計(jì)算機(jī)網(wǎng)絡(luò)學(xué)習(xí)課件-第14講網(wǎng)絡(luò)安全攻擊與入侵檢測(cè)技術(shù)

1、第十四講第十四講 網(wǎng)絡(luò)攻擊與入侵檢測(cè)網(wǎng)絡(luò)攻擊與入侵檢測(cè)來源：河南學(xué)歷考試網(wǎng)來源：河南學(xué)歷考試網(wǎng) 27.4 網(wǎng)絡(luò)安全的攻擊與入侵檢測(cè)技術(shù) v常見的網(wǎng)絡(luò)攻擊方法常見的網(wǎng)絡(luò)攻擊方法 n1 1口令竊取口令竊取 n2 2木馬程序攻擊木馬程序攻擊 n3 3欺騙攻擊欺騙攻擊 n3 3欺騙攻擊欺騙攻擊 n5 5網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽 n6 6尋找系統(tǒng)漏洞尋找系統(tǒng)漏洞 n7 7拒絕服務(wù)攻擊拒絕服務(wù)攻擊3入侵檢測(cè)與入侵檢測(cè)系統(tǒng)入侵檢測(cè)與入侵檢測(cè)系統(tǒng) v入侵檢測(cè)（入侵檢測(cè)（Intrusion DetectionIntrusion Detection）n通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)通過收集和分析計(jì)算機(jī)網(wǎng)

2、絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象為和被攻擊的跡象. .v入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（Intrusion Detection SystemIntrusion Detection System）n是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng). .4入侵檢測(cè)系統(tǒng)分類 v（1 1）基于主機(jī)的入侵檢測(cè)系統(tǒng)。）基于主機(jī)的入侵檢測(cè)系統(tǒng)。v（2 2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。v（3 3）分布式入侵檢測(cè)系統(tǒng)。）分布式入侵檢測(cè)系統(tǒng)。5

3、入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu)入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu) 6入侵檢測(cè)的基本方法入侵檢測(cè)的基本方法(1)(1)模式匹配模式匹配(2)(2)協(xié)議分析協(xié)議分析(3)(3)專家系統(tǒng)專家系統(tǒng)(4)(4)統(tǒng)計(jì)分析統(tǒng)計(jì)分析(5)(5)基于技術(shù)發(fā)展的入侵檢測(cè)方法基于技術(shù)發(fā)展的入侵檢測(cè)方法77.5 網(wǎng)絡(luò)防病毒技術(shù) v計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的定義n計(jì)算機(jī)病毒計(jì)算機(jī)病毒(Computer Virus) “(Computer Virus) “指編制或者在計(jì)算指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序算機(jī)使用并且能

4、夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼代碼”。 v計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類n根據(jù)病毒存在的媒體，病毒可以劃分為：根據(jù)病毒存在的媒體，病毒可以劃分為： 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒 文件病毒文件病毒 引導(dǎo)型病毒引導(dǎo)型病毒 混合型病毒混合型病毒8計(jì)算機(jī)病毒的分類v根據(jù)病毒傳染的方法可分為：根據(jù)病毒傳染的方法可分為：n駐留型病毒。駐留型病毒。n非駐留型病毒。非駐留型病毒。v根據(jù)病毒破壞的能力可劃分為：根據(jù)病毒破壞的能力可劃分為：n無害型無害型n無危險(xiǎn)型無危險(xiǎn)型n危險(xiǎn)型危險(xiǎn)型n非常危險(xiǎn)型非常危險(xiǎn)型9網(wǎng)絡(luò)病毒v計(jì)算機(jī)病毒一般通過有盤工作站的軟盤和硬盤計(jì)算機(jī)病毒一般通過有盤工作站的軟盤和硬盤進(jìn)入網(wǎng)絡(luò)，然后開始

