網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全技術(shù)

網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全技術(shù)第一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三第3章網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全技術(shù)【本章提要】Internet安全概述防火墻技術(shù)虛擬專用網(wǎng)入侵檢測(cè)系統(tǒng)計(jì)算機(jī)病毒和計(jì)算機(jī)系統(tǒng)安全第二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.1Internet安全概述

3.1.1OSI模型概述1.OSI模型概述第三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.1.1OSI模型概述2.OSI模型與網(wǎng)絡(luò)攻擊（1）對(duì)OSI物理層的攻擊（2）對(duì)OSI數(shù)據(jù)鏈路攻擊（3）對(duì)OSI網(wǎng)絡(luò)層的攻擊（4）對(duì)OSI傳輸層的攻擊（5）對(duì)OSI會(huì)話層的攻擊（6）對(duì)OSI表現(xiàn)層的攻擊（7）對(duì)OSI應(yīng)用層的攻擊對(duì)應(yīng)用層的攻擊是目前最為嚴(yán)重的攻擊第四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.1.2網(wǎng)絡(luò)層安全1.網(wǎng)絡(luò)層的安全隱患

IP協(xié)議主要存在以下安全威脅：①無法保證數(shù)據(jù)源的正確性；②無法保證數(shù)據(jù)傳輸過程中的完整性；③無法保證數(shù)據(jù)傳輸過程中的保密性第五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.1.2網(wǎng)絡(luò)層安全2.網(wǎng)絡(luò)層安全衛(wèi)士——IPSec協(xié)議第六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.1.3應(yīng)用層安全

如果確實(shí)想要區(qū)分一個(gè)具體文件的不同的安全性要求，那就必須借助于應(yīng)用層的安全性。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。第七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2防火墻

3.2.1防火墻概述

3.2.2防火墻的關(guān)鍵技術(shù)

3.2.3防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)

3.2.4防火墻系統(tǒng)的設(shè)計(jì)

3.2.5選擇防火墻的原則

3.2.6主流防火墻產(chǎn)品介紹

3.2.7防火墻應(yīng)用舉例第八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.1防火墻概述1.防火墻的定義防火墻就是介于內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，根據(jù)企業(yè)的總體安全策略控制（如允許、拒絕）出入內(nèi)部可信任網(wǎng)絡(luò)的信息流，而且防火墻本身具備很強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施第九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.1防火墻概述防火墻邏輯位置圖第十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.1防火墻概述2．防火墻的功能（1）強(qiáng)化公司的安全策略（2）實(shí)現(xiàn)網(wǎng)絡(luò)安全的集中控制（3）實(shí)現(xiàn)網(wǎng)絡(luò)邊界安全（4）記錄網(wǎng)絡(luò)之間的數(shù)據(jù)包第十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.1防火墻概述3．防火墻的擴(kuò)展功能（1）減少可信任網(wǎng)絡(luò)的暴露程度（2）實(shí)現(xiàn)流量控制（3）集成VPN功能（4）雙重DNS（域名服務(wù)）服務(wù)4．防火墻的分類可以分為數(shù)據(jù)包過濾型防火墻、代理服務(wù)型防火墻和狀態(tài)檢測(cè)型防火墻第十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)

1.分組過濾技術(shù)第十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)

1.分組過濾技術(shù)第十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)2.代理服務(wù)器技術(shù)代理的概念對(duì)于防火墻是非常重要的，因?yàn)榇戆丫W(wǎng)絡(luò)IP地址替換成其它的暫時(shí)的地址。這種執(zhí)行對(duì)于互聯(lián)網(wǎng)來說有效地隱藏了真正的網(wǎng)絡(luò)IP地址，因此保護(hù)了整個(gè)網(wǎng)絡(luò)。第十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)代理服務(wù)器工作原理

第十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)電路層代理

第十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.2防火墻的關(guān)鍵技術(shù)3.狀態(tài)檢測(cè)防火墻技術(shù)狀態(tài)檢測(cè)防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和分組，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點(diǎn)的。

