《网络安全介绍ppt课件》由会员分享,可在线阅读,更多相关《网络安全介绍ppt课件(71页珍藏版)》请在金锄头文库上搜索。
1、内容提纲我国网络现状我国网络现状一一网络攻击方法及原理网络攻击方法及原理二二网络安全防御技术网络安全防御技术三三未来的展望未来的展望四四一、我国网络现状一、我国网络现状1 1、上网人数激增、上网人数激增中国网民人数增长情况中国网民人数增长情况2 2、网络安全事件频发、网络安全事件频发3 3、攻击手段多样、攻击手段多样二、网络攻击方法及原理二、网络攻击方法及原理1 1、黑客简史、黑客简史(1 1)影视中的黑客)影视中的黑客黑客帝国黑客帝国浪浪漫漫主主义义的的黑黑客客电电影影浪浪漫漫主主义义的的黑黑客客电电影影箭鱼行动箭鱼行动写写实实主主义义的的黑黑客客电电影影虎胆龙威虎胆龙威4 4恐恐怖怖主主义
2、义的的黑黑客客电电影影黑客悲情黑客悲情中中国国特特色色黑黑客客电电影影(2 2)黑客起源的背景)黑客起源的背景v起源地:起源地:美国美国v精神支柱:精神支柱:对技术的渴求对技术的渴求对自由的渴求对自由的渴求v历史背景:历史背景:越战与反战活动越战与反战活动马丁马丁路德金与自由路德金与自由嬉皮士与非主流文化嬉皮士与非主流文化电话飞客与计算机革命电话飞客与计算机革命(3 3)著名黑客)著名黑客v罗伯特罗伯特 莫里斯莫里斯19881988年,莫里斯蠕虫年,莫里斯蠕虫病毒震撼了整个世界。由病毒震撼了整个世界。由原本寂寂无名的大学生罗原本寂寂无名的大学生罗伯特伯特莫里斯制造的这个莫里斯制造的这个蠕虫病毒
3、入侵了大约蠕虫病毒入侵了大约60006000个大学和军事机构的计算个大学和军事机构的计算机,使之瘫痪。此后,从机,使之瘫痪。此后,从CIHCIH到美丽杀病毒,从尼姆到美丽杀病毒,从尼姆达到红色代码,病毒、蠕达到红色代码,病毒、蠕虫的发展愈演愈烈虫的发展愈演愈烈v凯文凯文 米特尼克米特尼克美国20世纪最著名的黑客之一,社会工程学的创始人1979年他和他的伙伴侵入了北美空防指挥部。1983年的电影战争游戏演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战(4 4)中国的)中国的“黑客文化黑客文化”v中国缺乏欧美抚育黑客文化的土壤中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层
4、缺少庞大的中产阶层缺少丰富的技术积累缺少丰富的技术积累v中国的黑客文化的中国的黑客文化的“侠侠”侠之大者,为国为民侠之大者,为国为民侠之小者,除暴安良侠之小者,除暴安良(5 5)中国)中国“黑客黑客”重要历史事件重要历史事件v19981998年印尼事件年印尼事件以八至六人为单位,向印尼政府网站的信箱中以八至六人为单位,向印尼政府网站的信箱中发送垃圾邮件发送垃圾邮件用用Ping的方式攻击印尼网站的方式攻击印尼网站中国黑客最初的团结与坚强的精神,为后来的中国黑客最初的团结与坚强的精神,为后来的中国红客的形成铺垫了基础中国红客的形成铺垫了基础技术性黑客牵头组建了技术性黑客牵头组建了“中国黑客紧急会议
5、中中国黑客紧急会议中心心”负责对印尼网站攻击期间的协调工作负责对印尼网站攻击期间的协调工作 v19991999年南联盟事件年南联盟事件中国黑客袭击了美国能源部、内政部及其所属的美国家公园管理处的网站大规模的攻击致使白宫网站三天失灵 v绿色兵团南北分拆事件绿色兵团南北分拆事件1997年,中国最老牌的黑客组织“绿色兵团”成立,黑客从此有了自己的江湖2000年3月,“绿色兵团”与中联公司合作投资,并在北京招募成员注册了北京中联绿盟信息技术公司同年7月,由于商业问题,北京绿盟与上海绿盟因内部原因合作破裂v中美五一黑客大战事件中美五一黑客大战事件0404年初,四川站开始负责美国年初,四川站开始负责美国I
6、PIP段的收集,扫描段的收集,扫描NTNT主机与主机与UNIXUNIX主机,并主机,并启动的四十多台跳板主机全速扫描一些美国启动的四十多台跳板主机全速扫描一些美国IPIP段的网站。段的网站。使用一些常见的系统漏洞,在三个小时之内入侵了五个网站,其中三个使用一些常见的系统漏洞,在三个小时之内入侵了五个网站,其中三个被更换了页面,另外两个作了跳板被更换了页面,另外两个作了跳板5 5月月1 1日,中国鹰派日,中国鹰派“五月之鹰五月之鹰行动指挥中心行动指挥中心”正式成立正式成立 晚晚1111时,山东站成员扫描出时,山东站成员扫描出IPIP段的美国主机漏洞,然后,上传木马和被段的美国主机漏洞,然后,上传
