信息安全技術(shù)基礎(chǔ)第9章課件

第9章網(wǎng)絡(luò)安全技術(shù)第9章網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段網(wǎng)絡(luò)掃描技術(shù)作用和實(shí)施網(wǎng)絡(luò)防火墻的作用和工作機(jī)理入侵檢測(cè)系統(tǒng)的作用和工作機(jī)理使用蜜罐技術(shù)有效發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為本章主要講解網(wǎng)絡(luò)環(huán)境下安全防范技術(shù)：2學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段本章主要講解網(wǎng)絡(luò)環(huán)境下如何保護(hù)網(wǎng)絡(luò)免遭入侵？3如何保護(hù)網(wǎng)絡(luò)免遭入侵？3目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)4目錄9.1網(wǎng)絡(luò)安全技術(shù)概述49.1網(wǎng)絡(luò)安全技術(shù)概述由于網(wǎng)絡(luò)的存在，攻擊者更容易通過(guò)網(wǎng)絡(luò)非法入侵他人網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)，非法訪問(wèn)網(wǎng)絡(luò)上的資源，非法竊取終端系統(tǒng)中的數(shù)據(jù)。網(wǎng)絡(luò)通常分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)，如Internet），對(duì)安全邊界的監(jiān)控是網(wǎng)絡(luò)安全的重要內(nèi)容。構(gòu)建網(wǎng)絡(luò)安全防御體系，除了必要的人、制度、機(jī)制、管理等方面保障，還要依賴于各種網(wǎng)絡(luò)安全技術(shù)。59.1網(wǎng)絡(luò)安全技術(shù)概述由于網(wǎng)絡(luò)的存在，攻擊者更容易通過(guò)網(wǎng)絡(luò)9.1網(wǎng)絡(luò)安全技術(shù)概述掃描技術(shù)：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，進(jìn)行完善保護(hù)。防火墻技術(shù)：在內(nèi)部與外部網(wǎng)絡(luò)銜接處，阻止外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，限制內(nèi)部對(duì)外部網(wǎng)絡(luò)的訪問(wèn)等。入侵檢測(cè)系統(tǒng)：發(fā)現(xiàn)非正常的外部對(duì)內(nèi)部網(wǎng)絡(luò)的入侵行為，報(bào)警并阻止入侵行為和影響的進(jìn)一步擴(kuò)大。隔離網(wǎng)閘技術(shù)：在物理隔離的兩個(gè)網(wǎng)絡(luò)之間進(jìn)行安全數(shù)據(jù)交換。69.1網(wǎng)絡(luò)安全技術(shù)概述掃描技術(shù)：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，如何探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點(diǎn)？7如何探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點(diǎn)？7目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)8目錄9.1網(wǎng)絡(luò)安全技術(shù)概述89.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯(cuò)誤消息機(jī)制，例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無(wú)效的字段值、錯(cuò)誤的數(shù)據(jù)分片，以及通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器和反向映射探測(cè)等。99.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。99.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個(gè)變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個(gè)較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開放掃描。109.2網(wǎng)絡(luò)掃描技術(shù)端口掃描109.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯(cuò)誤消息機(jī)制，例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無(wú)效的字段值、錯(cuò)誤的數(shù)據(jù)分片，以及通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器和反向映射探測(cè)等。119.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。119.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個(gè)變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個(gè)較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開放掃描。