919615-網(wǎng)絡(luò)安全技術(shù)與實(shí)踐-第5章-黑客攻防與檢測(cè)防御

第5章黑客攻防與檢測(cè)防御主編賈鐵軍副主編嵩天俞小怡蘇慶剛沈?qū)W東編著羅宜元王福陳國(guó)秦宋少婷上海市教育高地建設(shè)項(xiàng)目高等院校規(guī)劃教材網(wǎng)絡(luò)安全技術(shù)與實(shí)踐上海市精品課程網(wǎng)絡(luò)安全技術(shù)目錄

5.2黑客攻擊的目的及過程

2

5.3常見黑客攻防技術(shù)

3

5.4網(wǎng)絡(luò)攻擊的防范策略和措施

4

5.1黑客的概念及入侵方式

1

5.5入侵檢測(cè)與防御系統(tǒng)概述

55.6Sniffer網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)

65.7本章小結(jié)

7教學(xué)目標(biāo)

教學(xué)目標(biāo)

●了解黑客攻擊的目的及攻擊步驟●熟悉黑客常用的攻擊方法●理解防范黑客的措施●掌握黑客攻擊過程，并防御黑客攻擊●掌握入侵檢測(cè)與防御系統(tǒng)的概念、功能、特點(diǎn)和應(yīng)用方法重點(diǎn)重點(diǎn)5.1黑客概述5.1.1黑客概念危害及類型

1.

黑客的概念及類型

黑客（Hacker）一詞源于Hack，其起初本意為“干了一件可以炫耀的事”，原指一群專業(yè)技能超群、聰明能干、精力旺盛對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪問的人員。

“駭客”是英文“Cacker”的譯音,意為“破譯者和搞破壞的人”.把“黑客”和“駭客”混為一體.黑客分為紅客、破壞者和間諜三種類型,紅客是指“國(guó)家利益至高無上”的正義“網(wǎng)絡(luò)大俠”;破壞者也稱“駭客”;間諜是指“利益至上”情報(bào)“盜獵者”。

美軍網(wǎng)絡(luò)戰(zhàn)的分司令部多達(dá)541個(gè),未來4年將擴(kuò)編4000人.為強(qiáng)化美國(guó)對(duì)網(wǎng)絡(luò)攻擊的防御能力,計(jì)劃將約900人規(guī)模的網(wǎng)絡(luò)戰(zhàn)司令部在今后4年擴(kuò)編4000人,為此將投入230億美元。案例5-12.黑客的產(chǎn)生與發(fā)展

20世紀(jì)60年代，在美國(guó)麻省理工學(xué)院的人工智能實(shí)驗(yàn)室里，有一群自稱為黑客的學(xué)生們以編制復(fù)雜的程序?yàn)闃啡?，?dāng)初并沒有功利性目的。此后不久，連接多所大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的美國(guó)國(guó)防部實(shí)驗(yàn)性網(wǎng)絡(luò)APARNET建成，黑客活動(dòng)便通過網(wǎng)絡(luò)傳播到更多的大學(xué)乃至社會(huì)。后來，有些人利用手中掌握的“絕技”，借鑒盜打免費(fèi)電話的手法，擅自闖入他人的計(jì)算機(jī)系統(tǒng)，干起隱蔽活動(dòng)。隨著其逐步發(fā)展成為因特網(wǎng)，黑客活動(dòng)天地越來越廣，形成魚目混珠的局面。案例5-25.1黑客概述3.黑客的危害及現(xiàn)狀

黑客猖獗其產(chǎn)業(yè)鏈年獲利上百億.黑客利用木馬程序盜取銀行賬號(hào),信用卡賬號(hào),QQ,網(wǎng)絡(luò)游戲等個(gè)人機(jī)密信息,并從中牟取金錢利益的產(chǎn)業(yè)鏈每年可達(dá)上百億.黑客地下產(chǎn)業(yè)鏈極其龐大且分工明確,黑客產(chǎn)業(yè)鏈大致分為老板,編程者,流量商,盜號(hào)者和販賣商等多個(gè)環(huán)節(jié),產(chǎn)業(yè)鏈如圖5-1所示.互聯(lián)網(wǎng)資源與服務(wù)濫用地下產(chǎn)業(yè)鏈,如圖5-2所示.圖5-1黑客產(chǎn)業(yè)鏈?zhǔn)疽鈭D

案例5-35.1黑客概述5.1.2黑客攻擊的入侵方式

1.

系統(tǒng)漏洞產(chǎn)生的原因

系統(tǒng)漏洞又稱缺陷。漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。產(chǎn)生漏洞的主要原因：1）計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議本身的缺陷。2）系統(tǒng)開發(fā)的缺陷。3）系統(tǒng)配置不當(dāng)。4）系統(tǒng)安全管理中的問題。

其他:協(xié)議、系統(tǒng)、路由、傳輸、DB、技術(shù)、管理及法規(guī)等5.1黑客概述2.黑客攻擊入侵通道—端口

計(jì)算機(jī)通過端口實(shí)現(xiàn)與外部通信的連接/數(shù)據(jù)交換,黑客攻擊是將系統(tǒng)和網(wǎng)絡(luò)設(shè)置中的各種(邏輯)端口作為入侵通道.其端口是指網(wǎng)絡(luò)中面向連接/無連接服務(wù)的通信協(xié)議端口,是一種抽象的軟件結(jié)構(gòu),包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)。端口號(hào)：端口通過端口號(hào)標(biāo)記（只有整數(shù)）,范圍：0~65535（216-1）

目的端口號(hào):用于通知傳輸層協(xié)議將數(shù)據(jù)送給具體處理軟件源端口號(hào)：一般是由操作系統(tǒng)動(dòng)態(tài)生成的號(hào)碼：1024～65535

5.1黑客概述

3.端口分類

按端口號(hào)分布可分為三段：1）公認(rèn)端口

(0～1023),又稱常用端口,為已經(jīng)或?qū)⒁J(rèn)定義的軟件保留的.這些端口緊密綁定一些服務(wù)且明確表示了某種服務(wù)協(xié)議.如80端口表示HTTP協(xié)議(Web服務(wù)).2）注冊(cè)端口

(1024～49151),又稱保留端口,這些端口松散綁定一些服務(wù)。3）動(dòng)態(tài)/私有端口(49152～65535).理論上不為服務(wù)器分配.

按協(xié)議類型將端口劃分為TCP和UDP端口：1）TCP端口需要在客戶端和服務(wù)器之間建立連接,提供可靠的數(shù)據(jù)傳輸.如Telnet服務(wù)的23端口,SMTP默認(rèn)25。2）UDP端口不需要在客戶端和服務(wù)器之間建立連接.常見的端口有DNS服務(wù)的53端口。

討論思考：（1）什么是安全漏洞和隱患？為什么網(wǎng)絡(luò)存在著的安全漏洞和隱患？（2）舉例說明，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的黑客攻擊問題。（3）黑客通道——端口主要有哪些？特點(diǎn)是什么？FTP服務(wù)通過TCP傳輸,默認(rèn)端口20數(shù)據(jù)傳輸,21命令傳輸5.1黑客概述5.2.1黑客攻擊的目的及種類5.2黑客攻擊的目的及過程

最大網(wǎng)絡(luò)攻擊案件幕后黑手被捕.2013年荷蘭男子SK因涉嫌有史以來最大的網(wǎng)絡(luò)攻擊案件而被捕.SK對(duì)國(guó)際反垃圾郵件組織Spamhaus等網(wǎng)站,進(jìn)行了前所未有的一系列的大規(guī)模分布式拒絕服務(wù)攻擊,在高峰期攻擊達(dá)到每秒300G比特率,導(dǎo)致歐洲的某些局部地區(qū)互聯(lián)網(wǎng)緩慢,同時(shí)致使成千上萬相關(guān)網(wǎng)站無法正常運(yùn)行服務(wù)。

黑客攻擊其目的：一是為了得到物質(zhì)利益；是指獲取金錢財(cái)物；二是為了滿足精神需求。是指滿足個(gè)人心理欲望.黑客行為：盜竊資料；攻擊網(wǎng)站；進(jìn)行惡作??；告知漏洞；獲取目標(biāo)主機(jī)系統(tǒng)的非法訪問權(quán)等。從攻擊方式上可以將黑客攻擊大致分為主動(dòng)攻擊和被動(dòng)攻擊兩大類。常見的黑客攻擊方法，主要包括以下6類：①網(wǎng)絡(luò)監(jiān)聽。②計(jì)算機(jī)病毒及密碼攻擊。③網(wǎng)絡(luò)欺騙攻擊。④拒絕服務(wù)攻擊。⑤應(yīng)用層攻擊。⑥緩沖區(qū)溢出。案例5-45.2.2黑客攻擊的過程

黑客攻擊過程不盡一致,但其整個(gè)攻擊過程有一定規(guī)律,一般可分為“攻擊五部曲”。隱藏IP踩點(diǎn)掃描黑客利用程序的漏洞進(jìn)入系統(tǒng)后安裝后門程序，以便日后可以不被察覺地再次進(jìn)入系統(tǒng)。就是隱藏黑客的位置，以免被發(fā)現(xiàn)。通過各種途徑對(duì)所要攻擊目標(biāo)進(jìn)行多方了解,確保信息準(zhǔn)確,確定攻擊時(shí)間和地點(diǎn).篡權(quán)攻擊種植后門隱身退出即獲得管理/訪問權(quán)限,進(jìn)行攻擊。

為避免被發(fā)現(xiàn),在入侵完后及時(shí)清除登錄日志和其他相關(guān)日志,隱身退出.5.2黑客攻擊的目的及過程黑客對(duì)企業(yè)局域網(wǎng)實(shí)施網(wǎng)絡(luò)攻擊的具體過程，如圖5-4所示。

