電子商務(wù)安全 第三章 Internet安全

電子商務(wù)安全第三章Internet安全3.1防火墻技術(shù)防火墻（Firewall）：軟件和硬件（如計(jì)算機(jī)、路由器）的組合，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，用來加強(qiáng)Internet與Intranet之間安全防范的一個(gè)或一組系統(tǒng)。它控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，在外部網(wǎng)和內(nèi)部網(wǎng)之間的界面構(gòu)筑的保障屏障。

3.1.1防火墻的分類包過濾技術(shù)代理服務(wù)狀態(tài)檢查（1）包過濾技術(shù)包過濾技術(shù)在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，但不能針對數(shù)據(jù)包的內(nèi)容對數(shù)據(jù)包進(jìn)行過濾（因?yàn)閿?shù)據(jù)包的內(nèi)容是應(yīng)用層數(shù)據(jù)）；包過濾防火墻的安裝：雙宿網(wǎng)關(guān)、路由器或服務(wù)器。包過濾防火墻圖3.1包過濾防火墻包過濾防火墻的工作原理包過濾防火墻利用檢查模塊來攔截和檢查所有流經(jīng)防火墻的數(shù)據(jù)，包括流入和流出的數(shù)據(jù)，其工作原理如下：首先檢查模塊驗(yàn)證這個(gè)包是否符合過濾規(guī)則，不符合規(guī)則的包要進(jìn)行報(bào)警或通知管理員，并且丟棄不符合規(guī)則的數(shù)據(jù)包。防火墻將記錄所有數(shù)據(jù)包的情況，無論是否符合過濾規(guī)則。對于丟棄的數(shù)據(jù)包，防火墻可以給發(fā)送方一個(gè)消息，也可以不發(fā)，這取決于包過濾策略。但如果都返回一個(gè)消息，攻擊者可能會(huì)根據(jù)所拒絕的包的類型猜測包過濾規(guī)則的大致情況。因此，對于是否返回一個(gè)消息給發(fā)送者要慎重。

包過濾防火墻優(yōu)缺點(diǎn)優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾（如UDP協(xié)議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。

（2）代理服務(wù)（2）代理服務(wù)

應(yīng)用層網(wǎng)關(guān)防火墻和包過濾防火墻一樣，僅僅依靠預(yù)定的規(guī)則來判定是否允許數(shù)據(jù)包通過，一旦數(shù)據(jù)包滿足過濾規(guī)則，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶就有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，黑客們往往利用應(yīng)用層網(wǎng)關(guān)防火墻這一特點(diǎn)對其內(nèi)部網(wǎng)絡(luò)實(shí)施非法訪問和攻擊。代理服務(wù)防火墻的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”由兩個(gè)代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用，如圖3.3所示。此外，代理服務(wù)防火墻也對流經(jīng)它的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告，同時(shí)一旦發(fā)現(xiàn)網(wǎng)絡(luò)有被攻擊跡象時(shí)便通知網(wǎng)絡(luò)管理員，并保留攻擊痕跡。圖3.3代理服務(wù)代理服務(wù)防火墻的優(yōu)點(diǎn)代理服務(wù)防火墻的缺點(diǎn)（3）狀態(tài)檢查

采用一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎（稱之為檢測模塊）。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后指定安全決策的參考。

狀態(tài)檢查防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：（1）檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。（2）它會(huì)監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。（3）性能堅(jiān)固缺點(diǎn)：（1）配置非常復(fù)雜。（2）降低網(wǎng)絡(luò)的速度。狀態(tài)檢查防火墻優(yōu)點(diǎn)3.1.2防火墻體系結(jié)構(gòu)圖3.4防火墻的組成3.1.3防火墻的實(shí)施屏蔽路由器防火墻屏蔽主機(jī)網(wǎng)關(guān)防火墻雙宿主機(jī)網(wǎng)關(guān)防火墻屏蔽子網(wǎng)防火墻安全服務(wù)器網(wǎng)絡(luò)防火墻(1)屏蔽路由器防火墻