129.2網(wǎng)絡(luò)掃描技術(shù)端口掃描12如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)？13如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)？13目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)14目錄9.1網(wǎng)絡(luò)安全技術(shù)概述149.3.1防火墻概念、功能159.3.1防火墻概念、功能159.3.1防火墻概念、功能1．防火墻的特性（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。（2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。（3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。169.3.1防火墻概念、功能1．防火墻的特性169.3.1防火墻概念、功能2．防火墻的功能（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄179.3.1防火墻概念、功能2．防火墻的功能179.3.2防火墻工作原理1．包過(guò)濾技術(shù)

“靜態(tài)包過(guò)濾”“動(dòng)態(tài)包過(guò)濾”對(duì)通過(guò)防火墻的每個(gè)IP數(shù)據(jù)報(bào)文（簡(jiǎn)稱數(shù)據(jù)包）的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行檢查，與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則進(jìn)行匹配，一旦發(fā)現(xiàn)某個(gè)數(shù)據(jù)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)數(shù)據(jù)包就會(huì)被丟棄。189.3.2防火墻工作原理1．包過(guò)濾技術(shù)189.3.2防火墻工作原理1．包過(guò)濾技術(shù)

199.3.2防火墻工作原理1．包過(guò)濾技術(shù)199.3.2防火墻工作原理通常需要檢查下列分組字段：源IP地址和目的IP地址；TCP、UDP和ICMP等協(xié)議類型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息類型；輸出分組的網(wǎng)絡(luò)接口。209.3.2防火墻工作原理通常需要檢查下列分組字段：209.3.2防火墻工作原理匹配結(jié)果分為三種情況：如果一個(gè)分組與一個(gè)拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被禁止通過(guò)；如果一個(gè)分組與一個(gè)允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被允許通過(guò)；如果一個(gè)分組沒有與任何的規(guī)則相匹配，則該分組將被禁止通過(guò)。這里遵循了“一切未被允許的都是禁止的”的原則。219.3.2防火墻工作原理匹配結(jié)果分為三種情況：219.3.2防火墻工作原理2．應(yīng)用代理技術(shù)“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層上，在這一層防火墻能“看到”應(yīng)用數(shù)據(jù)最終形式，因而可以實(shí)現(xiàn)更高級(jí)、更全面的數(shù)據(jù)檢測(cè)。采取代理機(jī)制進(jìn)行工作，即內(nèi)外部網(wǎng)絡(luò)之間的通信都需要先經(jīng)過(guò)代理服務(wù)器審核，內(nèi)外部網(wǎng)絡(luò)的計(jì)算機(jī)不能直接連接會(huì)話，這樣就可以避免攻擊者使用“數(shù)據(jù)驅(qū)動(dòng)”網(wǎng)絡(luò)攻擊。229.3.2防火墻工作原理2．應(yīng)用代理技術(shù)229.3.2防火墻工作原理3、狀態(tài)監(jiān)視技術(shù)

狀態(tài)監(jiān)視技術(shù)在支持對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”（SessionFiltering）功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，包含了這個(gè)連接數(shù)據(jù)包的所有信息，之后基于連接狀態(tài)信息對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行分析和監(jiān)視。239.3.2防火墻工作原理3、狀態(tài)監(jiān)視技術(shù)239.3.3基于DMZ的防火墻部署24DMZ部署方式，提供至少3個(gè)網(wǎng)路接口，一個(gè)用于連接外部網(wǎng)絡(luò)——通常是Internet，一個(gè)用于連接內(nèi)部網(wǎng)絡(luò)，一個(gè)用于連接提供對(duì)外服務(wù)的屏蔽子網(wǎng)。DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。9.3.3基于DMZ的防火墻部署24DMZ部署方式，提供至如何檢測(cè)非法入侵網(wǎng)絡(luò)行為？25如何檢測(cè)非法入侵網(wǎng)絡(luò)行為？25目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)26目錄9.1網(wǎng)絡(luò)安全技術(shù)概述269.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)（IntrusionDetection），通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。