第14講 網(wǎng)絡(luò)安全攻擊與入侵檢測(cè)技術(shù)

1、第十四講第十四講 網(wǎng)絡(luò)攻擊與入侵檢測(cè)網(wǎng)絡(luò)攻擊與入侵檢測(cè) 7.4 網(wǎng)絡(luò)安全的攻擊與入侵檢 測(cè)技術(shù) v常見的網(wǎng)絡(luò)攻擊方法常見的網(wǎng)絡(luò)攻擊方法 n1 1口令竊取口令竊取 n2 2木馬程序攻擊木馬程序攻擊 n3 3欺騙攻擊欺騙攻擊 n3 3欺騙攻擊欺騙攻擊 n5 5網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽 n6 6尋找系統(tǒng)漏洞尋找系統(tǒng)漏洞 n7 7拒絕服務(wù)攻擊拒絕服務(wù)攻擊 入侵檢測(cè)與入侵檢測(cè)系統(tǒng)入侵檢測(cè)與入侵檢測(cè)系統(tǒng) v入侵檢測(cè)（入侵檢測(cè)（Intrusion DetectionIntrusion Detection） n通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn) 的信息，檢

2、查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行 為和被攻擊的跡象為和被攻擊的跡象. . v入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（Intrusion Detection SystemIntrusion Detection System） n是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng). . 入侵檢測(cè)系統(tǒng)分類 v（1 1）基于主機(jī)的入侵檢測(cè)系統(tǒng)。）基于主機(jī)的入侵檢測(cè)系統(tǒng)。 v（2 2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 v（3 3）分布式入侵檢測(cè)系統(tǒng)。）分布式入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu)入侵檢

3、測(cè)系統(tǒng)框架結(jié)構(gòu) 入侵檢測(cè)的基本方法入侵檢測(cè)的基本方法 (1)(1)模式匹配模式匹配 (2)(2)協(xié)議分析協(xié)議分析 (3)(3)專家系統(tǒng)專家系統(tǒng) (4)(4)統(tǒng)計(jì)分析統(tǒng)計(jì)分析 (5)(5)基于技術(shù)發(fā)展的入侵檢測(cè)方法基于技術(shù)發(fā)展的入侵檢測(cè)方法 7.5 網(wǎng)絡(luò)防病毒技術(shù) v計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的定義 n計(jì)算機(jī)病毒計(jì)算機(jī)病毒(Computer Virus) “(Computer Virus) “指編制或者在計(jì)算指編制或者在計(jì)算 機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì) 算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序算機(jī)使用并且能夠自我復(fù)制的

4、一組計(jì)算機(jī)指令或者程序 代碼代碼”。 v計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類 n根據(jù)病毒存在的媒體，病毒可以劃分為：根據(jù)病毒存在的媒體，病毒可以劃分為： 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒 文件病毒文件病毒 引導(dǎo)型病毒引導(dǎo)型病毒 混合型病毒混合型病毒 計(jì)算機(jī)病毒的分類 v根據(jù)病毒傳染的方法可分為：根據(jù)病毒傳染的方法可分為： n駐留型病毒。駐留型病毒。 n非駐留型病毒。非駐留型病毒。 v根據(jù)病毒破壞的能力可劃分為：根據(jù)病毒破壞的能力可劃分為： n無害型無害型 n無危險(xiǎn)型無危險(xiǎn)型 n危險(xiǎn)型危險(xiǎn)型 n非常危險(xiǎn)型非常危險(xiǎn)型 網(wǎng)絡(luò)病毒 v計(jì)算機(jī)病毒一般通過有盤工作站的軟盤和硬盤計(jì)算機(jī)病毒一般通過有盤工作站的軟盤和硬盤 進(jìn)入網(wǎng)

5、絡(luò)，然后開始在網(wǎng)上的傳播。進(jìn)入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。 網(wǎng)絡(luò)工作站防病毒方法 1 1基于工作站的防治方法基于工作站的防治方法 (1)(1)防病毒軟件防病毒軟件 (2)(2)病毒防護(hù)芯片病毒防護(hù)芯片 (3)(3)多用無盤工作站多用無盤工作站 2 2基于服務(wù)器的防治方法基于服務(wù)器的防治方法 集中式實(shí)時(shí)掃毒。集中式實(shí)時(shí)掃毒。 7.6 網(wǎng)絡(luò)管理技術(shù) v網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 n指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò)指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò) 服務(wù)而從事的全部操作和維護(hù)性活動(dòng)。服務(wù)而從事的全部操作和維護(hù)性活動(dòng)。 v計(jì)算機(jī)網(wǎng)絡(luò)管理分為兩類：計(jì)算機(jī)網(wǎng)絡(luò)管理分為兩類： n第一類是

