《第10章网络安全技术课件》由会员分享,可在线阅读,更多相关《第10章网络安全技术课件(49页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络安全技术 本章要点:本章要点:10.110.1基本概念基本概念10.210.2数据备份数据备份10.310.3加密技术加密技术10.410.4防火墙防火墙10.510.5防病毒防病毒10.610.6入侵检测入侵检测10.1.110.1.1信息安全威胁信息安全威胁 1 1窃听窃听信息在传输过程中被直接或是间接地窃听网络信息在传输过程中被直接或是间接地窃听网络上的特定数据包,通过对其的分析得到所需的重上的特定数据包,通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点,其数据要信息。数据包仍然能够到到目的结点,其数据并没有丢失。并没有丢失。 2 2截获截获信息在传输过程中被非
2、法截获,并且目的结点信息在传输过程中被非法截获,并且目的结点并没有收到该信息,即信息在中途丢失了。并没有收到该信息,即信息在中途丢失了。 10.1 基本概念3 3伪造伪造没有任何信息从源信息结点发出,但攻击者伪没有任何信息从源信息结点发出,但攻击者伪造出信息并冒充源信息结点发出信息,目的结点造出信息并冒充源信息结点发出信息,目的结点将收到这个伪造信息。将收到这个伪造信息。4 4篡改篡改信息在传输过程中被截获,攻击者修改其截获信息在传输过程中被截获,攻击者修改其截获的特定数据包,从而破坏了数据的数据的完整性,的特定数据包,从而破坏了数据的数据的完整性,然后再将篡改后的数据包发送到目的结点。在目然
3、后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来,数据似乎是完整没有丢失的结点的接收者看来,数据似乎是完整没有丢失的,但其实已经被恶意篡改过。的,但其实已经被恶意篡改过。 重点提示:重点提示:重点提示:重点提示:网络安全是指利用各种网络监控网络安全是指利用各种网络监控和管理技术,对网络系统的硬、软件和系统中的和管理技术,对网络系统的硬、软件和系统中的数据资源进行保护,从而保证网络系统连续、安数据资源进行保护,从而保证网络系统连续、安全且可靠的运行。网络中存在的信息安全威胁有全且可靠的运行。网络中存在的信息安全威胁有窃听、截获、伪造和篡改。窃听、截获、伪造和篡改。图10-1 信息安全威
4、胁 10.1.2 网络攻击 1 1服务攻击服务攻击服务攻击即指对网络中的某些服务器进行攻击,服务攻击即指对网络中的某些服务器进行攻击,使其使其“ “拒绝服务拒绝服务” ”而造成网络无法正常工作。而造成网络无法正常工作。 2 2非服务攻击非服务攻击利用协议或操作系统实现协议时的漏洞来达到利用协议或操作系统实现协议时的漏洞来达到攻击的目的,它不针对于某具体的应用服务,因攻击的目的,它不针对于某具体的应用服务,因此非服务攻击是一种更有效的攻击手段。此非服务攻击是一种更有效的攻击手段。 10.1.3 网络安全的基本要素 (1 1)机密性)机密性(2 2)完整性)完整性(3 3)可用性)可用性(4 4)
5、可鉴别性)可鉴别性(5 5)不可抵赖性)不可抵赖性10.1.4 计算机系统安全等级1 1DD类类DD类的安全级别最低,保护措施最少且没有安类的安全级别最低,保护措施最少且没有安全功能。全功能。2 2C C类类CC类是自定义保护级,该级的安全特点是系统类是自定义保护级,该级的安全特点是系统的对象可自主定义访问权限。的对象可自主定义访问权限。C C类分为两个级别:类分为两个级别:C1C1级与级与C2C2级。级。 (1 1)C1C1级级C1C1级是自主安全保护级,它能够实现用户与级是自主安全保护级,它能够实现用户与数据的分离。数据的保护是以用户组为单位的,数据的分离。数据的保护是以用户组为单位的,并