第十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.3防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)（1）優(yōu)良的性能（2）可擴(kuò)展的結(jié)構(gòu)和功能（3）簡(jiǎn)化的安裝與管理（4）主動(dòng)過濾（5）防病毒與防黑客第十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.4防火墻系統(tǒng)的設(shè)計(jì)1．屏蔽路由器體系結(jié)構(gòu)第二十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.4防火墻系統(tǒng)的設(shè)計(jì)2．雙重宿主主機(jī)體系結(jié)構(gòu)第二十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.4防火墻系統(tǒng)的設(shè)計(jì)3.被屏蔽主機(jī)體系結(jié)構(gòu)第二十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.4防火墻系統(tǒng)的設(shè)計(jì)4.被屏蔽子網(wǎng)體系結(jié)構(gòu)第二十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.5選擇防火墻的原則

（1）防火墻管理的難易度（2）防火墻自身是否安全（3）系統(tǒng)是否穩(wěn)定（4）是否高效（5）是否可靠（6）功能是否靈活（7）是否可以抵抗拒絕服務(wù)攻擊（8）是否可以針對(duì)用戶身份過濾（9）是否可擴(kuò)展、可升級(jí)第二十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.6主流防火墻產(chǎn)品介紹MicroSoftISA2004FirewallCheckPointFirewall-1AXENTRaptorCyberGuardFirewallCiscoPIXFirewallNAIGauntlet東大阿爾派天融信網(wǎng)絡(luò)衛(wèi)士第二十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例1）ISAServer2004的安裝程序第二十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例2）ISAServer2004的安裝界面第二十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例3）選擇典型安裝第二十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例4）指定內(nèi)部網(wǎng)絡(luò)地址第二十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例4）指定內(nèi)部網(wǎng)絡(luò)地址第三十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例5）允許運(yùn)行早期版本第三十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例6）單擊安裝第三十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例2.配置ISAServer2004服務(wù)器（1）網(wǎng)絡(luò)規(guī)則第三十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例（2）訪問規(guī)則1）新建訪問規(guī)則第三十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例2）允許內(nèi)部客戶訪問外部網(wǎng)絡(luò)第三十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例3）允許符合規(guī)則操作

第三十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例4）選擇此規(guī)則應(yīng)用范圍

第三十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例5）設(shè)定源通訊和目標(biāo)通訊

第三十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例6）指定此規(guī)則應(yīng)用于哪些用戶

第三十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例7）完成訪問規(guī)則的建立

第四十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.2.7防火墻應(yīng)用舉例8）更新規(guī)則集

第四十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3虛擬局域網(wǎng)3.3.1VPN概述3.3.2VPN技術(shù)3.3.3VPN服務(wù)器配置3.3.4IPSec協(xié)議第四十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述1.VPN的概念

VPN是VirtualPrivateNetwork的縮寫，中文譯為虛擬私有網(wǎng)絡(luò)，指的是構(gòu)建在Internet上，使用隧道及加密建立一個(gè)虛擬的、安全的、方便的及擁有自主權(quán)的私人數(shù)據(jù)網(wǎng)絡(luò)。VPN雖然構(gòu)建在公用數(shù)據(jù)網(wǎng)上，但是企業(yè)可以獨(dú)立自主地管理和規(guī)劃自己的網(wǎng)絡(luò)，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸?shù)谒氖?yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述2.VPN的基本用途（1）通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問（2）通過Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連（3）連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)第四十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述3.VPN的組網(wǎng)方式

AccessVPN（遠(yuǎn)程訪問VPN）

IntranetVPN（企業(yè)內(nèi)部VPN）

ExtranetVPN（擴(kuò)展的企業(yè)內(nèi)部VPN）第四十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述（1）AccessVPN（客戶端到網(wǎng)關(guān)VPN）第四十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述（2）IntranetVPN（網(wǎng)關(guān)到網(wǎng)關(guān)VPN）第四十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.1VPN概述（3）ExtranetVPN（網(wǎng)關(guān)到網(wǎng)關(guān)VPN）

