1、第十四講第十四講 網絡攻擊與入侵檢測網絡攻擊與入侵檢測來源：河南學歷考試網來源：河南學歷考試網 7.4 網絡安全的攻擊與入侵檢測技術 v常見的網絡攻擊方法常見的網絡攻擊方法 n1 1口令竊取口令竊取 n2 2木馬程序攻擊木馬程序攻擊 n3 3欺騙攻擊欺騙攻擊 n3 3欺騙攻擊欺騙攻擊 n5 5網絡監聽網絡監聽 n6 6尋找系統漏洞尋找系統漏洞 n7 7拒絕服務攻擊拒絕服務攻擊入侵檢測與入侵檢測系統入侵檢測與入侵檢測系統 v入侵檢測（入侵檢測（Intrusion DetectionIntrusion Detection）n通過收集和分析計算機網絡或計算機系統中若干關鍵點通過收集和分析計算機網絡或

2、計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象為和被攻擊的跡象. .v入侵檢測系統（入侵檢測系統（Intrusion Detection SystemIntrusion Detection System）n是對計算機和網絡資源的惡意使用行為進行識別的系統是對計算機和網絡資源的惡意使用行為進行識別的系統. .入侵檢測系統分類 v（1 1）基于主機的入侵檢測系統。）基于主機的入侵檢測系統。v（2 2）基于網絡的入侵檢測系統。）基于網絡的入侵檢測系統。v（3 3）分布式入侵檢測系統。）分布式入侵檢測系統。入侵檢測

3、系統框架結構入侵檢測系統框架結構 入侵檢測的基本方法入侵檢測的基本方法(1)(1)模式匹配模式匹配(2)(2)協議分析協議分析(3)(3)專家系統專家系統(4)(4)統計分析統計分析(5)(5)基于技術發展的入侵檢測方法基于技術發展的入侵檢測方法7.5 網絡防病毒技術 v計算機病毒的定義計算機病毒的定義n計算機病毒計算機病毒(Computer Virus) “(Computer Virus) “指編制或者在計算指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序算機使用并且能夠自我復制的

4、一組計算機指令或者程序代碼代碼”。 v計算機病毒的分類計算機病毒的分類n根據病毒存在的媒體，病毒可以劃分為：根據病毒存在的媒體，病毒可以劃分為： 網絡病毒網絡病毒 文件病毒文件病毒 引導型病毒引導型病毒 混合型病毒混合型病毒計算機病毒的分類v根據病毒傳染的方法可分為：根據病毒傳染的方法可分為：n駐留型病毒。駐留型病毒。n非駐留型病毒。非駐留型病毒。v根據病毒破壞的能力可劃分為：根據病毒破壞的能力可劃分為：n無害型無害型n無危險型無危險型n危險型危險型n非常危險型非常危險型網絡病毒v計算機病毒一般通過有盤工作站的軟盤和硬盤計算機病毒一般通過有盤工作站的軟盤和硬盤進入網絡，然后開始在網上的傳播。進

5、入網絡，然后開始在網上的傳播。網絡工作站防病毒方法 1 1基于工作站的防治方法基于工作站的防治方法(1)(1)防病毒軟件防病毒軟件(2)(2)病毒防護芯片病毒防護芯片(3)(3)多用無盤工作站多用無盤工作站2 2基于服務器的防治方法基于服務器的防治方法集中式實時掃毒。集中式實時掃毒。7.6 網絡管理技術 v網絡管理網絡管理n指網絡使用期內為保證用戶安全、可靠、正常使用網絡指網絡使用期內為保證用戶安全、可靠、正常使用網絡服務而從事的全部操作和維護性活動。服務而從事的全部操作和維護性活動。v計算機網絡管理分為兩類：計算機網絡管理分為兩類：n第一類是計算機網絡應用程序、用戶帳號和存取權限的第一類是計

6、算機網絡應用程序、用戶帳號和存取權限的管理，屬于與軟件有關的網絡管理問題；管理，屬于與軟件有關的網絡管理問題；n第二類是對構成計算機網絡的硬件的管理，包括對工作第二類是對構成計算機網絡的硬件的管理，包括對工作站、服務器、網卡、路由器、網橋和集線器等的管理。站、服務器、網卡、路由器、網橋和集線器等的管理。網絡管理系統v網絡管理涉及以下三個方面：網絡管理涉及以下三個方面：(1)(1)網絡服務網絡服務(2)(2)網絡維護網絡維護 (3)(3)網絡處理網絡處理v網絡管理系統網絡管理系統是一個軟硬件結合以軟件為主的分布式網絡應用系統，可是一個軟硬件結合以軟件為主的分布式網絡應用系統，可以幫助網絡管理者維

