1、網(wǎng)絡(luò)安全概述含義從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全內(nèi)容方面：網(wǎng)絡(luò)實(shí)體安全、軟件安全、數(shù)據(jù)安全、安全管理安全屬性方面：保密性、完整性、可用性、可控性、可審查性安全因素網(wǎng)絡(luò)系統(tǒng)自身的脆弱性：硬件系統(tǒng)、軟件系統(tǒng)、網(wǎng)絡(luò)和通信協(xié)議（包括：缺乏用戶身份鑒別機(jī)制、缺乏路由協(xié)議鑒別認(rèn)證機(jī)制、缺乏保密性、TCP/IP服務(wù)的脆弱性）安全威脅：1：網(wǎng)絡(luò)安全的基本威脅：信息泄露、完整性破壞、服務(wù)拒絕、未授權(quán)訪問2：安全威脅的來源：內(nèi)部操作不當(dāng)、內(nèi)部管理漏洞（最難防范）、外部威脅和犯罪（黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊）網(wǎng)絡(luò)攻擊的類型攻擊方式分類：1：被動(dòng)攻擊：指攻擊者實(shí)施竊聽、監(jiān)聽，但不修改通信信息，攻擊者的目的是獲取正在傳輸?shù)男畔?，檢測(cè)困難。因此強(qiáng)調(diào)阻止而不是檢測(cè)2：主動(dòng)攻擊：指攻擊者對(duì)數(shù)據(jù)流的某些修改，或者生成一個(gè)假的數(shù)據(jù)流。（包括：偽裝、回答、修改報(bào)文、拒絕服務(wù)）>>>被動(dòng)攻擊難以檢測(cè)，可以阻止，而主動(dòng)攻擊難以絕對(duì)阻止，可采取檢測(cè)的方法，兩者正好相反安全屬性分類：截取攻擊：得到資源的訪問，針對(duì)保密性的攻擊阻斷攻擊：使系統(tǒng)資源被破壞，針對(duì)可用性的攻擊篡改攻擊：不僅能夠訪問資源，而且能夠修改信息，針對(duì)完整性的攻擊偽造攻擊：能夠在系統(tǒng)中插入偽造的信息，針對(duì)真實(shí)性的攻擊網(wǎng)絡(luò)攻擊的常見形式1：口令入侵：大多數(shù)系統(tǒng)是由口令來維護(hù)其安全的，可通過口令來驗(yàn)證用戶身份。網(wǎng)絡(luò)攻擊往往把目標(biāo)口令的破解作為對(duì)目標(biāo)系統(tǒng)攻擊的開始2：病毒、蠕蟲和特洛伊木馬：蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒：特洛伊木馬可以直接侵入目標(biāo)主機(jī)并進(jìn)行破壞。它與其他病毒的重大區(qū)別是特洛伊木馬并不像其他病毒那樣復(fù)制自身，要使特洛伊木馬傳播，必須在計(jì)算機(jī)上有效地啟用木馬程序。3：拒絕服務(wù)攻擊：Dos其目的就是拒絕用戶的服務(wù)訪問，破壞組織的正常運(yùn)行。DDoS是基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，其主要攻擊對(duì)象是比較大的站點(diǎn)，具有較大的破壞性。4：【其他】網(wǎng)絡(luò)監(jiān)聽、IP欺騙、安全漏洞攻擊、網(wǎng)絡(luò)釣魚>>>網(wǎng)絡(luò)攻擊往往是以上攻擊方式的混合型網(wǎng)絡(luò)安全層次結(jié)構(gòu)包括：物理層、數(shù)據(jù)鏈路層（在Internet環(huán)境中它并不完全適用）、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層（并沒有一個(gè)統(tǒng)一的解決方案）網(wǎng)絡(luò)安全策略：物理安全策略、訪問控制策略、防火墻控制策略、入侵防范策略、信息加密策略（包括：鏈路加密、端到端加密）、網(wǎng)絡(luò)備份策略、網(wǎng)絡(luò)安全管理策略訪問控制策略：（重要3點(diǎn)）1：入網(wǎng)訪問控制：賬號(hào)的識(shí)別與驗(yàn)證、密碼的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查（三個(gè)步驟缺一不可）2：網(wǎng)絡(luò)的權(quán)限控制：實(shí)現(xiàn)方式（包含：受托者指派、繼承權(quán)限屏蔽）；權(quán)限用戶分類（包含：特殊用戶、一般用戶、審計(jì)用戶）3：目錄級(jí)安全控制：用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄都有效（權(quán)限包含：讀、寫、刪、改等）網(wǎng)絡(luò)備份策略：現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)并不能保證網(wǎng)絡(luò)的絕對(duì)安全（需要備份的原因）網(wǎng)絡(luò)安全管理策略：1：安全管理的目標(biāo)：網(wǎng)絡(luò)安全的根本目標(biāo)是保證網(wǎng)絡(luò)和系統(tǒng)的可用性了解網(wǎng)絡(luò)和用戶的行為、對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全性進(jìn)行評(píng)估、確保訪問控制策略的實(shí)施2：安全管理的內(nèi)容：網(wǎng)絡(luò)安全規(guī)劃、網(wǎng)絡(luò)安全管理機(jī)構(gòu)、網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全教育等基本元素：硬件、軟件、數(shù)據(jù)、人員、文檔、易耗品3：安全管理的原則：多人負(fù)責(zé)原則、任期有限原則、職責(zé)分離原則4：安全管理的實(shí)現(xiàn)：確定系統(tǒng)的安全等級(jí)、據(jù)安全等級(jí)，確定安全管理范圍、制定相應(yīng)的機(jī)房出入管理制度、制定嚴(yán)格的操作規(guī)程、制定完備的系統(tǒng)維護(hù)制度、制定應(yīng)急措施安全的歷史回顧通信安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全計(jì)算機(jī)安全的五個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)2、密碼技術(shù)概述基本分類：編碼學(xué)（密碼學(xué)）：研究密碼變化的客觀規(guī)律，用于編制密碼以保守通信秘密破譯學(xué)（密碼分析學(xué)）：在一定條件下采取技術(shù)手段，截取密文分析，求得明文，還原密碼編制的過程。明文：信息的原始形式(Plaintext,記為P)密文：明文經(jīng)過變換加密后的形式(Ciphertext,記為C)加密：由明文變成密文的過程稱為加密(Enciphering,記為E)解密：由密文還原成明文的過程稱為解密(Deciphering,記為D)密鑰：為了有效地控制加密和解密算法的實(shí)現(xiàn)的信息(Key,記為K)密碼技術(shù)分類：按執(zhí)行的操作方式不同：替換密碼技術(shù)、換位密碼技術(shù)按收發(fā)雙方使用的密鑰是否相同：對(duì)稱密碼(單鑰密碼)、非對(duì)稱密碼(雙鑰密碼或公鑰密碼)對(duì)稱密碼（指加密解密用同一組密鑰的算法），其安全依賴于：加密算法的強(qiáng)度必須足夠大加密算法的安全性依賴于密鑰的秘密性，而不是算法的秘密性典型代表：古典密碼技術(shù)，序列密碼技術(shù)和分組密碼技術(shù)(如DES、IDEA、AES等)非對(duì)稱密碼技術(shù)：指加密解密用不同密鑰的算法傳統(tǒng)的加密方法（習(xí)題重點(diǎn)）嗅探器分軟、硬兩種：軟件的便宜且易于使用，缺點(diǎn)是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)，硬件的稱為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件的欠缺的，但是其價(jià)格昂貴，目前主要使用軟件嗅探器。