討論思考：（1）黑客攻擊的目的與種類有哪些？（2）黑客確定攻擊目標(biāo)后,將采用哪些攻擊過程？（3）建立說明黑客攻擊的具體步驟？①用Ping查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的IP③用PortScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT④用WWWhack入侵局域網(wǎng)絡(luò)E-mail⑥用Legion掃描局域網(wǎng)⑦植入特洛伊木馬⑤破解Internet賬號(hào)與口令（或密碼）②用IPNetworkBrowser掃描企業(yè)內(nèi)部局域網(wǎng)IP圖5-4黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意框圖5.2黑客攻擊的目的及過程案例5-55.3.1端口掃描攻防端口掃描是管理員發(fā)現(xiàn)系統(tǒng)的安全漏洞，加強(qiáng)系統(tǒng)的安全管理，提高系統(tǒng)安全性能的有效方法。端口掃描成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳手段。1.端口掃描及掃描器（1）端口掃描.是使用端口掃描工具檢查目標(biāo)主機(jī)在哪些端口可建立TCP連接,若可連接，則表明

主機(jī)在那個(gè)端口被監(jiān)聽。（2）掃描器。掃描器也稱掃描工具或掃描軟件,是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。5.3常用黑客攻防技術(shù)5.3.1端口掃描攻防2.端口掃描方式及工具

端口掃描的方式有手工命令行方式和掃描器掃描方式。手工掃描,需要熟悉各種命令,對(duì)命令執(zhí)行后的輸出進(jìn)行分析.如命令:Ping,Tracert,rusers和finger(后兩個(gè)是Unix命令).

掃描器掃描，許多掃描軟件都有分析數(shù)據(jù)的功能。如，SuperScan、AngryIPScanner、、X-Scan、X-Scan、SAINT

(SecurityAdministrator'sIntegratedNetworkTool,安全管理員集成網(wǎng)絡(luò)工具)、Nmap、TCPconnect、TCPSYN

等.5.3常用黑客攻防技術(shù)

圖5-5用X-scan的掃描結(jié)果圖

5-6用Nmap掃描主機(jī)開放的端口5.3.1端口掃描攻防3．端口掃描攻擊類型

端口掃描攻擊采用探測(cè)技術(shù)，可將其用于尋找可以成功攻擊的應(yīng)用及服務(wù)。常用端口掃描攻擊類型包括：①秘密掃描。②SOCKS端口探測(cè)。③跳躍掃描。④UDP掃描。4.防范端口掃描的對(duì)策端口掃描的防范又稱系統(tǒng)“加固”.網(wǎng)絡(luò)的關(guān)鍵處使用防火墻對(duì)來源不明的有害數(shù)據(jù)進(jìn)行過濾,可有效減輕端口掃描攻擊,防范端口掃描的主要方法有兩種：(1)關(guān)閉閑置及有潛在危險(xiǎn)端口方式一：定向關(guān)閉指定服務(wù)的端口。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)為系統(tǒng)分配默認(rèn)的端口，應(yīng)將閑置服務(wù)-端口關(guān)閉。5.3常用黑客攻防技術(shù)

操作方法與步驟：1）打開“控制面板”窗口。2）打開“服務(wù)”窗口?！翱刂泼姘濉薄肮芾砉ぞ摺薄胺?wù)”,選擇DNS。3）關(guān)閉DNS服務(wù)在“DNSClient的屬性”窗口.啟動(dòng)類型項(xiàng):選擇“自動(dòng)”服務(wù)狀態(tài)項(xiàng)：選<停止>-<確定>。在服務(wù)選項(xiàng)中選擇關(guān)閉掉一些沒使用的服務(wù)，如FTP服務(wù)、DNS服務(wù)、IISAdmin服務(wù)等，對(duì)應(yīng)的端口也停用。5.3常用黑客攻防技術(shù)方式二：只開放允許端口.可用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn),設(shè)置時(shí)只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口.

(2)屏蔽出現(xiàn)掃描癥狀的端口檢查各端口，有端口掃描癥狀時(shí)，立即屏蔽該端口。關(guān)閉DNS端口服務(wù)5.3.2網(wǎng)絡(luò)監(jiān)聽及攻防2.嗅探器的功能與部署5.3常用的黑客攻防技術(shù)嗅探器（Sniffer）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地主機(jī)及其他數(shù)據(jù)報(bào)文的一種工具。起初也是一種網(wǎng)絡(luò)管理員診斷網(wǎng)絡(luò)系統(tǒng)的有效工具，也常被黑客利用竊取機(jī)密信息。嗅探器的主要功能包括4個(gè)方面：一是可以解碼網(wǎng)絡(luò)上傳輸?shù)膱?bào)文；二是為網(wǎng)絡(luò)管理員診斷網(wǎng)絡(luò)系統(tǒng)并提供相關(guān)的幫助信息；三是為網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)速度、連通及傳輸?shù)刃阅芴峁﹨⒖?，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸；四是發(fā)現(xiàn)網(wǎng)絡(luò)漏洞及入侵跡象，為入侵檢測(cè)提供重要參考。常用的嗅探軟件：SnifferPro、Wireshark、IRIS等。捕獲后的數(shù)據(jù)包和明文傳送的數(shù)據(jù)包，分別如圖5-9和5-10所示。

圖5-9捕獲后的數(shù)據(jù)包

圖5-10明文傳送的數(shù)據(jù)包5.3.2網(wǎng)絡(luò)監(jiān)聽及攻防3．檢測(cè)防范網(wǎng)絡(luò)監(jiān)聽5.3常用的黑客攻防技術(shù)針對(duì)運(yùn)行監(jiān)聽程序的主機(jī)可以采用多種方法防范。一是用正確的IP地址和錯(cuò)誤的物理地址ping，運(yùn)行監(jiān)聽程序的主機(jī)具有相應(yīng)的響應(yīng)信息提示。二是運(yùn)用虛擬局域網(wǎng)VLAN技術(shù)，可以將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防范絕大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵攻擊。三是以交換式集線器代替共享式集線器，這種方法使單播包只限于在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽，當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast

Packet)和多播包(Multicast

Packet)。四是對(duì)于網(wǎng)絡(luò)信息安全防范的最好的方法是使用加密技術(shù)。五是利用防火墻技術(shù)、六是利用SATAN等系統(tǒng)漏洞檢測(cè)工具，并定期檢查EventLog中的SECLog記錄，查看可疑情況，防止網(wǎng)絡(luò)監(jiān)聽與端口掃描；七是利用網(wǎng)絡(luò)安全審計(jì)或防御新技術(shù)等。5.3.2網(wǎng)絡(luò)監(jiān)聽及攻防

1.網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù),排除網(wǎng)絡(luò)故障的管理工具。5.3常用的黑客攻防技術(shù)

美國(guó)全球監(jiān)聽引發(fā)網(wǎng)絡(luò)空間深刻變化。2013年10月，隨著美國(guó)國(guó)安局監(jiān)聽門事件不斷升級(jí)，眾議院情報(bào)委員會(huì)舉行公開聽證會(huì)。最近，西方媒體披露，美國(guó)國(guó)家安全局在全球約80個(gè)地點(diǎn)的駐外使館都設(shè)有監(jiān)聽站，35國(guó)首腦的電話被監(jiān)聽。其中包括德國(guó)總理默克爾。其他國(guó)家也紛紛譴責(zé)美國(guó)的監(jiān)聽行動(dòng)。墨西哥內(nèi)政部長(zhǎng)稱將自行調(diào)查美方的間諜行為。法國(guó)總統(tǒng)奧朗德稱，“我們不能接受以朋友關(guān)系干涉法國(guó)公民的私人生活”。案例5-65.3.3密碼破解攻防方法1.密碼破解攻擊的方法（1）通過網(wǎng)絡(luò)監(jiān)聽非法竊取密碼。（2）利用釣魚網(wǎng)站欺騙（3）強(qiáng)行破解用戶密碼（4）密碼分析攻擊（5)放置木馬程序5.3常用的黑客攻防技術(shù)2.密碼破解防范對(duì)策計(jì)算機(jī)用戶必須注意的要點(diǎn)“5不要”：①一定不要將密碼寫下來，以免泄露或遺失；②一定不要將密碼保存在電腦或磁盤文件中；③切記不要選取容易猜測(cè)到的信息作為密碼；④一定不要讓別人知道密碼，以免增加不必要的損失或麻煩；⑤切記不要在多個(gè)不同的網(wǎng)銀等系統(tǒng)中使用同一密碼。誤入購(gòu)買機(jī)票釣魚網(wǎng)站，損失近百萬。2013年10月上海市的林先生通過瀏覽網(wǎng)絡(luò)查到一個(gè)可以“低價(jià)購(gòu)買機(jī)票的網(wǎng)站”，不僅被欺騙打開了釣魚網(wǎng)站，還不慎通過點(diǎn)擊“客服咨詢”打開不明鏈接激活木馬程序，致使電腦被黑客遠(yuǎn)程控制，眼看著個(gè)人賬戶內(nèi)的96萬元被洗劫一空。