7、護和監視網絡的運行，生成網絡信以幫助網絡管理者維護和監視網絡的運行，生成網絡信息日志，分析和研究網絡。息日志，分析和研究網絡。網絡管理模型網絡管理模型 (1)(1)管理者管理者(2)(2)管理代理管理代理(3)(3)網絡管理信息庫（網絡管理信息庫（MIBMIB）(4)(4)網絡管理協議網絡管理協議OSI管理功能域vISO ISO 定義了網絡管理的五個功能域：定義了網絡管理的五個功能域：n1 1故障管理故障管理(Fault Management)(Fault Management)n2 2計費管理計費管理(Accounting Management) (Accounting Management

8、) n3 3配置管理配置管理(Configuration Management) (Configuration Management) n4 4性能管理性能管理(Performance Management) (Performance Management) n5 5安全管理安全管理(Security Management) (Security Management) 1故障管理(Fault Management)v是對網絡環境中的問題和故障進行定位的過程。是對網絡環境中的問題和故障進行定位的過程。v包括故障檢測、隔離和糾正三方面，主要功能：包括故障檢測、隔離和糾正三方面，主要功能：(1)(1

9、)維護并檢查錯誤日志維護并檢查錯誤日志 (2)(2)接受錯誤檢測報告并做出響應接受錯誤檢測報告并做出響應 (3)(3)跟蹤、辨認故障跟蹤、辨認故障 (4)(4)執行診斷測試執行診斷測試 (5)(5)糾正錯誤，重新開始服務糾正錯誤，重新開始服務 2計費管理(Accounting Management)v計費管理負責控制和監測網絡操作的費用和代價。計費管理負責控制和監測網絡操作的費用和代價。v計費管理的功能包括：計費管理的功能包括：(1)(1)統計網絡利用率等數據，提供給網絡管理員確定費率統計網絡利用率等數據，提供給網絡管理員確定費率的依據。的依據。(2)(2)根據用戶對網絡資源使用情況，公平合理

10、的收取費用。根據用戶對網絡資源使用情況，公平合理的收取費用。(3)(3)提供費用統計和賬單審查服務。提供費用統計和賬單審查服務。(4)(4)當多個資源同時用來提供一項服務時，能計算各個資當多個資源同時用來提供一項服務時，能計算各個資源的費用。源的費用。3配置管理(Configuration Management)v配置管理是發現和設置網絡設備的過程。配置管理是發現和設置網絡設備的過程。v配置管理的功能主要包括：配置管理的功能主要包括：(1)(1)設置開放系統中有關路由操作的參數。設置開放系統中有關路由操作的參數。 (2)(2)被管對象和被管對象組屬性的管理。被管對象和被管對象組屬性的管理。 (

11、3)(3)初始化或關閉被管理對象。初始化或關閉被管理對象。 (4)(4)根據要求收集系統當前狀態的有關信息。根據要求收集系統當前狀態的有關信息。 (5)(5)獲取系統重要變化的信息，維護最新的設備清單并根獲取系統重要變化的信息，維護最新的設備清單并根據數據產生報告。據數據產生報告。(6)(6)更改系統的配置，提供遠程修改設備配置的手段。更改系統的配置，提供遠程修改設備配置的手段。4性能管理(Performance Management)v用于對系統運行及通信效率等系統性能進行評價。用于對系統運行及通信效率等系統性能進行評價。v典型的網絡性能管理分為性能監測和網絡控制兩典型的網絡性能管理分為性能

12、監測和網絡控制兩部分。典型的功能包括：部分。典型的功能包括： (1)(1)收集并統計與被管理對象性能有關的參數、歷史數據收集并統計與被管理對象性能有關的參數、歷史數據等信息。等信息。(2)(2)維護并檢查系統狀態日志，檢測性能故障，報告性能維護并檢查系統狀態日志，檢測性能故障，報告性能事件。事件。(3)(3)確定自然和人工狀況下系統的性能。確定自然和人工狀況下系統的性能。(4)(4)以保證網絡性能為目的，對被管理對象和被管理對象以保證網絡性能為目的，對被管理對象和被管理對象組進行控制。組進行控制。5安全管理(Security Management)v安全管理的目的是確保網絡資源不被非法使用，安

