《(精品)06第六章 网络安全防护技术.ppt》由会员分享,可在线阅读,更多相关《(精品)06第六章 网络安全防护技术.ppt(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第六章第六章 网络安全防护技术网络安全防护技术v6.1 网络安全基础网络安全基础 网网络络安安全全问问题题自自有有网网络络那那天天起起就就存存在在了了,只只是是当当时时人人们们并并没没有有充充分分重重视视,随随着着计计算算机机网网络络的的发发展展壮壮大大,人人们们对对它它的的依依赖赖程程度度也也越越来来越越大大,网网络络安安全全问问题题变变得得日日益益明明显显。开开放放互互联联网网络络具具有有国国际际统统一一的的标标准准和和访访问问方方法法,容容易易互互连连、互互通通与与互互操操作作,而而且且为为使使善善良良的的人人们们能能够够充充分分的的利利用用网网上上的的资资源源,网网络络被被设设计计成成
2、非非常常容容易易进进入入。这这就就造成了开放性网络系统节点分散、难于管理。造成了开放性网络系统节点分散、难于管理。对对网网络络的的侵侵害害手手段段多多种种多多样样,主主要要表表现现在在:非非授授权权访访问问、冒冒充充合合法法用用户户、破破坏坏数数据据完完整整性性、干干扰扰系系统统正正常常运运行行,利利用用网网络络传传播播病病毒、线路窃听等。毒、线路窃听等。随随着着经经济济信信息息化化的的迅迅速速发发展展,计计算算机机网网络络对对安安全全要要求求越越来来越越高高,尤尤其其自自InternetIntranet应应用用发发展展以以来来,网网络络的的安安全全已已经经涉涉及及到到国国家家主主权权等等许许
3、多多重重大大问问题题。随随着着“黑黑客客”工工具具技技术术的的日日益益发发展展,使使用用这这些些工工具具所所需需具具备备的的各各种种技技巧巧和和知知识识在在不不断断减减少少,从从而而造造成成的的全全球球范范围围内内“黑黑客客”行行为为的的泛泛滥滥,导导致致了了一一个个全全新新战战争争形形式式的的出出现现,即网络安全技术的大战即网络安全技术的大战。6.1 网络安全基础v6.1.1 网络安全定义网络安全定义网网络络安安全全是是指指网网络络系系统统的的硬硬件件、软软件件及及其其系系统统中中的的数数据据受受到到保保护护,不不受受偶偶然然的的或或者者恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改、泄
4、泄露露,系系统连续可靠正常地运行,网络服务不中断。统连续可靠正常地运行,网络服务不中断。与与其其他他概概念念不不同同的的是是,网网络络安安全全的的具具体体定定义义和和侧侧重重点点会会随随着着观观察者的角度而不断变化察者的角度而不断变化 从从用用户户(个个人人用用户户或或者者企企业业用用户户)的的角角度度来来说说,他他们们最最为为关关心心的的网网络络安安全全问问题题是是如如何何保保证证他他们们的的涉涉及及个个人人隐隐私私或或商商业业利利益益的的数数据据在传输过程中受到保密性、完整性和真实性的保护。在传输过程中受到保密性、完整性和真实性的保护。从从网网络络运运行行和和管管理理者者角角度度来来说说,
5、他他们们最最为为关关心心的的网网络络安安全全问问题题是如何保护和控制其他人对本地网络信息的访问、读写等操作。是如何保护和控制其他人对本地网络信息的访问、读写等操作。从从社社会会教教育育和和意意识识形形态态角角度度来来说说,人人们们最最为为关关心心的的网网络络安安全全问问题题是是如如何何杜杜绝绝和和控控制制网网络络上上不不健健康康的的内内容容。有有害害的的黄黄色色内内容容会会对社会的稳定和人类的发展造成不良影响。对社会的稳定和人类的发展造成不良影响。6.1 网络安全基础v6.1.1 网络安全定义网络安全定义 网网络络信信息息安安全全与与保保密密还还会会因因为为不不同同的的应应用用环环境境得得到不
6、同的解释到不同的解释 运行系统安全,即保证网络信息处理和传输系统的安全。网络系统信息的安全。比如:用户口令鉴别、用户存取权限控制、数据存取权限和方式控制、安全审计、安全跟踪、计算机病毒防治、数据加密等。网络信息传播的安全,即网络信息传播后果的安全。网络信息内容的安全。6.1 网络安全基础v6.1.2 网络安全特征网络安全特征可靠性可靠性 可可靠靠性性是是网网络络信信息息系系统统能能够够在在规规定定条条件件下下和和规规定定的的时时间间内内完完成成规规定定的的功功能能的的特特性性。可可靠靠性性是是系系统统安安全全的的最最基基本本要要求求之之一一,是是所有网络信息系统的建设和运行目标。所有网络信息系