7、木马和被黑页面。几小时后,这些主机黑页面。几小时后,这些主机“都见上帝去了都见上帝去了”美黑客以嚣张的气焰攻击国内的网站。至美黑客以嚣张的气焰攻击国内的网站。至5 5月月3 3日,国内已有日,国内已有400400多个网站多个网站沦陷。入侵者破坏手段已不是停留在修改页面上,而是删除重要数据,沦陷。入侵者破坏手段已不是停留在修改页面上,而是删除重要数据,使服务器彻底瘫痪使服务器彻底瘫痪使用飘叶邮件炸弹及使用飘叶邮件炸弹及PINGPING不断地向白宫等重点网站发数据包,使美国黑不断地向白宫等重点网站发数据包,使美国黑客陷入了客陷入了“人民战争的汪洋大海人民战争的汪洋大海”中去中去5 5月月8 8日,
8、红客联盟和中国鹰派共同宣布停止对美攻击,四川站也停火日,红客联盟和中国鹰派共同宣布停止对美攻击,四川站也停火直至直至5 5月月8 8日战斗结束,美国共有日战斗结束,美国共有16001600多个网站遭到了不同程度的破坏,多个网站遭到了不同程度的破坏,包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、白宫包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、白宫历史协会、历史协会、UPIUPI新闻服务网、华盛顿海军通信站等。新闻服务网、华盛顿海军通信站等。 连安全性很强的美连安全性很强的美国白宫网站,都被国白宫网站,都被DDOS(DDOS(分布式拒绝服务分布式拒绝服务) )被迫关闭了被
9、迫关闭了2 2小时小时(6 6)黑客的分类)黑客的分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机计算机 为人民服务为人民服务漏洞发现 - Flashsky软件破解 - 0 Day工具提供 - Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好,没有最好, 只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己,人不为己, 天诛地灭天诛地灭入侵者-K.米特尼克CIH - 陈盈豪攻击Yahoo者 -匿名恶恶渴求自由渴求自由(7 7)所谓黑客语言)所谓
10、黑客语言H4x3r 14n9u493 i5 4 diff3r3n7 14n9u493 fr0m 3n91i5h.w3 c4n find 7hi5 14n9u493 in h4x3r5 885, IRC 0r 07h3r Ch477in9 p14c3.v常见替换常见替换A=4B=8E=3G=9l=1O=0S=5t=7Z=2v常见缩写常见缩写CK=xYou=uAre=rSee=cAnd=n/&Not=!2 2、攻击阶段划分和思路及操作、攻击阶段划分和思路及操作预攻击内容:内容:获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的:目的:收集信息,进行进一步攻击决策攻击
11、内容:内容:获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的:目的:进行攻击,获得系统的一定权限后攻击内容:内容:删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的:目的:消除痕迹,长期维持一定的权限2 2、常见攻击及原理、常见攻击及原理(1 1)端口扫描)端口扫描扫描原理扫描原理 扫描程序是自动检扫描程序是自动检测远端主机或者本地主测远端主机或者本地主机安全脆弱性的程序。机安全脆弱性的程序。扫描的一般步骤扫描的一般步骤获取主机名与获取主机名与IP IP 地址:使用地址:使用whoiswhois与与nslookupnslookup等工具等工具 获得操作系统类型
12、信息:最快方法是试图获得操作系统类型信息:最快方法是试图telnettelnet该系统该系统 FTP FTP 信息:攻击者将测试是否开放信息:攻击者将测试是否开放FTP FTP 服务,匿名服务,匿名FTP FTP 是否可用,若可用,则试图发掘更多的潜在问题是否可用,若可用,则试图发掘更多的潜在问题TCP/UDPTCP/UDP扫描:对于扫描:对于TCPTCP,telnettelnet可以用来试图与某一特可以用来试图与某一特定端口连接,这也是手工扫描的基本方法。从中再分析定端口连接,这也是手工扫描的基本方法。从中再分析系统是否开放了系统是否开放了rpcrpc 服务、服务、fingerfinger、