又稱包過濾路由器，在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個(gè)檢查通過它的數(shù)據(jù)包的路由器。圖3.5包過濾防火墻(2)屏蔽主機(jī)網(wǎng)關(guān)防火墻

屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)（BastionHost）組成，它所提供的安全性能要比包過濾防火墻系統(tǒng)要強(qiáng)，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）的結(jié)合。當(dāng)入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。圖3.6屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻原理和實(shí)現(xiàn)過程

堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上設(shè)置相應(yīng)的規(guī)則，使得外部系統(tǒng)只能訪問堡壘主機(jī)。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問外部網(wǎng)絡(luò)，或者是要求使用堡壘主機(jī)上的代理服務(wù)來訪問外部網(wǎng)絡(luò)完全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)則進(jìn)行配置，使得其只接收來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)，從而加強(qiáng)內(nèi)部用戶對外部Internet訪問的管理。(3)雙宿主機(jī)網(wǎng)關(guān)防火墻

又稱應(yīng)用型防火墻，在運(yùn)行防火墻軟件的堡壘主機(jī)上運(yùn)行代理服務(wù)器。(4)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻利用兩臺(tái)屏蔽路由器把子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)隔離開，堡壘主機(jī)、信息服務(wù)器、Modem組，以及其他公用服務(wù)器放在該子網(wǎng)中，這個(gè)子網(wǎng)稱為“?；饏^(qū)”或“非軍事區(qū)”（DeMilitarisedZone，DMZ）(5)安全服務(wù)器網(wǎng)絡(luò)防火墻

安全服務(wù)器網(wǎng)絡(luò)防火墻系統(tǒng)采用分別保護(hù)的策略對內(nèi)部網(wǎng)絡(luò)實(shí)施保護(hù)。在堡壘主機(jī)上安裝三塊網(wǎng)卡，防火墻系統(tǒng)把公共服務(wù)器設(shè)置為一個(gè)獨(dú)立的網(wǎng)絡(luò)，與堡壘主機(jī)上的其中一塊網(wǎng)卡相連，另外兩塊網(wǎng)卡分別與Internet和內(nèi)部網(wǎng)絡(luò)相連。這時(shí)，公共服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，但又與內(nèi)部網(wǎng)關(guān)完全隔離。3.2IPsec和虛擬專用網(wǎng)3.2.1IPsec協(xié)議3.2.2虛擬專用網(wǎng)VPN3.2.1IPsec協(xié)議IPSec是IETF于1998年11月公布的IP安全標(biāo)準(zhǔn)。其目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全。

IPSec在網(wǎng)絡(luò)層上對數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。

Ipsec協(xié)議對IPv4是可選的，對IPv6是強(qiáng)制性的。

Ipsec體系結(jié)構(gòu)圖3.10IPSec體系結(jié)構(gòu)安全體系結(jié)構(gòu)：包括一般的概念、安全需求、定義以及定義IPsec技術(shù)的機(jī)制；封裝安全有效載荷ESP（EncapsulatingSecurityPayload）：使用ESP進(jìn)行包加密的報(bào)文包格式和一般性問題，以及可選的認(rèn)證；驗(yàn)證頭AH（AuthenticationHeader）：使用AH進(jìn)行包認(rèn)證的報(bào)文包格式和一般性問題；加密算法：描述各種加密算法如何用于ESP中；認(rèn)證算法：描述各種身份驗(yàn)證算法如何用于AH中和ESP身份驗(yàn)證選項(xiàng)；密鑰管理：密鑰管理的一組方案，其中Internet密鑰交換協(xié)議IKE（InternetKeyExchange）是默認(rèn)的密鑰自動(dòng)交換協(xié)議；解釋域：彼此相關(guān)各部分的標(biāo)識(shí)符及運(yùn)作參數(shù)；策略：決定兩個(gè)實(shí)體之間能否通信，以及如何進(jìn)行通信。