6、实现对数据进行自主存取控实现制。并实现对数据进行自主存取控实现制。 (2 2)C2C2级级C2C2级是受控访问级,该级可以通过登录规程、级是受控访问级,该级可以通过登录规程、审计安全性相关事件来隔离资源。审计安全性相关事件来隔离资源。3 3B B类类BB类是强制式安全保护类,它的特点在于由系类是强制式安全保护类,它的特点在于由系统强制实现安全保护,因此用户不能分配权限,统强制实现安全保护,因此用户不能分配权限,只能通过管理员对用户进行权限的分配。只能通过管理员对用户进行权限的分配。 (1 1)B1B1级级B1B1级是标记安全保护级。该级对系统数据进级是标记安全保护级。该级对系统数据进行标记,并
7、对标记的主客体实行强制存取控制。行标记,并对标记的主客体实行强制存取控制。 (2 2)B2B2级级B2B2级是结构化安全保护级。该级建立形式化级是结构化安全保护级。该级建立形式化的安全策略模型,同时对系统内的所有主体和客的安全策略模型,同时对系统内的所有主体和客体,都实现强制访问和自主访问控制。体,都实现强制访问和自主访问控制。 (3 3)B3B3级级B3B3级是安全级,它能够实现访问监控器的要级是安全级,它能够实现访问监控器的要求,访问监控器是指监控器的主体和客体之间授求,访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持安全管理员职能、权访问关系的部件。该级还支持安全管理员
8、职能、扩充审计机制、当发生与安全相关的事件时将发扩充审计机制、当发生与安全相关的事件时将发出信号、同时可以提供系统恢复过程。出信号、同时可以提供系统恢复过程。4 4A A类类AA类是可验证的保护级。它只有一个等级即类是可验证的保护级。它只有一个等级即A1A1级。级。A1A1级的功能与级的功能与B3B3几乎是相同的,但是几乎是相同的,但是A1A1级级的特点在于它的系统拥有正式的分析和数学方法,的特点在于它的系统拥有正式的分析和数学方法,它可以完全证明一个系统的安全策略和安全规格它可以完全证明一个系统的安全策略和安全规格的完整性与一致性。同时,的完整性与一致性。同时,A1A1级还规定了将完全级还规
9、定了将完全计算机系统运送到现场安装所遵守的程序。计算机系统运送到现场安装所遵守的程序。10.1.4 网络安全模型1 1基本模型基本模型在网络信息传输中,为了保证信息传输的安全在网络信息传输中,为了保证信息传输的安全性,一般需要一个值得信任的第三方,负责向源性,一般需要一个值得信任的第三方,负责向源结点和目的结点进行秘密信息分发,同时在双方结点和目的结点进行秘密信息分发,同时在双方发生争执时,也要起到仲裁的作用。在基本的安发生争执时,也要起到仲裁的作用。在基本的安全模型中,通信的双方在进行信息传输前,先建全模型中,通信的双方在进行信息传输前,先建立起一条逻辑通道,并提供安全的机制和服务,立起一条
10、逻辑通道,并提供安全的机制和服务,来实现在开放网络环境中信息的安全传输。来实现在开放网络环境中信息的安全传输。 (1 1)从源结点发出的信息,使用如信息加密等加)从源结点发出的信息,使用如信息加密等加密技术对其进行安全的转,从而实现该信息的保密技术对其进行安全的转,从而实现该信息的保密性,同时也可以在该信息中附加一些特征的信密性,同时也可以在该信息中附加一些特征的信息,作为源结点的身份验证。息,作为源结点的身份验证。 (2 2)源结点与目的结点应该共享如加密密钥这)源结点与目的结点应该共享如加密密钥这样的保密信息,这些信息除了发送双方和可信任样的保密信息,这些信息除了发送双方和可信任的第三方以
11、外,对其他用户都是保密的。的第三方以外,对其他用户都是保密的。图图10-210-2网络安全基本模型网络安全基本模型2 2P2DRP2DR模型模型 (1 1)安全策略()安全策略(PolicyPolicy)安全策略是模型中的防护、检测和响应等部分安全策略是模型中的防护、检测和响应等部分实施的依据,一个安全策略体系的建立包括策略实施的依据,一个安全策略体系的建立包括策略的制定、评估与执行。的制定、评估与执行。 (2 2)防护()防护(ProtectionProtection)防护技术包括:防火墙、操作系统身份认证、防护技术包括:防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网技术和数