13、rusersrusers 和和rwhorwho等比等比较危险的服务较危险的服务扫描程序收集的目标主机的信息扫描程序收集的目标主机的信息当前主机正在进行什么服务?当前主机正在进行什么服务?哪些用户拥有这些服务?哪些用户拥有这些服务?是否支持匿名登录?是否支持匿名登录?是否有某些网络服务需要鉴别?是否有某些网络服务需要鉴别?常用扫描软件常用扫描软件Nmap (Nmap (http:/http:/www.nmap.orgwww.nmap.org) )SuperscanSuperscan ( (http:/http:/) )SlSl ( (http:/http:/) )v口令攻击程序有很多,用于攻击口
14、令攻击程序有很多,用于攻击UNIXUNIX平台的有平台的有CrackCrack、CrackerJackCrackerJack、PaceCrack95PaceCrack95、QcrackQcrack、John the RipperJohn the Ripper、HadesHades等等;用于攻击等等;用于攻击Windows Windows 平台的有平台的有10phtCrack2.010phtCrack2.0、ScanNTScanNT、NTCrackNTCrack、PasswdPasswd NT NT等等等。等。v口令防御:用户登录失败的次数;特殊字符的口令防御:用户登录失败的次数;特殊字符的8
15、8字节以上的长口令,字节以上的长口令,并且要定期更换口令;要保证口令文件的存储安全。并且要定期更换口令;要保证口令文件的存储安全。v口令分析方法口令分析方法穷举法穷举法分析破译法:数学归纳分析或统计分析破译法:数学归纳分析或统计v密码破解密码破解John (http:/ Crack5 (http:/)Word 密码破解密码破解AdvancedOfficeXPPasswordRecovery(2 2)获取口令)获取口令(3 3)放置特洛伊木马程序)放置特洛伊木马程序v特洛伊木马源自于希腊神话,在网络安全领域专指一种黑特洛伊木马源自于希腊神话,在网络安全领域专指一种黑客程序,它可以直接侵入用户的电
16、脑并进行破坏客程序,它可以直接侵入用户的电脑并进行破坏v它一般包括两个部分,控制端软件和被控端软件。被控端它一般包括两个部分,控制端软件和被控端软件。被控端软件常被伪装成工具程序或者游戏等,诱使用户打开带有软件常被伪装成工具程序或者游戏等,诱使用户打开带有该软件的邮件附件或从网上直接下载。一旦用户打开了这该软件的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在目标些邮件的附件或者执行了这些程序之后,它们就会在目标计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接到因特网上时,这个程序可以通知
17、攻击者,报当用户连接到因特网上时,这个程序可以通知攻击者,报告用户的告用户的IPIP地址以及预先设定的端口。攻击者在收到这些地址以及预先设定的端口。攻击者在收到这些信息后,再利用事先潜伏在其中的程序,任意地修改用户信息后,再利用事先潜伏在其中的程序,任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户的计算机的目的。内容等,从而达到控制用户的计算机的目的。v冰河冰河vWollfWollf () )vwinshellwinshell(4 4)网络钓鱼)网络钓鱼v网络钓鱼网络钓鱼( (PhishingPhishi
18、ng) ) “FishingFishing”和和“PhonePhone”的综合词,它利用的综合词,它利用欺骗性的欺骗性的E-mailE-mail和伪造的和伪造的WebWeb站点来进行诈骗活动,站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等户名和口令等v实例实例 一恶意网站一恶意网站,伪装成中国,伪装成中国工商银行主页工商银行主页QQ欺骗欺骗v原理原理 由大量能够实现恶意功能的由大量能够实现恶意功能的BotBot(主机感染(主机感染botbot程序,僵尸程序)程序,僵尸程序) 、Command & Control Comman