7、统的建设和运行目标。可用性可用性 可可用用性性是是网网络络信信息息可可被被授授权权实实体体访访问问并并按按需需求求使使用用的的特特性性,即即 网网络络信信息息服服务务在在需需要要时时,允允许许授授权权用用户户或或实实体体使使用用的的特特性性,或或者者是是网网络络部部分分受受损损或或需需要要降降级级使使用用时时,仍仍能能为为授授权权用用户户提提供供有有效服务的特性。效服务的特性。保密性保密性 保保密密性性是是网网络络信信息息不不被被泄泄露露给给非非授授权权的的用用户户、实实体体或或过过程程,或或供供其其利利用用的的特特性性。即即,防防止止信信息息泄泄漏漏给给非非授授权权个个人人或或实实体体,信信
8、息只为授权用户使用的特性。息只为授权用户使用的特性。6.1 网络安全基础完整性完整性 完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。保障网络信息完整性的主要方法有:协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段、失效的字段和被修改的字段;纠错编码方法:由此完成纠错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;密码校验和方法:它是抗篡改和传输失败的重要手段;数字签名:保障信息的真实性;公证:请求网络管理或中介机构证明信息的真实性。不可抵赖性不可抵赖性 不可抵赖性也称作不可
9、否认性。在网络信息系统的信息交互过程中,确信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。可控性可控性 可控性是对网络信息的传播及内容具有控制能力的特性。6.1 网络安全基础v6.1.3 网络安全模型网络安全模型物理安全物理安全自然灾害(地震、火灾、洪水等)、物理损坏(硬盘损坏、设备使用寿命到期、外力破损等)、设备故障(停电断电、电磁干扰等)电磁辐射(如侦听微机操作过程),乘机而入(如合法用户进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善,被非法用户获得)等 操作失误(偶然删除文件、格式化硬盘、线路拆除等),意外疏漏(系统掉电、“死机”等系统崩溃)。安全控
10、制安全控制 操作系统的安全控制 网络接口模块的安全控制 网络互连设备的安全控制 6.1 网络安全基础安全服务安全服务安全机制是利用密码算法对重要而敏感的数据进行处理安全连接是在安全处理前与网络通信方之间的连接过程 安全协议 安全策略 6.1 网络安全基础v6.1.4 网络安全机制网络安全机制 计算机网络面临的威胁计算机网络面临的威胁内部泄密和破坏截收 6.1 网络安全基础冒充 冒充领导发布命令、调阅密件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户,欺骗系统,占用合法用户的资源。破坏系统的可用性 使合法用户不能正常访
11、问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统等 6.1 网络安全基础非法访问 非法用户(通常称为黑客)进入网络或系统,进行违法操作;合法用户以未授权的方式进行操作。破坏信息的完整性 篡改改变信息流的次序、时序、流向,更改信息的内容和形式;如图如图63所示所示:删除删除某个消息或消息的某些部分;插入在消息中插入一些信息,让接收方读不懂或接收错误的信息。6.1 网络安全基础重演 重演指的是攻击者截收并录制信息,然后在必要的时候重发或反复发送这些 信息。抵赖 发送信息者事后否认曾经发送过某条消息;发送信息者事后否认曾经发送过某条消息的内容;接收信息者事后否认曾经收到过某条消息;接收信
12、息者事后否认曾经收到过某条消息的内容。其他威胁 计算机病毒电磁泄漏各种灾害操作失误 6.1 网络安全基础OSI安全体系结构和安全体系结构和Internet安全策略安全策略 OSIOSI层次安全服务层次安全服务1234567对等协议实体鉴别数据源鉴别访问控制服务连接保密无连接保密选择字段保密分组流保密可恢复连接完整性无恢复连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性数字签名6.1 网络安全基础从整体上看,Internet网络安全策略可分为以下几个层次:即操作系统层用户层、应用层网络层(路由器)数据链路层 6.1 网络安全基础安全服务安全服务 对象认证安全服务对象认证安全服务 防防