（1）Ipsec體系結(jié)構(gòu)（2）安全關(guān)聯(lián)SASA用一個(gè)三元組<安全索引參數(shù)，目的IP地址，安全協(xié)議標(biāo)識(shí)符>來惟一標(biāo)識(shí)。安全參數(shù)索引SPI（SecurityParametersIndex）：SPI分配給SA的一個(gè)位串，并且只有在本地有效。目的IP地址（IPDestinationAddress）：SA的目標(biāo)終點(diǎn)的地址，它可以是一個(gè)最終用戶系統(tǒng)或一個(gè)網(wǎng)絡(luò)系統(tǒng)，如防火墻或路由器。安全協(xié)議標(biāo)識(shí)符（SecurityProtocolIdentifier）：表明關(guān)聯(lián)是AH還是ESP安全關(guān)聯(lián)。因此，任何IP包中，SA是由IPv4或IPv6頭中的目的地址和內(nèi)部擴(kuò)展頭（AH或ESP）中的安全參數(shù)索引所惟一標(biāo)識(shí)的。SA的組合方式——傳輸模式（1）在IPv4中，IPsec頭插入到IP包頭之后、高層傳輸協(xié)議之前。（2）在IPv6中，IPsec頭出現(xiàn)在IP頭及IP擴(kuò)展頭之后、高層協(xié)議頭之前。目的地址選項(xiàng)可以放在安全協(xié)議頭之前或滯后。SA的組合方式——隧道模式隧道模式：此時(shí)SA主要針對關(guān)聯(lián)雙方中至少有一方是安全網(wǎng)關(guān)的情況。使用隧道模式的情況：IPsec報(bào)文通過安全網(wǎng)關(guān)時(shí)，要進(jìn)行分段和重組操作，并且可能要經(jīng)過多個(gè)安全網(wǎng)關(guān)才能到達(dá)安全網(wǎng)關(guān)后面的目的主機(jī)?！巴獠俊盜P頭指明進(jìn)行IPsec處理的目的地址，“內(nèi)部”IP頭指明最終的目的地址。IPsec頭出現(xiàn)在外部IP頭和內(nèi)部IP頭之間。

（3）封裝安全載荷ESPESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密，此外對認(rèn)證也提供某種程度的支持。ESP是與具體的加密算法相獨(dú)立的，支持DES、TripleDES、RC5等對稱密鑰加密算法。圖3.11ESP結(jié)構(gòu)示意圖ESP的工作模式——傳輸模式

在源節(jié)點(diǎn)，數(shù)據(jù)塊由ESP尾和整個(gè)傳輸層部分構(gòu)成，然后加密數(shù)據(jù)塊，并使用加密后的數(shù)據(jù)塊替換數(shù)據(jù)塊的明文，形成IP包進(jìn)行傳輸，如果選擇身份認(rèn)證，則需要增加ESP驗(yàn)證位；然后包路由到目的節(jié)點(diǎn)，每一個(gè)中間路由器都會(huì)檢查IP報(bào)頭，并加上明文IP擴(kuò)展報(bào)頭，但不檢查密文；目的節(jié)點(diǎn)檢查IP報(bào)頭，并加上明文IP擴(kuò)展報(bào)頭，然后根據(jù)ESP報(bào)頭的SPI對包的其余部分進(jìn)行解密，以恢復(fù)明文傳輸層部分。

ESP的工作模式——隧道模式ESP工作在隧道模式時(shí)，則將整個(gè)數(shù)據(jù)包進(jìn)行加密作為ESP的有效負(fù)載。隧道模式在包含防火墻或是其它類型安全網(wǎng)關(guān)的網(wǎng)絡(luò)配置中很有效。如果安全網(wǎng)關(guān)參與通信，那么加密僅僅發(fā)生在外部主機(jī)和安全網(wǎng)關(guān)之間，或者發(fā)生在兩個(gè)安全網(wǎng)關(guān)之間，這樣，內(nèi)部網(wǎng)絡(luò)的主機(jī)不必再處理加密。

