《網(wǎng)絡(luò)安全技術(shù)》PPT課件.ppt

,第9章 網(wǎng)絡(luò)安全技術(shù),本章主要學(xué)習(xí)內(nèi)容： 信息安全的威脅與風(fēng)險(xiǎn) 加密認(rèn)證技術(shù) 防火墻技術(shù) VPN技術(shù) 計(jì)算機(jī)病毒防護(hù)技術(shù) 網(wǎng)絡(luò)入侵檢測與安全評估 安全認(rèn)證,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.1 信息安全的重要性和嚴(yán)峻性,1.信息安全的重要性 社會(huì)發(fā)展三要素的物質(zhì)、能源和信息的關(guān)系發(fā)生了深刻的變化。信息要素已成為支配人類社會(huì)發(fā)展進(jìn)程的決定性力量之一 。 互聯(lián)網(wǎng)已經(jīng)成為了一個(gè)繼電視、電臺(tái)、報(bào)刊之后的第四媒體。 社會(huì)信息化提升了信息的地位 社會(huì)對信息技術(shù)的依賴性增強(qiáng) 虛擬的網(wǎng)絡(luò)財(cái)富日益增長 信息安全已經(jīng)成為社會(huì)的焦點(diǎn)問題,9.1 信息安全的威脅與風(fēng)險(xiǎn),截至2007年12月31日，我國網(wǎng)民總?cè)藬?shù)達(dá)到2.1億人,僅以500萬人之差次于美國，居世界第二，CNNIC預(yù)計(jì)在2008年初中國將成為全球網(wǎng)民規(guī)模最大的國家。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.1 信息安全的重要性和嚴(yán)峻性,2.信息安全的嚴(yán)峻性 系統(tǒng)的安全漏洞不斷增加 黑客攻擊攪得全球不安 計(jì)算機(jī)病毒肆虐 網(wǎng)絡(luò)仿冒危害巨大 “僵尸網(wǎng)絡(luò)”（BOTNET）使得網(wǎng)絡(luò)攻擊規(guī)模化 木馬和后門程序泄漏秘密 信息戰(zhàn)陰影威脅數(shù)字化和平 白領(lǐng)犯罪造成巨大商業(yè)損失,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),Impacto de Blaster（沖擊波）,275,000臺(tái)/7小時(shí) 1,000,000臺(tái)/48小時(shí),9.1 信息安全的威脅與風(fēng)險(xiǎn),感染一萬臺(tái)所需小時(shí),布置對抗措施所需時(shí)間,1991 : Michelangelo : 6 月 1997 : WM/Cap : 2 月 1999 : WM/Melissa : 1 天 2000 : VBS/Loveletter : 4 小時(shí) 2001 : CodeRed/Nimda : 1 小時(shí) 2003 : Slammer : 10分鐘,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),defaced Whitehouse website,伊拉克戰(zhàn)爭,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1 信息安全的威脅與風(fēng)險(xiǎn),圖9-1 網(wǎng)絡(luò)安全漏洞數(shù)量統(tǒng)計(jì),9.1 信息安全的威脅與風(fēng)險(xiǎn),圖9-3 2006年木馬與僵尸網(wǎng)絡(luò)監(jiān)測到的規(guī)模分布,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.2 網(wǎng)絡(luò)系統(tǒng)面臨的威脅 可分為兩種： 對網(wǎng)絡(luò)中信息的威脅 對網(wǎng)絡(luò)中設(shè)備的威脅 按威脅的對象、性質(zhì)則可以細(xì)分為四類： 第一類是針對硬件實(shí)體設(shè)施 第二類是針對軟件、數(shù)據(jù)和文檔資料 第三類是兼對前兩者的攻擊破壞 第四類是計(jì)算機(jī)犯罪,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.2 網(wǎng)絡(luò)系統(tǒng)面臨的威脅 安全威脅的來源 不可控制的自然災(zāi)害，如地震、雷擊 自惡意攻擊、違紀(jì)、違法和計(jì)算機(jī)犯罪 人為的無意失誤和各種各樣的誤操作 計(jì)算機(jī)硬件系統(tǒng)的故障 軟件的“后門”和漏洞,9.1 信息安全的威脅與風(fēng)險(xiǎn),安全威脅的表現(xiàn)形式 1) 偽裝 2) 非法連接 3) 非授權(quán)訪問 4) 拒絕服務(wù) 5) 抵賴 6) 信息泄露 7) 業(yè)務(wù)流分析 8) 改動(dòng)信息流 9) 篡改或破壞數(shù)據(jù) 10)推斷或演繹信息 11)非法篡改程序,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.2 網(wǎng)絡(luò)系統(tǒng)面臨的威脅 實(shí)施安全威脅的人員 排除非人為的因素，各種威脅必須被各類人員發(fā)現(xiàn)、施用后才能真正對網(wǎng)絡(luò)系統(tǒng)產(chǎn)生不良影響。 