13、止止主主动动攻攻击击的的主主要要技技术术,认认证证就就是是识识别别和和证证实实。识识别别是是辩辩明明一一个个对对象象的的身身份份的的过过程程,证证实实是是证证明明该该对对象象的的身身份份就就是是其其声声明明的的身身份的过程。份的过程。访问控制安全服务访问控制安全服务 防防止止超超权权使使用用资资源源。访访问问控控制制大大体体可可分分为为自自主主访访问问控控制制和和强强制制访访问控制。问控制。数据机密性安全服务数据机密性安全服务 防防止止信信息息泄泄漏漏。这这组组安安全全服服务务又又细细分分为为:信信息息机机密密性性、选选择择段段机机密性、业务流机密性。密性、业务流机密性。数据完整性安全服务数据
14、完整性安全服务 防防止止非非法法地地篡篡改改信信息息、文文件件和和业业务务流流。这这组组安安全全服服务务又又分分为为:联联接接完完整整性性(有有恢恢复复或或无无恢恢复复)、选选择择段段有有联联接接完完整整性性、选选择择段段无无联联接接完整性。完整性。防抵赖安全服务防抵赖安全服务 证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。6.1 网络安全基础安全机制安全机制与安全服务有关的机制与安全服务有关的机制 加密机制加密机制 数字签名机制数字签名机制 访问控制机制访问控制机制 数据完整性机制数据完整性机制 认证交换机制认证交换机制
15、防业务流分析机制防业务流分析机制 路由控制机制路由控制机制 公证机制公证机制 6.1 网络安全基础与管理有关的安全机制与管理有关的安全机制可信功能机制:扩充其它安全机制的应用范围,既可以可信功能机制:扩充其它安全机制的应用范围,既可以可信地直接提供安全机制,也可以可信地提供对其它安可信地直接提供安全机制,也可以可信地提供对其它安全机制的访问。全机制的访问。安全标签机制:标明安全对象的敏感程度或保护级。安全标签机制:标明安全对象的敏感程度或保护级。事件探测机制:探测与安全性有关的事件。事件探测机制:探测与安全性有关的事件。安全审核机制:独立地对安全系统的记录和活动进行检安全审核机制:独立地对安全
16、系统的记录和活动进行检查,测试系统控制信息是否正常,确保安全政策的正常查,测试系统控制信息是否正常,确保安全政策的正常实施。实施。安全恢复机制:从安全性破坏的状态中恢复到安全状态。安全恢复机制:从安全性破坏的状态中恢复到安全状态。安全服务与安全机制有着密切的关系:安全服务体现了安全服务与安全机制有着密切的关系:安全服务体现了安全系统的功能,它是由一个或多个安全机制来实现的,安全系统的功能,它是由一个或多个安全机制来实现的,同样,一个安全机制也可用于实现不同的安全服务中。同样,一个安全机制也可用于实现不同的安全服务中。6.1 网络安全基础v6.1.5 网络安全的关键技术网络安全的关键技术防火墙防
17、火墙(Firewall)技术技术分组过滤分组过滤 这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤、凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。代理服务 是一种基于代理服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。6.1 网络安全基础访问控制技术访问控制技术 除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,如果它具有安全的控制策略和保护机制,便可以将非法人侵者拒之门外。否
18、则,非法人侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,而且操作是无效的。因此,授权策略和授权机制的安全性显得特别重要。物理隔离:使必须隔离的进程使用不同的物理客体。时间隔离:使具有不同安全要求的进程在不同的时间运行。逻辑隔离:实施存取控制,使进程不能存取允许范围以外的客体。密码隔离:使进程以一种其它进程不能解密的方式险蔽数据以及计算。6.1 网络安全基础网络安全协议控制网络安全协议控制 sslshttp其他技术其他技术智能卡技术智能卡技术 网络分段网络分段 6.2 网络操作系统安全网络操作系统安全目前服务器
