1、1,網(wǎng) 絡 安 全,普通高等教育“十一五”國家級規(guī)劃教材 高等院校信息安全專業(yè)系列教材,胡道元 閔京華 主編,2,自身缺陷開放性黑客攻擊,網(wǎng)絡不安全的原因,3,信息: 是從調(diào)查、研究和教育獲得的知識，是情報、新聞、事實、數(shù)據(jù)，是代表數(shù)據(jù)的信號或字符，是代表物質(zhì)的或精神的經(jīng)驗的消息、經(jīng)驗數(shù)據(jù)、圖片。 安全:是避免危險、恐懼、憂慮的度量和狀態(tài)。 信息安全：信息安全是防止對知識、事實、數(shù)據(jù)或能力非授權使用、誤用、篡改或拒絕使用所采取的措施（量度）。,1.1.1 網(wǎng)絡安全的概念,4,計算機網(wǎng)絡:計算機網(wǎng)絡是地理上分散的多臺自主計算機互聯(lián)的集合。 網(wǎng)絡安全:是在分布網(wǎng)絡環(huán)境中，對信息載體（處理載體、存儲

2、載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務或被非授權使用和篡改。,5,網(wǎng)絡安全具有三個基本屬性：機密性、完整性、可用性。 1. 機密性(Confidentiality) 機密性是指保證信息與信息系統(tǒng)不被非授權者所獲取與使用，主要防范措施是密碼技術。 信息的機密性，對于未授權的個體而言，信息不可用,1.1.2 網(wǎng)絡安全的屬性,6,物理層，要保證系統(tǒng)實體不以電磁的方式（電磁輻射、電磁泄漏）向外泄漏信息，主要的防范措施是電磁屏蔽技術、加密干擾技術等。 在運行層面，要保障系統(tǒng)依據(jù)授權提供服務，使系統(tǒng)任何時候不被非授權人所使用。 在數(shù)據(jù)處理、傳輸層面，

3、要保證數(shù)據(jù)在傳輸、存儲過程中不被非法獲取、解析，主要防范措施是數(shù)據(jù)加密技術。,7,2. 完整性(Integrity) 完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗與認證技術。 數(shù)據(jù)完整性，未被未授權篡改或者損壞； 系統(tǒng)完整性，系統(tǒng)未被非法操縱，按既定的目標運行。,8,3. 可用性(Availability) 可用性是指保證信息與信息系統(tǒng)可被授權人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。 服務的連續(xù)性，即，具有按要求順序使用的特性,9,網(wǎng)絡安全的其它屬性,真實性authenticity 個體身份的認證，適用于用戶、進程

4、、系統(tǒng)等 可控性Controlability 授權機構可以隨時控制信息的機密性 可靠性Reliability 行為和結果的可靠性、一致性,10,11,網(wǎng)絡安全的目的,12,1.1.3 網(wǎng)絡安全層次結構,13,OSI環(huán)境中的數(shù)據(jù)傳輸過程,14,OSI環(huán)境中的數(shù)據(jù)傳輸過程,15,網(wǎng)絡安全層次圖,網(wǎng)絡安全層次,16,17,18,網(wǎng)絡安全的層次體系,從層次體系上，可以將網(wǎng)絡安全分成4個層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。 （一）物理安全主要包括5個方面：防盜，防火，防靜電，防雷擊和防電磁泄漏。 （二）邏輯安全需要用口令、文件許可等方法來實現(xiàn)。 （三）操作系統(tǒng)安全，操作系統(tǒng)必須能區(qū)

5、分用戶，以便防止相互干擾。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。 （四）聯(lián)網(wǎng)安全通過訪問控制服務和通信安全服務兩方面的安全服務來達到。 （1）訪問控制服務：用來保護計算機和聯(lián)網(wǎng)資源不被非授權使用。（2）通信安全服務：用來認證數(shù)據(jù)機要性與完整性，以及各通信的可信賴性。,19,網(wǎng)絡安全模型,20,開放網(wǎng)絡環(huán)境中提供的安全機制和安全服務主要包含兩個部分： 對發(fā)送的信息進行與安全相關的轉(zhuǎn)換。 由兩個主體共享的秘密信息，而對開放網(wǎng)絡是保密的。 為了完成安全的處理，常常需要可信的第三方。,21,設計網(wǎng)絡安全系統(tǒng)時，該網(wǎng)絡安全模型應完成4個基本任務： （1） 設計一個算法以實現(xiàn)和安全有關的轉(zhuǎn)換。