案例5-75.3.4木馬攻防對(duì)策1．木馬的特點(diǎn)和組成特洛伊木馬（Trojanhorse）簡(jiǎn)稱“木馬”。其名稱源于希臘神話《木馬屠城記》?，F(xiàn)指一些具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊等遠(yuǎn)程控制特殊功能的后門程序。木馬特點(diǎn)：通過偽裝、引誘用戶將其安裝在PC或服務(wù)器上,并具有進(jìn)行遠(yuǎn)程控制和破壞功能特點(diǎn)。一般木馬的執(zhí)行文件較小，若將其捆綁到其他文件上很難發(fā)現(xiàn)。木馬可以利用新病毒或漏洞借助工具一起使用，時(shí)?？梢远氵^多種殺毒軟件，盡管現(xiàn)在很多新版的殺毒軟件，可以查殺木馬，仍需要注意世上根本不存在絕對(duì)的安全.木馬系統(tǒng)組成：一是服務(wù)器程序，二是控制器程序。木馬種類大體可分為：破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬等。有些木馬具有多種功能，如灰鴿子、冰河木馬等。5.3常用的黑客攻防技術(shù)5.3.4

特洛伊木馬攻防2．木馬攻擊途徑及過程

木馬攻擊途徑：在客戶端和服務(wù)端通信協(xié)議的選擇上，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但是，也有一些木馬由于特殊的原因，使用UDP協(xié)議進(jìn)行通訊。

木馬攻擊的基本過程分為6個(gè)步驟：5.3常用的黑客攻防技術(shù)配置木馬傳播木馬運(yùn)行木馬泄露信息建立連接遠(yuǎn)程控制5.3.4

特洛伊木馬攻防2.木馬攻擊途徑及過程

灰鴿子（Hack.Huigezi）木馬產(chǎn)業(yè)鏈活動(dòng)猖獗?；银澴邮且粋€(gè)集多種控制功能于一體的木馬病毒，可以監(jiān)控中毒用戶的一舉一動(dòng)，并可被輕易竊取其賬號(hào)、密碼、照片、重要文件等。甚至還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕，還可監(jiān)控被控電腦上的攝像頭、自動(dòng)開機(jī)（不開顯示器）并利用攝像頭進(jìn)行錄像。到2006年底，“灰鴿子”木馬就已達(dá)6萬多個(gè)變種?？蛻舳撕?jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客?；银澴幽抉R產(chǎn)業(yè)鏈，如圖5-11所示。5.3常用的黑客攻防技術(shù)圖5-11灰鴿子木馬產(chǎn)業(yè)鏈5.3.4

特洛伊木馬攻防3.木馬的防范對(duì)策防范木馬的對(duì)策關(guān)鍵是提高防范意識(shí)，采取切實(shí)可行的有效措施。一是在打開或下載文件之前，一定要確認(rèn)文件的來源是否安全可靠；二是閱讀readme.txt，并注意readme.exe；三是使用殺毒軟件；四是發(fā)現(xiàn)有不正?，F(xiàn)象出現(xiàn)立即掛斷；五是監(jiān)測(cè)系統(tǒng)文件和注冊(cè)表的變化；六是備份文件和注冊(cè)表；七要需要特別注意，不要輕易運(yùn)行來歷不明軟件或從網(wǎng)上下載的軟件，即使通過了一般反病毒軟件的檢查也不要輕易運(yùn)行；八是不要輕易相信熟人發(fā)來的E-Mail不會(huì)有黑客程序；九是不要在聊天室內(nèi)公開自身的E-Mail地址，對(duì)來歷不明的E-Mail應(yīng)立即清除；十是不要隨便下載軟件，特別是不可靠的FTP站點(diǎn)；十一是不要將重要密碼和資料存放在上網(wǎng)的計(jì)算機(jī)中，以免被破壞或竊取?？梢岳?60安全衛(wèi)士等防范查殺木馬。5.3常用的黑客攻防技術(shù)5.3.5拒絕服務(wù)攻防1.拒絕服務(wù)攻擊拒絕服務(wù)是指通過各種手段向某個(gè)Web網(wǎng)站發(fā)送巨量的垃圾郵件或服務(wù)請(qǐng)求等,干擾該網(wǎng)站系統(tǒng)的正常運(yùn)行，導(dǎo)致無法完成應(yīng)有網(wǎng)絡(luò)服務(wù).拒絕服務(wù)按入侵方式可分：資源消耗型、配置修改型、物理破壞型以及服務(wù)利用型。拒絕服務(wù)攻擊（DenialofService，簡(jiǎn)稱DoS）,是指黑客對(duì)攻擊目標(biāo)網(wǎng)站發(fā)送大量的垃圾郵件或服務(wù)請(qǐng)求搶占過多的服務(wù)資源，使系統(tǒng)無法提供正常服務(wù)的攻擊方式。5.3常用的黑客攻防技術(shù)

美國(guó)核武庫(kù)系統(tǒng)每天遭受到數(shù)以百萬計(jì)的攻擊。據(jù)“美國(guó)新聞與世界報(bào)道”2012年3月援引美國(guó)國(guó)家核軍工管理局(NNSA)工作人員的話稱，該局管理核武庫(kù)的計(jì)算機(jī)系統(tǒng)每天遭受到數(shù)以百萬計(jì)的電腦攻擊，核實(shí)驗(yàn)室和能源部也不斷遭受攻擊。案例5-10分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS),指借助于客戶/服務(wù)器技術(shù)，將網(wǎng)絡(luò)系統(tǒng)中的多個(gè)計(jì)算機(jī)進(jìn)行聯(lián)合作為攻擊平臺(tái)，對(duì)一個(gè)或幾個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊原理如圖5-13所示。。

DDoS攻擊的類型.帶寬型攻擊和應(yīng)用型攻擊。

DDoS攻擊的方式.通過使網(wǎng)絡(luò)過載干擾甚至阻斷正常的網(wǎng)絡(luò)通訊；通過向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷；阻斷某一用戶訪問服務(wù)器；阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊.2.常見的拒絕服務(wù)攻擊

1）Flooding攻擊。

2）SYNflood攻擊。

3）LANDattack攻擊。4）ICMPfloods攻擊。5）Applicationlevelfloods攻擊。5.3常用的黑客攻防技術(shù)圖5-14SYNflood攻擊示意圖圖5-13DDoS的攻擊原理5.3.6拒絕服務(wù)攻防3.拒絕服務(wù)攻擊檢測(cè)與防范主要檢測(cè)方法2種：一是異常檢測(cè)分析，二是使用DDoS檢測(cè)工具主要防范策略和方法：①定期掃描及時(shí)發(fā)現(xiàn)并處理漏洞.要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,及時(shí)安裝系統(tǒng)補(bǔ)丁程序,對(duì)新出現(xiàn)的漏洞及時(shí)處理.

②利用網(wǎng)絡(luò)安全設(shè)備(如防火墻、防御系統(tǒng))等加固網(wǎng)絡(luò)系統(tǒng)的安全性,在網(wǎng)絡(luò)骨干節(jié)點(diǎn)配置防火墻以抵御DDoS和其他一些攻擊。③在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁用不必要的網(wǎng)絡(luò)服務(wù)或端口；④與網(wǎng)絡(luò)服務(wù)提供商合作協(xié)調(diào)工作，幫助用戶實(shí)現(xiàn)路由的訪問控制和對(duì)帶寬總量的限制；⑤當(dāng)發(fā)現(xiàn)主機(jī)正在遭受DDoS時(shí)，應(yīng)當(dāng)啟動(dòng)應(yīng)對(duì)策略，盡快追蹤審計(jì)攻擊包，并及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響系統(tǒng)，確定涉及的有關(guān)節(jié)點(diǎn)，限制已知攻擊節(jié)點(diǎn)的流量；⑥對(duì)于潛在的DDoS隱患應(yīng)當(dāng)及時(shí)清除，以免后患。5.3常用的黑客攻防技術(shù)5.3.6緩沖區(qū)溢出攻防方法1.緩沖區(qū)溢出

緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)時(shí)，超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。

緩沖區(qū)溢出的原理.是由于字符串處理函數(shù)(gets,strcpy等)沒有對(duì)數(shù)組的越界監(jiān)視和限制,結(jié)果覆蓋了老堆棧數(shù)據(jù).2.緩沖區(qū)溢出攻擊指通過向緩沖區(qū)寫入超長(zhǎng)度內(nèi)容造成緩沖區(qū)溢出,破壞程序的堆棧.使程序轉(zhuǎn)而執(zhí)行其他指令/使黑客取得程序控制權(quán).

3．緩沖區(qū)溢出攻擊的防范方法

1）編寫程序中應(yīng)時(shí)刻注意的問題。

2）改進(jìn)編譯器。

3）利用人工智能的方法檢查輸入字段。4）程序指針完整性檢查。

5.3常用的黑客攻防技術(shù)5.3.7其他攻防技術(shù)1.WWW的欺騙技術(shù)

WWW的欺騙是指黑客篡改訪問站點(diǎn)頁(yè)面或?qū)⒂脩粢獮g覽的網(wǎng)頁(yè)URL改寫為指向黑客的服務(wù)器。“網(wǎng)絡(luò)釣魚”（Phishing）是指利用欺騙性很強(qiáng)、偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng),目的在于釣取用戶的賬戶資料,假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益.可被用作網(wǎng)絡(luò)釣魚的攻擊技術(shù)有：URL編碼結(jié)合釣魚技術(shù)，Web漏洞結(jié)合釣魚技術(shù),偽造Email地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。

防范攻擊可以分為兩個(gè)方面：其一對(duì)釣魚攻擊利用的資源進(jìn)行限制。如Web漏洞是Web服務(wù)提供商可直接修補(bǔ)；郵件服務(wù)商可使用域名反向解析郵件發(fā)送服務(wù)，提醒用戶是否收到匿名郵件;其二及時(shí)修補(bǔ)漏洞.如瀏覽器漏洞,須打上補(bǔ)丁.5.3常用的黑客攻防技術(shù)5.3.7其他攻防技術(shù)2.電子郵件攻擊