19、常用的操作系统有三类:目前服务器常用的操作系统有三类:Unix Linux Windows NT/2000/2003 Server。UNIX系统系统(1)可靠性高)可靠性高(2)极强的伸缩性)极强的伸缩性(3)网络功能强)网络功能强(4)强大的数据库支持功能)强大的数据库支持功能(5)开放性好)开放性好Linux系统系统6.2 网络操作系统安全网络操作系统安全Linux系统系统完全免费完全免费完全兼容完全兼容POSIX 1.0标准标准多用户、多任务多用户、多任务良好的界面良好的界面丰富的网络功能丰富的网络功能可靠的安全、稳定性能可靠的安全、稳定性能支持多种平台支持多种平台Windows系统系统
20、 支持多种网络协议支持多种网络协议 内置内置Internet功能功能 支持支持NTFS文件系统文件系统 6.3 常见网络攻击与防范v6.3.1 攻击五部曲攻击五部曲隐藏隐藏IP首首先先入入侵侵互互联联网网上上的的一一台台电电脑脑(俗俗称称“肉肉鸡鸡”),利利用用这这台台电电脑脑进进行行攻攻击击,这这样样即即使使被被发发现现了了,也也是是“肉肉鸡鸡”的的IP地址。地址。做做多多级级跳跳板板“Sock代代理理”,这这样样在在入入侵侵的的电电脑脑上上留留下下的的是是代理计算机的代理计算机的IP地址地址。踩点扫描、踩点扫描踩点扫描、踩点扫描 踩点是通过各种途径对所要攻击的目标进行多方面的了解踩点是通过
21、各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的扫描的目的是利用各种工具在攻击目标的IP地址或地址段地址或地址段的主机上寻找漏洞。的主机上寻找漏洞。扫描分成两种策略:被动式策略和主动式策略。扫描分成两种策略:被动式策略和主动式策略。6.3 常见网络攻击与防范常见网络攻击与防范获得系统或管理员权限获得系统或管理员权限通过系统漏洞获得系统权限通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限通过管理漏洞获得管理员权限 通过软件
22、漏洞得到系统权限通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限通过监听获得敏感信息进一步获得相应权限 通过弱口令获得远程管理员的用户密码通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目标通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权机的控制权 通过欺骗获得权限以及其他有效的方法。通过欺骗获得权限以及其他有效的方法。6.3 常见网络攻击与防范常见网络攻击与防范种植后门种植后门为了保持长期对自己胜利果实的访问权,在已经攻破为了保持长期对自己胜利果实的访问权,在已经攻
23、破的计算机上种植一些供自己访问的后门。的计算机上种植一些供自己访问的后门。在网络中隐身在网络中隐身 一次成功入侵之后,一般在对方的计算机上已经存储一次成功入侵之后,一般在对方的计算机上已经存储了相关的登录日志,这样就容易被管理员发现。在入了相关的登录日志,这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。侵完毕后需要清除登录日志已经其他相关的日志。6.3 常见网络攻击与防范常见网络攻击与防范v6.3.2 网络扫描与网络监听网络扫描与网络监听网络踩点网络踩点 在域名及其注册机构的查询在域名及其注册机构的查询公司性质的了解公司性质的了解对主页进行分析对主页进行分析邮件地址的搜
24、集邮件地址的搜集目标目标IP地址范围查询。地址范围查询。网络扫描策略网络扫描策略被动式策略被动式策略 是基于主机之上,对系统中不合适的设置,脆弱的口令是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏。描不会对系统造成破坏。6.3 常见网络攻击与防范常见网络攻击与防范主动式策略主动式策略活动主机探测;活动主机探测;ICMP查询;查询;网络网络PING扫描;扫描;端口扫描;端口扫描;标识标识UDP和和TCP服务;服务;指定漏洞扫描;指定漏洞扫描;综合扫描。综合扫描。扫描方式扫描方式 慢速
25、扫描慢速扫描 对非连续端口进行扫描,并且源地址不一致、时间间隔长没对非连续端口进行扫描,并且源地址不一致、时间间隔长没有规律的扫描。有规律的扫描。乱序扫描乱序扫描 对连续的端口进行扫描,源地址一致,时间间隔短的扫描。对连续的端口进行扫描,源地址一致,时间间隔短的扫描。6.3 常见网络攻击与防范常见网络攻击与防范网络监听网络监听局域网数据交换过程局域网数据交换过程 在局域网中与其他计算机进行数据交换的时候,发送的数据包在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址。因