危害：能夠捕獲口令、能夠捕獲專用的或者機(jī)密的信息、可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級(jí)別的訪問權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透安全防范：檢測(cè)嗅探器、隱藏?cái)?shù)據(jù)檢測(cè)嗅探器通常有兩條經(jīng)驗(yàn)：網(wǎng)絡(luò)通信丟包率非常高、網(wǎng)絡(luò)帶寬出現(xiàn)反常隱藏?cái)?shù)據(jù)（被動(dòng)的防御措施）：安全的拓?fù)浣Y(jié)構(gòu)、會(huì)話加密、采用靜態(tài)的ARP或者IP-MAC對(duì)應(yīng)表網(wǎng)絡(luò)端口掃描技術(shù)原理原理：端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)，來判斷端口是否打開。常用掃描方式：經(jīng)典的掃描器(全連接)、SYN(半連接)掃描器、間接掃描、秘密掃描認(rèn)證掃描和代理掃描：認(rèn)證掃描是利用認(rèn)證協(xié)議、代理掃描利用其它軟件的協(xié)議的弱點(diǎn)（FTP協(xié)議）其它掃描：1：Ping掃描：真實(shí)掃描，TCPPing（發(fā)送特殊TCP包到打開且未過濾的端口，如80）2：安全掃描器：檢測(cè)主機(jī)是否允許匿名登錄、某種網(wǎng)絡(luò)服務(wù)是否需要認(rèn)證、是否存在已知安全漏洞3：棧指紋掃描：根據(jù)安全漏洞與缺陷都與操作系統(tǒng)的關(guān)系來判斷4：常用端口掃描命令：Ping、Tracert緩沖區(qū)溢出技術(shù)原理程序試圖將數(shù)據(jù)放到計(jì)算機(jī)內(nèi)存中的某一位置但沒有足夠的空間時(shí)，就會(huì)發(fā)生緩沖區(qū)溢出。單單緩沖區(qū)溢出并不會(huì)產(chǎn)生安全問題，只有將溢出數(shù)據(jù)送到能夠以root權(quán)限運(yùn)行命令的區(qū)域才會(huì)產(chǎn)生安全問題拒絕服務(wù)攻擊技術(shù)原理其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)常見方式：計(jì)算機(jī)帶寬攻擊（極大的通信量沖擊網(wǎng)絡(luò)，導(dǎo)致合法的用戶無法訪問）、連通性攻擊（耗盡系統(tǒng)資源）拒絕服務(wù)的類型：試圖破壞資源，使目標(biāo)無人可以使用這個(gè)資源過載一些系統(tǒng)服務(wù)或者消耗一些資源，但這種拒絕服務(wù)有時(shí)是攻擊者攻擊造成的，有時(shí)是系統(tǒng)錯(cuò)誤造成的這兩種情況大半是因用戶操作錯(cuò)誤或程序錯(cuò)誤造成的，并非針對(duì)性的攻擊針對(duì)網(wǎng)絡(luò)，拒絕服務(wù)攻擊的種類：信息數(shù)據(jù)包流量式、SYN-Flooding攻擊、"Paste"式攻擊、服務(wù)過載式分布式拒絕服務(wù)（DistributedDenialofService,DDoS）：原理：指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)?，F(xiàn)象：1：大量等待的TCP連接、2：網(wǎng)絡(luò)中大量無用的，假源地址的數(shù)據(jù)包、3：造成網(wǎng)絡(luò)擁塞，主機(jī)無法正常和外界通信、4：利用主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，無法及時(shí)處理所有正常請(qǐng)求、5：嚴(yán)重時(shí)甚至?xí)斐上到y(tǒng)死機(jī)防范：1：采用最新系統(tǒng)，打上安全補(bǔ)丁、2：對(duì)所有主機(jī)進(jìn)行檢查、3：刪除未使用的服務(wù)、4：限制對(duì)主機(jī)的訪問權(quán)限等等。沒有哪個(gè)網(wǎng)絡(luò)可以免受DDoS攻擊，但如果采取一定措施，則可起到一定的預(yù)防作用。