19、d & Control ServerServer和控制者组成,能够受攻击者控制的网络。和控制者组成,能够受攻击者控制的网络。攻击者在公开或秘密的攻击者在公开或秘密的IRCIRC服务器上开辟私有的聊服务器上开辟私有的聊天频道作为控制频道,僵尸程序中预先已经设定天频道作为控制频道,僵尸程序中预先已经设定好这些信息,当僵尸计算机运行时,僵尸程序就好这些信息,当僵尸计算机运行时,僵尸程序就自动搜索并连接到这些控制频道,接收频道中的自动搜索并连接到这些控制频道,接收频道中的所有信息,这样就构成了一个所有信息,这样就构成了一个IRCIRC协议的僵尸网络。协议的僵尸网络。攻击者通过攻击者通过IRCIRC服务
20、器,向整个僵尸网络内的受控服务器,向整个僵尸网络内的受控节点发送控制命令,操纵这些节点发送控制命令,操纵这些“僵尸僵尸”进行破坏进行破坏或者窃取行为。或者窃取行为。 (5 5)僵尸网络)僵尸网络(6 6)DDoSDDoS攻击攻击v分布式拒绝服务分布式拒绝服务(DDoS)(DDoS)攻击是攻击是DoSDoS 攻击的演进。攻击的演进。它的主要特征是利用可能广泛分布于不同网络中它的主要特征是利用可能广泛分布于不同网络中的多台主机针对一台目标主机进行有组织的的多台主机针对一台目标主机进行有组织的DoSDoS 攻击。多个攻击源的分布式特性使得攻击。多个攻击源的分布式特性使得DDoSDDoS攻击较攻击较传
21、统的传统的DoSDoS 攻击有着更强的破坏性攻击有着更强的破坏性v通常情况下,攻击者通过多级跳板登录到一个或通常情况下,攻击者通过多级跳板登录到一个或多个主控端多个主控端( (即客户机即客户机) ),主控端以多对多的形式,主控端以多对多的形式控制了大量的傀儡主机(即服务器)。攻击者通控制了大量的傀儡主机(即服务器)。攻击者通过主控端主机,控制傀儡机。傀儡机上运行的服过主控端主机,控制傀儡机。傀儡机上运行的服务器程序接收来自主控端的指令并向受害主机发务器程序接收来自主控端的指令并向受害主机发动攻击动攻击vDDoS DDoS 攻击工具攻击工具TrinooTrinoo:较早期的:较早期的DDoSDD
22、oS攻击工具,向受害主机随机端口发送大攻击工具,向受害主机随机端口发送大量全零量全零4 4字节长度的字节长度的UDPUDP包,处理这些垃圾数据包的过程中,受包,处理这些垃圾数据包的过程中,受害主机的网络性能不断下降,直至发生拒绝服务,乃至崩溃。害主机的网络性能不断下降,直至发生拒绝服务,乃至崩溃。TrinooTrinoo 并不伪造源并不伪造源IP IP 地址,不使用主控端地址,不使用主控端TFNTFN:由主控端和傀儡机两部分组成,主要攻击方式有:由主控端和傀儡机两部分组成,主要攻击方式有:TCP TCP SYN SYN 洪泛攻击、洪泛攻击、ICMP ICMP 洪泛攻击、洪泛攻击、UDP UDP
23、 攻击和类攻击和类Smurf Smurf 型的攻击,型的攻击,能够伪造源地址。能够伪造源地址。TFN2KTFN2K:是由:是由TFN TFN 发展而来的,新增了一些特性,它的主控端和发展而来的,新增了一些特性,它的主控端和傀儡机的通信是经过加密的傀儡机的通信是经过加密的StacheldrahtStacheldraht:也是从:也是从TFN TFN 派生出来的,增加了主控端与傀儡派生出来的,增加了主控端与傀儡机的加密通信能力。可以防范一些基于路由器的过滤机制,且机的加密通信能力。可以防范一些基于路由器的过滤机制,且存在内嵌傀儡机升级模块存在内嵌傀儡机升级模块Smurf Smurf 型攻击:是一类
24、攻击形式的总称,一般使用了型攻击:是一类攻击形式的总称,一般使用了ping ping 请求请求数据包来进行,傀儡机在对受害主机发动攻击时,将攻击数据数据包来进行,傀儡机在对受害主机发动攻击时,将攻击数据包的源地址伪装成受害主机的包的源地址伪装成受害主机的IP IP 地址,每台主机会对收到的源地址,每台主机会对收到的源地址为受害者地址为受害者IP IP 的的ping ping 请求进行应答,从而形成攻击数据流请求进行应答,从而形成攻击数据流v常用攻击方法常用攻击方法n网络层网络层SYN FloodSYN FloodICMP FloodICMP FloodUDP FloodUDP FloodPin