這些人員包括心存不滿的員工、軟硬件測試人員、技術(shù)愛好者、好奇的年青人，也包括黑客（Hacker）和破壞者（Cracker），還包括以政治或經(jīng)濟(jì)利益為目的的間諜。 這些人員為了達(dá)到他們的目的，刻意查找系統(tǒng)漏洞，制造各種故障，并加以利用。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.3 網(wǎng)絡(luò)攻擊的層次與步驟 可以將網(wǎng)絡(luò)攻擊分成以下6個(gè)層次： 第一層：基于應(yīng)用層的操作。如拒絕服務(wù)或郵件炸彈攻擊。 第二層：指本地用戶獲得不應(yīng)獲得的文件(或目錄)讀權(quán)限。 第三層：指本地用戶獲得不應(yīng)獲得的文件(或目錄)寫權(quán)限。 第四層：指外部用戶獲得訪問內(nèi)部文件的權(quán)利。 第五層：指獲得特權(quán)文件的寫權(quán)限。 第六層：指獲得系統(tǒng)管理員的權(quán)限或根權(quán)限。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.3 網(wǎng)絡(luò)攻擊的層次與步驟 網(wǎng)絡(luò)攻擊的主要手段 有據(jù)可查的網(wǎng)絡(luò)安全事件主要是由網(wǎng)站篡改、垃圾郵件、蠕蟲、網(wǎng)頁惡意代碼、木馬、網(wǎng)絡(luò)仿冒、拒絕服務(wù)攻擊、主機(jī)入侵、物理攻擊和社會(huì)工程學(xué)等幾種手段引起的。,圖9-4 2006年主要攻擊手段分布情況,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.3 網(wǎng)絡(luò)攻擊的層次與步驟 網(wǎng)絡(luò)攻擊的步驟：典型的攻擊由以下5個(gè)步驟構(gòu)成，當(dāng)然有的攻擊可能直接跳過了某些步驟。 隱藏IP：黑客非常清楚自我保護(hù)的重要性。 踩點(diǎn)掃描：對攻擊目標(biāo)的多方位了解，確定攻擊的時(shí)機(jī)。 獲得系統(tǒng)或管理員權(quán)限：通過各種方法獲得目標(biāo)系統(tǒng)的控制權(quán)。 種植后門：專供自己訪問的后門，目的是為了長期保持對目標(biāo)系統(tǒng)的控制。 在網(wǎng)絡(luò)中隱身：清除入侵痕跡，也是自我保護(hù)的重要步驟。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.4 網(wǎng)絡(luò)安全防護(hù)技術(shù) 1信息安全的目標(biāo) 信息安全的基本目標(biāo)應(yīng)該是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴性。 信息保障模型：針對信息的生存周期，技術(shù)上以“信息保障”模型作為信息安全的目標(biāo)，即信息的保護(hù)技術(shù)、信息使用中的檢測技術(shù)、信息受影響或攻擊時(shí)的響應(yīng)技術(shù)和受損后的恢復(fù)技術(shù)為系統(tǒng)模型的主要組成元素（簡稱PDRR模型） 綜合的安全解決方法 ：PDRR模型，結(jié)合信息安全管理因素，形成立體化縱深防護(hù)機(jī)制。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.4 網(wǎng)絡(luò)安全防護(hù)技術(shù) 2信息安全防護(hù)機(jī)制：5重屏障共10大領(lǐng)域,圖9-6 信息安全多重保護(hù)機(jī)制,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.4 網(wǎng)絡(luò)安全防護(hù)技術(shù) 3信息安全體系結(jié)構(gòu) 信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、信息內(nèi)容安全、應(yīng)用系統(tǒng)安全的總和 完整的信息系統(tǒng)安全體系框架由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。 組織機(jī)構(gòu)體系是信息系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成一個(gè)體系。 管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理三個(gè)部分組成。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.4 網(wǎng)絡(luò)安全防護(hù)技術(shù) 4、信息安全技術(shù) 安全防范技術(shù)體系劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和管理層安全等五個(gè)層次。 (1)物理安全技術(shù)（物理層安全）。