實(shí)現(xiàn)這一功能的軟件與硬件組合即構(gòu)成入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）。入侵檢測(cè)系統(tǒng)分類：主機(jī)型IDS是安裝在服務(wù)器或PC機(jī)上軟件，監(jiān)測(cè)到達(dá)主機(jī)的網(wǎng)絡(luò)信息流；網(wǎng)絡(luò)型IDS一般配置在網(wǎng)絡(luò)入口處（路由器）、或網(wǎng)絡(luò)核心交換處（核心交換路由）通過(guò)旁路技術(shù)監(jiān)測(cè)網(wǎng)絡(luò)上的信息流。279.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)（IntrusionD9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)應(yīng)包括以下主要功能：監(jiān)測(cè)、記錄并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；管理操作系統(tǒng)日志，識(shí)別違反安全策略的用戶活動(dòng)。289.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)應(yīng)包括以下主要功能：9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)一般包括以下組件：

事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）響應(yīng)單元（Responseunits）事件數(shù)據(jù)庫(kù)（Eventdatabases）29

為事件（event），它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)一般包括以下組件：9.4.2IDS類型與部署301．網(wǎng)絡(luò)IDS9.4.2IDS類型與部署301．網(wǎng)絡(luò)IDS9.4.2IDS類型與部署31基于數(shù)據(jù)模式判斷IDS9.4.2IDS類型與部署31基于數(shù)據(jù)模式判斷IDS9.4.2IDS類型與部署網(wǎng)絡(luò)IDS分類：基于知識(shí)的數(shù)據(jù)模式判斷方法：分析建立網(wǎng)絡(luò)中非法使用者（入侵者）的工作方法——數(shù)據(jù)模型，在實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量時(shí)，將網(wǎng)絡(luò)中讀取的數(shù)據(jù)與數(shù)據(jù)模型比對(duì)，匹配成功則報(bào)告事件?；谛袨榈男袨榕袛喾椒ǎ航y(tǒng)計(jì)行為判斷：根據(jù)上面模式匹配的事件，在進(jìn)行事后統(tǒng)計(jì)分析時(shí)，根據(jù)已知非法行為的規(guī)則，判斷出非法行為。異常行為判斷：根據(jù)平時(shí)統(tǒng)計(jì)的各種信息，得出正常網(wǎng)絡(luò)行為準(zhǔn)則，當(dāng)遇到違背這種準(zhǔn)則的事件發(fā)生時(shí)，報(bào)告非法行為事件。329.4.2IDS類型與部署網(wǎng)絡(luò)IDS分類：329.4.2IDS類型與部署以主機(jī)系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可以包括其他資源（如網(wǎng)絡(luò)、文件、進(jìn)程），從所在當(dāng)然也的主機(jī)上收集信息并進(jìn)行分析，通過(guò)查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用、運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用或修改的事件，并進(jìn)行上報(bào)和處理。截獲本地主機(jī)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容輪詢等方式監(jiān)聽系統(tǒng)的進(jìn)程及其參數(shù)查詢系統(tǒng)各種日志文件332．主機(jī)IDS9.4.2IDS類型與部署以主機(jī)系統(tǒng)日志、應(yīng)用程序日志等作9.4.3IDS工作原理349.4.3IDS工作原理349.4.4典型入侵檢測(cè)系統(tǒng)規(guī)劃與配置359.4.4典型入侵檢測(cè)系統(tǒng)規(guī)劃與配置35如何更有效地檢測(cè)非法入侵網(wǎng)絡(luò)行為？36如何更有效地檢測(cè)非法入侵網(wǎng)絡(luò)行為？36目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)37目錄9.1網(wǎng)絡(luò)安全技術(shù)概述379.5蜜罐技術(shù)蜜罐（Honeypot）技術(shù)可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。通過(guò)設(shè)置一個(gè)“希望被探測(cè)、攻擊甚至攻陷”系統(tǒng)，模擬正常的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)環(huán)境，引誘攻擊者入侵蜜罐系統(tǒng)，從而發(fā)現(xiàn)甚至定位入侵者，發(fā)現(xiàn)攻擊模式、手段和方法，進(jìn)而發(fā)現(xiàn)配置系統(tǒng)的缺陷和漏洞，以便完善安全配置管理消除安全隱患。蜜罐可以分為高交互蜜罐（High-interactionhoneypots）和低交互蜜罐（Low-interactionhoneypots）389.5蜜罐技術(shù)蜜罐（Honeypot）技術(shù)可以看成是一種誘9.5蜜罐技術(shù)一個(gè)高交互蜜罐是一個(gè)常規(guī)的計(jì)算機(jī)系統(tǒng)，如使用一臺(tái)標(biāo)準(zhǔn)計(jì)算機(jī)、路由器等。