12、据加密、访问控制、授权、虚拟专用网技术和数据备份等,它对系统可能出现的安全问题采取数据备份等,它对系统可能出现的安全问题采取预防措施。预防措施。 (3 3)检测()检测(DetectionDetection)检测功能使用漏洞评估、入侵检测等系统检测检测功能使用漏洞评估、入侵检测等系统检测技术,当攻击者穿透防护系统时,发挥功用。技术,当攻击者穿透防护系统时,发挥功用。 (4)响应(Response) 响应包括紧急响应和恢复处理,而恢复又包括系统恢复和信息恢复,响应系统在检测出入侵时,开始事件处理的工作。 图10-3 P2DR模型 重点提示:重点提示:重点提示:重点提示: 网络安全的基本要素包括:
13、保网络安全的基本要素包括:保密性、完整性、可用性、可鉴别性和不可抵赖性。密性、完整性、可用性、可鉴别性和不可抵赖性。美国国防部和国家标准局将计算机系统安全等级美国国防部和国家标准局将计算机系统安全等级分为分为A A、B B、C C、DD这这4 4类,共有类,共有7 7级。网络基本安级。网络基本安全模型要求通信的双方在进行信息传输前,先建全模型要求通信的双方在进行信息传输前,先建立起一条逻辑通道,并提供安全的机制和服务并立起一条逻辑通道,并提供安全的机制和服务并且有一个可供信任的第三方进行扮演仲裁者和秘且有一个可供信任的第三方进行扮演仲裁者和秘密信息发布者的角色。密信息发布者的角色。10.2 数
14、据备份10.2.110.2.1数据备份模型数据备份模型11物理备份物理备份物理备份是将磁盘块的数据从拷贝到备份介质物理备份是将磁盘块的数据从拷贝到备份介质上的备份过程,它忽略了文件和结构,它也被称上的备份过程,它忽略了文件和结构,它也被称为为“ “基于块的备份基于块的备份” ”和和“ “基于设备的备份基于设备的备份” ”。 22逻辑备份逻辑备份 逻逻辑辑备备份份顺顺序序地地读读取取每每个个文文件件的的物物理理块块,并并连连续续地地将将文文件件写写在在备备份份介介质质上上,实实现现每每个个文文件件的的恢恢复复,因因此此,逻逻辑辑备备份份也也被被称称为为“ “基基于于文文件件的的备备份份” ”。1
15、0.2.2 冷备份与热备分1 1冷备份冷备份冷备份是指冷备份是指“ “不在线不在线” ”的备份,当进行冷备份的备份,当进行冷备份操作时,将不允许来自用户与应用对数据的更新。操作时,将不允许来自用户与应用对数据的更新。 2 2热备份热备份热备份是指热备份是指“ “在线在线” ”的备份,即下载备份的数的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务一个非工作的分区或是另一个非实时处理的业务系统中存放。系统中存放。 重点提示:重点提示:重点提示:重点提示:数据备份是为了尽可能快地全盘数据备份是为了尽可
16、能快地全盘恢复运行计算机系统所需的数据和系统信息。数恢复运行计算机系统所需的数据和系统信息。数据备份模型分为:物理备份和逻辑备份。据备份模型分为:物理备份和逻辑备份。10.2.3 数据备分的设备1 1磁盘阵列磁盘阵列 2 2磁带机磁带机3 3磁带库磁带库4 4光盘塔光盘塔5 5光盘库光盘库6 6光盘镜像服务器光盘镜像服务器10.2.4 数据备份的策略1 1完全备份完全备份完全备份即是将用户指定的数据甚至是整个系完全备份即是将用户指定的数据甚至是整个系统的数据进行完全的备份。统的数据进行完全的备份。2 2增量备份增量备份增量备份是针对完全备份,在进行增量备份,增量备份是针对完全备份,在进行增量备
17、份,只有那些在上次完全或者增量备份后被修改了的只有那些在上次完全或者增量备份后被修改了的文件才会被备份。文件才会被备份。3 3差异备份差异备份差异备份是将最近一次完全备份后产生的所有差异备份是将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为及到的备份文件数量限制为22个。个。 表表10-1 10-1 三种备份策略的比较三种备份策略的比较 空间使用备份速度恢复速度完全备份最多最慢最快增量备份最少最快最慢差异备份少于完全备份快于完全备份快于增量备份 重点提示:重点提示:数据备份的策略是用来解决何时备份、备份何