26、此只有与数据包中目标地址一致的那台主机才会的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。接收数据包,其他的机器都会将包丢弃。监听工具的原理监听工具的原理 当主机工作在监听模式下时,无论接收到的数据包中目标地址当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。了局域网中通信的数据。监听软件监听软件嗅探经典嗅探经典Iris密码监听工具密码监听工具Win Sniffer密码监听工具密码监听工具pswmonitor和非交
27、换环境局域网的和非交换环境局域网的fssniffer等等等等防止监听的手段有建设交换网络、使用加密技术和使用一防止监听的手段有建设交换网络、使用加密技术和使用一次性口令技术次性口令技术 6.3 常见网络攻击与防范常见网络攻击与防范v6.3.3 网络入侵网络入侵社会工程学攻击社会工程学攻击打电话请求密码打电话请求密码伪造伪造Email物理攻击与防范物理攻击与防范权限提升权限提升暴力攻击暴力攻击字典文件字典文件 一次字典攻击能否成功,很大因素上决定于字典文件。一个好的字典文件可以高效快速的得到系统的密码。6.3 常见网络攻击与防范常见网络攻击与防范一个简单的字典文件 6.3 常见网络攻击与防范常见
28、网络攻击与防范暴力破解操作系统密码暴力破解操作系统密码 程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则显示密码比如使用字典文件,利用工具软件可以将管理员密码破解出来。暴力破解邮箱密码暴力破解邮箱密码 邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是数字,更容易被破解。暴力破解软件密码暴力破解软件密码 许多软件都具有加密的功能,比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。6.3 常见网络攻击与防范常见网络攻击与防范SMB致命攻击致命攻击 SMB(Sessio
29、n Message Block,会话消息块协议)又叫做NetBIOS或LanManager协议,用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘缓冲区溢出攻击缓冲区溢出攻击原理原理缓冲区溢出原理很简单,比如缓冲区溢出原理很简单,比如C语言程序:语言程序:void function(char*szPara1)char buff16;strcpy(buffer,szPara1);6.3 常见网络攻击与防范常见网络攻击与防范RPC漏洞溢出漏洞溢出 远程过程调用远程过程调用RPC(Remote Procedure Call),是操),是操作系统的一种消息传递功能,允许
30、应用程序呼叫网络上的作系统的一种消息传递功能,允许应用程序呼叫网络上的计算机。当系统启动的时候,自动加载计算机。当系统启动的时候,自动加载RPC服务。可以在服务。可以在服务列表中看到系统的服务列表中看到系统的RPC服务服务 6.3 常见网络攻击与防范常见网络攻击与防范拒绝服务攻击拒绝服务攻击 凡是造成目标计算机拒绝提供服务的攻击都称为凡是造成目标计算机拒绝提供服务的攻击都称为DoS(Denial of Service)攻击,其目的是使目标)攻击,其目的是使目标计算机或网络无法提供正常的服务。计算机或网络无法提供正常的服务。带宽攻击是以极大的通信量冲击网络,使网络所有可带宽攻击是以极大的通信量冲
31、击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法用的带宽都被消耗掉,最后导致合法用户的请求无法通过。通过。连通性攻击指用大量的连接请求冲击计算机,最终导连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。致计算机无法再处理合法用户的请求。6.3 常见网络攻击与防范常见网络攻击与防范v6.3.4 入侵检测入侵检测入侵检测系统入侵检测系统 入侵检测系统入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录系统资源的非