即高交互蜜罐實(shí)際上是一個(gè)配置了真實(shí)操作系統(tǒng)和服務(wù)的系統(tǒng)，為攻擊者提供一個(gè)可以交互的真實(shí)系統(tǒng)。這一系統(tǒng)在網(wǎng)絡(luò)中沒有常規(guī)任務(wù)，也沒有固定的活動(dòng)用戶。系統(tǒng)上只運(yùn)行正常守護(hù)進(jìn)程或服務(wù)，不應(yīng)該有任何不正常的進(jìn)程，也不產(chǎn)生任何網(wǎng)絡(luò)流量。39（1）高交互蜜罐9.5蜜罐技術(shù)一個(gè)高交互蜜罐是一個(gè)常規(guī)的計(jì)算機(jī)系統(tǒng)，如使用9.5蜜罐技術(shù)高交互蜜罐可以完全被攻陷，它們運(yùn)行真實(shí)操作系統(tǒng)，可能帶有所有已知和未知的安全漏洞，攻擊者與真實(shí)的系統(tǒng)和真實(shí)的服務(wù)交互，使得我們能夠捕獲大量的威脅信息。當(dāng)攻擊者獲得對(duì)蜜罐的非授權(quán)訪問(wèn)時(shí)，可以捕捉他們對(duì)漏洞的利用，監(jiān)視他們的按鍵，找到他們的工具，搞清他們的動(dòng)機(jī)。即使攻擊者使用了我們尚不知道的未知漏洞，通過(guò)分析其入侵過(guò)程和行為，可以發(fā)現(xiàn)其使用的方法和手段，即所謂發(fā)現(xiàn)“零日攻擊”。40（1）高交互蜜罐9.5蜜罐技術(shù)高交互蜜罐可以完全被攻陷，它們運(yùn)行真實(shí)操作系9.5蜜罐技術(shù)低交互蜜罐則是使用特定軟件工具模擬操作系統(tǒng)、網(wǎng)絡(luò)堆?；蚰承┨厥鈶?yīng)用程序的一部分功能，例如具有網(wǎng)絡(luò)堆棧、提供TCP連接、提供HTTP模擬服務(wù)等。低交互蜜罐允許攻擊者與目標(biāo)系統(tǒng)有限交互，允許管理員了解關(guān)于攻擊的主要的定量信息。優(yōu)點(diǎn)是簡(jiǎn)單、易安裝和易維護(hù)。只需要安裝和配置一個(gè)工具軟件即可，典型的低交互蜜罐工具軟件如TinyHonypot、Honeyd、Nepentbes等，以及用于Web欺騙的Google入侵蜜罐GHH（GoogleHackHoneypot）、PHP.HoP等。41（2）低交互蜜罐9.5蜜罐技術(shù)低交互蜜罐則是使用特定軟件工具模擬操作系統(tǒng)、9.5蜜罐技術(shù)由于低交互蜜罐只為攻擊者提供一個(gè)模擬交互系統(tǒng)，這一系統(tǒng)不會(huì)完全被攻陷，因此，低交互蜜罐構(gòu)造了一個(gè)可控環(huán)境，風(fēng)險(xiǎn)有限。因?yàn)槊酃逈]有生產(chǎn)價(jià)值，任何連接蜜罐的嘗試都被認(rèn)為是可疑的。42（2）低交互蜜罐9.5蜜罐技術(shù)由于低交互蜜罐只為攻擊者提供一個(gè)模擬交互系統(tǒng)9.5蜜罐技術(shù)根據(jù)蜜罐系統(tǒng)載體的不同，蜜罐又可分為物理蜜罐和虛擬蜜罐。物理蜜罐意味著蜜罐運(yùn)行在一個(gè)物理計(jì)算機(jī)上，“物理”通常暗指高交互，允許系統(tǒng)被完全攻陷。物理蜜罐安裝和維護(hù)成本高，但為每個(gè)空閑IP地址（空閑即被用于監(jiān)聽入侵）部署一個(gè)物理蜜罐是不切實(shí)際的。虛擬蜜罐是在一臺(tái)物理計(jì)算機(jī)上部署多個(gè)虛擬機(jī)作為蜜罐，可以是低交換蜜罐也可以是高交互蜜罐，虛擬蜜罐配置資源少成本低易于維護(hù)。通常使用如VMware、VirtualPC虛擬機(jī)軟件。439.5蜜罐技術(shù)根據(jù)蜜罐系統(tǒng)載體的不同，蜜罐又可分為物理蜜罐小結(jié)本章介紹了典型的網(wǎng)絡(luò)安全防范技術(shù)。全面的網(wǎng)絡(luò)安全防御體系應(yīng)該包括風(fēng)險(xiǎn)評(píng)估、安全策略定義、部署網(wǎng)絡(luò)安全產(chǎn)品、檢測(cè)網(wǎng)絡(luò)安全狀態(tài)、響應(yīng)處理網(wǎng)絡(luò)安全事件、恢復(fù)遭受損壞的系統(tǒng)。常用的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品包括用于隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的防火墻；用于監(jiān)測(cè)并發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為的入侵檢測(cè)系統(tǒng)IDS；蜜罐技術(shù)提供一種更有效的發(fā)現(xiàn)入侵行為的手段。44小結(jié)本章介紹了典型的網(wǎng)絡(luò)安全防范技術(shù)。全面的網(wǎng)絡(luò)安全防御思考題與作業(yè)網(wǎng)絡(luò)掃描的目的是什么？什么是主機(jī)掃描和端口掃描，它們目的是什么？網(wǎng)絡(luò)防火墻的作用是什么？網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是如何工作的？入侵檢測(cè)系統(tǒng)是否會(huì)產(chǎn)生誤報(bào)？能否消除或如何減少誤報(bào)。什么是蜜罐？蜜罐技術(shù)有什么作用？45思考題與作業(yè)網(wǎng)絡(luò)掃描的目的是什么？什么是主機(jī)掃描和端口掃描，第9章網(wǎng)絡(luò)安全技術(shù)第9章網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段網(wǎng)絡(luò)掃描技術(shù)作用和實(shí)施網(wǎng)絡(luò)防火墻的作用和工作機(jī)理入侵檢測(cè)系統(tǒng)的作用和工作機(jī)理使用蜜罐技術(shù)有效發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為本章主要講解網(wǎng)絡(luò)環(huán)境下安全防范技術(shù)：47學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段本章主要講解網(wǎng)絡(luò)環(huán)境下如何保護(hù)網(wǎng)絡(luò)免遭入侵？