第14講 網(wǎng)絡(luò)安全攻擊與入侵檢測技術(shù)

1、第十四講第十四講 網(wǎng)絡(luò)攻擊與入侵檢測網(wǎng)絡(luò)攻擊與入侵檢測7.4 網(wǎng)絡(luò)安全的攻擊與入侵檢測技術(shù) v常見的網(wǎng)絡(luò)攻擊方法常見的網(wǎng)絡(luò)攻擊方法 n1 1口令竊取口令竊取 n2 2木馬程序攻擊木馬程序攻擊 n3 3欺騙攻擊欺騙攻擊 n3 3欺騙攻擊欺騙攻擊 n5 5網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽 n6 6尋找系統(tǒng)漏洞尋找系統(tǒng)漏洞 n7 7拒絕服務(wù)攻擊拒絕服務(wù)攻擊入侵檢測與入侵檢測系統(tǒng)入侵檢測與入侵檢測系統(tǒng) v入侵檢測（入侵檢測（Intrusion DetectionIntrusion Detection）n通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系

2、統(tǒng)中是否存在違反安全策略的行的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象為和被攻擊的跡象. .v入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（Intrusion Detection SystemIntrusion Detection System）n是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng). .入侵檢測系統(tǒng)分類 v（1 1）基于主機的入侵檢測系統(tǒng)。）基于主機的入侵檢測系統(tǒng)。v（2 2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。v（3 3）分布式入侵檢測系統(tǒng)。）分布式入侵檢測系統(tǒng)。入侵檢測系統(tǒng)框架結(jié)構(gòu)入侵檢測系統(tǒng)框架結(jié)構(gòu) 入侵檢測

3、的基本方法入侵檢測的基本方法(1)(1)模式匹配模式匹配(2)(2)協(xié)議分析協(xié)議分析(3)(3)專家系統(tǒng)專家系統(tǒng)(4)(4)統(tǒng)計分析統(tǒng)計分析(5)(5)基于技術(shù)發(fā)展的入侵檢測方法基于技術(shù)發(fā)展的入侵檢測方法7.5 網(wǎng)絡(luò)防病毒技術(shù) v計算機病毒的定義計算機病毒的定義n計算機病毒計算機病毒(Computer Virus) “(Computer Virus) “指編制或者在計算指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼代碼”。 v計算

4、機病毒的分類計算機病毒的分類n根據(jù)病毒存在的媒體，病毒可以劃分為：根據(jù)病毒存在的媒體，病毒可以劃分為： 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒 文件病毒文件病毒 引導(dǎo)型病毒引導(dǎo)型病毒 混合型病毒混合型病毒計算機病毒的分類v根據(jù)病毒傳染的方法可分為：根據(jù)病毒傳染的方法可分為：n駐留型病毒。駐留型病毒。n非駐留型病毒。非駐留型病毒。v根據(jù)病毒破壞的能力可劃分為：根據(jù)病毒破壞的能力可劃分為：n無害型無害型n無危險型無危險型n危險型危險型n非常危險型非常危險型網(wǎng)絡(luò)病毒v計算機病毒一般通過有盤工作站的軟盤和硬盤計算機病毒一般通過有盤工作站的軟盤和硬盤進入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。進入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。網(wǎng)絡(luò)工作站防

5、病毒方法 1 1基于工作站的防治方法基于工作站的防治方法(1)(1)防病毒軟件防病毒軟件(2)(2)病毒防護芯片病毒防護芯片(3)(3)多用無盤工作站多用無盤工作站2 2基于服務(wù)器的防治方法基于服務(wù)器的防治方法集中式實時掃毒。集中式實時掃毒。7.6 網(wǎng)絡(luò)管理技術(shù) v網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理n指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò)指網(wǎng)絡(luò)使用期內(nèi)為保證用戶安全、可靠、正常使用網(wǎng)絡(luò)服務(wù)而從事的全部操作和維護性活動。服務(wù)而從事的全部操作和維護性活動。v計算機網(wǎng)絡(luò)管理分為兩類：計算機網(wǎng)絡(luò)管理分為兩類：n第一類是計算機網(wǎng)絡(luò)應(yīng)用程序、用戶帳號和存取權(quán)限的第一類是計算機網(wǎng)絡(luò)應(yīng)用程序、用戶帳號和存取權(quán)限的管理