6、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)和存取權(quán)限的第一類是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)和存取權(quán)限的 管理，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題；管理，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題； n第二類是對(duì)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的硬件的管理，包括對(duì)工作第二類是對(duì)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的硬件的管理，包括對(duì)工作 站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。 網(wǎng)絡(luò)管理系統(tǒng) v網(wǎng)絡(luò)管理涉及以下三個(gè)方面：網(wǎng)絡(luò)管理涉及以下三個(gè)方面： (1)(1)網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù) (2)(2)網(wǎng)絡(luò)維護(hù)網(wǎng)絡(luò)維護(hù) (3)(3)網(wǎng)絡(luò)處理網(wǎng)絡(luò)處理 v網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng) 是一個(gè)軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可

7、是一個(gè)軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可 以幫助網(wǎng)絡(luò)管理者維護(hù)和監(jiān)視網(wǎng)絡(luò)的運(yùn)行，生成網(wǎng)絡(luò)信以幫助網(wǎng)絡(luò)管理者維護(hù)和監(jiān)視網(wǎng)絡(luò)的運(yùn)行，生成網(wǎng)絡(luò)信 息日志，分析和研究網(wǎng)絡(luò)。息日志，分析和研究網(wǎng)絡(luò)。 網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理模型 (1)(1)管理者管理者 (2)(2)管理代理管理代理 (3)(3)網(wǎng)絡(luò)管理信息庫（網(wǎng)絡(luò)管理信息庫（MIBMIB） (4)(4)網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議 OSI管理功能域 vISO ISO 定義了網(wǎng)絡(luò)管理的五個(gè)功能域：定義了網(wǎng)絡(luò)管理的五個(gè)功能域： n1 1故障管理故障管理(Fault Management)(Fault Management) n2 2計(jì)費(fèi)管理計(jì)費(fèi)管理(A

8、ccounting Management) (Accounting Management) n3 3配置管理配置管理(Configuration Management) (Configuration Management) n4 4性能管理性能管理(Performance Management) (Performance Management) n5 5安全管理安全管理(Security Management) (Security Management) 1故障管理(Fault Management) v是對(duì)網(wǎng)絡(luò)環(huán)境中的問題和故障進(jìn)行定位的過程。是對(duì)網(wǎng)絡(luò)環(huán)境中的問題和故障進(jìn)行定位的過程。 v包

9、括故障檢測(cè)、隔離和糾正三方面，主要功能：包括故障檢測(cè)、隔離和糾正三方面，主要功能： (1)(1)維護(hù)并檢查錯(cuò)誤日志維護(hù)并檢查錯(cuò)誤日志 (2)(2)接受錯(cuò)誤檢測(cè)報(bào)告并做出響應(yīng)接受錯(cuò)誤檢測(cè)報(bào)告并做出響應(yīng) (3)(3)跟蹤、辨認(rèn)故障跟蹤、辨認(rèn)故障 (4)(4)執(zhí)行診斷測(cè)試執(zhí)行診斷測(cè)試 (5)(5)糾正錯(cuò)誤，重新開始服務(wù)糾正錯(cuò)誤，重新開始服務(wù) 2計(jì)費(fèi)管理(Accounting Management) v計(jì)費(fèi)管理負(fù)責(zé)控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。計(jì)費(fèi)管理負(fù)責(zé)控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。 v計(jì)費(fèi)管理的功能包括：計(jì)費(fèi)管理的功能包括： (1)(1)統(tǒng)計(jì)網(wǎng)絡(luò)利用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費(fèi)率統(tǒng)計(jì)網(wǎng)絡(luò)利

