

因此密文就是：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文先寫下第1列密文aba

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文再寫下第2列密文cnu

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文再寫下第3列密文aio

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文再寫下第4列密文tet

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文再寫下第5列密文tgf

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文最后寫下第6列密文ksr

收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour接收端從密文解出明文密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

得出明文：attackbeginsatfour

9.3.2公開密鑰密碼體制

公開密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計算上是不可行的”密碼體制。

9.3.2公開密鑰密碼體制

公開密鑰密碼體制的產(chǎn)生主要是因為兩個方面的原因:一.是由于常規(guī)密鑰密碼體制的密鑰分配問題二.是由于對數(shù)字簽名的需求9.3.2公開密鑰密碼體制

現(xiàn)有三種公開密鑰密碼體制，其中最著名的是RSA體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家Rivest,Shamir和Adleman于1976年提出并在1978年正式發(fā)表的。加密密鑰與解密密鑰

在公開密鑰密碼體制中，加密密鑰(即公開密鑰)PK是公開信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法E和解密算法D也都是公開的。雖然秘密密鑰SK是由公開密鑰PK決定的，但卻不能根據(jù)PK計算出SK。公開密鑰密碼體制

接收者發(fā)送者E加密算法D解密算法加密密鑰PK解密密鑰SK明文X密文Y=EPK(X)密鑰對產(chǎn)生源明文X=DSK(EPK(X))RSA算法舉例

明文1919==20807公開密鑰={5,119}加密52476099119及余數(shù)

66密文6666==1.0610秘密密鑰={77,119}解密771.27...10119及余數(shù)

19

明文191401389.3.3數(shù)字簽名數(shù)字簽名必須保證以下三點：(1)接收者能夠核實發(fā)送者對報文的簽名；(2)發(fā)送者事后不能抵賴對報文的簽名；(3)接收者不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公開密鑰算法要比采用常規(guī)密鑰算法更容易實現(xiàn)。數(shù)字簽