電子郵件欺騙是攻擊方式之一，攻擊者佯稱自己為系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令，或在貌似正常的附件中加載病毒或其他木馬程序,這類欺騙只要用戶提高警惕,一般危害性不是太大。

防范電子郵件攻擊的方法：1)解除電子郵件炸彈。2)拒收某用戶信件方法。3．通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)4．利用缺省帳號(hào)進(jìn)行攻擊

5.3常用的黑客攻防技術(shù)

討論思考：（1）常用的黑客攻擊方法具體有哪些？（2）針對(duì)黑客攻擊常用的防范策略是什么？5.4.1防范攻擊的策略在主觀上重視，客觀上積極采取措施。制定規(guī)章制度和管理制度，普及網(wǎng)絡(luò)安全教育，使用戶需要掌握網(wǎng)絡(luò)安全知識(shí)和有關(guān)的安全策略。在管理上應(yīng)當(dāng)明確安全對(duì)象，建立強(qiáng)有力的安全保障體系，按照安全等級(jí)保護(hù)條例對(duì)網(wǎng)絡(luò)實(shí)施保護(hù)與監(jiān)督。認(rèn)真制定有針對(duì)性的防攻措施，采用科學(xué)的方法和行之有效的技術(shù)手段，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，使每一層都成為一道關(guān)卡,從而讓攻擊者無隙可鉆、無計(jì)可使.在技術(shù)上要注重研發(fā)新方法，同時(shí)還必須做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份（如主機(jī)系統(tǒng)日志）、關(guān)閉不用的主機(jī)服務(wù)端口、終止可疑進(jìn)程和避免使用危險(xiǎn)進(jìn)程、查詢防火墻日志詳細(xì)記錄、修改防火墻安全策略等。5.4防范攻擊的策略和措施5.4.2網(wǎng)絡(luò)攻擊的防范措施①提高安全防范意識(shí)，注重安全防范管理和措施。②應(yīng)當(dāng)及時(shí)下載、更新、安裝系統(tǒng)漏洞補(bǔ)丁程序。③盡量避免從Internet下載無法確認(rèn)安全性的軟件、歌曲、游戲等。④不要隨意打開來歷不明的電子郵件及文件、運(yùn)行不熟悉的人給用戶的程序或鏈接。⑤不隨便運(yùn)行黑客程序,不少這類程序運(yùn)行時(shí)會(huì)發(fā)出用戶的個(gè)人信息.⑥在支持HTML的BBS上,如發(fā)現(xiàn)提交警告,先看源代碼,預(yù)防騙取密碼。⑦設(shè)置安全密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼經(jīng)常更換。⑧使用防病毒、防黑客等防火墻軟件，以阻檔外部網(wǎng)絡(luò)的侵入。⑨隱藏自已的IP地址。可采取的方法有：使用代理服務(wù)器進(jìn)行中轉(zhuǎn)，用戶上網(wǎng)聊天、BBS等不會(huì)留下自身的IP；使用工具軟件，如NortonIntemetSecurity來隱藏主機(jī)地址,避免在BBS和聊天室暴露個(gè)人信息⑩切實(shí)做好端口防范.在安裝端口監(jiān)視程序同時(shí),將不用端口關(guān)閉。?加強(qiáng)IE瀏覽器對(duì)網(wǎng)頁(yè)的安全防護(hù)。?上網(wǎng)前備份注冊(cè)表,許多黑客攻擊會(huì)對(duì)系統(tǒng)注冊(cè)表進(jìn)行修改.?加強(qiáng)管理。將防病毒、防黑客形成慣例，當(dāng)成日常例性工作.

5.4防范攻擊的策略和措施5.4防范攻擊的策略和措施通過對(duì)IE屬性設(shè)置提高IE訪問網(wǎng)頁(yè)的安全性方法：

①提高IE安全級(jí)別。操作方法：打開IE→“工具”→“Internet選項(xiàng)”→“安全”→“Internet區(qū)域”，將安全級(jí)別設(shè)置為“高”。

②禁止ActiveX控件和JavaApplets的運(yùn)行。操作方法：打開IE→“工具”→“Intemet選項(xiàng)”→“安全”→“自定義級(jí)別”，在“安全設(shè)置”對(duì)話框中找到ActiveX控件相關(guān)的設(shè)置，將其設(shè)為“禁用”或“提示”即可。

③禁止Cookie。由于許多網(wǎng)站利用Cookie記錄網(wǎng)上客戶的瀏覽行為及電子郵件地址等信息,為確保個(gè)人隱私信息的安全,可將其禁用.操作方法：在任一網(wǎng)站上選擇“工具”→“Internet選項(xiàng)”→“安全”→“自定義級(jí)別”，在“安全設(shè)置”對(duì)話框中找到Cookie相關(guān)的設(shè)置，將其設(shè)為“禁用”或“提示”即可。④將黑客網(wǎng)站列入黑名單,將其拒之門外.操作方法：在任一網(wǎng)站上選擇“工具”→“Internet選項(xiàng)”→“內(nèi)容”→“分級(jí)審查”→“啟用”，在“分級(jí)審查”對(duì)話框的“許可站點(diǎn)”下輸入黑客網(wǎng)站地址，并設(shè)為“從不”即可。及時(shí)安裝補(bǔ)丁程序,以強(qiáng)壯IE。應(yīng)及時(shí)利用微軟網(wǎng)站提供的補(bǔ)丁程序來消除這些漏洞，提高IE自身的防侵入能力。

討論思考：

1.為什么要防范黑客攻擊？如何防范黑客攻擊？2.簡(jiǎn)述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？3.說出幾種通過對(duì)IE屬性的設(shè)置來提高IE訪問網(wǎng)頁(yè)的安全性具體措施？5.5.1入侵檢測(cè)系統(tǒng)的概念1.入侵檢測(cè)的概念

“入侵”是一個(gè)廣義上的概念，指任何威脅和破壞系統(tǒng)資源的行為。實(shí)施入侵行為的“人”稱為入侵者或攻擊者。攻擊是入侵者進(jìn)行入侵所采取的技術(shù)手段和方法。

入侵的整個(gè)過程(包括入侵準(zhǔn)備、進(jìn)攻、侵入)都伴隨著攻擊有時(shí)也把入侵者稱為攻擊者。

入侵檢測(cè)（IntrusionDetection，ID）是指通過對(duì)行為、安全日志、審計(jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或企圖的過程。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.1入侵檢測(cè)系統(tǒng)的概念2.入侵檢測(cè)系統(tǒng)概述（1）入侵檢測(cè)系統(tǒng)的概念

入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS),是可對(duì)入侵自動(dòng)進(jìn)行檢測(cè)、監(jiān)控和分析的軟件與硬件的組合系統(tǒng),是一種自動(dòng)監(jiān)測(cè)信息系統(tǒng)內(nèi)、外入侵的安全系統(tǒng)。IDS通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

（2）入侵檢測(cè)系統(tǒng)產(chǎn)生與發(fā)展（3）入侵檢測(cè)系統(tǒng)的架構(gòu)

5.5入侵檢測(cè)與防御系統(tǒng)概述圖5-15入侵檢測(cè)系統(tǒng)通用架構(gòu)5.5.2入侵檢測(cè)系統(tǒng)的功能及分類1.IDS的構(gòu)成及分析方法IDS主要由事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)、響應(yīng)單元等構(gòu)成.常用的入侵檢測(cè)系統(tǒng)的分析方法主要有三種：①模式匹配。②統(tǒng)計(jì)分析。③完整性分析。2.IDS的主要功能1）對(duì)已知攻擊特征的識(shí)別。2）對(duì)異常行為的分析、統(tǒng)計(jì)與響應(yīng)。3)對(duì)網(wǎng)絡(luò)流量的跟蹤與分析。4）實(shí)現(xiàn)特征庫(kù)的在線升級(jí)。5）對(duì)數(shù)據(jù)文件的完整性檢驗(yàn)。6）系統(tǒng)漏洞的預(yù)報(bào)警功能。7）自定義特征的響應(yīng)。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.4入侵及防御系統(tǒng)概述3.IDS的主要分類

按照檢測(cè)對(duì)象(數(shù)據(jù)來源)分:基于主機(jī)、基于網(wǎng)絡(luò)和分布式(混合型)(1)基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）HIDS是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。HIDS一般是保護(hù)所在的系統(tǒng)，經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)上，監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。

優(yōu)點(diǎn)：對(duì)分析“可能的攻擊行為”有用。與NIDS相比通常能夠提供更詳盡的相關(guān)信息,誤報(bào)率低,系統(tǒng)的復(fù)雜性少。

弱點(diǎn)：HIDS安裝在需要保護(hù)的設(shè)備上,會(huì)降低應(yīng)用系統(tǒng)的效率,也會(huì)帶來一些額外的安全問題.另一問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力,若服務(wù)器沒有配置日志功能,則必須重新配置,這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。5.5入侵檢測(cè)與防御系統(tǒng)概述(2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）

NIDS又稱嗅探器,通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的偵聽采集數(shù)據(jù),分析可疑現(xiàn)象(將NIDS放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流).該類系統(tǒng)一般被動(dòng)地在網(wǎng)絡(luò)上監(jiān)聽整個(gè)網(wǎng)絡(luò)上的信息流，通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)行分析，檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵，如圖4-8示。5.5入侵檢測(cè)與防御系統(tǒng)概述圖5-16基于網(wǎng)絡(luò)的入侵檢測(cè)過程（3）分布式入侵檢測(cè)系統(tǒng)