10、用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費(fèi)率 的依據(jù)。的依據(jù)。 (2)(2)根據(jù)用戶對(duì)網(wǎng)絡(luò)資源使用情況，公平合理的收取費(fèi)用。根據(jù)用戶對(duì)網(wǎng)絡(luò)資源使用情況，公平合理的收取費(fèi)用。 (3)(3)提供費(fèi)用統(tǒng)計(jì)和賬單審查服務(wù)。提供費(fèi)用統(tǒng)計(jì)和賬單審查服務(wù)。 (4)(4)當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資 源的費(fèi)用。源的費(fèi)用。 3配置管理(Configuration Management) v配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。 v配置管理的功能主要包括：配置管理的功能主要包括： (1)(1)設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)

11、。設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)。 (2)(2)被管對(duì)象和被管對(duì)象組屬性的管理。被管對(duì)象和被管對(duì)象組屬性的管理。 (3)(3)初始化或關(guān)閉被管理對(duì)象。初始化或關(guān)閉被管理對(duì)象。 (4)(4)根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息。根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息。 (5)(5)獲取系統(tǒng)重要變化的信息，維護(hù)最新的設(shè)備清單并根獲取系統(tǒng)重要變化的信息，維護(hù)最新的設(shè)備清單并根 據(jù)數(shù)據(jù)產(chǎn)生報(bào)告。據(jù)數(shù)據(jù)產(chǎn)生報(bào)告。 (6)(6)更改系統(tǒng)的配置，提供遠(yuǎn)程修改設(shè)備配置的手段。更改系統(tǒng)的配置，提供遠(yuǎn)程修改設(shè)備配置的手段。 4性能管理(Performance Management) v用于對(duì)系統(tǒng)運(yùn)行及通信效率等系統(tǒng)性

12、能進(jìn)行評(píng)價(jià)。用于對(duì)系統(tǒng)運(yùn)行及通信效率等系統(tǒng)性能進(jìn)行評(píng)價(jià)。 v典型的網(wǎng)絡(luò)性能管理分為性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩典型的網(wǎng)絡(luò)性能管理分為性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩 部分。典型的功能包括：部分。典型的功能包括： (1)(1)收集并統(tǒng)計(jì)與被管理對(duì)象性能有關(guān)的參數(shù)、歷史數(shù)據(jù)收集并統(tǒng)計(jì)與被管理對(duì)象性能有關(guān)的參數(shù)、歷史數(shù)據(jù) 等信息。等信息。 (2)(2)維護(hù)并檢查系統(tǒng)狀態(tài)日志，檢測(cè)性能故障，報(bào)告性能維護(hù)并檢查系統(tǒng)狀態(tài)日志，檢測(cè)性能故障，報(bào)告性能 事件。事件。 (3)(3)確定自然和人工狀況下系統(tǒng)的性能。確定自然和人工狀況下系統(tǒng)的性能。 (4)(4)以保證網(wǎng)絡(luò)性能為目的，對(duì)被管理對(duì)象和被管理對(duì)象以保證網(wǎng)絡(luò)性能為目的，對(duì)被管

13、理對(duì)象和被管理對(duì)象 組進(jìn)行控制。組進(jìn)行控制。 5安全管理(Security Management) v安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用， 防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。 v安全管理提供的主要功能有：安全管理提供的主要功能有： (1)(1)支持身份鑒別，控制和維護(hù)訪問權(quán)限。支持身份鑒別，控制和維護(hù)訪問權(quán)限。 (2)(2)支持密鑰管理。支持密鑰管理。 (3)(3)維護(hù)和檢查安全日志。維護(hù)和檢查安全日志。 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP vSNMPSNMP為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò)為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)

14、絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò) 參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析及發(fā)現(xiàn)故障。參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析及發(fā)現(xiàn)故障。 vSNMPSNMP的管理模型是的管理模型是“管理者管理者代理代理”模型。模型。 SNMP的管理模型 v SNMPSNMP管理器也稱管理進(jìn)管理器也稱管理進(jìn) 程，程，SNMPSNMP管理器運(yùn)行在管理器運(yùn)行在 網(wǎng)絡(luò)工作站或網(wǎng)管中心的網(wǎng)絡(luò)工作站或網(wǎng)管中心的 主機(jī)上。主機(jī)上。 v SNMPSNMP管理器負(fù)責(zé)完成各管理器負(fù)責(zé)完成各 種網(wǎng)絡(luò)管理功能，通過被種網(wǎng)絡(luò)管理功能，通過被 管理設(shè)備中管理代理對(duì)網(wǎng)管理設(shè)備中管理代理對(duì)網(wǎng) 絡(luò)設(shè)備和資源進(jìn)行管理。絡(luò)設(shè)備和資源進(jìn)行管理。 7.7 網(wǎng)絡(luò)安全測(cè)評(píng) v目的是通過網(wǎng)