（4）驗(yàn)證報(bào)頭AH

AH只涉及到認(rèn)證、不涉及加密

圖3.14AH結(jié)構(gòu)示意圖AH的工作模式——傳輸模式

對于使用IPv4的傳輸模式AH，AH會(huì)插在原IP頭和IP有效載荷之間。在IPv6環(huán)境中，AH被看作是端對端的有效載荷，中間路由器不會(huì)檢查或?qū)λM(jìn)行處理，因此，將AH放置于IPv6頭、逐個(gè)躍點(diǎn)、路由和分段字段之后。

圖3.15AH傳輸模式AH的工作模式——隧道模式

在隧道模式下的AH將驗(yàn)證整個(gè)初始IP包，AH的位置在原IP頭和新IP頭之間，原IP頭包含了原始的源和目的地址的信息，而新IP頭有可能包含了不同的IP地址，例如，防火墻地址或是其他安全網(wǎng)關(guān)的地址。

圖3.16AH隧道模式（5）Internet密鑰交換IKEIKE協(xié)議是IPsec默認(rèn)的自動(dòng)密鑰管理協(xié)議，當(dāng)應(yīng)用環(huán)境規(guī)模較大、參與通信的節(jié)點(diǎn)位置不固定時(shí)，IKE可以自動(dòng)地為參與通信的實(shí)體協(xié)商SA，并對SAD進(jìn)行維護(hù)，以保障通信的安全。IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）以及Oakley密鑰確定協(xié)議（OayleyKeyDeterminationProtocol）組成。

ISAKMPISAKMP為Internet密鑰管理提供用于身份認(rèn)證和密鑰交換的框架、具體的協(xié)議支持（包括用于安全屬性的協(xié)商格式）。ISAKMP定義了兩個(gè)階段：①

協(xié)商創(chuàng)建一個(gè)通信信道IKESA，并對該信道進(jìn)行驗(yàn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、消息完整性以及消息源驗(yàn)證服務(wù)；②

使用已建立的IKESA建立IPsecSA。

Oakley的交換模式

主模式交換：提供身份保護(hù)機(jī)制，經(jīng)過策略協(xié)商交換、DiffieHellman共享值和nonce交換以及身份驗(yàn)證交換

，共6條消息。野蠻模式交換：交換3條消息（第一條消息用來協(xié)商策略，交換DiffieHellman公開值必需的輔助數(shù)據(jù)以及身份信息；第二條消息認(rèn)證響應(yīng)方；第三條消息認(rèn)證發(fā)起方，并為發(fā)起方提供在場的證據(jù)）快速模式交換：通過3條消息建立IPsec：前兩條消息協(xié)商IPsecSA的各項(xiàng)參數(shù)值，并生成IPsec使用的密鑰；此外，第二條消息還為響應(yīng)方提供在場的證據(jù)；第三條消息為發(fā)起方提供在場的證據(jù)。

Oakley的交換模式新組模式交換：屬于一種請求/響應(yīng)交換。發(fā)送方發(fā)送提議的組的標(biāo)識(shí)符及其特征，如果響應(yīng)方能夠接收提議，就用完全一樣的消息應(yīng)答。

ISAKMP信息交換：參與IKE通信的雙方均能向?qū)Ψ桨l(fā)送錯(cuò)誤及狀態(tài)提示消息。IKE安全機(jī)制

機(jī)密性保護(hù)

完整性保護(hù)及身份驗(yàn)證。

抵抗拒絕服務(wù)攻擊。

防止中間人攻擊。

完美向前保密。

IKE的實(shí)現(xiàn)