6、，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題；管理，屬于與軟件有關(guān)的網(wǎng)絡(luò)管理問題；n第二類是對構(gòu)成計算機網(wǎng)絡(luò)的硬件的管理，包括對工作第二類是對構(gòu)成計算機網(wǎng)絡(luò)的硬件的管理，包括對工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。網(wǎng)絡(luò)管理系統(tǒng)v網(wǎng)絡(luò)管理涉及以下三個方面：網(wǎng)絡(luò)管理涉及以下三個方面：(1)(1)網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)(2)(2)網(wǎng)絡(luò)維護網(wǎng)絡(luò)維護 (3)(3)網(wǎng)絡(luò)處理網(wǎng)絡(luò)處理v網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)是一個軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可是一個軟硬件結(jié)合以軟件為主的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可以幫助網(wǎng)絡(luò)管理者維護和監(jiān)視網(wǎng)絡(luò)的運行，生成網(wǎng)絡(luò)信以幫助網(wǎng)絡(luò)管

7、理者維護和監(jiān)視網(wǎng)絡(luò)的運行，生成網(wǎng)絡(luò)信息日志，分析和研究網(wǎng)絡(luò)。息日志，分析和研究網(wǎng)絡(luò)。網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理模型 (1)(1)管理者管理者(2)(2)管理代理管理代理(3)(3)網(wǎng)絡(luò)管理信息庫（網(wǎng)絡(luò)管理信息庫（MIBMIB）(4)(4)網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議OSI管理功能域vISO ISO 定義了網(wǎng)絡(luò)管理的五個功能域：定義了網(wǎng)絡(luò)管理的五個功能域：n1 1故障管理故障管理(Fault Management)(Fault Management)n2 2計費管理計費管理(Accounting Management) (Accounting Management) n3 3配置管理配置管理(Config

8、uration Management) (Configuration Management) n4 4性能管理性能管理(Performance Management) (Performance Management) n5 5安全管理安全管理(Security Management) (Security Management) 1故障管理(Fault Management)v是對網(wǎng)絡(luò)環(huán)境中的問題和故障進行定位的過程。是對網(wǎng)絡(luò)環(huán)境中的問題和故障進行定位的過程。v包括故障檢測、隔離和糾正三方面，主要功能：包括故障檢測、隔離和糾正三方面，主要功能：(1)(1)維護并檢查錯誤日志維護并檢查錯誤日志 (

9、2)(2)接受錯誤檢測報告并做出響應(yīng)接受錯誤檢測報告并做出響應(yīng) (3)(3)跟蹤、辨認故障跟蹤、辨認故障 (4)(4)執(zhí)行診斷測試執(zhí)行診斷測試 (5)(5)糾正錯誤，重新開始服務(wù)糾正錯誤，重新開始服務(wù) 2計費管理(Accounting Management)v計費管理負責控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。計費管理負責控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。v計費管理的功能包括：計費管理的功能包括：(1)(1)統(tǒng)計網(wǎng)絡(luò)利用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費率統(tǒng)計網(wǎng)絡(luò)利用率等數(shù)據(jù)，提供給網(wǎng)絡(luò)管理員確定費率的依據(jù)。的依據(jù)。(2)(2)根據(jù)用戶對網(wǎng)絡(luò)資源使用情況，公平合理的收取費用。根據(jù)用戶對網(wǎng)絡(luò)資源使用情況，公