48如何保護(hù)網(wǎng)絡(luò)免遭入侵？3目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)49目錄9.1網(wǎng)絡(luò)安全技術(shù)概述49.1網(wǎng)絡(luò)安全技術(shù)概述由于網(wǎng)絡(luò)的存在，攻擊者更容易通過(guò)網(wǎng)絡(luò)非法入侵他人網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)，非法訪問(wèn)網(wǎng)絡(luò)上的資源，非法竊取終端系統(tǒng)中的數(shù)據(jù)。網(wǎng)絡(luò)通常分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)，如Internet），對(duì)安全邊界的監(jiān)控是網(wǎng)絡(luò)安全的重要內(nèi)容。構(gòu)建網(wǎng)絡(luò)安全防御體系，除了必要的人、制度、機(jī)制、管理等方面保障，還要依賴于各種網(wǎng)絡(luò)安全技術(shù)。509.1網(wǎng)絡(luò)安全技術(shù)概述由于網(wǎng)絡(luò)的存在，攻擊者更容易通過(guò)網(wǎng)絡(luò)9.1網(wǎng)絡(luò)安全技術(shù)概述掃描技術(shù)：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，進(jìn)行完善保護(hù)。防火墻技術(shù)：在內(nèi)部與外部網(wǎng)絡(luò)銜接處，阻止外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，限制內(nèi)部對(duì)外部網(wǎng)絡(luò)的訪問(wèn)等。入侵檢測(cè)系統(tǒng)：發(fā)現(xiàn)非正常的外部對(duì)內(nèi)部網(wǎng)絡(luò)的入侵行為，報(bào)警并阻止入侵行為和影響的進(jìn)一步擴(kuò)大。隔離網(wǎng)閘技術(shù)：在物理隔離的兩個(gè)網(wǎng)絡(luò)之間進(jìn)行安全數(shù)據(jù)交換。519.1網(wǎng)絡(luò)安全技術(shù)概述掃描技術(shù)：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，如何探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點(diǎn)？52如何探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點(diǎn)？7目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)53目錄9.1網(wǎng)絡(luò)安全技術(shù)概述89.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯(cuò)誤消息機(jī)制，例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無(wú)效的字段值、錯(cuò)誤的數(shù)據(jù)分片，以及通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器和反向映射探測(cè)等。549.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。99.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個(gè)變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個(gè)較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開放掃描。559.2網(wǎng)絡(luò)掃描技術(shù)端口掃描109.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯(cuò)誤消息機(jī)制，例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無(wú)效的字段值、錯(cuò)誤的數(shù)據(jù)分片，以及通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器和反向映射探測(cè)等。569.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。119.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個(gè)變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個(gè)較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開放掃描。579.2網(wǎng)絡(luò)掃描技術(shù)端口掃描12如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)？58如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)？13目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)59目錄9.1網(wǎng)絡(luò)安全技術(shù)概述149.3.1防火墻概念、功能609.3.1防火墻概念、功能159.3.1防火墻概念、功能1．防火墻的特性（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。（2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。（3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。619.3.1防火墻概念、功能1．防火墻的特性169.3.1防火墻概念、功能2．防火墻的功能（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄629.3.1防火墻概念、功能2．防火墻的功能179.3.2防火墻工作原理1．包過(guò)濾技術(shù)