32、授权使用能够做出及时的判断、记录和报警。和报警。没有一个应用系统不会发生错误,原因主要有四个没有一个应用系统不会发生错误,原因主要有四个方面。方面。缺乏共享数据的机制缺乏共享数据的机制缺乏集中协调的机制缺乏集中协调的机制缺乏揣摩数据在一段时间内变化的能力缺乏揣摩数据在一段时间内变化的能力缺乏有效的跟踪分析缺乏有效的跟踪分析6.3 常见网络攻击与防范常见网络攻击与防范 根据入侵检测的信息来源不同,可以分为两类:根据入侵检测的信息来源不同,可以分为两类:基于主机的入侵检测系统:基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视主要用于保护运行关键应用的服务器。它通过监视与分析主机
33、的审计记录和日志文件:来检测入侵。通与分析主机的审计记录和日志文件:来检测入侵。通过查看日志文件,能够发现成功的入侵或入侵企图,过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。并很快地启动相应的应急响应程序。基于网络的入侵检测系统:基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。络上的所有分组来采集数据,分析可疑现象。6.3 常见网络攻击与防范常见网络攻击与防范入侵检测的方法入侵检测的方法 入侵检测方法有三种分类依据:入侵检测方法有三种分类依据:根据物理位置进行
34、分类。根据物理位置进行分类。根据建模方法进行分类。根据建模方法进行分类。根据时间分析进行分类。根据时间分析进行分类。常用的方法有三种:常用的方法有三种:静态配置分析静态配置分析异常性检测方法异常性检测方法基于行为的检测方法。基于行为的检测方法。6.3 常见网络攻击与防范常见网络攻击与防范入侵检测的步骤入侵检测的步骤 信息收集信息收集数据分析数据分析 根据数据分析的不同方式可将入侵检测系统分为两类:根据数据分析的不同方式可将入侵检测系统分为两类:异常入侵检测异常入侵检测误用入侵检测误用入侵检测响应响应将分析结果记录在日志文件中,并产生相应的报告。将分析结果记录在日志文件中,并产生相应的报告。触发
35、警报:如在系统管理员的桌面上产生一个告警标志触发警报:如在系统管理员的桌面上产生一个告警标志 位,向系统管理员发送传呼或电子邮件等等。位,向系统管理员发送传呼或电子邮件等等。修改入侵检测系统或目标系统,如终止进程、切断攻击修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。者的网络连接,或更改防火墙配置等。6.3 常见网络攻击与防范常见网络攻击与防范v6.3.5 网络后门与网络隐身网络后门与网络隐身网络后门网络后门木马木马 木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木
36、马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。6.3 常见网络攻击与防范常见网络攻击与防范网络隐身网络隐身网络代理跳板 6.3 常见网络攻击与防范常见网络攻击与防范清除日志 清除IIS日志 这些信息记录在这些信息记录在WinntSystem32logFiles目录下目录下 6.3 常见网络攻击与防范常见网络攻击与防范打开任一文件夹下的任一文件,可以看到打开任一文件夹下的任一文件,可以看到IIS日志的基本格式,日志的基本格式,记录了用户访问的服务器文件、用户登的时间、用户的记录了用户访问的服务器文件、用户登的时间、用户的IP地址地址以及
37、用户浏览器以及操作系统的版本号。以及用户浏览器以及操作系统的版本号。6.3 常见网络攻击与防范常见网络攻击与防范清除主机日志主机日志包括三类的日志:应用程序日志、安全日志和系统日志 6.3 常见网络攻击与防范常见网络攻击与防范 使用工具软件clearel.exe,可以方便的清除系统日志,首先将该文件上传到对方主机,然后删除这三种日志的命令格式为:1.Clearel System 2.Clearel Security 3.Clearel Application 4.Clearel All6.3 常见网络攻击与防范常见网络攻击与防范执行完毕后,再打开事件查看器,发现都已经空了 思考题思考题如何定义网络安全,其本质是什么?网络安全的特征有哪些?网络安全的关键技术有哪些?计算机网络面临的威胁有哪些?你是如何认识的?Internet网络安全策略可分哪几个层次?请对你目前使用的操作系统进行安全配置,并试图入侵该系统。LOGO