沈鑫剡编著网络安全教材配套PPT课件
合集下载
沈鑫剡编著(网络安全)教材配套课件第8章-
计算机网络安全
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
沈鑫剡编著(网络安全)教材配套课件第1章
计算机网络安全
概述
三、信息安全发展过程
2.有线通信和无线通信阶段 (2)存在的威胁 敌方可以侦听到经过有线和无线信道 传播的信号,并通过侦听到的信号还原出 信息。
计算机网络安全
概述
三、信息安全发展过程
2.有线通信和无线通信阶段 (3)安全措施 对表示信息的数据进行加密处理。
计算机网络安全
概述
三、信息安全发展过程
计算机网络安全
概述
四、信息安全目标
4.不可抵赖性 不可抵赖性是信息交互过程中,所有 参与者不能否认曾经完成的操作或承诺的 特性 。 5.可控制性 可控制性是对信息的传播过程及内容 具有控制能力的特性。
计算机网络安全
概述
1.2 网络安全
本讲主要内容 引发网络安全问题的原因; 网络安全内涵。
信息 信息是对客观世界中各种事物的运动 状态和变化的反映,是客观事物之间相互 联系和相互作用的表征,表现的是客观事 物运动状态和变化的本质内容。
计算机网络安全
概述
一、信息、数据和信号
数据 数据是记录信息的形式,可以用文字、 数值、图形、图像、音频和视频等多种类 型的数据表示信息。
计算机网络安全
计算机网络安全
概述
三、信息保障技术框架
1.IATF核心要素 (2)技术 技术是信息系统安全保障的基础,由 安全技术实现信息系统的防护、检测、响 应等安全功能。网络环境下的信息系统由 多个不同的功能模块组成,每一个功能模 块需要有相应的安全技术实现防护、检测、 响应等安全功能。
计算机网络安全
概述
三、信息保障技术框架
应用层网关等 应用层安全技术
代理网关、 SSL VPN 等 传输层安全技术 安全路由、路由器冗余、 网际层安全技术 IP Sec VPN、防火墙等 传输网络 以太网安全技术 无线局域网安全技术等 安全技术 加密和报文摘要算法, PKI ,密钥生成、管理 和 分 发 机 制 , 鉴 别 机 安全基础 制、数字签名等
概述
三、信息安全发展过程
2.有线通信和无线通信阶段 (2)存在的威胁 敌方可以侦听到经过有线和无线信道 传播的信号,并通过侦听到的信号还原出 信息。
计算机网络安全
概述
三、信息安全发展过程
2.有线通信和无线通信阶段 (3)安全措施 对表示信息的数据进行加密处理。
计算机网络安全
概述
三、信息安全发展过程
计算机网络安全
概述
四、信息安全目标
4.不可抵赖性 不可抵赖性是信息交互过程中,所有 参与者不能否认曾经完成的操作或承诺的 特性 。 5.可控制性 可控制性是对信息的传播过程及内容 具有控制能力的特性。
计算机网络安全
概述
1.2 网络安全
本讲主要内容 引发网络安全问题的原因; 网络安全内涵。
信息 信息是对客观世界中各种事物的运动 状态和变化的反映,是客观事物之间相互 联系和相互作用的表征,表现的是客观事 物运动状态和变化的本质内容。
计算机网络安全
概述
一、信息、数据和信号
数据 数据是记录信息的形式,可以用文字、 数值、图形、图像、音频和视频等多种类 型的数据表示信息。
计算机网络安全
计算机网络安全
概述
三、信息保障技术框架
1.IATF核心要素 (2)技术 技术是信息系统安全保障的基础,由 安全技术实现信息系统的防护、检测、响 应等安全功能。网络环境下的信息系统由 多个不同的功能模块组成,每一个功能模 块需要有相应的安全技术实现防护、检测、 响应等安全功能。
计算机网络安全
概述
三、信息保障技术框架
应用层网关等 应用层安全技术
代理网关、 SSL VPN 等 传输层安全技术 安全路由、路由器冗余、 网际层安全技术 IP Sec VPN、防火墙等 传输网络 以太网安全技术 无线局域网安全技术等 安全技术 加密和报文摘要算法, PKI ,密钥生成、管理 和 分 发 机 制 , 鉴 别 机 安全基础 制、数字签名等
沈鑫剡编著(网络安全)教材配套课件第10章
虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器 邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间 的双向身份鉴别,保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备,可以将远程终端访问内部网络资源的请求消息转 发给内部网络中的服务器,也将内部网络服务器发送的响应消息,转发给远程终端。
缺点:互连子网的专用点 对点物理链路的低效率、 高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ; 可以按需建立与路由器R之间的语音信 道。
R
内部网络