第四十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.2VPN技術(shù)1.隧道技術(shù)（1）隧道技術(shù)的基本過程隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是OSI七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，然后在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。

第四十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.2VPN技術(shù)1.隧道技術(shù)（2）隧道協(xié)議

1）點(diǎn)到點(diǎn)隧道協(xié)議——PPTP協(xié)議

2）第二層隧道協(xié)議——L2TP協(xié)議

3）第三層隧道協(xié)議——IPSec協(xié)議第五十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.2VPN技術(shù)2.安全技術(shù)

VPN是在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù)，因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。第五十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置1.VPN服務(wù)器配置步驟1）打開路由與遠(yuǎn)程訪問窗口2）打開配置向?qū)Вx中“虛擬專用網(wǎng)絡(luò)服務(wù)器”第五十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置啟動(dòng)路由與遠(yuǎn)程訪問第五十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置指定為虛擬專用網(wǎng)服務(wù)器第五十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置3）指定VPN服務(wù)器的網(wǎng)絡(luò)連接第五十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置4）指定客戶IP地址分配方式第五十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置5）指定IP地址范圍6）完成最后配置第五十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置2.配置VPN訪問1）打開管理工具中的用戶管理窗口

第五十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置2.配置VPN訪問2）選定各項(xiàng)，完成配置

第五十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置3.配置VPN訪問客戶端1）新建連接第六十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置2）選擇網(wǎng)絡(luò)連接類型第六十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置3）輸入VPN服務(wù)器的IP地址第六十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置4.VPN連接測(cè)試1）打開虛擬連接對(duì)話框，輸入用戶名和密碼

第六十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置4.VPN連接測(cè)試2）開始連接，注冊(cè)計(jì)算機(jī)第六十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.3VPN服務(wù)器配置4.VPN連接測(cè)試3）VPN虛擬連接成功

第六十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.4IPSec協(xié)議IPSec協(xié)議的組成

第六十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.4IPSec協(xié)議2.IPSec的相關(guān)標(biāo)準(zhǔn)IPSec的結(jié)構(gòu)文檔（或基本架構(gòu)文檔）——RFC2401定義了IPSec的基本結(jié)構(gòu)。所有具體的實(shí)施方案均建立在它的基礎(chǔ)之上。它定義了IPSec提供的安全服務(wù)及使用，數(shù)據(jù)包構(gòu)建及處理，以及IPSec處理同策略之間協(xié)調(diào)等等第六十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.4IPSec協(xié)議3.IPSec服務(wù)（1）機(jī)密性保護(hù)（2）完整性保護(hù)及身份驗(yàn)證（3）抗拒絕服務(wù)攻擊DoS（4）防止中間人攻擊（5）完美向前保密第六十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.3.4IPSec協(xié)議4.IPSec的優(yōu)勢(shì)服務(wù)均在IP層提供，無須對(duì)這些應(yīng)用系統(tǒng)和服務(wù)本身做任何修改IPSec對(duì)傳輸層以上的應(yīng)用來說是完全透明的，降低了軟件升級(jí)和用戶培訓(xùn)的開銷IPSec不僅可以實(shí)現(xiàn)密鑰的自動(dòng)管理以降低人工管理密鑰的開銷，而且多種高層協(xié)議和應(yīng)用可以共享由網(wǎng)絡(luò)層提供的密鑰管理結(jié)構(gòu)（IKE），大大降低了密鑰協(xié)商的開銷第六十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4入侵檢測(cè)系統(tǒng)（IDS）