5、入侵檢測(cè)技術(shù)概述入侵檢測(cè)(IntrusionDetection)：對(duì)入侵行為的發(fā)覺，它在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，通過對(duì)這些信息的分析來發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)：進(jìn)行入侵檢測(cè)的軟件與硬件的組合，它幾乎適用于所有的系統(tǒng)入侵檢測(cè)系統(tǒng)主要有兩類：基于主機(jī)（保護(hù)主機(jī)的資源不被破壞）、基于網(wǎng)絡(luò)（保護(hù)整個(gè)網(wǎng)絡(luò)不被破壞）入侵檢測(cè)系統(tǒng)的組成：采集模塊、分析模塊、管理模塊、數(shù)據(jù)預(yù)處理模塊、通信模塊、響應(yīng)模塊、數(shù)據(jù)存儲(chǔ)模塊入侵檢測(cè)系統(tǒng)的存在的原因：1.要將已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)是不現(xiàn)實(shí)的，即使真正付諸于實(shí)踐，也需要相當(dāng)長(zhǎng)的時(shí)間2.加密技術(shù)方法本身存在一定問題3.訪問控制和保護(hù)模型本身也存在一定的問題4.靜態(tài)安全控制措施不足以保護(hù)安全對(duì)象的屬性,因此動(dòng)態(tài)的安全措施對(duì)檢測(cè)或盡可能地阻止入侵是必要的5.安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊6.在實(shí)踐中，建設(shè)完全安全系統(tǒng)根本是不可能的，現(xiàn)在的操作系統(tǒng)和應(yīng)用程序中不可能沒有缺陷>>>僅僅使用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的入侵檢測(cè)的目的：識(shí)別入侵者、識(shí)別入侵行為、檢測(cè)和監(jiān)視已成功的安全突破、對(duì)于入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大歷史：1986年Discovery最早基于主機(jī)的IDS雛形之一，1987年提出實(shí)時(shí)入侵檢測(cè)系統(tǒng)抽象模型-IDES(IntrusionDetectionExpertSystem,入侵檢測(cè)專家系統(tǒng))入侵檢測(cè)系統(tǒng)分類：1：依據(jù)原始數(shù)據(jù)的來源：1：基于主機(jī)的：能確定攻擊的目的所在、監(jiān)控粒度更細(xì)、配置靈活、可用于加密的和交換的環(huán)境、對(duì)網(wǎng)絡(luò)流量不敏感、不需要額外的硬件。缺點(diǎn)：占用主機(jī)資源、可移植性差2：基于網(wǎng)絡(luò)的：監(jiān)測(cè)速度快、隱蔽性好、視野更寬、較少的監(jiān)測(cè)器、攻擊者不易轉(zhuǎn)義證據(jù)、操作系統(tǒng)無關(guān)、可配置在專有機(jī)器上。缺點(diǎn)：精確度不高、交換環(huán)境下配置難、防入侵欺騙能力差、難以定位入侵者3：基于應(yīng)用的：基于主機(jī)的進(jìn)一步細(xì)化，與基于主機(jī)的基本相同。2：根據(jù)檢測(cè)原理（分析方式）分類：1：誤用檢測(cè)-對(duì)不正常的行為建模，將符合特征庫(kù)中描述的行為視為攻擊，能直接檢測(cè)不利的行為2：異常檢測(cè)-對(duì)系統(tǒng)正常的行為建模，將特征庫(kù)中沒有描述的行為破壞疑為攻擊3：依據(jù)結(jié)構(gòu)體系：集中式、等級(jí)式（部分分布式）、協(xié)作式（全部分布式）4：其他：系統(tǒng)設(shè)計(jì)目標(biāo)、事件生成/收集的方式、檢測(cè)時(shí)間（同步技術(shù)）、入侵檢測(cè)響應(yīng)方式、數(shù)據(jù)處理地點(diǎn)響應(yīng)方式分為：主動(dòng)響應(yīng)（對(duì)被攻擊系統(tǒng)實(shí)施控制的系統(tǒng)-主要控制、對(duì)攻擊系統(tǒng)實(shí)施控制的系統(tǒng)-控制比較困難）和被動(dòng)響應(yīng)（只會(huì)發(fā)出告警通知，將情況報(bào)告給管理員）入侵檢測(cè)系統(tǒng)功能：1：監(jiān)控、分析用戶和系統(tǒng)活動(dòng)、2：發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象、3：記錄、報(bào)警和響應(yīng)入侵檢測(cè)系統(tǒng)的構(gòu)成：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)、響應(yīng)單元。