缺点:需要支付昂贵的长 途费用;语音信道利用率 不高;语音信道的数据传 输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘 要算法MD5,同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP,ESP使用的加 密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身 份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密 钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术,SSL VPN的 核心设备是SSL VPN网关,SSL VPN网关一端连接互联网,另一端连接内 部网络。
沈鑫剡编著(网络安全)教材配套课件第14章
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则
对于UDP会话,传输第一个UDP报文时创建UDP 会话,并用该UDP报文的两端插口唯一标识该UDP会 话,所有两端插口与标识该UDP会话的两端插口相 同的UDP报文都是属于该会话的UDP报文。如果规定 时间内,一直没有传输两端插口与标识该UDP会话 的两端插口相同的UDP报文,删除该UDP会话。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则
对于TCP连接,会话分为三个阶段,一是TCP连 接建立阶段,二是数据传输阶段,三是TCP连接释 放阶段。通过TCP连接建立过程创建会话,并用两 端插口唯一标识创建的会话,插口由标识终端的32 位IP地址和标识进程的16位端口号组成。创建会话 后,所有两端插口与标识该会话的两端插口相同的 TCP报文都是属于该会话的TCP报文。通过TCP连接 释放过程删除会话。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
三、审计
日志记录器以二进制或可读的形式记录事件或统计数据。 日志通常记录与以下活动有关的事件。 用于检测已知攻击模式; 用于检测异常行为和异常信息流。 对于每一个事件,日志记录以下信息:事件发生的日期和 时间,引发事件的用户,事件源的位置,事件类型,事件成败 等。
一、基本术语
主体(Subject)是指主动的实体,该实体造成了信息 的流动和系统状态的改变。 客体(Object)是指包含或接受信息的被动实体。对客 体的访问意味着对其中所包含的信息的访问。 访问是使信息在主体和客体间流动的一种交互方式。 访问控制是一种具有以下功能的安全机制,一是能保障 授权用户获取所需资源,二是能拒绝非授权用户非法获取资 源。 身份鉴别一是需要对主体分配唯一标识符,二是主体能 够提供证明身份的标识信息,授权是为每一个用户设置访问 权限,某个用户的访问权限是指该用户允许访问的客体和允 许对客体进行的操作。
计算机网络安全课件(沈鑫剡)第3章
明文 P E K
密文 Y
D K
明文 P
Y=EK(P); P=DK(Y); P=DK( EK(P) )=EK( DK(P) )。
计算机网络安全
网络安全基础
对称密钥加密算法
加密、解密算法是公开的; 安全性完全取决于密钥K的安全性。
保证密钥安全性的两种机制: 一次一密,密钥之间没有任何相关性; 在公开加密、解密算法,获取多对明文/ 密文对的前提下,无法推导出密钥K。
计算机网络安全
网络安全基础
对称密钥加密算法
流密码体制
发送端 P
接收端
P
Ki {K1 K2 K3,…,KN} 密钥集
Ki
无穷大的密钥集,密钥不可能重复,密钥之间没有任何相关性。 密文Y=P⊕Ki,因此,很容易根据明文和密文得出密钥, Ki = P⊕Y。 密钥的安全性在于不重复、不可预测。 计算机网络安全
根据上述规则,一旦满足条件MD(P)=EPKA(数字签名),得出数字签名 =DSKA(MD(P)),可以断定报文P由知道私钥SKA的用户发送,知道私 钥SKA的用户是和公钥PKA绑定的用户。
计算机网络安全
网络安全基础
3.4 认证协议
Kerberos; TLS; EAP和802.1X; RADIUS。
明文 明文 ) P P P‖DSKA(MD(P) 数字 签名 数字 签名
MD E PKA
相等,明文 P 认定是用户 A 所发
不相等,明文 P 无效
规则一:EPKA(DSKA(P))=P,通过公钥PKA加密还原的一定是通过私 钥SKA解密运算的结果;
规则二:无法根据报文摘要h,求出报文X,且使得MD(X)=h;
密文 Y
D K
明文 P
Y=EK(P); P=DK(Y); P=DK( EK(P) )=EK( DK(P) )。
计算机网络安全
网络安全基础
对称密钥加密算法
加密、解密算法是公开的; 安全性完全取决于密钥K的安全性。
保证密钥安全性的两种机制: 一次一密,密钥之间没有任何相关性; 在公开加密、解密算法,获取多对明文/ 密文对的前提下,无法推导出密钥K。
计算机网络安全
网络安全基础
对称密钥加密算法
流密码体制
发送端 P
接收端
P
Ki {K1 K2 K3,…,KN} 密钥集
Ki
无穷大的密钥集,密钥不可能重复,密钥之间没有任何相关性。 密文Y=P⊕Ki,因此,很容易根据明文和密文得出密钥, Ki = P⊕Y。 密钥的安全性在于不重复、不可预测。 计算机网络安全
根据上述规则,一旦满足条件MD(P)=EPKA(数字签名),得出数字签名 =DSKA(MD(P)),可以断定报文P由知道私钥SKA的用户发送,知道私 钥SKA的用户是和公钥PKA绑定的用户。