該層次的安全包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。 (2)系統(tǒng)安全技術(shù)（操作系統(tǒng)的安全性）。該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全。主要表現(xiàn)在：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。 (3)網(wǎng)絡(luò)安全技術(shù)（網(wǎng)絡(luò)層安全）。該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段、網(wǎng)絡(luò)設(shè)施防病毒等。 (4)應(yīng)用安全技術(shù)（應(yīng)用層安全）。該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)等，還包括病毒對系統(tǒng)的威脅。 (5)管理安全性（管理層安全）。安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等，可以在很大程度上降低其他層次的安全漏洞。,9.1 信息安全的威脅與風(fēng)險(xiǎn),9.1.4 網(wǎng)絡(luò)安全防護(hù)技術(shù) 主要應(yīng)用的信息安全技術(shù)如下： 反病毒軟件 防火墻 基于服務(wù)的訪問控制技術(shù) 入侵檢測系統(tǒng) 數(shù)據(jù)傳輸加密 帳戶與登錄口令控制 入侵防御系統(tǒng) 文件加密技術(shù) 卡片認(rèn)證與一次性密碼技術(shù) 公鑰基礎(chǔ)設(shè)施系統(tǒng) 生物特征技術(shù),9.2 加密認(rèn)證技術(shù),9.2.1 加密技術(shù)概述 信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩個(gè)方面。系統(tǒng)安全一般采用防火墻、防病毒及其他安全防范技術(shù)等措施，是屬于被動(dòng)型的安全措施；數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進(jìn)行主動(dòng)的安全保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、身份認(rèn)證等技術(shù)。 為了有效控制加密、解密算法的實(shí)現(xiàn)，在這些算法的實(shí)現(xiàn)過程中，需要有某些只被通信雙方所掌握的專門的、關(guān)鍵的信息參與，這些信息就稱為密鑰。,9.2 加密認(rèn)證技術(shù),圖9-7 保密通信系統(tǒng)模型,9.2 加密認(rèn)證技術(shù),9.2.2 常用密碼體制與密碼算法 密碼體制 對稱算法：加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即從一個(gè)可以推出另外一個(gè)），我們稱其為對稱密鑰、私鑰或單鑰密碼體制。 非對稱算法：若加密密鑰和解密密鑰不相同，從其中一個(gè)難以推出另一個(gè)，則稱為非對稱密鑰或雙鑰密碼體制。 常用密碼算法 古典密碼算法 ：代碼加密、替換加密、變位加密 單鑰加密算法：DES算法、IDEA算法 雙鑰加密算法：RSA算法,9.2 加密認(rèn)證技術(shù),9.2.3 加密技術(shù)的應(yīng)用 數(shù)字簽名：數(shù)字簽名就是信息發(fā)送者使用公開密鑰算法技術(shù)，產(chǎn)生別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可以確定消息來自于誰，同時(shí)也是對發(fā)送者發(fā)送信息的真實(shí)性的一個(gè)證明。發(fā)送者對所發(fā)信息不能抵賴。 身份認(rèn)證：是指被認(rèn)證方在沒有泄露自己身份信息的前提下，能夠以電子的方式來證明自己的身份。 消息認(rèn)證（也稱數(shù)字指紋）：消息認(rèn)證是指通過對消息或消息相關(guān)信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為防止傳輸和存儲(chǔ)的消息被有意或無意地篡改 。 數(shù)字水?。簲?shù)字水印就是將特定的標(biāo)記隱藏在數(shù)字產(chǎn)品中，用以證明原創(chuàng)者對產(chǎn)品的所有權(quán)。,9.3 防火墻技術(shù),9.3.1 防火墻技術(shù)概述 概念： 防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件的集合。它是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)。 基本特性： 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力,9.3 防火墻技術(shù),9.3.1 防火墻技術(shù)概述 防火墻的功能 (1)限定內(nèi)部用戶訪問特殊站點(diǎn)。 (2)防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)。 (3)允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源。 (4)記錄通過防火墻的信息內(nèi)容和活動(dòng)。 (5)對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測和報(bào)警。 防火墻的訪問控制可通過源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口實(shí)現(xiàn)，還能基于方向、時(shí)間、用戶、流量、內(nèi)容進(jìn)行控制。一般地，防火墻還具有路由功能和NAT功能，用來保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。,9.3 防火墻技術(shù),9.3.1 防火墻技術(shù)概述 DMZ區(qū) DMZ區(qū)（demilitarized zone，也稱非軍事區(qū)），是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。,9.3 防火墻技術(shù),9.3.2 防火墻分類,圖9-12 防火墻實(shí)體分類,9.3 防火墻技術(shù),9.3.2 防火墻分類 從技術(shù)上特征上區(qū)分，防火墻一般可以分為包過濾型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻、電路級網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻、狀態(tài)檢測型防火墻、自適應(yīng)代理型防火墻等幾種類型。,9.3 防火墻技術(shù),9.3.3 防火墻工作模式 防火墻的工作模式分成路由模式、透明橋模式和混合模式三大類型。 路由模式：防火墻可以充當(dāng)路由器，提供路由功能。 透明橋模式：防火墻可以方便的接入到網(wǎng)絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變。 混合模式：防火墻同時(shí)工作在路由模式和橋模式。,9.4 VPN技術(shù),9.4.1 概述 VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，最簡單的定義就是“在公眾數(shù)據(jù)網(wǎng)絡(luò)上建立屬于自己的私有數(shù)據(jù)網(wǎng)絡(luò)” 。 通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 隧道是一種利用公網(wǎng)設(shè)施，在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一種類型協(xié)議的幀。,9.4 VPN技術(shù),9.4.1 概述 VPN的基本功能： 加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。 信息驗(yàn)證和身份識(shí)別。保證信息的完整性、合理性，并能鑒別用戶的身份。 提供訪問控制。不同的用戶有不同的訪問權(quán)限。 地址管理。VPN方案必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。 密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。 多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP、IPX等。 VPN產(chǎn)品可分為網(wǎng)絡(luò)連接型VPN和基于應(yīng)用層SSL協(xié)議的SSL VPN兩大類。,9.4 VPN技術(shù),9.4.2 網(wǎng)絡(luò)連接型VPN的協(xié)議 VPN使用的隧道協(xié)議主要有三種：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。 PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。 L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，幀中繼或ATM。 IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。,9.4 VPN技術(shù),9.4.3 網(wǎng)絡(luò)連接型VPN的產(chǎn)品類型 VPN的分類方法比較多，實(shí)際使用中，需要通過客戶端與服務(wù)器端的交互實(shí)現(xiàn)認(rèn)證與隧道建立。 基于二層、三層的VPN，都需要安裝專門的客戶端系統(tǒng)（硬件或軟件），完成VPN相關(guān)的工作。 VPN從應(yīng)用的方式上分，有兩種基本類型：撥號式VPN與專用式VPN。,9.4 VPN技術(shù),9.4.4 面向應(yīng)用層協(xié)議的SSL VPN SSL是Secure Socket Layer的縮寫，即安全套接層協(xié)議。