13、全管理的目的是確保網絡資源不被非法使用，防止網絡資源由于入侵者攻擊而遭到破壞。防止網絡資源由于入侵者攻擊而遭到破壞。v安全管理提供的主要功能有：安全管理提供的主要功能有：(1)(1)支持身份鑒別，控制和維護訪問權限。支持身份鑒別，控制和維護訪問權限。(2)(2)支持密鑰管理。支持密鑰管理。(3)(3)維護和檢查安全日志。維護和檢查安全日志。簡單網絡管理協議SNMPvSNMPSNMP為網絡管理系統提供網絡設備監視、網絡為網絡管理系統提供網絡設備監視、網絡參數設定、網絡流量的統計與分析及發現故障。參數設定、網絡流量的統計與分析及發現故障。vSNMPSNMP的管理模型是的管理模型是“管理者管理者代理

14、代理”模型。模型。SNMP的管理模型 v SNMPSNMP管理器也稱管理進管理器也稱管理進程，程，SNMPSNMP管理器運行在管理器運行在網絡工作站或網管中心的網絡工作站或網管中心的主機上。主機上。v SNMPSNMP管理器負責完成各管理器負責完成各種網絡管理功能，通過被種網絡管理功能，通過被管理設備中管理代理對網管理設備中管理代理對網絡設備和資源進行管理。絡設備和資源進行管理。7.7 網絡安全測評 v目的是目的是通過網絡安全測評，認清網絡的脆弱性和通過網絡安全測評，認清網絡的脆弱性和潛在威脅，能夠快速查出網絡上存在的安全隱患、潛在威脅，能夠快速查出網絡上存在的安全隱患、網絡系統中存在的安全漏

15、洞等。網絡系統中存在的安全漏洞等。v網絡安全測評的前提是：設備安裝環境是安全的、網絡安全測評的前提是：設備安裝環境是安全的、設備的質量是可靠的、外部運行環境是不安全的、設備的質量是可靠的、外部運行環境是不安全的、內部運行環境是相對安全的、系統管理員是可信內部運行環境是相對安全的、系統管理員是可信任的。任的。網絡安全測評標準網絡安全測評標準v1.1.可信計算機標準評價準則可信計算機標準評價準則v2.2.計算機信息安全保護等級劃分準則計算機信息安全保護等級劃分準則 1.可信計算機標準評價準則v19831983年美國國防部發表的年美國國防部發表的可信計算機標準評價可信計算機標準評價準則準則，簡稱，簡

16、稱TCSECTCSEC，又稱桔皮書，又稱桔皮書v把計算機安全等級分為把計算機安全等級分為4 4類類7 7個級別。依據安全性個級別。依據安全性從低到高的級別，依次為從低到高的級別，依次為D D、C1C1、C2C2、B1B1、B2B2、B3B3、A A，每個級別包括了它下級的所有特性。，每個級別包括了它下級的所有特性。vTCSECTCSEC標準是計算機網絡安全測評的第一個正式標準是計算機網絡安全測評的第一個正式標準。標準。級級別別名稱名稱特征特征A驗證設計安全級驗證設計安全級形式化的最高級描述和驗證，形式化的隱蔽通道形式化的最高級描述和驗證，形式化的隱蔽通道分析，非形式化的代碼一致性證明分析，非形

17、式化的代碼一致性證明B3安全域級安全域級安全內核，高抗滲透能力安全內核，高抗滲透能力B2結構化安全保護級結構化安全保護級面向安全的體系結構，遵循最小授權原則，有較面向安全的體系結構，遵循最小授權原則，有較好的抗滲透能力，對所有的主體和客體提供訪好的抗滲透能力，對所有的主體和客體提供訪問控制保護，對系統進行隱蔽通道分析問控制保護，對系統進行隱蔽通道分析B1標記安全保護級標記安全保護級在在C2安全級上增加安全策略模型，數據標記安全級上增加安全策略模型，數據標記(安安全和屬性全和屬性)，托管訪問控制，托管訪問控制C2訪問控制環境保護訪問控制環境保護級級訪問控制，以用戶為單位進行廣泛的審計訪問控制，以用戶為單位進行廣泛的審計C1選擇性安全保護級選擇性安全保護級有選擇的訪問控制，用戶與數據分離，數據以用有選擇的訪問控制，用戶與數據分離，數據以用戶組為單位進行保護戶組為單位進行保護D最低安全保護級最低安全保護級保護措施很少，沒有安全功能保護措施很少，沒有安全功能網絡安全測評內容網絡安全測評內容v網絡安全測評的內容大致有以下幾個方面：網絡安全測評的內容大致有以下幾個方面：(1)(1)安全策略測評安全策略測評(2)(2)網絡物理安全測評網絡物理安全測評(3)(3)