“靜態(tài)包過(guò)濾”“動(dòng)態(tài)包過(guò)濾”對(duì)通過(guò)防火墻的每個(gè)IP數(shù)據(jù)報(bào)文（簡(jiǎn)稱數(shù)據(jù)包）的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行檢查，與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則進(jìn)行匹配，一旦發(fā)現(xiàn)某個(gè)數(shù)據(jù)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)數(shù)據(jù)包就會(huì)被丟棄。639.3.2防火墻工作原理1．包過(guò)濾技術(shù)189.3.2防火墻工作原理1．包過(guò)濾技術(shù)

649.3.2防火墻工作原理1．包過(guò)濾技術(shù)199.3.2防火墻工作原理通常需要檢查下列分組字段：源IP地址和目的IP地址；TCP、UDP和ICMP等協(xié)議類型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息類型；輸出分組的網(wǎng)絡(luò)接口。659.3.2防火墻工作原理通常需要檢查下列分組字段：209.3.2防火墻工作原理匹配結(jié)果分為三種情況：如果一個(gè)分組與一個(gè)拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被禁止通過(guò)；如果一個(gè)分組與一個(gè)允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被允許通過(guò)；如果一個(gè)分組沒有與任何的規(guī)則相匹配，則該分組將被禁止通過(guò)。這里遵循了“一切未被允許的都是禁止的”的原則。669.3.2防火墻工作原理匹配結(jié)果分為三種情況：219.3.2防火墻工作原理2．應(yīng)用代理技術(shù)“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層上，在這一層防火墻能“看到”應(yīng)用數(shù)據(jù)最終形式，因而可以實(shí)現(xiàn)更高級(jí)、更全面的數(shù)據(jù)檢測(cè)。采取代理機(jī)制進(jìn)行工作，即內(nèi)外部網(wǎng)絡(luò)之間的通信都需要先經(jīng)過(guò)代理服務(wù)器審核，內(nèi)外部網(wǎng)絡(luò)的計(jì)算機(jī)不能直接連接會(huì)話，這樣就可以避免攻擊者使用“數(shù)據(jù)驅(qū)動(dòng)”網(wǎng)絡(luò)攻擊。679.3.2防火墻工作原理2．應(yīng)用代理技術(shù)229.3.2防火墻工作原理3、狀態(tài)監(jiān)視技術(shù)

狀態(tài)監(jiān)視技術(shù)在支持對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”（SessionFiltering）功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，包含了這個(gè)連接數(shù)據(jù)包的所有信息，之后基于連接狀態(tài)信息對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行分析和監(jiān)視。689.3.2防火墻工作原理3、狀態(tài)監(jiān)視技術(shù)239.3.3基于DMZ的防火墻部署69DMZ部署方式，提供至少3個(gè)網(wǎng)路接口，一個(gè)用于連接外部網(wǎng)絡(luò)——通常是Internet，一個(gè)用于連接內(nèi)部網(wǎng)絡(luò)，一個(gè)用于連接提供對(duì)外服務(wù)的屏蔽子網(wǎng)。DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。9.3.3基于DMZ的防火墻部署24DMZ部署方式，提供至如何檢測(cè)非法入侵網(wǎng)絡(luò)行為？70如何檢測(cè)非法入侵網(wǎng)絡(luò)行為？25目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)71目錄9.1網(wǎng)絡(luò)安全技術(shù)概述269.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)（IntrusionDetection），通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。實(shí)現(xiàn)這一功能的軟件與硬件組合即構(gòu)成入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）。入侵檢測(cè)系統(tǒng)分類：主機(jī)型IDS是安裝在服務(wù)器或PC機(jī)上軟件，監(jiān)測(cè)到達(dá)主機(jī)的網(wǎng)絡(luò)信息流；網(wǎng)絡(luò)型IDS一般配置在網(wǎng)絡(luò)入口處（路由器）、或網(wǎng)絡(luò)核心交換處（核心交換路由）通過(guò)旁路技術(shù)監(jiān)測(cè)網(wǎng)絡(luò)上的信息流。729.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)（IntrusionD9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)應(yīng)包括以下主要功能：監(jiān)測(cè)、記錄并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；管理操作系統(tǒng)日志，識(shí)別違反安全策略的用戶活動(dòng)。739.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)應(yīng)包括以下主要功能：9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)一般包括以下組件：