计算机网络安全
网络安全基础
3.4 认证协议
Kerberos; TLS; EAP和802.1X; RADIUS。
明文 明文 ) P P P‖DSKA(MD(P) 数字 签名 数字 签名
MD E PKA
相等,明文 P 认定是用户 A 所发
不相等,明文 P 无效
规则一:EPKA(DSKA(P))=P,通过公钥PKA加密还原的一定是通过私 钥SKA解密运算的结果;
规则二:无法根据报文摘要h,求出报文X,且使得MD(X)=h;
沈鑫剡编著(网络安全)教材配套课件第11章
计算机网络安全
防火墙
五、防火墙的局限性
无法防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过 程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容 无状态分组过滤器; 有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=20, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
计算机网络安全课件(沈鑫剡)第4章
计算机网络安全
安全网络技术
4.1 以太网安全技术
以太网接入控制 访问控制列表; 访问控制列表; 安全端口; 安全端口; 802.1X接入控制过程 802.1X接入控制过程。 接入控制过程。 以太网其他安全功能 防站表溢出攻击功能; 防站表溢出攻击功能; 防DHCP欺骗; 欺骗; 欺骗 欺骗攻击。 防ARP欺骗攻击。 欺骗攻击
信任端口
交换机 B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC C IP C F0/7 MAC A IP A F0/7 MAC B IP B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC A IP A F0/4 MAC B IP B F0/7 MAC C IP C
计算机网络安全
安全网络技术
以太网接入控制
黑客攻击内部网络的第一步是接入内部网络, 黑客攻击内部网络的第一步是接入内部网络, 而以太网是最常见的直接用于接入用户终端 的网络, 的网络,只允许授权用户终端接入以太网是 抵御黑客攻击的关键步骤; 抵御黑客攻击的关键步骤; 交换机端口是用户终端的物理连接处, 交换机端口是用户终端的物理连接处,防止 黑客终端接入以太网的关键技术是授权用户 终端具有难以伪造的标识符,交换机端口具 终端具有难以伪造的标识符, 有识别授权用户终端标识符的能力。 有识别授权用户终端标识符的能力。
计算机网络安全
第四章
© 2006工程兵工程学院 计算机教研室
安全网络技术
第4章 安全网络技术
以太网安全技术; 以太网安全技术; 安全路由; 安全路由; 虚拟网络; 虚拟网络; 信息流管制; 信息流管制; 网络地址转换; 网络地址转换; 容错网络结构。 容错网络结构。 解决网络安全问题的方法主要有三: 解决网络安全问题的方法主要有三:一是提出解决安全问 题的新的机制和算法,如数字签名算法和认证机制。 题的新的机制和算法,如数字签名算法和认证机制。二是 增加解决安全问题的新设备,如防火墙和入侵防御系统。 增加解决安全问题的新设备,如防火墙和入侵防御系统。 三是在传统网络设备和网络设计方法中增加抵御黑客攻击 的手段和能力, 的手段和能力,安全网络技术就是在传统网络设备和网络 设计方法中增加的用于抵御黑客攻击和保障网络适用性的 技术。 技术。
安全网络技术
4.1 以太网安全技术
以太网接入控制 访问控制列表; 访问控制列表; 安全端口; 安全端口; 802.1X接入控制过程 802.1X接入控制过程。 接入控制过程。 以太网其他安全功能 防站表溢出攻击功能; 防站表溢出攻击功能; 防DHCP欺骗; 欺骗; 欺骗 欺骗攻击。 防ARP欺骗攻击。 欺骗攻击
信任端口
交换机 B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC C IP C F0/7 MAC A IP A F0/7 MAC B IP B
DHCP 配置表 端口 MAC 地址 IP 地址 F0/1 MAC A IP A F0/4 MAC B IP B F0/7 MAC C IP C
计算机网络安全
安全网络技术
以太网接入控制
黑客攻击内部网络的第一步是接入内部网络, 黑客攻击内部网络的第一步是接入内部网络, 而以太网是最常见的直接用于接入用户终端 的网络, 的网络,只允许授权用户终端接入以太网是 抵御黑客攻击的关键步骤; 抵御黑客攻击的关键步骤; 交换机端口是用户终端的物理连接处, 交换机端口是用户终端的物理连接处,防止 黑客终端接入以太网的关键技术是授权用户 终端具有难以伪造的标识符,交换机端口具 终端具有难以伪造的标识符, 有识别授权用户终端标识符的能力。 有识别授权用户终端标识符的能力。
计算机网络安全
第四章
© 2006工程兵工程学院 计算机教研室
安全网络技术
第4章 安全网络技术