分布式入侵檢測(cè)系統(tǒng)DIDS是將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成一起,即混合型入侵檢測(cè)系統(tǒng).系統(tǒng)一般由多個(gè)部件組成，分布在網(wǎng)絡(luò)的各個(gè)部分，完成相應(yīng)的功能，分別進(jìn)行數(shù)據(jù)采集、分析等。通過中心的控制部件進(jìn)行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報(bào)警等。在這種結(jié)構(gòu)下，不僅可以檢測(cè)到針對(duì)單獨(dú)主機(jī)的入侵，同時(shí)也可以檢測(cè)到針對(duì)整個(gè)網(wǎng)絡(luò)上的主機(jī)入侵。其他分類方法：

1）按照體系結(jié)構(gòu)分為：集中式和分布式。2）按照工作方式分為：離線檢測(cè)和在線檢測(cè)。3）按照所用技術(shù)分為：特征檢測(cè)和異常檢測(cè)。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.3常見的入侵檢測(cè)方法1.特征檢測(cè)的概念

特征檢測(cè)又稱誤用檢測(cè)（Misusedetection）是指將正常行為特征表示的模式與黑客的異常行為特征進(jìn)行分析、辨識(shí)和檢測(cè)的過程。IDS可以對(duì)黑客已知的異常攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式，無法檢測(cè)出新的入侵行為。當(dāng)被審計(jì)檢測(cè)的事件與已知的入侵事件模式相匹配時(shí)，系統(tǒng)立即響應(yīng)并進(jìn)行報(bào)警。2.特征檢測(cè)的類型入侵檢測(cè)系統(tǒng)對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是其核心功能。從技術(shù)上,入侵檢測(cè)分為兩類：一種基于標(biāo)志(signature-based),另一種基于異常情況（anomaly-based）。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.3常見的入侵檢測(cè)方法3.異常檢測(cè)的常用方法

異常檢測(cè)（Anomalydetection）是指假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)的特征檢測(cè).根據(jù)這一原理建立主體正?；顒?dòng)的特征庫(kù),將當(dāng)前主體的活動(dòng)狀況與特征庫(kù)相比較,當(dāng)違反其統(tǒng)計(jì)模型時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為.異常檢測(cè)的難題在于建立特征庫(kù)和設(shè)計(jì)統(tǒng)計(jì)模型.從而不將正常的操作作為“入侵”/忽略真正“入侵”行為。常用的5種入侵檢測(cè)統(tǒng)計(jì)模型為：①操作模型;②方差.③多元模型;④馬爾柯夫過程模型。⑤時(shí)間序列分析。常用的異常檢測(cè)方法包括：①基于貝葉斯推理檢測(cè)法。②基于特征選擇檢測(cè)法。③基于貝葉斯網(wǎng)絡(luò)檢測(cè)法。④基于模式預(yù)測(cè)的檢測(cè)法。⑤基于統(tǒng)計(jì)的異常檢測(cè)法。⑥基于機(jī)器學(xué)習(xí)檢測(cè)法。⑦數(shù)據(jù)挖掘檢測(cè)法。⑧基于應(yīng)用模式的異常檢測(cè)法。⑨基于文本分類的異常檢測(cè)法。

5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.4入侵防御系統(tǒng)概述1.入侵防御系統(tǒng)的概念（1）入侵防御系統(tǒng)的概念

入侵防御系統(tǒng)

(IntrusionPreventSystem，IPS)是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)信息傳輸行為，及時(shí)的中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)信息傳輸行為.如同IDS一樣,專門深入網(wǎng)路數(shù)據(jù)內(nèi)部查找攻擊代碼特征,過濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進(jìn)行記載,以便事后分析。

（2）入侵防御系統(tǒng)IPS的種類按其用途可以劃分為三種類型：①基于主機(jī)的入侵防御系統(tǒng)HIPS。②基于網(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS。是IPS與防火墻的集成,為了提高其使用效率,應(yīng)采用信息流通過的方式。受保護(hù)的信息流應(yīng)代表向網(wǎng)絡(luò)系統(tǒng)或從中發(fā)出的數(shù)據(jù),且要求：一是指定的網(wǎng)絡(luò)領(lǐng)域中，需要高度的安全和保護(hù)，二是該網(wǎng)絡(luò)領(lǐng)域中存在極可能發(fā)生的內(nèi)部爆發(fā)配置地址，三是可以有效地將網(wǎng)絡(luò)劃分成最小的保護(hù)區(qū)域，并能提供最大范圍的有效覆蓋率。③分布式入侵防御系統(tǒng)DIPS。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.4入侵防御系統(tǒng)概述（3）入侵防御系統(tǒng)IPS的工作原理IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理，如圖5-17所示。主要利用多個(gè)IPS的過濾器，當(dāng)新的攻擊手段被發(fā)現(xiàn)后，就會(huì)創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。針對(duì)不同攻擊行為,IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容分類時(shí)，過濾引擎還要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析,以提高過濾準(zhǔn)確性.5.5入侵檢測(cè)與防御系統(tǒng)概述圖5-17IPS的工作原理（4）IPS應(yīng)用及部署

IPS的關(guān)鍵技術(shù)包括:集成全球和本地主機(jī)訪問控制、IDS、全球和本地安全策略、風(fēng)險(xiǎn)管理軟件和支持全球訪問并用于管理IPS的控制臺(tái)。類似IDS，通常使用更為先進(jìn)的入侵檢測(cè)技術(shù)，如試探式掃描、內(nèi)容檢查、狀態(tài)和行為分析，同時(shí)還結(jié)合常規(guī)的侵入檢測(cè)技術(shù)如基于簽名的檢測(cè)和異常檢測(cè)。H3CSecBladeIPS入侵防御系統(tǒng)。是一款高性能入侵防御模塊,可應(yīng)用于多種路由器,集成入侵防御/檢測(cè)、病毒過濾和帶寬管理等功能。通過深達(dá)7層的分析與檢測(cè),實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為,并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù).IPS部署交換機(jī)的應(yīng)用如圖5-18所示,IPS部署路由器的應(yīng)用,如圖5-19所示。5.5入侵檢測(cè)與防御系統(tǒng)概述

圖5-18IPS部署交換機(jī)的應(yīng)用

圖5-19IPS部署路由器的應(yīng)用案例5-125.5.4入侵防御系統(tǒng)概述3.防火墻、IDS與IPS的區(qū)別

IDS核心價(jià)值在于通過對(duì)全網(wǎng)信息分析,了解信息系統(tǒng)的安全狀況,進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵防御系統(tǒng)的核心價(jià)值在于安全策略的實(shí)施，阻擊黑客行為；入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)。入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界,抵御來自外部的入侵,對(duì)內(nèi)部攻擊行為無能為力。

防火墻是實(shí)施訪問控制策略的系統(tǒng)，對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測(cè)技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說，在攻擊實(shí)際發(fā)生之前，IDS往往無法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng)

(IPS)則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中.這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都可在IPS設(shè)備中被清除掉。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.5入侵檢測(cè)及防御技術(shù)的發(fā)展趨勢(shì)1.入侵檢測(cè)及防御技術(shù)發(fā)展趨勢(shì)

三個(gè)方向發(fā)展：1）分布式入侵檢測(cè)：第一層含義，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；第二層含義即使用分布式的方法來檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。2）智能化入侵檢測(cè):使用智能化的方法與手段進(jìn)行入侵檢測(cè).3）全面的安全防御方案：2.統(tǒng)一威脅管理

統(tǒng)一威脅管理(UnifiedThreatManagement,UTM),2004年9月,全球著名市場(chǎng)咨詢顧問機(jī)構(gòu)—IDC(國(guó)際數(shù)據(jù)公司),首度提出此概念，將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理。5.5入侵檢測(cè)與防御系統(tǒng)概述5.5.5入侵檢測(cè)及防御技術(shù)的發(fā)展趨勢(shì)

（1）UTM重要特點(diǎn)1）建一個(gè)更高、更強(qiáng)、更可靠的墻,除了傳統(tǒng)的訪問控制之外,防火墻還應(yīng)該對(duì)防垃圾郵件、拒絕服務(wù)、黑客攻擊等這樣的一些外部的威脅起到綜合檢測(cè)網(wǎng)絡(luò)全協(xié)議層防御；2）用高檢測(cè)技術(shù)降低誤報(bào)；3）用高可靠、高性能的硬件平臺(tái)支撐。

UTM優(yōu)點(diǎn):整合使成本降低、信息安全工作強(qiáng)度降低、技術(shù)復(fù)雜度降低。（2）UTM的技術(shù)架構(gòu)

1）完全性內(nèi)容保護(hù)（CompleteContentProtection，CCP）,對(duì)OSI模型中描述的所有層次的內(nèi)容進(jìn)行處理；2）緊湊型模式識(shí)別語言（CompactPatternRecognitionLanguage，CPRL）,是為了快速執(zhí)行完全內(nèi)容檢測(cè)而設(shè)計(jì)的。3）動(dòng)態(tài)威脅防護(hù)系統(tǒng)（DynamicThreatPreventionSystem）,是在傳統(tǒng)的模式檢測(cè)技術(shù)上結(jié)合未知威脅處理的防御體系.動(dòng)態(tài)威脅防護(hù)系統(tǒng)可以將信息在防病毒、防火墻和入侵檢測(cè)等子模塊之間共享使用,以達(dá)到檢測(cè)準(zhǔn)確率和有效性的提升。這種技術(shù)是業(yè)界領(lǐng)先的一種處理技術(shù)，也是對(duì)傳統(tǒng)安全威脅檢測(cè)技術(shù)的一種顛覆。5.5入侵檢測(cè)與防御系統(tǒng)概述