把防火墻比作守衛(wèi)網(wǎng)絡(luò)大門的門衛(wèi)，那么主動(dòng)監(jiān)視內(nèi)部網(wǎng)絡(luò)安全的巡警系統(tǒng)，就是入侵檢測(cè)系統(tǒng)（IDS）3.4.1入侵檢測(cè)概念3.4.2入侵檢測(cè)系統(tǒng)的模型3.4.3入侵檢測(cè)系統(tǒng)的功能3.4.4入侵檢測(cè)系統(tǒng)的分類3.4.5入侵檢測(cè)技術(shù)3.4.6入侵檢測(cè)系統(tǒng)的部署3.4.7入侵檢測(cè)的局限性3.4.8入侵檢測(cè)技術(shù)發(fā)展方向第七十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.1入侵檢測(cè)概念入侵檢測(cè)系統(tǒng)全稱為IntrusionDetectionSystem，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)收集信息，并分析這些信息，利用模式匹配或異常檢測(cè)技術(shù)來檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象第七十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.2入侵檢測(cè)系統(tǒng)的模型第七十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.3入侵檢測(cè)系統(tǒng)的功能1）監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作2）檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞3）對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律4）系統(tǒng)程序和數(shù)據(jù)的一致性與正確性5）識(shí)別攻擊的活動(dòng)模式，并向網(wǎng)管人員報(bào)警6）對(duì)異常活動(dòng)的統(tǒng)計(jì)分析7）操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng)第七十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.4入侵檢測(cè)系統(tǒng)的分類1.基于主機(jī)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)：（1）檢測(cè)準(zhǔn)確率高（2）適用于被加密的以及切換的環(huán)境（3）近于實(shí)時(shí)的檢測(cè)和響應(yīng)（4）不要求額外的硬件設(shè)備（5）能夠檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊（6）監(jiān)視特定的系統(tǒng)活動(dòng)第七十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.4入侵檢測(cè)系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)第七十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.4入侵檢測(cè)系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)：（1）擁有成本較低（2）檢測(cè)基于主機(jī)的系統(tǒng)漏掉的攻擊（3）檢測(cè)未成功的攻擊和不良意圖（4）操作系統(tǒng)無關(guān)性（5）占用資源少第七十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.5入侵檢測(cè)技術(shù)1.模式匹配技術(shù)模式匹配是基于知識(shí)的檢測(cè)技術(shù)，它假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。它的實(shí)現(xiàn)即是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵與正常行為區(qū)分開來。第七十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.5入侵檢測(cè)技術(shù)2.異常發(fā)現(xiàn)技術(shù)異常發(fā)現(xiàn)技術(shù)是基于行為的檢測(cè)技術(shù)，它假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。它根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測(cè)，所以也被稱為基于行為的檢測(cè)第七十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.5入侵檢測(cè)技術(shù)3.完整性分析技術(shù)完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效第七十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.6入侵檢測(cè)系統(tǒng)的部署1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的部署第八十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.6入侵檢測(cè)系統(tǒng)的部署2.基于主機(jī)入侵檢測(cè)系統(tǒng)的部署基于主機(jī)的入侵檢測(cè)系統(tǒng)主要安裝在關(guān)鍵主機(jī)上，這樣可以減少規(guī)劃部署的花費(fèi)，使管理的精力集中在最重要最需要保護(hù)的主機(jī)上。同時(shí)，為了便于對(duì)基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果進(jìn)行及時(shí)檢查，需要對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行集中。第八十一頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.6入侵檢測(cè)系統(tǒng)的部署3.響應(yīng)策略的部署