6、 （2） 產(chǎn)生一個秘密信息用于設計的算法。 （3） 開發(fā)一個分發(fā)和共享秘密信息的方法。 （4） 確定兩個主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務。,22,黑客攻擊形成兩類威脅： 一類是信息訪問威脅，即非授權用戶截獲或修改數(shù)據(jù)； 另一類是服務威脅，即服務流激增以禁止合法用戶使用。,23,對非授權訪問的安全機制可分為兩類： 第一類是網(wǎng)閘功能，包括基于口令的登錄過程以拒絕所有非授權訪問以及屏蔽邏輯以檢測、拒絕病毒、蠕蟲和其他類似攻擊； 第二類是內(nèi)部的安全控制，一旦非授權用戶或軟件攻擊得到訪問權，第二道防線將對其進行防御，包括各種內(nèi)部控制的監(jiān)控和分析，以檢測入侵者。,24,網(wǎng)絡安

7、全評價標準,美國TCSEC可信計算機安全評估準則（又稱美國橙皮書）把安全的級別分成4大類7級。,25,安全級別,26,風險分析,27,風險=威脅+漏洞,網(wǎng)絡不安全的原因,28,風險分析的最終目標是制定一個有效的、節(jié)省的計劃來看管資產(chǎn)。 任何有效的風險分析始于需要保護的資產(chǎn)和資源的鑒別，資產(chǎn)的類型一般可分成以下4類。,2.1 資產(chǎn)保護 2.1.1 資產(chǎn)的類型,29,（1） 物理資源 物理資源是具有物理形態(tài)的資產(chǎn)。 （2） 知識資源 （3） 時間資源 （4） 信譽（感覺）資源,30,攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池

8、的訪問等。 潛在的攻擊來自多方面，包括組織內(nèi)部的員工、臨時員工和顧問、競爭者、和組織中具有不同觀點和目的的人、反對這個組織或其員工的人 但是，對攻擊可能性的分析在很大程度上帶有主觀性。,2.1.2 潛在的攻擊源,31,資產(chǎn)的兩類損失： 即時的損失 長期恢復所需花費，也就是從攻擊或失效到恢復正常需要的花費 特殊的：維護安全本身也是一種損失。因此還需要安全強度和安全代價的折中?？紤]四個方面：,2.1.3 資產(chǎn)的有效保護,32,（1） 用戶的方便程度。 不應由于增加安全強度給用戶帶來很多麻煩。 （2） 管理的復雜性。 對增加安全強度的網(wǎng)絡系統(tǒng)要易于配置、管理。 （3） 對現(xiàn)有系統(tǒng)的影響。 包括增加的

9、性能開銷以及對原有環(huán)境的改變等。 （4） 對不同平臺的支持。 網(wǎng)絡安全系統(tǒng)應能適應不同平臺的異構環(huán)境的使用。,33,圖2.1 安全強度和安全代價的折中,34,從安全屬性來看，攻擊類型可分為阻斷攻擊、截取攻擊、篡改攻擊、偽造攻擊 4類。,2.2 攻擊 2.2.1 攻擊的類型,35,正常情況下的信息流動： （1） 阻斷攻擊 使信息系統(tǒng)被毀壞或不能使用，即，對可用性進行攻擊 如部分硬件（硬盤）的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等。,36,（2） 截取攻擊 一個非授權方介入系統(tǒng)的攻擊，破壞保密性(confidentiality). 這種攻擊包括搭線竊聽，文件或程序的不正當拷貝。 密碼竊聽，會話