18、种数据以及用何种方式恢复故障的问题。它可以分为:完全备份、增量备份和差异备份。其中完全备份使用的空间最多,备份速度最慢,恢复程度最快;增量备份使用空间最小,备份速度最快,恢复速率最慢;差异备份摒除了前两种备份方式的缺点,吸收了它们的优点。10.3 加密技术10.3.110.3.1加密与解密加密与解密1 1基本流程基本流程AA发送消息发送消息“ “Passwordiswelcome”Passwordiswelcome”这样的报这样的报文给文给B B,但不希望有第三个人知道这个报文的内,但不希望有第三个人知道这个报文的内容,因此他使用一定的加密算法,将该报文转换容,因此他使用一定的加密算法,将该报
19、文转换为别人无法识别的密文,这个密文即使在传输的为别人无法识别的密文,这个密文即使在传输的过程中被截获,一般人也无法解密。当过程中被截获,一般人也无法解密。当B B收到该收到该密文后,使用共同协商的解密算法与密钥,则将密文后,使用共同协商的解密算法与密钥,则将该密文转化为原来的报文内容。该密文转化为原来的报文内容。图图10-4 10-4 加密与解密的流程加密与解密的流程密钥位数尝试个数密钥位数尝试个数401125612864表10-2 密钥位数与尝试密钥的个数2密钥 加密与解密的操作过程都是在一组密钥的控下进行的,这个密钥可以作为加密算法中可变参数,它的改变可以改变明文与密文之间的数学函数关系
20、。 10.3.2 对称密钥技术11工作原理工作原理对称密钥技术即是指加密技术的加密密钥与解对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推导出另一个。个可以很容易地推导出另一个。 图图10-510-5对称密钥技术对称密钥技术 2 2常用对称密钥技术常用对称密钥技术常用的对称密钥算法有常用的对称密钥算法有DESDES算法与算法与IDESIDES算法。算法。 (1 1)DESDES算法算法DESDES算法是一种迭代的分组密码,它的输入与算法是一种迭代的分组密码,它的输入与输出都是输出都是6464,包括一个,
21、包括一个5656位的密钥和附加的位的密钥和附加的8 8位位奇偶校验位。奇偶校验位。 (2 2)IDEAIDEA算法算法IDEAIDEA算法的明文与密文都是算法的明文与密文都是6464位的,密钥的位的,密钥的长度为长度为128128位,它是比位,它是比DEADEA算法更有效的算法。算法更有效的算法。10.3.3 非对称密钥技术1 1工作原理工作原理不可能从任何一个密钥推导出另一个密钥。同不可能从任何一个密钥推导出另一个密钥。同时加密密钥为公钥是可以公开的,而解密密钥为时加密密钥为公钥是可以公开的,而解密密钥为私钥是保密的。在此,非对称密钥技术也被称为私钥是保密的。在此,非对称密钥技术也被称为公钥
22、加密加技术。公钥加密加技术。 图图10-610-6非对称密钥技术非对称密钥技术2 2常用非对称密钥技术常用非对称密钥技术常用的非对称密钥算法包括常用的非对称密钥算法包括RSARSA算法、算法、DSADSA算算法、法、PKCSPKCS算法与算法与PGPPGP算法。其中最常见的技术即算法。其中最常见的技术即为为RSARSA算法,它的理论基础是数论中大素数分解,算法,它的理论基础是数论中大素数分解,它的保密性随着密钥的长度的增加而增强。但是,它的保密性随着密钥的长度的增加而增强。但是,现在使用这种算法来加密大量的数据,其实现的现在使用这种算法来加密大量的数据,其实现的速度太慢了,因此该算法现在广泛应
23、用于密钥的速度太慢了,因此该算法现在广泛应用于密钥的分发。分发。重点提示:重点提示:重点提示:重点提示:加密的基本思想即是将明文转变加密的基本思想即是将明文转变为密文,而解密则是将密文转变为明文,这样保为密文,而解密则是将密文转变为明文,这样保证了信息传输的保密性。密钥是加重密算法中的证了信息传输的保密性。密钥是加重密算法中的可变参数,密钥的位数长度决定了加密算法的安可变参数,密钥的位数长度决定了加密算法的安全性。传统的密码体制包括对称密码体制和非对全性。传统的密码体制包括对称密码体制和非对称密码体制。称密码体制。10.4 防火墙10.4.110.4.1防火墙的基本概念防火墙的基本概念 (1