討論思考：（1）入侵檢測(cè)系統(tǒng)及防御系統(tǒng)的主要功能是什么？（2）計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅類型有哪些？（3）入侵檢測(cè)及防御技術(shù)發(fā)展的趨勢(shì)。5.5入侵檢測(cè)與防御系統(tǒng)概述5.6Sniffer檢測(cè)實(shí)驗(yàn)5.6.1

實(shí)驗(yàn)?zāi)康睦肧niffer軟件捕獲網(wǎng)絡(luò)信息數(shù)據(jù)包，然后通過解碼進(jìn)行檢測(cè)分析。學(xué)會(huì)利用網(wǎng)絡(luò)安全檢測(cè)工具的實(shí)際操作方法，具體進(jìn)行檢測(cè)并寫出結(jié)論。5.6.2實(shí)驗(yàn)要求及方法1.實(shí)驗(yàn)環(huán)境

（1）硬件：三臺(tái)PC計(jì)算機(jī)。單機(jī)基本配置參見教材表5-1。

（2）軟件：Windows2008ServerSP4以上；Sniffer軟件。2．注意事項(xiàng)本實(shí)驗(yàn)是在虛擬實(shí)驗(yàn)環(huán)境下完成，如要在真實(shí)的環(huán)境下完成，則網(wǎng)絡(luò)設(shè)備應(yīng)該選擇集線器或交換機(jī)。如果是交換機(jī)，則在C機(jī)上要做端口鏡像。5.6Sniffer檢測(cè)實(shí)驗(yàn)3.實(shí)驗(yàn)方法

三臺(tái)PC機(jī)的IP地址及任務(wù)分配見表5-2所示。實(shí)驗(yàn)用時(shí)：2學(xué)時(shí)（90-120分鐘）。表5-1實(shí)驗(yàn)設(shè)備基本配置要求5-2三臺(tái)PC機(jī)的IP地址及任務(wù)分配設(shè)備名

稱設(shè)備IP地址任務(wù)分配內(nèi)存1G以上A機(jī)用戶Zhao利用此機(jī)登陸到FTP服務(wù)器CPU2G以上B機(jī)已經(jīng)搭建好的FTP服務(wù)器硬盤40G以上C機(jī)用戶Tom在此機(jī)利用Sniffer軟件捕獲

Zhao的賬號(hào)和密碼5.6Sniffer檢測(cè)實(shí)驗(yàn)5.6.3

實(shí)驗(yàn)內(nèi)容及步驟1.實(shí)驗(yàn)內(nèi)容

3臺(tái)PC機(jī),其中用戶Zhao用已建好的賬號(hào)在A機(jī)上登錄到B機(jī)已搭建好的FTP服務(wù)器,用戶Tom在此機(jī)用Sniffer軟件捕獲Zhao的賬號(hào)和密碼。2.實(shí)驗(yàn)步驟（1）在C機(jī)上安裝Sniffer軟件。啟動(dòng)Sniffer進(jìn)入主窗口,見圖4-9所示。（2）在進(jìn)行流量捕捉前,先選網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)適配器上接收數(shù)據(jù),并把網(wǎng)卡設(shè)成混雜模式.就是把所有數(shù)據(jù)包接收后放入內(nèi)存進(jìn)行分析.設(shè)置方法:單擊File→SelectSettings命令,在彈出的對(duì)話框中設(shè)置,見圖4-10所示。5.6Sniffer檢測(cè)實(shí)驗(yàn)2.實(shí)驗(yàn)步驟（3）新建一個(gè)過濾器。設(shè)置方法為：1）單擊“Capture”→“DefineFilter”命令進(jìn)入DefineFilter–Capture窗口。2）單擊<Profiles>命令，打開CaptureProfiles對(duì)話框；單擊<New>按鈕。在NewProfilesName文本框中輸入ftp_test;單擊<OK>按鈕。在CaptureProfiles對(duì)話框中單擊<Done>按鈕。圖5-22新建過濾器窗口之一5.6Sniffer檢測(cè)實(shí)驗(yàn)2.實(shí)驗(yàn)步驟（4）在“DefineFilter”對(duì)話框的Address選項(xiàng)卡中，設(shè)置地址的類型為IP，并在Station1和Station2中分別制定要捕獲的地址對(duì)，如圖5-23所示。圖5-23設(shè)置地址類型為IP5.6Sniffer檢測(cè)實(shí)驗(yàn)2.實(shí)驗(yàn)步驟（5）在“DefineFilter”對(duì)話框的Advanced選項(xiàng)卡中，指定要捕獲的協(xié)議為FTP。（6）主窗口中，選擇過濾器為ftp_test，然后單擊“Capture”→“Start”，開始進(jìn)行捕獲。（7）用戶Zhao在A機(jī)上登錄到FTP服務(wù)器。（8）當(dāng)用戶用名字Zhao及密碼登錄成功時(shí)，Sniffer的工具欄會(huì)顯示捕獲成功的標(biāo)志。（9）利用專家分析系統(tǒng)進(jìn)行解碼分析，可以得到基本信息，如用戶名、客戶端IP等。5.7本章小結(jié)

本章概述了黑客的概念、形成與發(fā)展，簡(jiǎn)單介紹黑客產(chǎn)生的原因、攻擊的方法、步驟；重點(diǎn)介紹常見的黑客攻防技術(shù)，包括網(wǎng)絡(luò)端口掃描攻防、網(wǎng)絡(luò)監(jiān)聽攻防、密碼破解攻防、特洛伊木馬攻防、緩沖區(qū)溢出攻防、拒絕服務(wù)攻擊和其他攻防技術(shù)；同時(shí)討論了防范攻擊的具體措施和步驟；最后，概述了入侵檢測(cè)系統(tǒng)的概念、功能、特點(diǎn)、分類、檢測(cè)過程、常用檢測(cè)技術(shù)和方法、實(shí)用入侵檢測(cè)系統(tǒng)、統(tǒng)一威脅管理和入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)等。教學(xué)目標(biāo)教學(xué)目標(biāo)●掌握網(wǎng)絡(luò)安全的概念、目標(biāo)和內(nèi)容●理解網(wǎng)絡(luò)安全面臨的威脅及脆弱性●掌握網(wǎng)絡(luò)安全技術(shù)概念、種類和模型●理解網(wǎng)絡(luò)安全研究現(xiàn)狀與趨勢(shì)●了解物理（實(shí)體安全）與隔離技術(shù)●了解構(gòu)建虛擬局域網(wǎng)VLAN方法重點(diǎn)上海市重點(diǎn)課程建設(shè)項(xiàng)目重點(diǎn)1.1網(wǎng)絡(luò)安全概念及內(nèi)容

全球重大數(shù)據(jù)泄露事件頻發(fā)，針對(duì)性攻擊持續(xù)增多。根據(jù)賽門鐵克2013年10月的《安全分析報(bào)告》，發(fā)現(xiàn)全球近幾年最嚴(yán)重的一起重大數(shù)據(jù)泄露事件，已造成1.5億用戶的個(gè)人資料被泄露，到目前為止所知的數(shù)據(jù)泄露事件中，被泄露最多的信息為用戶的真實(shí)姓名、證件賬號(hào)(如社會(huì)保險(xiǎn)卡卡號(hào))和出生日期等重要信息，而且各種有針對(duì)性的攻擊也持續(xù)增多。1.1.1網(wǎng)絡(luò)安全的概念及目標(biāo)

案例1-11.信息安全與網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)信息安全定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然及惡意的原因而遭到破壞、更改和泄漏。我國(guó)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》將信息安全定義為：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行。主要防止信息被非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)與控制，確保信息的完整性、保密性、可用性和可控性。主要涉及物理（實(shí)體）安全、運(yùn)行（系統(tǒng)）安全與信息（數(shù)據(jù)）安全三個(gè)層面，如圖1-1所示。1.1網(wǎng)絡(luò)安全概念及內(nèi)容圖1-1一種信息安全的層次模型

1.1.1網(wǎng)絡(luò)安全的概念及目標(biāo)

計(jì)算機(jī)網(wǎng)絡(luò)安全（ComputerNetworkSecurity）簡(jiǎn)稱網(wǎng)絡(luò)安全，是指利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、管理、控制和措施，保證網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)（信息）的保密性、完整性、網(wǎng)絡(luò)服務(wù)可用性、可控性和可審查性受到保護(hù)。即保證網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源得到完整、準(zhǔn)確、連續(xù)運(yùn)行與服務(wù)不受干擾破壞和非授權(quán)使用。狹義上，網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和數(shù)據(jù)（信息）資源不受有害因素的威脅和危害。廣義上，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)信息安全屬性特征（保密性、完整性、可用性、可控性、可審查性）的相關(guān)知識(shí)、技術(shù)、管理、理論和方法等，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。1.1網(wǎng)絡(luò)安全概念及內(nèi)容1.1.1網(wǎng)絡(luò)安全的概念及目標(biāo)2.網(wǎng)絡(luò)安全的目標(biāo)及特征網(wǎng)絡(luò)安全問題包括兩方面的內(nèi)容，一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息（數(shù)據(jù)）安全，而網(wǎng)絡(luò)安全的最終目標(biāo)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的信息（數(shù)據(jù)）安全。網(wǎng)絡(luò)安全的目標(biāo)是指計(jì)算機(jī)網(wǎng)絡(luò)在信息的采集、存儲(chǔ)、處理與傳輸?shù)恼麄€(gè)過程中，根據(jù)安全需求，達(dá)到相應(yīng)的物理上及邏輯上的安全防護(hù)、監(jiān)控、反應(yīng)恢復(fù)和對(duì)抗的能力。網(wǎng)絡(luò)安全的最終目標(biāo)就是通過各種技術(shù)與管理手段，實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的保密性、完整性、可用性、可控性和可審查性。其中保密性、完整性、可用性是網(wǎng)絡(luò)安全的基本要求。網(wǎng)絡(luò)信息安全5大要素,反映了網(wǎng)絡(luò)安全的特征和目標(biāo)要求，如圖1-2所示。1.1網(wǎng)絡(luò)安全概念及內(nèi)容1.1.1網(wǎng)絡(luò)安全的概念及目標(biāo)圖1-2網(wǎng)絡(luò)安全特征及目標(biāo)（1）保密性（2）完整性（3）可用性（4）可控性（5）可審查性