5、在網(wǎng)上的傳播。進(jìn)入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。10網(wǎng)絡(luò)工作站防病毒方法 1 1基于工作站的防治方法基于工作站的防治方法(1)(1)防病毒軟件防病毒軟件(2)(2)病毒防護(hù)芯片病毒防護(hù)芯片(3)(3)多用無盤工作站多用無盤工作站2 2基于服務(wù)器的防治方法基于服務(wù)器的防治方法集中式實(shí)時(shí)掃毒。集中式實(shí)時(shí)掃毒。117.6 網(wǎng)絡(luò)管理技術(shù) v網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理n指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò)指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò)服務(wù)而從事的全部操作和維護(hù)性活動(dòng)。服務(wù)而從事的全部操作和維護(hù)性活動(dòng)。v計(jì)算機(jī)網(wǎng)絡(luò)管理分為兩類：計(jì)算機(jī)網(wǎng)絡(luò)管理分為兩類：n第一類是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用程序、用戶帳

6、號(hào)和存取權(quán)限的第一類是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)和存取權(quán)限的管理，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題；管理，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題；n第二類是對(duì)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的硬件的管理，包括對(duì)工作第二類是對(duì)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的硬件的管理，包括對(duì)工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。12網(wǎng)絡(luò)管理系統(tǒng)v網(wǎng)絡(luò)管理涉及以下三個(gè)方面：網(wǎng)絡(luò)管理涉及以下三個(gè)方面：(1)(1)網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)(2)(2)網(wǎng)絡(luò)維護(hù)網(wǎng)絡(luò)維護(hù) (3)(3)網(wǎng)絡(luò)處理網(wǎng)絡(luò)處理v網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)是一個(gè)軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可是一個(gè)軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)

7、用系統(tǒng)，可以幫助網(wǎng)絡(luò)管理者維護(hù)和監(jiān)視網(wǎng)絡(luò)的運(yùn)行，生成網(wǎng)絡(luò)信以幫助網(wǎng)絡(luò)管理者維護(hù)和監(jiān)視網(wǎng)絡(luò)的運(yùn)行，生成網(wǎng)絡(luò)信息日志，分析和研究網(wǎng)絡(luò)。息日志，分析和研究網(wǎng)絡(luò)。13網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理模型 (1)(1)管理者管理者(2)(2)管理代理管理代理(3)(3)網(wǎng)絡(luò)管理信息庫（網(wǎng)絡(luò)管理信息庫（MIBMIB）(4)(4)網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議14OSI管理功能域vISO ISO 定義了網(wǎng)絡(luò)管理的五個(gè)功能域：定義了網(wǎng)絡(luò)管理的五個(gè)功能域：n1 1故障管理故障管理(Fault Management)(Fault Management)n2 2計(jì)費(fèi)管理計(jì)費(fèi)管理(Accounting Management) (Acc

8、ounting Management) n3 3配置管理配置管理(Configuration Management) (Configuration Management) n4 4性能管理性能管理(Performance Management) (Performance Management) n5 5安全管理安全管理(Security Management) (Security Management) 151故障管理(Fault Management)v是對(duì)網(wǎng)絡(luò)環(huán)境中的問題和故障進(jìn)行定位的過程。是對(duì)網(wǎng)絡(luò)環(huán)境中的問題和故障進(jìn)行定位的過程。v包括故障檢測(cè)、隔離和糾正三方面，主要功能：包括故障檢測(cè)

9、、隔離和糾正三方面，主要功能：(1)(1)維護(hù)并檢查錯(cuò)誤日志維護(hù)并檢查錯(cuò)誤日志 (2)(2)接受錯(cuò)誤檢測(cè)報(bào)告并做出響應(yīng)接受錯(cuò)誤檢測(cè)報(bào)告并做出響應(yīng) (3)(3)跟蹤、辨認(rèn)故障跟蹤、辨認(rèn)故障 (4)(4)執(zhí)行診斷測(cè)試執(zhí)行診斷測(cè)試 (5)(5)糾正錯(cuò)誤，重新開始服務(wù)糾正錯(cuò)誤，重新開始服務(wù) 162計(jì)費(fèi)管理(Accounting Management)v計(jì)費(fèi)管理負(fù)責(zé)控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。計(jì)費(fèi)管理負(fù)責(zé)控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。v計(jì)費(fèi)管理的功能包括：計(jì)費(fèi)管理的功能包括：(1)(1)統(tǒng)計(jì)網(wǎng)絡(luò)利用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費(fèi)率統(tǒng)計(jì)網(wǎng)絡(luò)利用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費(fèi)率的依據(jù)。的依據(jù)。(2