25、g of DeathPing of Deathn应用层应用层垃圾邮件垃圾邮件CGICGI资源耗尽资源耗尽针对操作系统针对操作系统 winnukewinnukev解剖解剖SYN FloodSYN FloodSYN (我可以连接吗?)我可以连接吗?)ACK (可以)可以)/SYN(请确认!)请确认!)攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connection这么多这么多需要处需要处理?理?不能建立正常的连接不能建立正常
26、的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect(7 7)中间人攻击)中间人攻击v当当攻攻击击者者位位于于一一个个可可以以观观察察或或截截获获两两个个机机器器之之间间的的通通信信的的位位置置时时,就就可可以以认认为为攻攻击击者者处处于于中中间间人人方方式式。因因为为很很多多时时候候主主机机之之间间以以明明文文方方式式传传输输有有价价值值的的信信息息,因因此此攻攻击击者者可可以以很很容容易易地地攻攻入入其其他他机机器器。对对于于某某些些公公钥钥加加密密的的实实现现,攻攻击击者者可可
27、以以截截获获并并取取代代密密钥钥,伪装成网络上的两个节点来绕过这种限制。伪装成网络上的两个节点来绕过这种限制。主机主机主机主机通信通信窃听或篡改窃听或篡改(8 8)漏洞扫描工具)漏洞扫描工具vNessusvX-Scan(9 9)病毒)病毒v引导区病毒引导区病毒v文件病毒文件病毒v硬件病毒硬件病毒v蠕虫蠕虫v实例实例武汉男孩武汉男孩步行者步行者(1010)嗅探)嗅探vEthereal(http:/)vWindump(http:/windump.polito.it/)vXsniff(http:/)(1111)ArpArp欺骗欺骗vXspoof(1212)其它攻击技术)其它攻击技术v电子邮件攻击电子
28、邮件攻击 v网络监听网络监听v缓冲区溢出缓冲区溢出三、网络安全防御技术三、网络安全防御技术1 1、防火墙技术、防火墙技术 (1)(1)网络防火墙是借鉴了真正用于防火的防火墙的喻网络防火墙是借鉴了真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网一道防御系统。防火墙可以使企业内部局域网(LANLAN)网络与)网络与InternetInternet之间或者与其他外部网络之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性
29、的侵入。止发生不可预测的、潜在破坏性的侵入。(2) 防火墙具有的基本特性防火墙具有的基本特性 v内部网络和外部网络之间的所有网络数据流都必内部网络和外部网络之间的所有网络数据流都必须经过防火墙须经过防火墙v只有符合安全策略的数据流才能通过防火墙只有符合安全策略的数据流才能通过防火墙v防火墙自身应具有非常强的抗攻击能力防火墙自身应具有非常强的抗攻击能力(3 3)防火墙)防火墙结构结构v双宿主机防火墙双宿主机防火墙InternetInner networkTerminalWorkstationServerDual-homed host(gateway)Firewallv屏蔽主机防火墙(主机过滤结构
30、屏蔽主机防火墙(主机过滤结构)Inner networkTerminalBastion HostServerInternetScreened RouterFirewallv屏蔽子网防火墙屏蔽子网防火墙InternetOuter RouterParameter NetworkInner networkTerminalWorkstationServerBastion HostInner RouterDMZFirewallv使用多堡垒主机使用多堡垒主机InternetOuter RouterParameter networkInner networkTerminalWorkstationServer
31、FTP BastionInner RouterDMZFirewallWWW Bastion2 2 入侵检测系统入侵检测系统(1 1)定义)定义v入侵入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用计算机的合法用户,危害或试图危害资源的完整性、保密性、可用性的行为。v入侵检测入侵检测(IntrusionDetection,ID)是通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。v入侵检测系统入侵检测系统(IntrusionDetectionSystem,IDS)是实现入侵检测功能的硬件与软件