1.1.2網(wǎng)絡(luò)安全涉及的內(nèi)容及側(cè)重點(diǎn)

1．網(wǎng)絡(luò)安全涉及的主要內(nèi)容從網(wǎng)絡(luò)安全技術(shù)及應(yīng)用相關(guān)的內(nèi)容方面，網(wǎng)絡(luò)安全涉及的內(nèi)容包括：操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)站點(diǎn)安全、病毒與防護(hù)、訪問控制、加密與鑒別等七個(gè)方面，具體內(nèi)容將在以后分別進(jìn)行具體詳實(shí)的介紹。從層次結(jié)構(gòu)上，也可以將網(wǎng)絡(luò)安全所涉及的內(nèi)容概括為：物理安全、運(yùn)行安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個(gè)方面。（1）物理安全（2）運(yùn)行安全（3）系統(tǒng)安全（4）應(yīng)用安全（5）管理安全網(wǎng)絡(luò)安全所涉及的內(nèi)容1.1網(wǎng)絡(luò)安全概念及內(nèi)容從體系結(jié)構(gòu)方面，網(wǎng)絡(luò)信息安全的主要內(nèi)容及其相互關(guān)系，如圖1-4所示。從網(wǎng)絡(luò)安全攻防體系方面，可以將網(wǎng)絡(luò)安全研究的主要內(nèi)容概括成兩個(gè)體系：攻擊技術(shù)和防御技術(shù)。該體系研究?jī)?nèi)容以后將陸續(xù)介紹，如圖1-5所示。

1.1.2網(wǎng)絡(luò)安全涉及的內(nèi)容及側(cè)重點(diǎn)

圖1-4網(wǎng)絡(luò)信息安全的內(nèi)容及關(guān)系

圖1-5網(wǎng)絡(luò)安全攻防體系1.1網(wǎng)絡(luò)安全概念及內(nèi)容2．網(wǎng)絡(luò)安全保護(hù)范疇及重點(diǎn)實(shí)際上，網(wǎng)絡(luò)安全涉及的內(nèi)容對(duì)不同人員、機(jī)構(gòu)或部門各有側(cè)重點(diǎn)：（1）網(wǎng)絡(luò)安全研究人員（2）網(wǎng)絡(luò)安全工程師（3）網(wǎng)絡(luò)安全評(píng)估人員（4）網(wǎng)絡(luò)安全管理員或主管（5）安全保密監(jiān)察人員（6）軍事國(guó)防相關(guān)人員

1.1.2網(wǎng)絡(luò)安全涉及的內(nèi)容及側(cè)重點(diǎn)

1.1網(wǎng)絡(luò)安全概念及內(nèi)容

討論思考（1）什么是信息安全？網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全目標(biāo)是什么？（2）網(wǎng)絡(luò)安全所研究的主要內(nèi)容是什么？（3）網(wǎng)絡(luò)安全與信息安全相關(guān)內(nèi)容及其關(guān)系如何？1.2網(wǎng)絡(luò)安全的威脅及隱患

我國(guó)網(wǎng)絡(luò)遭受攻擊近況。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT監(jiān)測(cè)和國(guó)家信息安全漏洞共享平臺(tái)CNVD發(fā)布的數(shù)據(jù)，2014年2月10日至16日一周境內(nèi)被篡改網(wǎng)站數(shù)量為8965個(gè)，比上周增長(zhǎng)79.7%；境內(nèi)被植入后門的網(wǎng)站數(shù)量為1168個(gè)；針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面數(shù)量為181個(gè)。其中，政府網(wǎng)站被篡改418個(gè)、植入后門的35個(gè)。感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為69萬個(gè)，新增信息安全漏洞280個(gè)。另?yè)?jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的數(shù)據(jù)顯示，中國(guó)遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴(yán)重。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)，2013年1月1日至2月28日，境外6747臺(tái)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國(guó)境內(nèi)190萬余臺(tái)主機(jī)；其中位于美國(guó)的2194臺(tái)控制服務(wù)器控制了中國(guó)境內(nèi)128.7萬臺(tái)主機(jī)，無論是按照控制服務(wù)器數(shù)量還是按照控制中國(guó)主機(jī)數(shù)量排名，美國(guó)都名列第一案例1-21.2.1國(guó)內(nèi)外網(wǎng)絡(luò)安全的現(xiàn)狀

1.2網(wǎng)絡(luò)安全的威脅及隱患

國(guó)內(nèi)外網(wǎng)絡(luò)安全威脅的現(xiàn)狀及主要因由，主要涉及以下5個(gè)方面：（1）法律法規(guī)和管理不完善（2）企業(yè)和政府的側(cè)重點(diǎn)不一致（3）網(wǎng)絡(luò)安全規(guī)范和標(biāo)準(zhǔn)不統(tǒng)一（4）網(wǎng)絡(luò)安全技術(shù)和手段滯后（5）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患增強(qiáng)

注意：計(jì)算機(jī)病毒防范技術(shù)、網(wǎng)絡(luò)防火墻技術(shù)和入侵檢測(cè)技術(shù)，常被稱為網(wǎng)絡(luò)安全技術(shù)的三大主流。1.2.1國(guó)內(nèi)外網(wǎng)絡(luò)安全的現(xiàn)狀

1.2.2網(wǎng)絡(luò)安全威脅類型及途徑

表1-1網(wǎng)絡(luò)安全的主要威脅種類

1.2網(wǎng)絡(luò)安全的威脅及隱患

威脅類型主

要

威

脅

非授權(quán)訪問通過口令、密碼和系統(tǒng)漏洞等手段獲取系統(tǒng)訪問權(quán)

截獲/竊聽數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)傳輸中被截獲、竊聽信息

偽造信息將偽造的信息發(fā)送給他人

篡改/修改對(duì)合法用戶之間的通信信息篡改/替換/刪除、或破壞

竊取資源盜取系統(tǒng)重要的軟件或硬件、信息和資料病毒木馬利用計(jì)算機(jī)木馬病毒及惡意軟件進(jìn)行破壞或惡意控制他人系統(tǒng)

訛傳信息攻擊者獲得某些非正常信息后，發(fā)送給他人

行為否認(rèn)通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為

旁路控制利用系統(tǒng)的缺陷或安全脆弱性的非正常控制信息戰(zhàn)為國(guó)家或集團(tuán)利益，通過信息戰(zhàn)進(jìn)行網(wǎng)絡(luò)干擾破壞或恐怖襲擊

人為疏忽已授權(quán)人為了利益或由于疏忽將信息泄漏給未授權(quán)人信息泄露信息被泄露或暴露給非授權(quán)用戶物理破壞通過計(jì)算機(jī)及其網(wǎng)絡(luò)或部件進(jìn)行破壞，或繞過物理控制非法訪問拒絕服務(wù)攻擊攻擊者以某種方式使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止用戶獲得服務(wù)服務(wù)欺騙欺騙合法用戶或系統(tǒng)，騙取他人信任以便謀取私利冒名頂替假冒他人或系統(tǒng)用戶進(jìn)行活動(dòng)資源耗盡故意超負(fù)荷使用某一資源，導(dǎo)致其他用戶服務(wù)中斷重發(fā)信息重發(fā)某次截獲的備份合法數(shù)據(jù)，達(dá)到信任并非法侵權(quán)目的設(shè)置陷阱違反安全策略，設(shè)置陷阱“機(jī)關(guān)”系統(tǒng)或部件，騙取特定數(shù)據(jù)媒體廢棄物利用媒體廢棄物得到可利用信息，以便非法使用其他威脅上述之外的其他各種攻擊或威脅網(wǎng)絡(luò)主要應(yīng)用包括：電子商務(wù)、網(wǎng)上銀行、股票證券、網(wǎng)游、下載軟件或流媒體等都存在大量安全隱患。一是這些網(wǎng)絡(luò)應(yīng)用本身的安全性問題，開發(fā)商都將研發(fā)的產(chǎn)品發(fā)展成更開放更廣泛的支付/交易營(yíng)銷平臺(tái)、網(wǎng)絡(luò)交流社區(qū)，用戶名、賬號(hào)和密碼等信息成為黑客的主要目標(biāo)；二是網(wǎng)絡(luò)應(yīng)用也成為黑客攻擊、病毒傳播等主要威脅及途徑。如圖1-6所示。圖1-6網(wǎng)絡(luò)安全主要威脅及途徑1.2網(wǎng)絡(luò)安全的威脅及隱患

1.2.2網(wǎng)絡(luò)安全威脅類型及途徑1.2.3網(wǎng)絡(luò)安全隱患及風(fēng)險(xiǎn)

1.網(wǎng)絡(luò)系統(tǒng)安全隱患及風(fēng)險(xiǎn)（1）網(wǎng)絡(luò)系統(tǒng)面臨的安全隱患計(jì)算機(jī)網(wǎng)絡(luò)面臨的隱患及風(fēng)險(xiǎn)主要包括7個(gè)方面：①系統(tǒng)漏洞及復(fù)雜性。②網(wǎng)絡(luò)共享性。③網(wǎng)絡(luò)開放性。④身份認(rèn)證難。⑤傳輸路徑與結(jié)點(diǎn)不安全。⑥信息聚集度高。⑦邊界難確定。（2）網(wǎng)絡(luò)服務(wù)協(xié)議的安全風(fēng)險(xiǎn)1.2網(wǎng)絡(luò)安全的威脅及隱患