分工：硬件：主要完成數(shù)據(jù)的采集和響應(yīng)的實(shí)施、軟件：主要完成數(shù)據(jù)的處理、入侵的判斷和響應(yīng)的決策等功能入侵檢測(cè)系統(tǒng)的設(shè)計(jì)公共入侵檢測(cè)框架(CommonIntrusionDetectionFramework,CIDF)模型：數(shù)據(jù)收集部分代替：事件產(chǎn)生器、事件分析器，控制臺(tái)部分代替：響應(yīng)單元事件產(chǎn)生器、事件分析器、響應(yīng)單元通常是應(yīng)用程序的形式，而事件數(shù)據(jù)庫(kù)往往是文件或數(shù)據(jù)流的形式上將入侵檢測(cè)系統(tǒng)劃分為四個(gè)基本部分：數(shù)據(jù)采集分析中心：數(shù)據(jù)采集子系統(tǒng)-探測(cè)器、數(shù)據(jù)分析子系統(tǒng)控制管理中心：控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)構(gòu)建一個(gè)基本的入侵檢測(cè)系統(tǒng)步驟：獲取libpcap和tcpdump、構(gòu)建并配置探測(cè)器，實(shí)現(xiàn)數(shù)據(jù)采集功能、建立數(shù)據(jù)分析模塊、構(gòu)建控制臺(tái)子系統(tǒng)、構(gòu)建數(shù)據(jù)庫(kù)管理子系統(tǒng)、聯(lián)調(diào)（實(shí)現(xiàn)分析中心和控制中心的雙向通信）入侵檢測(cè)系統(tǒng)的弱點(diǎn)與局限NIDS通過從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而可檢測(cè)和識(shí)別出系統(tǒng)的未授權(quán)或異?，F(xiàn)象網(wǎng)絡(luò)局限：交換網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)拓?fù)渚窒迿z測(cè)方法局限：系統(tǒng)實(shí)現(xiàn)局限、異常檢測(cè)的局限、特征檢測(cè)的局限、協(xié)議局限、入侵變體、TCP/IP協(xié)議局限資源及處理能力局限：針對(duì)NIDS的DoS攻擊、內(nèi)存及硬盤限制協(xié)議局限：只處理了常用協(xié)議入侵變體：HTTP攻擊變體、Telnet攻擊變體TCP/IP協(xié)議：IP分片、IP重疊分片、TCP分段、TCPun-sync、OOB、T/TCPHIDS的弱點(diǎn)與局限資源局限：HIDS安裝在被保護(hù)主機(jī)，限制了檢測(cè)方法和性能操作系統(tǒng)局限：系統(tǒng)攻破導(dǎo)致被清除的風(fēng)險(xiǎn)，考慮增加操作系統(tǒng)自身安全系統(tǒng)日志限制：有些行為不會(huì)被記錄被修改過的系統(tǒng)核心能夠騙過文件檢查：如果入侵者修改系統(tǒng)核心，則可以騙過基于文件一致性檢查的工具網(wǎng)絡(luò)檢測(cè)局限：可以檢測(cè)網(wǎng)絡(luò)，但問題多入侵檢測(cè)系統(tǒng)的評(píng)價(jià)及其發(fā)展方向評(píng)價(jià)標(biāo)準(zhǔn)：檢測(cè)效率高、資源占用小、開放性、完備性、安全性對(duì)IDS的測(cè)評(píng)與評(píng)估：1：基本測(cè)試步驟：1創(chuàng)建、選擇一些測(cè)試工具或測(cè)試腳本、2：確定計(jì)算環(huán)境所要求的條件、3：配置運(yùn)行入侵檢測(cè)系統(tǒng)、4：運(yùn)行測(cè)試工具或測(cè)試腳本、5分析入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果2：性能指標(biāo)：檢測(cè)率、誤報(bào)率及檢測(cè)可信