10、劫持。,37,（3） 篡改攻擊 一個非授權方不僅介入系統(tǒng)而且在系統(tǒng)中進行篡改的攻擊，破壞完整性（integrity）。 這些攻擊包括改變數(shù)據(jù)文件，改變程序使之不能正確執(zhí)行，修改信件內(nèi)容等。 對協(xié)議的攻擊，緩沖區(qū)溢出。,38,（4） 偽造攻擊 一個非授權方將偽造的客體插入系統(tǒng)中，破壞真實性（authenticity）的攻擊。 包括網(wǎng)絡中插入假信件，或者在文件中追加記錄等。 冒充，phishing(電子郵件欺詐 ;網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站 ;虛假電子商務信息 ;)。,39,攻擊分類：被動攻擊與主動攻擊 被動攻擊，如竊聽或者偷窺，非常難以被檢測到，但可以防范 release of message co

11、ntent報文內(nèi)容的泄露 traffic analysis流量分析 主動攻擊，常常是對數(shù)據(jù)篡改及破壞 ，可以被檢測到，難以防范 Masquerade偽裝 Replay重放 modification of message消息篡改 denial of service 拒絕服務,2.2.2 主動攻擊與被動攻擊,40,被動攻擊 常見的被動攻擊：竊聽、監(jiān)聽 攻擊者的目的是獲取正在傳輸?shù)男畔ⅰ?41,2. 主動攻擊 主動攻擊包含對數(shù)據(jù)流的某些修改，或者生成一個假的數(shù)據(jù)流。它可分成4類： （1） 偽裝 偽裝是一個實體假裝成另一個實體。 （2） 重放 重放攻擊包含數(shù)據(jù)單元的被動捕獲，隨之再重傳這些數(shù)據(jù)，從而產(chǎn)

12、生一個非授權的效果。,42,攻擊目的,動機： 1、破壞目標工作 2、竊取目標信息 3、控制目標計算機 4、利用假消息欺騙對方 目的： 1、破壞 2、入侵,43,入侵者進入系統(tǒng)的主要途徑有：,l物理侵入：指一個入侵者對主機有物理進入權限，比如他們能使用鍵盤，有權移走硬盤等。 l本地侵入: 這類侵入表現(xiàn)為入侵者已經(jīng)擁有在系統(tǒng)用戶的較低權限。如果系統(tǒng)沒有打最新的漏洞補丁，就會給侵入者提供一個利用知名漏洞獲得系統(tǒng)管理員權限的機會。 l遠程侵入: 這類入侵指入侵者通過網(wǎng)絡遠程進入系統(tǒng)。比如通過植入木馬實現(xiàn)對目標主機的控制，從遠程發(fā)起對目標主機的攻擊等。,44,入侵的級別,1級：郵件炸彈、簡單服務拒絕 2

13、級：本地用戶獲得非授權讀訪問 3級、本地用戶獲得非授權寫權限、遠程用戶獲得非授權的帳號 4級：遠程用戶獲得特權文件的讀權限 5級：遠程用戶獲得了特權文件的寫權限 6級：遠程用戶擁有了根（root）權限（黑客已攻克系統(tǒng)）。,45,網(wǎng)絡攻擊的步驟,攻擊的準備階段 攻擊的實施階段 攻擊的善后階段,46,47,網(wǎng)絡攻擊步驟詳解1,攻擊的準備階段 1.確定攻擊目的 社會工程學攻擊 2.準備攻擊工具 (1)選擇熟悉的工具 (2)優(yōu)先考慮多種工具的配合使用 (3)選擇掃描工具時要慎重 (4)盡量使用自己編寫的軟件。 3.收集目標信息,48,網(wǎng)絡攻擊步驟詳解2,攻擊的實施階段 第一步：隱藏自已的位置（IP）