以太网安全技术; 以太网安全技术; 安全路由; 安全路由; 虚拟网络; 虚拟网络; 信息流管制; 信息流管制; 网络地址转换; 网络地址转换; 容错网络结构。 容错网络结构。 解决网络安全问题的方法主要有三: 解决网络安全问题的方法主要有三:一是提出解决安全问 题的新的机制和算法,如数字签名算法和认证机制。 题的新的机制和算法,如数字签名算法和认证机制。二是 增加解决安全问题的新设备,如防火墙和入侵防御系统。 增加解决安全问题的新设备,如防火墙和入侵防御系统。 三是在传统网络设备和网络设计方法中增加抵御黑客攻击 的手段和能力, 的手段和能力,安全网络技术就是在传统网络设备和网络 设计方法中增加的用于抵御黑客攻击和保障网络适用性的 技术。 技术。
沈鑫剡编著(网络安全)教材配套课件第12章
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
五、病毒破坏过程
设置后门; 监控用户操作过程; 破坏硬盘信息; 破坏BIOS; 发起拒绝服务攻击; 蠕虫蔓延。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
②
激活病毒,发起 建立与客户端之 间的 TCP 连接
内部网络
攻击目标
向目标主机发送一个错误的HTTP请求消息,目标主机回送的HTTP响应消息 中会给出有关目标主机Web服务器的一些信息。
HTTP/1.1 400 Bad Request Server:Microsoft-IIS/4.0 Date:Sat,03 Apr 1999 08:42:40 GMT Content-Type:text/html Content-Length:87
NAT
外部网络
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
木马病毒采用客户/服务器结构,由客户端和服务器端 代码组成,激活服务器端代码后,黑客通过启动客户端代码, 和服务器端建立连接,并通过客户端对服务器端系统进行操 作。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(4)实施非法访问 建立服务器端与客户端之间的TCP连接后,黑客可以通
过客户端对服务器端资源实施非法访问。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
函数 A 返回地址
xxxx
函数 B 缓冲区
缓冲区溢出
NNNN
NNNN
恶意代码入口地址 恶意代码
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(2)木马病毒传播及首次激活过程 常见的传播木马病毒的途径有以下几种,嵌入用脚本语
言编写的木马病毒的HTML文档;以嵌入木马病毒的可执行文 件为附件的电子邮件;通过类似缓冲区溢出等漏洞上传并运 行木马病毒。
计算机网络安全
病入毒侵防防御御技系术统
le>Error</title> </head> <body>The parameter is incorrect. </body> </html>
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
当浏览器浏览包含脚本病毒的网页时,浏览器执行包含 在网页中的脚本病毒。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (4)PE病毒
人工执行,或者由其他进程调用包含PE病毒的PE格式文 件时,才能执行包含在PE格式文件中的PE病毒。 (5)蠕虫病毒
蠕虫病毒能够自动地将自身植入网络中的其他主机系统, 并运行。
六、病毒作用过程实例
(3)木马病毒激活机制 木马病毒首次激活需要完成下述功能: 将木马服务器端代码作为独立的可执行文件存放在攻击目标
的文件系统中; 修改注册表,将存放木马服务器端代码的路径加入到注册表
的自启动项列表中,系统启动过程中,自动激活木马服务器 端代码。或者将注册表HKEY_CLASSES_ROOT主键下 “txtfile\shell\open\command”的键值由 “C:\WINDOWS\NOTEPAD.EXE %1”改为存放木马服务器端代 码的路径,只要用户通过双击打开扩展名为txt的文件,首 先激活木马服务器端代码。
(1)缓冲区溢出漏洞
由于函数B使用缓冲区时没有检测缓冲区边界这一步,当函数B的输 入数据超过规定长度时,函数B的缓冲区发生溢出,超过规定长度部分的 数据将继续占用其他存储空间,覆盖用于保留函数A的返回地址的存储单 元。
黑客终端发送给该功能块的数据中包含某段恶意代码,而且,用于 覆盖函数A返回地址的数据恰恰是该段恶意代码的入口地址。
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
网络安全
第十三章
© 2006工程兵工程学院 计算机教研室
病入毒侵防防御御技系术统
第13章 病毒防御技术
本章主要内容 病毒作用过程; 基于主机防御技术; 基于网络防御技术。
计算机网络安全
病入毒侵防防御御技系术统
13.1 病毒作用过程
本讲主要内容 病毒存在形式; 病毒植入方式; 病毒隐藏和运行; 病毒感染和传播; 病毒破坏过程; 病毒作用过程实例。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(2)扫描Web服务器 确定目标主机是否是Web服务器的方法是尝试建立与目