10、平合理的收取費用。(3)(3)提供費用統(tǒng)計和賬單審查服務(wù)。提供費用統(tǒng)計和賬單審查服務(wù)。(4)(4)當多個資源同時用來提供一項服務(wù)時，能計算各個資當多個資源同時用來提供一項服務(wù)時，能計算各個資源的費用。源的費用。3配置管理(Configuration Management)v配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。v配置管理的功能主要包括：配置管理的功能主要包括：(1)(1)設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)。設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)。 (2)(2)被管對象和被管對象組屬性的管理。被管對象和被管對象組屬性的管理。 (3)(3)初始化或關(guān)閉被管理對象。初始化或

11、關(guān)閉被管理對象。 (4)(4)根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關(guān)信息。根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關(guān)信息。 (5)(5)獲取系統(tǒng)重要變化的信息，維護最新的設(shè)備清單并根獲取系統(tǒng)重要變化的信息，維護最新的設(shè)備清單并根據(jù)數(shù)據(jù)產(chǎn)生報告。據(jù)數(shù)據(jù)產(chǎn)生報告。(6)(6)更改系統(tǒng)的配置，提供遠程修改設(shè)備配置的手段。更改系統(tǒng)的配置，提供遠程修改設(shè)備配置的手段。4性能管理(Performance Management)v用于對系統(tǒng)運行及通信效率等系統(tǒng)性能進行評價。用于對系統(tǒng)運行及通信效率等系統(tǒng)性能進行評價。v典型的網(wǎng)絡(luò)性能管理分為性能監(jiān)測和網(wǎng)絡(luò)控制兩典型的網(wǎng)絡(luò)性能管理分為性能監(jiān)測和網(wǎng)絡(luò)控制兩部分。典型的功能包括：部分

12、。典型的功能包括： (1)(1)收集并統(tǒng)計與被管理對象性能有關(guān)的參數(shù)、歷史數(shù)據(jù)收集并統(tǒng)計與被管理對象性能有關(guān)的參數(shù)、歷史數(shù)據(jù)等信息。等信息。(2)(2)維護并檢查系統(tǒng)狀態(tài)日志，檢測性能故障，報告性能維護并檢查系統(tǒng)狀態(tài)日志，檢測性能故障，報告性能事件。事件。(3)(3)確定自然和人工狀況下系統(tǒng)的性能。確定自然和人工狀況下系統(tǒng)的性能。(4)(4)以保證網(wǎng)絡(luò)性能為目的，對被管理對象和被管理對象以保證網(wǎng)絡(luò)性能為目的，對被管理對象和被管理對象組進行控制。組進行控制。5安全管理(Security Management)v安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，防

13、止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭到破壞。v安全管理提供的主要功能有：安全管理提供的主要功能有：(1)(1)支持身份鑒別，控制和維護訪問權(quán)限。支持身份鑒別，控制和維護訪問權(quán)限。(2)(2)支持密鑰管理。支持密鑰管理。(3)(3)維護和檢查安全日志。維護和檢查安全日志。簡單網(wǎng)絡(luò)管理協(xié)議SNMPvSNMPSNMP為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò)為網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)設(shè)備監(jiān)視、網(wǎng)絡(luò)參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計與分析及發(fā)現(xiàn)故障。參數(shù)設(shè)定、網(wǎng)絡(luò)流量的統(tǒng)計與分析及發(fā)現(xiàn)故障。vSNMPSNMP的管理模型是的管理模型是“管理者管理者代理代理”模型。模型。SNMP的管理模型 v