入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵行為的時(shí)候，需要報(bào)警并進(jìn)行相應(yīng)的反應(yīng)。如何報(bào)警和選取什么樣的報(bào)警，需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。例如，對(duì)于一般性服務(wù)的企業(yè)，報(bào)警主要集中在已知的有威脅的攻擊行為上；關(guān)鍵性服務(wù)企業(yè)則需要將盡可能多的報(bào)警進(jìn)行記錄并對(duì)部分認(rèn)定的報(bào)警進(jìn)行實(shí)時(shí)的反饋。第八十二頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.7入侵檢測(cè)的局限性1.攻擊特征庫(kù)的更新不及時(shí)2.檢測(cè)分析方法單一3.不同的入侵檢測(cè)系統(tǒng)之間不能互操作4.不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作5.結(jié)構(gòu)存在問題第八十三頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.4.8入侵檢測(cè)技術(shù)發(fā)展方向入侵檢測(cè)的發(fā)展趨勢(shì)是朝著深度、廣度、性能和協(xié)同工作幾個(gè)方向發(fā)展：1.高性能的分布式入侵檢測(cè)系統(tǒng)2.智能化入侵檢測(cè)系統(tǒng)3.協(xié)同工作的入侵檢測(cè)系統(tǒng)第八十四頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5計(jì)算機(jī)病毒3.5.1計(jì)算機(jī)病毒概述3.5.2計(jì)算機(jī)病毒檢測(cè)方法3.5.3計(jì)算機(jī)病毒的預(yù)防措施3.5.4病毒舉例第八十五頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.1計(jì)算機(jī)病毒概述1.計(jì)算機(jī)病毒的特征傳染性、破壞性、潛伏性、隱蔽性2.計(jì)算機(jī)病毒的分類（1）按病毒的傳染方式來分：引導(dǎo)型病毒、文件型病毒及混合型病毒三種（2）按病毒的破壞程度來分：良性病毒、惡性病毒、極惡性病毒和災(zāi)難性病毒四種第八十六頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.1計(jì)算機(jī)病毒概述3.計(jì)算機(jī)病毒的命名（1）按病毒發(fā)作的時(shí)間命名如“黑色星期五”（2）按病毒發(fā)作癥狀命名如“火炬”病毒（3）按病毒自身包含的標(biāo)志命名如“CIH”病毒程序首位是CIH（4）按病毒發(fā)現(xiàn)地命名如“維也納”病毒首先在維也納發(fā)現(xiàn)（5）按病毒的字節(jié)長(zhǎng)度命名第八十七頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.1計(jì)算機(jī)病毒概述4.病毒引起的異?，F(xiàn)象1）屏幕顯示異常2）文件的大小和日期動(dòng)態(tài)地發(fā)生變化3）程序裝入時(shí)間增長(zhǎng),文件運(yùn)行速度下降4）系統(tǒng)啟動(dòng)速度比平時(shí)慢5）用戶沒有訪問的設(shè)備出現(xiàn)工作信號(hào)6）出現(xiàn)莫名其妙的文件和壞磁盤分區(qū),卷標(biāo)發(fā)生變化7）系統(tǒng)自行引導(dǎo)或自動(dòng)關(guān)機(jī)8）內(nèi)存空間、磁盤空間減小9）磁盤訪問時(shí)間比平時(shí)增長(zhǎng)10）鍵盤、打印、顯示有異?，F(xiàn)象第八十八頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.2計(jì)算機(jī)病毒檢測(cè)方法

1.特征代碼法檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼2.校驗(yàn)和法定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致3.行為監(jiān)測(cè)法利用病毒的特有行為特征性來監(jiān)測(cè)病毒4.軟件模擬法如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)測(cè)病毒的運(yùn)行，待病毒自身的密碼譯碼后，再運(yùn)用特征代碼法來識(shí)別病毒的種類

第八十九頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.3計(jì)算機(jī)病毒的預(yù)防措施1）購(gòu)置計(jì)算機(jī)系統(tǒng)，用檢測(cè)病毒軟件檢查已知病毒2）新購(gòu)置的硬盤或出廠時(shí)已格式化好的軟盤中可能有病毒3）購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)4）保證硬盤無病毒的情況下,能用硬盤引導(dǎo)啟動(dòng)的,盡量不要用軟盤去啟動(dòng)5）通過設(shè)置CMOS參數(shù),使啟動(dòng)時(shí)直接從硬盤引導(dǎo)啟動(dòng)6）定期與不定期地進(jìn)行磁盤文件備份工作7）在他人機(jī)器上使用過的軟盤要進(jìn)行病毒檢測(cè)第九十頁(yè)，共九十八頁(yè)，編輯于2023年，星期三3.5.3計(jì)算機(jī)病毒的預(yù)防措施8）保留一張不開寫保護(hù)口的、無病毒的、帶有各種DOS命令文件的系統(tǒng)啟動(dòng)軟盤，用于清除病毒和維護(hù)系統(tǒng)9）對(duì)于多