24、1)所有的从外部到内部的通信都必须经过它。)所有的从外部到内部的通信都必须经过它。 (2 2)只有有内部访问策略授权的通信才能被允许)只有有内部访问策略授权的通信才能被允许通过。通过。 (3 3)系统本身具有很强的高可靠性。)系统本身具有很强的高可靠性。图图10-710-7防火墙的安装位置防火墙的安装位置10.4.2 防火墙的基本类型1包过滤路由器 图10-8 包过滤路由器的工作原理2应用网关图10-9 应用网关的工作原理3应用代理图10-10 应用代理的工作原理4 4状态检测状态检测状态检测能通过状态检测技术,动态地维护各状态检测能通过状态检测技术,动态地维护各个连接的协议状态。个连接的协议
25、状态。 重点提示:重点提示:重点提示:重点提示:防火墙在网络之间通过执行控制防火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为:包过滤部分。防火墙根据其实现技术可以分为:包过滤路由器、应用网关、应用代理和状态检测路由器、应用网关、应用代理和状态检测4 4类。类。10.4.3 防火墙的结构 1 1包过滤型结构包过滤型结构包过滤型结构是通过专用的包过滤路由器或是包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络
26、的所有信息进行分析,按型结构对进出内部网络的所有信息进行分析,按照一定的安全策略对这些信息进行分析与限制。照一定的安全策略对这些信息进行分析与限制。 2 2双宿网关结构双宿网关结构连接了两个网络的多宿主机称为双宿主机。多连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机,每个接口宿主机是具有多个网络接口卡的主机,每个接口都可以和一个网络连接,因为它能在不同的网络都可以和一个网络连接,因为它能在不同的网络之间进行数据交换换,因此也称为网关。双宿网之间进行数据交换换,因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙,关结构即是一台装有两块网卡的主机作为防火墙,
27、将外部网络与同部网络实现物理上的隔开。将外部网络与同部网络实现物理上的隔开。图图10-11 10-11 双宿网关结构双宿网关结构3 3屏蔽主机结构屏蔽主机结构屏蔽主机结构将所有的外部主机强制与一个堡屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连,从而不允许它们直接与内部网络的垒主机相连,从而不允许它们直接与内部网络的主机相连,因此屏撇主机结构是由包过滤路由器主机相连,因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。和堡垒主机组成的。 4 4屏蔽子网结构屏蔽子网结构屏蔽子网结构使用了两个屏蔽路由器和两个堡屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中,从外部包过滤由器开始的垒主
28、机。在该系统中,从外部包过滤由器开始的部分是由网络系统所属的单位组建的,属于内部部分是由网络系统所属的单位组建的,属于内部网络,也称为网络,也称为“ “DMZDMZ网络网络” ”。外部包过滤路由器与。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网;内部包外部堡垒主机构成了防火墙的过滤子网;内部包过滤路由器和内部堡垒主机则用于对内部网络进过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。行进一步的保护。 图图10-12 10-12 包过滤路由器的数据包转发过程包过滤路由器的数据包转发过程 图图10-13 10-13 屏蔽子网结构示意图屏蔽子网结构示意图10.4.4 防火墙的安装与配