14、第二步：利用收集到的信息獲取賬號和密碼，登錄主機 第三步：利用漏洞或者其它方法獲得控制權并竊取網(wǎng)絡資源和特權,49,網(wǎng)絡攻擊步驟詳解3,攻擊的善后階段 日志： *刪除日志文件 *修改日志文件中有關自己的那一部分 植入木馬，留下后門,50,典型的網(wǎng)絡攻擊示意圖,51,總結一下：攻擊五部曲,一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實際情況可以隨時調(diào)整。歸納起來就是“黑客攻擊五部曲” 1、隱藏IP或IP欺騙 2、踩點掃描 3、獲得系統(tǒng)或管理員權限 4、種植后門 5、在網(wǎng)絡中隱身,52,1、隱藏IP,假如你向一臺遠程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠程主機響應你的數(shù)據(jù)包。這時你使用IP欺騙的攻擊

15、手段。 通常有兩種方法實現(xiàn)自己IP的隱藏： 第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。,53,1、隱藏IP,第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計算機的IP地址。 對目標的攻擊威脅通常通過代理實現(xiàn)，而代理需要的特性包括： 1、訪問目標的能力 2、對目標發(fā)出威脅的動機 3、有關目標的知識,54,2、踩點掃描,踩點就是通過各種途徑對所要攻擊的目標進行盡可能的了解。常見的踩點方法包括：在域名及其注冊機構的查詢，公司性質(zhì)的了解，對主頁進行分析，郵件地址的搜集和目標IP地址范圍查詢。 踩點的目

16、的就是探察對方的各方面情況，確定攻擊的時機。摸清對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步的入侵提供良好的策略。,55,3、獲得系統(tǒng)或管理員權限,得到管理員權限的目的是連接到遠程計算機，對其進行控制，達到自己攻擊目的。獲得系統(tǒng)及管理員權限的方法有： 通過系統(tǒng)漏洞獲得系統(tǒng)權限 通過管理漏洞獲得管理員權限 通過軟件漏洞得到系統(tǒng)權限 通過監(jiān)聽獲得敏感信息進一步獲得相應權限 通過弱口令獲得遠程管理員的用戶密碼 通過窮舉法獲得遠程管理員的用戶密碼 通過攻破與目標機有信任關系另一臺機器進而得到目標機的控制權 通過欺騙獲得權限以及其他有效的方法。,56,4、種植后門,為了保持長期對自己勝利果實的訪問權,在

17、已經(jīng)攻破的計算機上種植一些供自己訪問的后門。,57,5、在網(wǎng)絡中隱身,一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲了相關的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。 在入侵完畢后需要清除登錄日志已經(jīng)其他相關的日志。,58,常見攻擊實例分析,當你感覺到你的Windows運行速度明顯減慢，當你打開任務管理器后發(fā)現(xiàn)CPU的使用率達到了百分之百，最有可能受到了拒絕服務攻擊。,59,總結,攻擊技術主要包括以下幾個方面。 （1）網(wǎng)絡監(jiān)聽：自己不主動去攻擊別人，而是在計算機上設置一個程序去監(jiān)聽目標計算機與其他計算機通信的數(shù)據(jù)。 （2）網(wǎng)絡掃描：利用程序去掃描目標計算機開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計算機做

18、準備。 （3）網(wǎng)絡入侵：當探測發(fā)現(xiàn)對方存在漏洞后，入侵到目標計算機獲取信息。 （4）網(wǎng)絡后門：成功入侵目標計算機后，為了實現(xiàn)對“戰(zhàn)利品”的長期控制，在目標計算機中種植木馬等后門。 （5）網(wǎng)絡隱身：入侵完畢退出目標計算機后，將自己入侵的痕跡清除，從而防止被對方管理員發(fā)現(xiàn)。,60,總結,防御技術主要包括以下幾個方面。 （1）安全操作系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡安全的關鍵。 （2）加密技術：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進行加密。 （3）防火墻技術：利用防火墻，對傳輸?shù)臄?shù)據(jù)進行限制，從而防止被入侵。 （4）入侵檢測：如果網(wǎng)絡防線最終被攻破，需要及時發(fā)出被入侵的警報。 （5）網(wǎng)絡