15、絡(luò)安全測(cè)評(píng)，認(rèn)清網(wǎng)絡(luò)的脆弱性和目的是通過網(wǎng)絡(luò)安全測(cè)評(píng)，認(rèn)清網(wǎng)絡(luò)的脆弱性和 潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患、潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患、 網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。 v網(wǎng)絡(luò)安全測(cè)評(píng)的前提是：設(shè)備安裝環(huán)境是安全的、網(wǎng)絡(luò)安全測(cè)評(píng)的前提是：設(shè)備安裝環(huán)境是安全的、 設(shè)備的質(zhì)量是可靠的、外部運(yùn)行環(huán)境是不安全的、設(shè)備的質(zhì)量是可靠的、外部運(yùn)行環(huán)境是不安全的、 內(nèi)部運(yùn)行環(huán)境是相對(duì)安全的、系統(tǒng)管理員是可信內(nèi)部運(yùn)行環(huán)境是相對(duì)安全的、系統(tǒng)管理員是可信 任的。任的。 網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn) v1.1.可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則 v2.

16、2.計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則 1.可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則 v19831983年美國(guó)國(guó)防部發(fā)表的年美國(guó)國(guó)防部發(fā)表的可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià) 準(zhǔn)則準(zhǔn)則，簡(jiǎn)稱，簡(jiǎn)稱TCSECTCSEC，又稱桔皮書，又稱桔皮書 v把計(jì)算機(jī)安全等級(jí)分為把計(jì)算機(jī)安全等級(jí)分為4 4類類7 7個(gè)級(jí)別。依據(jù)安全性個(gè)級(jí)別。依據(jù)安全性 從低到高的級(jí)別，依次為從低到高的級(jí)別，依次為D D、C1C1、C2C2、B1B1、B2B2、 B3B3、A A，每個(gè)級(jí)別包括了它下級(jí)的所有特性。，每個(gè)級(jí)別包括了它下級(jí)的所有特性。 vTCSECTCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)網(wǎng)絡(luò)安全測(cè)評(píng)的第一個(gè)正式標(biāo)準(zhǔn)是計(jì)算機(jī)網(wǎng)

17、絡(luò)安全測(cè)評(píng)的第一個(gè)正式 標(biāo)準(zhǔn)。標(biāo)準(zhǔn)。 級(jí)級(jí) 別別 名稱名稱特征特征 A驗(yàn)證設(shè)計(jì)安全級(jí)驗(yàn)證設(shè)計(jì)安全級(jí)形式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道形式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道 分析，非形式化的代碼一致性證明分析，非形式化的代碼一致性證明 B3安全域級(jí)安全域級(jí)安全內(nèi)核，高抗?jié)B透能力安全內(nèi)核，高抗?jié)B透能力 B2結(jié)構(gòu)化安全保護(hù)級(jí)結(jié)構(gòu)化安全保護(hù)級(jí)面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較 好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪 問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析 B1標(biāo)記安全保

18、護(hù)級(jí)標(biāo)記安全保護(hù)級(jí)在在C2安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記(安安 全和屬性全和屬性)，托管訪問控制，托管訪問控制 C2訪問控制環(huán)境保護(hù)訪問控制環(huán)境保護(hù) 級(jí)級(jí) 訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì)訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì) C1選擇性安全保護(hù)級(jí)選擇性安全保護(hù)級(jí)有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用 戶組為單位進(jìn)行保護(hù)戶組為單位進(jìn)行保護(hù) D最低安全保護(hù)級(jí)最低安全保護(hù)級(jí)保護(hù)措施很少，沒有安全功能保護(hù)措施很少，沒有安全功能 網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容 v網(wǎng)絡(luò)安全測(cè)評(píng)的內(nèi)容大致有以下幾個(gè)方面：網(wǎng)絡(luò)安全測(cè)評(píng)的內(nèi)容大致有以下幾個(gè)方面： (1)(1)安全策略測(cè)評(píng)安全策略測(cè)評(píng) (2)(2)網(wǎng)絡(luò)物理安全測(cè)評(píng)網(wǎng)絡(luò)