10、)(2)根據(jù)用戶對(duì)網(wǎng)絡(luò)資源使用情況，公平合理的收取費(fèi)用。根據(jù)用戶對(duì)網(wǎng)絡(luò)資源使用情況，公平合理的收取費(fèi)用。(3)(3)提供費(fèi)用統(tǒng)計(jì)和賬單審查服務(wù)。提供費(fèi)用統(tǒng)計(jì)和賬單審查服務(wù)。(4)(4)當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資源的費(fèi)用。源的費(fèi)用。173配置管理(Configuration Management)v配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。v配置管理的功能主要包括：配置管理的功能主要包括：(1)(1)設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)。設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)。 (2)(2)被管對(duì)象和被管對(duì)象組

11、屬性的管理。被管對(duì)象和被管對(duì)象組屬性的管理。 (3)(3)初始化或關(guān)閉被管理對(duì)象。初始化或關(guān)閉被管理對(duì)象。 (4)(4)根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息。根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息。 (5)(5)獲取系統(tǒng)重要變化的信息，維護(hù)最新的設(shè)備清單并根獲取系統(tǒng)重要變化的信息，維護(hù)最新的設(shè)備清單并根據(jù)數(shù)據(jù)產(chǎn)生報(bào)告。據(jù)數(shù)據(jù)產(chǎn)生報(bào)告。(6)(6)更改系統(tǒng)的配置，提供遠(yuǎn)程修改設(shè)備配置的手段。更改系統(tǒng)的配置，提供遠(yuǎn)程修改設(shè)備配置的手段。184性能管理(Performance Management)v用于對(duì)系統(tǒng)運(yùn)行及通信效率等系統(tǒng)性能進(jìn)行評(píng)價(jià)。用于對(duì)系統(tǒng)運(yùn)行及通信效率等系統(tǒng)性能進(jìn)行評(píng)價(jià)。v典型的網(wǎng)絡(luò)性能管

12、理分為性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩典型的網(wǎng)絡(luò)性能管理分為性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩部分。典型的功能包括：部分。典型的功能包括： (1)(1)收集并統(tǒng)計(jì)與被管理對(duì)象性能有關(guān)的參數(shù)、歷史數(shù)據(jù)收集并統(tǒng)計(jì)與被管理對(duì)象性能有關(guān)的參數(shù)、歷史數(shù)據(jù)等信息。等信息。(2)(2)維護(hù)并檢查系統(tǒng)狀態(tài)日志，檢測(cè)性能故障，報(bào)告性能維護(hù)并檢查系統(tǒng)狀態(tài)日志，檢測(cè)性能故障，報(bào)告性能事件。事件。(3)(3)確定自然和人工狀況下系統(tǒng)的性能。確定自然和人工狀況下系統(tǒng)的性能。(4)(4)以保證網(wǎng)絡(luò)性能為目的，對(duì)被管理對(duì)象和被管理對(duì)象以保證網(wǎng)絡(luò)性能為目的，對(duì)被管理對(duì)象和被管理對(duì)象組進(jìn)行控制。組進(jìn)行控制。195安全管理(Security Manage

13、ment)v安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。v安全管理提供的主要功能有：安全管理提供的主要功能有：(1)(1)支持身份鑒別，控制和維護(hù)訪問權(quán)限。支持身份鑒別，控制和維護(hù)訪問權(quán)限。(2)(2)支持密鑰管理。支持密鑰管理。(3)(3)維護(hù)和檢查安全日志。維護(hù)和檢查安全日志。20簡單網(wǎng)絡(luò)管理協(xié)議SNMPvSNMPSNMP為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò)為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò)參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析及發(fā)現(xiàn)故障。參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析及發(fā)現(xiàn)故障。