19、安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽。,61,入侵檢測,62,入侵檢測,63,入侵檢測（IDS instruction detection system）是從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭受攻擊的跡象的一種機制。,13.1 入侵檢測概述 13.1.1 入侵檢測的概念,64,入侵檢測系統(tǒng)基本上不具有訪問控制的能力，一般工作流程如下： 首先對數(shù)據(jù)包流進行信息收集； 然后對數(shù)據(jù)包流分析，從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)； 最后將上述數(shù)據(jù)與已知的入侵方式進行對比，確定入侵是否發(fā)生及入侵類型，進行報警。,65,入侵檢測系統(tǒng)工作流程,

20、（1）信息收集 （2）分析引擎 （3）響應部件,66,信息搜集,67,信息收集,入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為 需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息 盡可能擴大檢測范圍 從一個源來的信息有可能看不出疑點,68,信息收集,入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性 要保證用來檢測網(wǎng)絡系統(tǒng)的軟件的完整性 特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息,69,信息收集的來源,系統(tǒng)或網(wǎng)絡的日志文件 網(wǎng)絡流量 系統(tǒng)目錄和文件的異常變化 程序執(zhí)行中的異常行為,70,系統(tǒng)或網(wǎng)絡的日志文件

21、,攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡日志文件信息是檢測入侵的必要條件 日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內(nèi)容 顯然，對用戶活動來講，不正常的或不期望的行為就是:重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等,71,系統(tǒng)目錄和文件的異常變化,網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標 目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是

22、一種入侵產(chǎn)生的指示和信號 入侵者經(jīng)常替換、修改和破壞他們獲得訪問權的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件,72,分析引擎,73,分析引擎,模式匹配 統(tǒng)計分析 完整性分析，往往用于事后分析,74,模式匹配,模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為 一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）,75,統(tǒng)計分析,統(tǒng)計分析方法

23、首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等） 測量屬性的平均值和偏差被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生,76,完整性分析,完整性分析主要關注某個文件或?qū)ο笫欠癖桓?包括文件和目錄的內(nèi)容及屬性 在發(fā)現(xiàn)被更改的、被安裝木馬的應用程序方面特別有效,77,響應部件,78,響應動作,簡單報警 切斷連接 封鎖用戶 改變文件屬性 最強烈反應：回擊攻擊者,79,CIDF闡述了一個入侵檢測系統(tǒng)的基本模型，如下圖所示：,13.1.2 入侵檢測系統(tǒng)的基本結構,80,根據(jù)入侵檢測系統(tǒng)的檢測

24、對象，入侵檢測系統(tǒng)主要分成兩大類： 基于主機的入侵檢測系統(tǒng)； 基于網(wǎng)絡的入侵檢測系統(tǒng)。,13.2 入侵檢測系統(tǒng)分類,81,13.2.1 基于主機的入侵檢測系統(tǒng),基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡攻擊行為的侵害，需要安裝在被保護的主機上。 根據(jù)檢測對象的不同，基于主機的入侵檢測系統(tǒng)可以分為：網(wǎng)絡連接檢測和主機文件檢測。,82,基于主機的入侵檢測系統(tǒng)優(yōu)缺點,優(yōu)點： 檢測準確度高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌牟僮飨到y(tǒng)進行有針對性的檢測；成本較低；適應加密和交換環(huán)境。 缺點： 無法監(jiān)視整個網(wǎng)段的通信 ；要求在大量的主機上安裝和管理軟件；實時性較差。,83,13.2.2 基于網(wǎng)絡的入侵檢測系統(tǒng),基于網(wǎng)絡的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置在被保護的網(wǎng)絡上，它使用原始的網(wǎng)絡分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡適配器來實時監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ拧?84,基于網(wǎng)絡的入侵檢測系統(tǒng)優(yōu)缺點,優(yōu)點 可以提供實時的網(wǎng)絡行為檢測；可以同時保護多臺網(wǎng)絡主機；具有良好的隱蔽性；有效保護入侵檢測證據(jù)；不影響被保護主機的性能及服務。 缺點 防入侵欺騙的能力較差；