事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）響應(yīng)單元（Responseunits）事件數(shù)據(jù)庫(kù)（Eventdatabases）74

為事件（event），它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。9.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)一般包括以下組件：9.4.2IDS類型與部署751．網(wǎng)絡(luò)IDS9.4.2IDS類型與部署301．網(wǎng)絡(luò)IDS9.4.2IDS類型與部署76基于數(shù)據(jù)模式判斷IDS9.4.2IDS類型與部署31基于數(shù)據(jù)模式判斷IDS9.4.2IDS類型與部署網(wǎng)絡(luò)IDS分類：基于知識(shí)的數(shù)據(jù)模式判斷方法：分析建立網(wǎng)絡(luò)中非法使用者（入侵者）的工作方法——數(shù)據(jù)模型，在實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量時(shí)，將網(wǎng)絡(luò)中讀取的數(shù)據(jù)與數(shù)據(jù)模型比對(duì)，匹配成功則報(bào)告事件?；谛袨榈男袨榕袛喾椒ǎ航y(tǒng)計(jì)行為判斷：根據(jù)上面模式匹配的事件，在進(jìn)行事后統(tǒng)計(jì)分析時(shí)，根據(jù)已知非法行為的規(guī)則，判斷出非法行為。異常行為判斷：根據(jù)平時(shí)統(tǒng)計(jì)的各種信息，得出正常網(wǎng)絡(luò)行為準(zhǔn)則，當(dāng)遇到違背這種準(zhǔn)則的事件發(fā)生時(shí)，報(bào)告非法行為事件。779.4.2IDS類型與部署網(wǎng)絡(luò)IDS分類：329.4.2IDS類型與部署以主機(jī)系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可以包括其他資源（如網(wǎng)絡(luò)、文件、進(jìn)程），從所在當(dāng)然也的主機(jī)上收集信息并進(jìn)行分析，通過(guò)查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用、運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用或修改的事件，并進(jìn)行上報(bào)和處理。截獲本地主機(jī)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容輪詢等方式監(jiān)聽系統(tǒng)的進(jìn)程及其參數(shù)查詢系統(tǒng)各種日志文件782．主機(jī)IDS9.4.2IDS類型與部署以主機(jī)系統(tǒng)日志、應(yīng)用程序日志等作9.4.3IDS工作原理799.4.3IDS工作原理349.4.4典型入侵檢測(cè)系統(tǒng)規(guī)劃與配置809.4.4典型入侵檢測(cè)系統(tǒng)規(guī)劃與配置35如何更有效地檢測(cè)非法入侵網(wǎng)絡(luò)行為？81如何更有效地檢測(cè)非法入侵網(wǎng)絡(luò)行為？36目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)82目錄9.1網(wǎng)絡(luò)安全技術(shù)概述379.5蜜罐技術(shù)蜜罐（Honeypot）技術(shù)可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。通過(guò)設(shè)置一個(gè)“希望被探測(cè)、攻擊甚至攻陷”系統(tǒng)，模擬正常的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)環(huán)境，引誘攻擊者入侵蜜罐系統(tǒng)，從而發(fā)現(xiàn)甚至定位入侵者，發(fā)現(xiàn)攻擊模式、手段和方法，進(jìn)而發(fā)現(xiàn)配置系統(tǒng)的缺陷和漏洞，以便完善安全配置管理消除安全隱患。蜜罐可以分為高交互蜜罐（High-interactionhoneypots）和低交互蜜罐（Low-interactionhoneypots）839.5蜜罐技術(shù)蜜罐（Honeypot）技術(shù)可以看成是一種誘9.5蜜罐技術(shù)一個(gè)高交互蜜罐是一個(gè)常規(guī)的計(jì)算機(jī)系統(tǒng)，如使用一臺(tái)標(biāo)準(zhǔn)計(jì)算機(jī)、路由器等。即高交互蜜罐實(shí)際上是一個(gè)配置了真實(shí)操作系統(tǒng)和服務(wù)的系統(tǒng)，為攻擊者提供一個(gè)可以交互的真實(shí)系統(tǒng)。這一系統(tǒng)在網(wǎng)絡(luò)中沒有常規(guī)任務(wù)，也沒有固定的活動(dòng)用戶。系統(tǒng)上只運(yùn)行正常守護(hù)進(jìn)程或服務(wù)，不應(yīng)該有任何不正常的進(jìn)程，也不產(chǎn)生任何網(wǎng)絡(luò)流量。84（1