29、置1 1防火墙的网络接口防火墙的网络接口 (1 1)内网)内网内网一般包括企业的内部网络或是内部网络的内网一般包括企业的内部网络或是内部网络的一部分。一部分。 (2 2)外网)外网外网指的是非企业内部的网络或是外网指的是非企业内部的网络或是InternetInternet,内网与外网之间进行通信,要通过防火墙来实现内网与外网之间进行通信,要通过防火墙来实现访问限制。访问限制。 (3 3)DMZDMZ(非军事化区)(非军事化区)DMZDMZ是一个隔离的网络,可以在这个网络中是一个隔离的网络,可以在这个网络中放置放置WebWeb服务器或是服务器或是E-mailE-mail服务器等,外网的用服务器等
30、,外网的用户可以访问户可以访问DMZDMZ。2 2防火墙的安装与初始配置防火墙的安装与初始配置 给防火墙加电令它启动。给防火墙加电令它启动。 将防火墙的将防火墙的ConsoleConsole口连接到计算机的串口上,口连接到计算机的串口上,并通过并通过WindowsWindows操作系统的超级终端,进入防火操作系统的超级终端,进入防火墙的特权模式。墙的特权模式。 配置配置EthernetEthernet的参数。的参数。 配置内外网卡的配置内外网卡的IPIP地址、指定外部地址范围和要地址、指定外部地址范围和要进行转换的内部地址。进行转换的内部地址。 设置指向内网与外肉的缺省路由。设置指向内网与外肉
31、的缺省路由。 配置静态配置静态IPIP地址映射。地址映射。 设置需要控制的地址、所作用的端口和连接协议设置需要控制的地址、所作用的端口和连接协议等控制选项并设置允许等控制选项并设置允许telnettelnet远程登录防火墙的远程登录防火墙的IPIP地址。地址。保存配置。保存配置。3 3防火墙的访问模式防火墙的访问模式 (1 1)非特权模式)非特权模式 (2 2)特权模式)特权模式 (3 3)配置模式)配置模式 (4 4)监视模式)监视模式10.5 防病毒10.5.110.5.1计算机病毒计算机病毒11计算机病毒的概念计算机病毒的概念计算机病毒是指计算机程序中的一段可执行程计算机病毒是指计算机程
32、序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。计算机病毒通过对其他从而影响计算机的能力。计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难根除。程序的复制,使之很快蔓延开来,很难根除。 2 2计算机病毒的特征计算机病毒的特征 (1 1)非授权可执行性)非授权可执行性 (2 2)隐蔽性)隐蔽性 (3 3)传染性)传染性 (4 4)潜伏性)潜伏性 (5 5)破坏性)破坏性 (6 6)可触发性)可触发性 3 3计算机病毒分类计算机病毒分
33、类 (1 1)按破坏性分类)按破坏性分类 (2 2)按传染方式分类)按传染方式分类 (3 3)按连接方式分类)按连接方式分类10.5.2 网络病毒1 1网络病毒的特征网络病毒的特征 (1 1)传播方式多样,传播速度快。)传播方式多样,传播速度快。 (2 2)影响面广)影响面广 (3 3)破坏性强)破坏性强 (4 4)难以控制)难以控制 (5 5)病毒变种多样)病毒变种多样 (6 6)病毒智能化、隐蔽化)病毒智能化、隐蔽化 (7 7)出现混合病毒)出现混合病毒2 2蠕虫与木马蠕虫与木马 (1 1)蠕虫)蠕虫蠕虫是一种通过网络传播的恶性病毒,它具有蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些
34、共性,如传播性、隐蔽性、破坏性等病毒的一些共性,如传播性、隐蔽性、破坏性等等。与普通病毒相比,而蠕虫不使用驻留文件即等。与普通病毒相比,而蠕虫不使用驻留文件即可在系统之间进行自我复制,它的传染目标是互可在系统之间进行自我复制,它的传染目标是互联网内的所有计算机。联网内的所有计算机。 (2 2)木马)木马“木马木马” ”程序是目前比较流行的病毒文件,但程序是目前比较流行的病毒文件,但是它不会自我繁殖,也并不是它不会自我繁殖,也并不“ “刻意刻意” ”地去感染其地去感染其他文件,它通过将自身伪装吸引用户下载执行,他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施向