是由網(wǎng)景（Netscape）公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。 SSL是對計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。 SSL協(xié)議的優(yōu)勢在于：高層的應(yīng)用協(xié)議能透明地建立于SSL協(xié)議之上。其在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的安全性。,9.5 計(jì)算機(jī)病毒防護(hù)技術(shù),9.5.1 計(jì)算機(jī)病毒的演變 20 世紀(jì) 80 年代出現(xiàn)了第一批計(jì)算機(jī)病毒后，隨著更多的人開始研究病毒技術(shù)，病毒的數(shù)量、被攻擊的平臺(tái)數(shù)以及病毒的復(fù)雜性和多樣性都開始顯著提高。 1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，成為病毒編寫者合作和共享知識(shí)的平臺(tái)。 進(jìn)入二十一世紀(jì)后，計(jì)算機(jī)病毒傳播、生產(chǎn)的網(wǎng)絡(luò)化特征日趨明顯，甚至逐漸形成互聯(lián)網(wǎng)的地下“黑色產(chǎn)業(yè)鏈”。,9.5 計(jì)算機(jī)病毒防護(hù)技術(shù),9.5.2 計(jì)算機(jī)病毒的定義和特征 計(jì)算機(jī)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼” 特征： 1) 可執(zhí)行性 2) 傳染性 3) 潛伏性 4) 可觸發(fā)性 5) 針對性 6) 隱蔽性,9.5 計(jì)算機(jī)病毒防護(hù)技術(shù),9.5.3 計(jì)算機(jī)病毒的分類 傳染性是計(jì)算機(jī)病毒的本質(zhì)屬性，根據(jù)寄生部位或傳染對象分類，可以歸納為兩大類：一類是引導(dǎo)扇區(qū)型傳染的計(jì)算機(jī)病毒；另一類是可執(zhí)行文件型傳染的計(jì)算機(jī)病毒。 按照計(jì)算機(jī)病毒的傳播媒介來分類，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。,9.5 計(jì)算機(jī)病毒防護(hù)技術(shù),9.5.4 計(jì)算機(jī)病毒的檢測和防范 計(jì)算機(jī)病毒防范技術(shù)的工作原理主要有簽名掃描和啟發(fā)式掃描兩種： 簽名掃描：通過搜索目標(biāo)（宿主計(jì)算機(jī)、磁盤驅(qū)動(dòng)器或文件）來查找表示惡意軟件的模式。 啟發(fā)式掃描：通過查找通用的惡意軟件特征，來嘗試檢測新形式和已知形式的惡意軟件。 檢測和防范 用防病毒軟件來防范病毒需要定期自動(dòng)更新或者下載最新的病毒定義、病毒特征。 惡意軟件防護(hù)方法：在針對惡意軟件嘗試組織有效的防護(hù)之前，需要了解組織基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險(xiǎn)的各個(gè)部分以及每個(gè)部分的風(fēng)險(xiǎn)程度。,9.6 網(wǎng)絡(luò)入侵檢測與安全評估,9.6.1 概述 入侵檢測（Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識(shí)別對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。 對于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。 入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。,9.6 網(wǎng)絡(luò)入侵檢測與安全評估,9.6.2 入侵檢測的的技術(shù)特征和產(chǎn)品 IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備(或一個(gè)專用主機(jī))，通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中的非法使用者信息。根據(jù)判斷方法的不同，基本分為兩大類：基于知識(shí)的數(shù)據(jù)模式判斷方法和基于行為的行為判斷方法。,圖9-17 網(wǎng)絡(luò)IDS工作模型,9.6 網(wǎng)絡(luò)入侵檢測與安全評估,9.6.2 入侵檢測的的技術(shù)特征和產(chǎn)品 IDS采用的技術(shù)：常見有靜態(tài)配置分析、異常檢測和誤用檢測。 靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。 通過對系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體的正常行為特征輪廓；檢測時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。 通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安