32、。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。入侵检测系统是网络安全的第二道防线。v入侵检测系统入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。(2 2)功能)功能v保护保护 ( (入侵的防范入侵的防范) )指保护硬件、软件、数据抵御各种攻击的技术。v检测检测 ( (入侵的检测入侵的检测) )研究如何高效正确地检测网络攻击v响应响应 ( (入侵的响应入侵的响应) )是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等v容忍容忍指当一个网络系统遭受非法入侵后,
33、其中的防护安全技术都失效或者不能完全排除入侵所造成的影响时,既是系统的某些组件遭受攻击者的破坏,但容侵系统能自我诊断、恢复和重构,并能为合法用户提供所需的全部或者降级的服务(3 3)入侵检测系统结构)入侵检测系统结构CIDF (Common CIDF (Common Intrusion Intrusion Detection Detection Framework)Framework)定定义了通用的义了通用的IDSIDS系统结构,它系统结构,它将入侵检测系将入侵检测系统分为四个功统分为四个功能模块,如图能模块,如图所示所示. .Target systemTarget systemEventEv
34、entgeneratergeneraterAnalysisAnalysisengineengineResponseResponseunitunitEventEventdatabasedatabase(4 4)拓扑)拓扑 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent(5 5)常用入侵检测方法)常用入侵检测方法v贝叶斯推理贝叶斯推理v神经网络神经网络v聚类分析聚类分析v数据挖掘数据挖掘v机器学习机器学习(6 6)
35、入侵检测系统实例)入侵检测系统实例vBlackICEvSnortvRealSecurev冰之眼冰之眼3 3、密码学、密码学(1)定义)定义 研究编码和解码的学科(2) 常规密码通信系统框图常规密码通信系统框图(3 3)经典密码系统)经典密码系统nDESDES加解密步骤相同性能良好雪崩效应弱密钥nRSARSARSA129 94年RSA130 96年RSA154(512):每秒百万,4.21025年nAES 未来弹性(整数分解、一般离散对数(ax mod bc)、椭圆曲线离散对数)4 4网络安全态势感知网络安全态势感知(1 1)信息获取)信息获取(2 2)威胁感知)威胁感知(3 3)态势预测)态势
36、预测 5 5 病毒检测技术病毒检测技术(1 1)CVCV的检测方法的检测方法比较法比较法搜索法搜索法特征字识别特征字识别分析法分析法(2 2)常用)常用CVCV检测软件检测软件v病毒扫描软件v完整性检查软件v行为封锁软件(3 3)商用防病毒软件)商用防病毒软件v国外国外NortonMcafeeTrendKasperskyv国内国内360瑞星金山江民6 6 密罐技术密罐技术HONEYPOTHONEYPOT 密罐技术就是建立一个虚假的网络,密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。保护真正网络的目的。7 7 蜜网技术
37、蜜网技术v实质上是一种研究型、高交互型的蜜罐技术实质上是一种研究型、高交互型的蜜罐技术v体系框架体系框架v包括一个或多个蜜罐包括一个或多个蜜罐v多层次的数据控制机制高度可控多层次的数据控制机制高度可控v全面的数据捕获机制全面的数据捕获机制v辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析四、未来的展望四、未来的展望1 1、多源数据整合、多源数据整合2 2、攻击行为建模(黑客、网络)、攻击行为建模(黑客、网络)3 3、多攻击阶段关联、多攻击阶段关联4 4、攻击行为预测、攻击行为预测5 5、网络安全态势感知、网络安全态势感知 6 6、网络安全系统自认知能力、网络安全系统自认知能力