标主机之间目的端口号为80的TCP连接,如果成功建立该TCP 连接,表明目标主机是Web服务器。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(3)获取Web服务器信息
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
五、病毒破坏过程
设置后门; 监控用户操作过程; 破坏硬盘信息; 破坏BIOS; 发起拒绝服务攻击; 蠕虫蔓延。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
②
激活病毒,发起 建立与客户端之 间的 TCP 连接
内部网络
攻击目标
向目标主机发送一个错误的HTTP请求消息,目标主机回送的HTTP响应消息 中会给出有关目标主机Web服务器的一些信息。
HTTP/1.1 400 Bad Request Server:Microsoft-IIS/4.0 Date:Sat,03 Apr 1999 08:42:40 GMT Content-Type:text/html Content-Length:87
NAT
外部网络
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
木马病毒采用客户/服务器结构,由客户端和服务器端 代码组成,激活服务器端代码后,黑客通过启动客户端代码, 和服务器端建立连接,并通过客户端对服务器端系统进行操 作。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(4)实施非法访问 建立服务器端与客户端之间的TCP连接后,黑客可以通
过客户端对服务器端资源实施非法访问。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
函数 A 返回地址
xxxx
函数 B 缓冲区
缓冲区溢出
NNNN
NNNN
恶意代码入口地址 恶意代码
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(2)木马病毒传播及首次激活过程 常见的传播木马病毒的途径有以下几种,嵌入用脚本语
言编写的木马病毒的HTML文档;以嵌入木马病毒的可执行文 件为附件的电子邮件;通过类似缓冲区溢出等漏洞上传并运 行木马病毒。
计算机网络安全
病入毒侵防防御御技系术统
le>Error</title> </head> <body>The parameter is incorrect. </body> </html>
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
当浏览器浏览包含脚本病毒的网页时,浏览器执行包含 在网页中的脚本病毒。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (4)PE病毒
人工执行,或者由其他进程调用包含PE病毒的PE格式文 件时,才能执行包含在PE格式文件中的PE病毒。 (5)蠕虫病毒
蠕虫病毒能够自动地将自身植入网络中的其他主机系统, 并运行。
六、病毒作用过程实例
(3)木马病毒激活机制 木马病毒首次激活需要完成下述功能: 将木马服务器端代码作为独立的可执行文件存放在攻击目标
的文件系统中; 修改注册表,将存放木马服务器端代码的路径加入到注册表
的自启动项列表中,系统启动过程中,自动激活木马服务器 端代码。或者将注册表HKEY_CLASSES_ROOT主键下 “txtfile\shell\open\command”的键值由 “C:\WINDOWS\NOTEPAD.EXE %1”改为存放木马服务器端代 码的路径,只要用户通过双击打开扩展名为txt的文件,首 先激活木马服务器端代码。
(1)缓冲区溢出漏洞
由于函数B使用缓冲区时没有检测缓冲区边界这一步,当函数B的输 入数据超过规定长度时,函数B的缓冲区发生溢出,超过规定长度部分的 数据将继续占用其他存储空间,覆盖用于保留函数A的返回地址的存储单 元。
黑客终端发送给该功能块的数据中包含某段恶意代码,而且,用于 覆盖函数A返回地址的数据恰恰是该段恶意代码的入口地址。
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
网络安全
第十三章
© 2006工程兵工程学院 计算机教研室
病入毒侵防防御御技系术统
第13章 病毒防御技术
本章主要内容 病毒作用过程; 基于主机防御技术; 基于网络防御技术。
计算机网络安全
病入毒侵防防御御技系术统
13.1 病毒作用过程
本讲主要内容 病毒存在形式; 病毒植入方式; 病毒隐藏和运行; 病毒感染和传播; 病毒破坏过程; 病毒作用过程实例。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(2)扫描Web服务器 确定目标主机是否是Web服务器的方法是尝试建立与目
标主机之间目的端口号为80的TCP连接,如果成功建立该TCP 连接,表明目标主机是Web服务器。
计算机网络安全
病入毒侵防防御御技系术统
六、病毒作用过程实例
(3)获取Web服务器信息