35、施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。程操控被种者的电脑。10.5.3 网络版防病毒系统1 1系统中心系统中心系统中心实时记录计算机的病毒监控、检测和系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。清除的信息,实现对整个防护系统的自动控制。2 2服务器端服务器端服务器端为网络服务器操作系统应用而设计。服务器端为网络服务器操作系统应用而设计。3 3客户端客户端客户端对当前工作站上病毒监控、检测和清除,客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统
36、中心发送病毒监测报告。并在需要时向系统中心发送病毒监测报告。4 4管理控制台管理控制台管理控制台是为了网络管理员的应用而设计的,管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。系统防护软件的计算机。10.6 入侵检测10.6.110.6.1入侵检测技术的基本概念入侵检测技术的基本概念11入侵检测技术入侵检测技术 入侵检测技术即是对入侵行为进行检测的技术。入侵检测技术即是对入侵行为进行检测的技术。 22入侵检测技术的分类入侵检测技术的分类入侵检测技术分为异常检测和误用检测两种。入侵检测技术分为异常
37、检测和误用检测两种。10.6.210.6.2入侵检测系统入侵检测系统11入侵检测系统的功能入侵检测系统的功能 (1 1)监控和分析系统、用户的行为。)监控和分析系统、用户的行为。 (2 2)评估系统文件与数据文件的完整性。)评估系统文件与数据文件的完整性。 (3 3)检查系统漏洞。)检查系统漏洞。 (4 4)对系统的异常行为进行分析和识别,及时向)对系统的异常行为进行分析和识别,及时向网络管理人员报警。网络管理人员报警。 (5 5)跟踪管理操作系统,识别无授仅用户活动。)跟踪管理操作系统,识别无授仅用户活动。2 2入侵检测系统的结构入侵检测系统的结构 (1 1)事件发生器)事件发生器 (2 2
38、)事件分析器)事件分析器 (3 3)响应单元)响应单元 (4 4)事件数据库)事件数据库3 3入侵检测系统的分类入侵检测系统的分类 (1 1)基于主机的入侵检测)基于主机的入侵检测 (2 2)基于网络的入侵检测系统)基于网络的入侵检测系统图10-15 基于主机的入侵检测系统图10-16 基于网络的入侵检测技术10.6.3 入侵防护系统 1 1入侵防护系统的基本概念入侵防护系统的基本概念入侵防护系统(入侵防护系统(IntrusionPreventionIntrusionPreventionSystemSystem,IPSIPS)是将防火墙技术和入侵检测技术)是将防火墙技术和入侵检测技术进行整合的
39、系统,该系统倾向于提供主动防护,进行整合的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。进行拦截,避免其造成损失。2 2入侵防护系统的基本结构入侵防护系统的基本结构入侵防护系统是要包括:嗅探器、检测分析组入侵防护系统是要包括:嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制件、策略执行组件、状态开关、日志系统和控制台台6 6个部分。个部分。 3 3入侵防护系统的基本分类入侵防护系统的基本分类 (1 1)基于主机的入侵防护系统()基于主机的入侵防护系统(Host-basedHost-basedIntrusionPreventionSystemIntrusionPreventionSystem,HIPSHIPS) (2 2)基于网络的入侵防护系统()基于网络的入侵防护系统(Network-basedNetwork-basedIntrusionPreventionSystemIntrusionPreventionSystem,NIPSNIPS) (3 3)应用入侵防护系统()应用入侵防护系统(ApplicationIntrusionApplicationIntrusionPreventionSystemPreventionSystem,AIPSAIPS)