14、vSNMPSNMP的管理模型是的管理模型是“管理者管理者代理代理”模型。模型。21SNMP的管理模型 v SNMPSNMP管理器也稱管理進(jìn)管理器也稱管理進(jìn)程，程，SNMPSNMP管理器運(yùn)行在管理器運(yùn)行在網(wǎng)絡(luò)工作站或網(wǎng)管中心的網(wǎng)絡(luò)工作站或網(wǎng)管中心的主機(jī)上。主機(jī)上。v SNMPSNMP管理器負(fù)責(zé)完成各管理器負(fù)責(zé)完成各種網(wǎng)絡(luò)管理功能，通過被種網(wǎng)絡(luò)管理功能，通過被管理設(shè)備中管理代理對(duì)網(wǎng)管理設(shè)備中管理代理對(duì)網(wǎng)絡(luò)設(shè)備和資源進(jìn)行管理。絡(luò)設(shè)備和資源進(jìn)行管理。227.7 網(wǎng)絡(luò)安全測(cè)評(píng) v目的是通過網(wǎng)絡(luò)安全測(cè)評(píng)，認(rèn)清網(wǎng)絡(luò)的脆弱性和目的是通過網(wǎng)絡(luò)安全測(cè)評(píng)，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患

15、、潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患、網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。v網(wǎng)絡(luò)安全測(cè)評(píng)的前提是：設(shè)備安裝環(huán)境是安全的、網(wǎng)絡(luò)安全測(cè)評(píng)的前提是：設(shè)備安裝環(huán)境是安全的、設(shè)備的質(zhì)量是可靠的、外部運(yùn)行環(huán)境是不安全的、設(shè)備的質(zhì)量是可靠的、外部運(yùn)行環(huán)境是不安全的、內(nèi)部運(yùn)行環(huán)境是相對(duì)安全的、系統(tǒng)管理員是可信內(nèi)部運(yùn)行環(huán)境是相對(duì)安全的、系統(tǒng)管理員是可信任的。任的。23網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn)v1.1.可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則v2.2.計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則 241.可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則v19831983年美國國防部發(fā)

16、表的年美國國防部發(fā)表的可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則準(zhǔn)則，簡稱，簡稱TCSECTCSEC，又稱桔皮書，又稱桔皮書v把計(jì)算機(jī)安全等級(jí)分為把計(jì)算機(jī)安全等級(jí)分為4 4類類7 7個(gè)級(jí)別。依據(jù)安全性個(gè)級(jí)別。依據(jù)安全性從低到高的級(jí)別，依次為從低到高的級(jí)別，依次為D D、C1C1、C2C2、B1B1、B2B2、B3B3、A A，每個(gè)級(jí)別包括了它下級(jí)的所有特性。，每個(gè)級(jí)別包括了它下級(jí)的所有特性。vTCSECTCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)網(wǎng)絡(luò)安全測(cè)評(píng)的第一個(gè)正式標(biāo)準(zhǔn)是計(jì)算機(jī)網(wǎng)絡(luò)安全測(cè)評(píng)的第一個(gè)正式標(biāo)準(zhǔn)。標(biāo)準(zhǔn)。25級(jí)級(jí)別別名稱名稱特征特征A驗(yàn)證設(shè)計(jì)安全級(jí)驗(yàn)證設(shè)計(jì)安全級(jí)形式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道形

17、式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道分析，非形式化的代碼一致性證明分析，非形式化的代碼一致性證明B3安全域級(jí)安全域級(jí)安全內(nèi)核，高抗?jié)B透能力安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護(hù)級(jí)結(jié)構(gòu)化安全保護(hù)級(jí)面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析B1標(biāo)記安全保護(hù)級(jí)標(biāo)記安全保護(hù)級(jí)在在C2安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記(安安全和屬性全和屬性)，托管訪問控制，托管訪問控制C2訪問控制環(huán)境保護(hù)訪問控制環(huán)境保護(hù)級(jí)級(jí)訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì)訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì)C1選擇性安全保護(hù)級(jí)選擇性安全保護(hù)級(jí)有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶組為單位進(jìn)行保護(hù)戶組為單位進(jìn)行保護(hù)D最低安全保護(hù)級(jí)最低安全保護(hù)級(jí)保護(hù)措施很少，沒有安全功能保護(hù)措施很少，沒有安全功能26網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容v網(wǎng)絡(luò)安全測(cè)評(píng)的內(nèi)容大致有以下幾個(gè)方面：網(wǎng)絡(luò)安全測(cè)評(píng)的內(nèi)容大致有以下幾個(gè)方面：(1)(1)安全策略測(cè)評(píng)安全策略測(cè)評(píng)(2)(2)網(wǎng)絡(luò)物理安全測(cè)評(píng)網(wǎng)絡(luò)物理安全測(cè)評(píng)(3)(