14、SNMPSNMP管理器也稱管理進管理器也稱管理進程，程，SNMPSNMP管理器運行在管理器運行在網(wǎng)絡(luò)工作站或網(wǎng)管中心的網(wǎng)絡(luò)工作站或網(wǎng)管中心的主機上。主機上。v SNMPSNMP管理器負責完成各管理器負責完成各種網(wǎng)絡(luò)管理功能，通過被種網(wǎng)絡(luò)管理功能，通過被管理設(shè)備中管理代理對網(wǎng)管理設(shè)備中管理代理對網(wǎng)絡(luò)設(shè)備和資源進行管理。絡(luò)設(shè)備和資源進行管理。7.7 網(wǎng)絡(luò)安全測評 v目的是通過網(wǎng)絡(luò)安全測評，認清網(wǎng)絡(luò)的脆弱性和目的是通過網(wǎng)絡(luò)安全測評，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患、潛在威脅，能夠快速查出網(wǎng)絡(luò)上存在的安全隱患、網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞等。v網(wǎng)絡(luò)安

15、全測評的前提是：設(shè)備安裝環(huán)境是安全的、網(wǎng)絡(luò)安全測評的前提是：設(shè)備安裝環(huán)境是安全的、設(shè)備的質(zhì)量是可靠的、外部運行環(huán)境是不安全的、設(shè)備的質(zhì)量是可靠的、外部運行環(huán)境是不安全的、內(nèi)部運行環(huán)境是相對安全的、系統(tǒng)管理員是可信內(nèi)部運行環(huán)境是相對安全的、系統(tǒng)管理員是可信任的。任的。網(wǎng)絡(luò)安全測評標準網(wǎng)絡(luò)安全測評標準v1.1.可信計算機標準評價準則可信計算機標準評價準則v2.2.計算機信息安全保護等級劃分準則計算機信息安全保護等級劃分準則 1.可信計算機標準評價準則v19831983年美國國防部發(fā)表的年美國國防部發(fā)表的可信計算機標準評價可信計算機標準評價準則準則，簡稱，簡稱TCSECTCSEC，又稱桔皮書，又稱桔

16、皮書v把計算機安全等級分為把計算機安全等級分為4 4類類7 7個級別。依據(jù)安全性個級別。依據(jù)安全性從低到高的級別，依次為從低到高的級別，依次為D D、C1C1、C2C2、B1B1、B2B2、B3B3、A A，每個級別包括了它下級的所有特性。，每個級別包括了它下級的所有特性。vTCSECTCSEC標準是計算機網(wǎng)絡(luò)安全測評的第一個正式標準是計算機網(wǎng)絡(luò)安全測評的第一個正式標準。標準。級級別別名稱名稱特征特征A驗證設(shè)計安全級驗證設(shè)計安全級形式化的最高級描述和驗證，形式化的隱蔽通道形式化的最高級描述和驗證，形式化的隱蔽通道分析，非形式化的代碼一致性證明分析，非形式化的代碼一致性證明B3安全域級安全域級安

17、全內(nèi)核，高抗?jié)B透能力安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護級結(jié)構(gòu)化安全保護級面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對所有的主體和客體提供訪好的抗?jié)B透能力，對所有的主體和客體提供訪問控制保護，對系統(tǒng)進行隱蔽通道分析問控制保護，對系統(tǒng)進行隱蔽通道分析B1標記安全保護級標記安全保護級在在C2安全級上增加安全策略模型，數(shù)據(jù)標記安全級上增加安全策略模型，數(shù)據(jù)標記(安安全和屬性全和屬性)，托管訪問控制，托管訪問控制C2訪問控制環(huán)境保護訪問控制環(huán)境保護級級訪問控制，以用戶為單位進行廣泛的審計訪問控制，以用戶為單位進行廣泛的審計C1選擇性安全保護級選擇性安全保護級有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶組為單位進行保護戶組為單位進行保護D最低安全保護級最低安全保護級保護措施很少，沒有安全功能保護措施很少，沒有安全功能網(wǎng)絡(luò)安全測評內(nèi)容網(wǎng)絡(luò)安全測評內(nèi)容v網(wǎng)絡(luò)安全測評的內(nèi)容大致有以下幾個方面：網(wǎng)絡(luò)安全測評的內(nèi)容大致有以下幾個方面：(1)(1)安全策略測評安全策略測評(2)(2)網(wǎng)絡(luò)物理