1.2.3網(wǎng)絡(luò)安全隱患及風(fēng)險(xiǎn)2.操作系統(tǒng)的漏洞及隱患（1）體系結(jié)構(gòu)的漏洞（2）創(chuàng)建進(jìn)程的隱患（3）服務(wù)及設(shè)置風(fēng)險(xiǎn)（4）配置和初始化錯(cuò)誤3.網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全風(fēng)險(xiǎn)4.防火墻的局限性5.網(wǎng)絡(luò)安全管理及其他問題

實(shí)際上，網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，需要各方面協(xié)同管理。1.2網(wǎng)絡(luò)安全的威脅及隱患

1.2.4網(wǎng)絡(luò)安全威脅的發(fā)展態(tài)勢(shì)

中國(guó)網(wǎng)絡(luò)安全問題非常突出.隨著互聯(lián)網(wǎng)技術(shù)和應(yīng)用的快速發(fā)展，中國(guó)大陸地區(qū)互聯(lián)網(wǎng)用戶數(shù)量急劇增加。據(jù)估計(jì)，到2020年，全球網(wǎng)絡(luò)用戶將上升至50億戶,移動(dòng)用戶將上升100億戶。我國(guó)2013年互聯(lián)網(wǎng)用戶數(shù)已達(dá)到6.48億，移動(dòng)互聯(lián)網(wǎng)用戶數(shù)達(dá)到5.61億。網(wǎng)民規(guī)模、寬帶網(wǎng)民數(shù)、國(guó)家頂級(jí)域名注冊(cè)量三項(xiàng)指標(biāo)仍居世界第一，互聯(lián)網(wǎng)普及率穩(wěn)步提升。然而各種操作系統(tǒng)及應(yīng)用程序的漏洞不斷出現(xiàn)，相比西方發(fā)達(dá)國(guó)家，我國(guó)網(wǎng)絡(luò)安全技術(shù)、互聯(lián)網(wǎng)用戶安全防范能力和意識(shí)較為薄弱，極易成為境內(nèi)外黑客攻擊利用的主要目標(biāo)。1.2網(wǎng)絡(luò)安全的威脅及隱患

案例1-32014年網(wǎng)絡(luò)安全與管理趨勢(shì)的十大預(yù)測(cè),包括10個(gè)方面：①隨著社交媒體和移動(dòng)終端持續(xù)升溫,大數(shù)據(jù)沖擊時(shí)代即將到來.②隨著混合云模式、大宗商品化軟硬定義的數(shù)據(jù)中心(SDDC)等趨勢(shì)日益深入，未來的數(shù)據(jù)中心將發(fā)生根本性的變革。③“物聯(lián)網(wǎng)”時(shí)代帶來新挑戰(zhàn)。④“分布式數(shù)據(jù)”將對(duì)消費(fèi)者帶來困擾。⑤針對(duì)企業(yè)的應(yīng)用程序商店將得到普及。⑥人們將過分依賴和相信網(wǎng)絡(luò)應(yīng)用程序。⑦身份認(rèn)證將成為主流。⑧網(wǎng)絡(luò)欺詐者、數(shù)據(jù)竊取者和網(wǎng)絡(luò)罪犯將關(guān)注社交網(wǎng)絡(luò)。⑨3D打印技術(shù)將為網(wǎng)絡(luò)犯罪提供新可能。⑩采取更積極的舉措保護(hù)私人信息。1.2網(wǎng)絡(luò)安全的威脅及隱患

1.2.4網(wǎng)絡(luò)安全威脅的發(fā)展態(tài)勢(shì)

討論思考（1）什么說計(jì)算機(jī)網(wǎng)絡(luò)存在著的安全漏洞和隱患？（2）計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅類型和途徑有哪些？（3）網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)是什么？1.3.1網(wǎng)絡(luò)安全技術(shù)概述1.網(wǎng)絡(luò)安全技術(shù)相關(guān)概念

1.3網(wǎng)絡(luò)安全技術(shù)概述

網(wǎng)絡(luò)安全技術(shù)（NetworkSecurityTechnology）是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及其在數(shù)據(jù)采集、存儲(chǔ)、處理和傳輸過程中，保障網(wǎng)絡(luò)信息安全屬性特征（保密性、完整性、可用性、可控性、可審查性）的各種相關(guān)技術(shù)和措施。狹義上是指保障網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)在采集、存儲(chǔ)、處理和傳輸過程中的安全（最終目標(biāo)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)安全），采取的各種技術(shù)手段、機(jī)制、策略和措施等。廣義上是指保護(hù)網(wǎng)絡(luò)安全的各種技術(shù)手段、機(jī)制、策略和措施等。

2.常用網(wǎng)絡(luò)安全技術(shù)種類1.3網(wǎng)絡(luò)安全的概念及內(nèi)容

網(wǎng)絡(luò)安全技術(shù)分類。某銀行以網(wǎng)絡(luò)安全業(yè)務(wù)價(jià)值鏈的概念，將網(wǎng)絡(luò)安全技術(shù)分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類等三大類，如圖1-7所示。圖1-7常用網(wǎng)絡(luò)安全關(guān)鍵技術(shù)案例1-41.網(wǎng)絡(luò)安全通用模型1.3網(wǎng)絡(luò)安全的概念及內(nèi)容1.3.2網(wǎng)絡(luò)安全常用模型網(wǎng)絡(luò)安全通用模型如圖1-8所示，不足是并非所有情況都通用。圖1-8網(wǎng)絡(luò)安全通用模型1.3.2網(wǎng)絡(luò)安全常用模型2．網(wǎng)絡(luò)安全PDRR模型

常用的描述網(wǎng)絡(luò)安全整個(gè)過程和環(huán)節(jié)的網(wǎng)絡(luò)安全模型為PDRR模型：防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）和恢復(fù)（Recovery）,如圖1-9所示

圖1-9網(wǎng)絡(luò)安全PDRR模型1.3網(wǎng)絡(luò)安全的概念及內(nèi)容在此模型的基礎(chǔ)上，以“檢查準(zhǔn)備、防護(hù)加固、檢測(cè)發(fā)現(xiàn)、快速反映、確?；謴?fù)、反省改進(jìn)”的原則,經(jīng)過改進(jìn)得到另一個(gè)網(wǎng)絡(luò)系統(tǒng)安全生命周期模型——IPDRRRInspection,Protection,

Detection,

Reaction,Recovery,

Reflection）模型,如圖1-10所示。

圖1-10系統(tǒng)安全生命周期模型1.3網(wǎng)絡(luò)安全的概念及內(nèi)容1.3.2網(wǎng)絡(luò)安全常用模型2．網(wǎng)絡(luò)安全PDRR模型

黑客攻擊威脅：一是訪問威脅，二是服務(wù)威脅。對(duì)非授權(quán)訪問的安全機(jī)制可分為兩類：一是網(wǎng)閘功能，二是內(nèi)部的安全控制，若非授權(quán)用戶得到訪問權(quán)，第二道防線將對(duì)其進(jìn)行防御，包括各種內(nèi)部監(jiān)控和分析，以檢查入侵者。如圖1-8所示。圖1-8網(wǎng)絡(luò)訪問安全模型

1.3網(wǎng)絡(luò)安全的概念及內(nèi)容1.3.2網(wǎng)絡(luò)安全常用模型3.網(wǎng)絡(luò)訪問安全模型4．網(wǎng)絡(luò)安全防御模型

網(wǎng)絡(luò)安全的關(guān)鍵是預(yù)防，“防患于未然”是最好的保障，同時(shí)做好內(nèi)網(wǎng)與外網(wǎng)的隔離保護(hù)?？梢酝ㄟ^如圖1-9所示的網(wǎng)絡(luò)安全防御模型構(gòu)建的系統(tǒng)保護(hù)內(nèi)網(wǎng)。

圖1-9網(wǎng)絡(luò)安全防御模型1.3網(wǎng)絡(luò)安全的概念及內(nèi)容

討論思考（1）什么是網(wǎng)絡(luò)安全技術(shù)？（2）常用網(wǎng)絡(luò)安全技術(shù)有哪些種類？請(qǐng)舉例說明？（3）網(wǎng)絡(luò)安全模型的作用是什么？主要介紹那幾個(gè)模型？

1.4網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀及趨勢(shì)（1）構(gòu)建完善網(wǎng)絡(luò)安全保障體系（2）優(yōu)化安全智能防御技術(shù)（3）強(qiáng)化云安全信息關(guān)聯(lián)分析（4）加強(qiáng)安全產(chǎn)品測(cè)評(píng)技術(shù)（5）提高網(wǎng)絡(luò)生存（抗毀）技術(shù)（6）優(yōu)化應(yīng)急響應(yīng)技術(shù)（7）新密碼技術(shù)的研究1.5.1國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀1．國(guó)外網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀

1.4網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀及趨勢(shì)（1）安全意識(shí)差，忽視風(fēng)險(xiǎn)分析（2）急需自主研發(fā)的關(guān)鍵技術(shù)（3）安全檢測(cè)防御薄弱（4）安全測(cè)試與評(píng)估不完善（5）應(yīng)急響應(yīng)能力欠缺（6）強(qiáng)化系統(tǒng)恢復(fù)技術(shù)不足 1.5.1國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀2.我國(guó)網(wǎng)絡(luò)安全技術(shù)方面的差距