當(dāng)內(nèi)核的安全策略模塊要求建立SA時(shí)，內(nèi)核觸發(fā)IKE；當(dāng)遠(yuǎn)程IKE實(shí)體需要協(xié)商SA時(shí)，可觸發(fā)IKE。

IPsec服務(wù)與應(yīng)用“安全關(guān)聯(lián)束”是一系列IPsec服務(wù)所應(yīng)用的安全關(guān)聯(lián)的組合。安全關(guān)聯(lián)組合成的“束”有兩種方式：（1）傳輸鄰接方式不需要調(diào)用隧道技術(shù)來實(shí)現(xiàn)多個(gè)協(xié)議；（2）循環(huán)嵌套方式需要利用隧道技術(shù)實(shí)現(xiàn)多層協(xié)議，并允許多層嵌套。IPsec安全關(guān)聯(lián)的方式

包括：傳輸模式下的AH、傳輸模式下的ESP、傳輸模式下外部ESPSA和內(nèi)部AHSA以及外部隧道模式下的AH或ESP。

IPsec安全關(guān)聯(lián)的方式

只在安全網(wǎng)關(guān)之間提供安全保護(hù)，主機(jī)不應(yīng)用IPsec機(jī)制。只需要網(wǎng)關(guān)之間一個(gè)單一SA隧道，該隧道支持AH、ESP以及帶有認(rèn)證頭的ESP。此方式無需嵌套機(jī)制，因?yàn)镮Psec服務(wù)應(yīng)用在整個(gè)內(nèi)部報(bào)文上。

IPsec安全關(guān)聯(lián)的方式

它在方式2的基礎(chǔ)上加上端到端的安全性

IPsec安全關(guān)聯(lián)的方式

這種方式支持遠(yuǎn)程終端通過Internet接入到防火墻后面的服務(wù)器或工作站上。它只能采用隧道模式。

IPsec的特點(diǎn)在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對所有跨越邊界的流量實(shí)施強(qiáng)安全性。而公司內(nèi)部或工作組不必招致與安全相關(guān)處理的負(fù)擔(dān)。

在防火墻中實(shí)現(xiàn)IPsec可以防止IP旁路。

IPsecc是在傳輸層之下，因此對應(yīng)用透明，不必改變用戶或服務(wù)器系統(tǒng)上的軟件。

IPsec可以對最終用戶透明，無須訓(xùn)練用戶。

3.2.2虛擬專用網(wǎng)VPN

虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實(shí)現(xiàn)對重要信息的安全傳輸?shù)囊环N手段。

VPN系統(tǒng)的結(jié)構(gòu)圖3.18VPN系統(tǒng)結(jié)構(gòu)虛擬專用網(wǎng)VPNVPN安全傳輸平面STP（SecureTransmissionPlane）由安全隧道代理和VPN管理中心組成，在公用互聯(lián)網(wǎng)絡(luò)基礎(chǔ)上實(shí)現(xiàn)信息的安全傳輸和系統(tǒng)的管理功能。它是VPN的主體，其主要作用有：

①安全隧道的建立和釋放。

②用戶身份的驗(yàn)證。

③服務(wù)等級(jí)的協(xié)商。

④信息的透明傳輸。

⑤遠(yuǎn)程撥號(hào)接入。

⑥安全隧道的控制與管理。虛擬專用網(wǎng)VPN公共功能平面CFP（CommonFunctionPlane）安全傳輸平面的輔助平面，由用戶認(rèn)證管理中心UAAC（UserAuthentication&AdministrationCenter）和VPN密鑰分配中心KDC（KeyDistributionCenter）組成。其主要功能是向VPN用戶代理提供相對獨(dú)立的用戶身份認(rèn)證與管理以及密鑰的分配管理。用戶認(rèn)證管理中心的功能有：

①用戶認(rèn)證。

②用戶管理。VPN的實(shí)施方案

通過Internet實(shí)現(xiàn)遠(yuǎn)程訪問

VPN的實(shí)施方案

通過Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連

VPN的實(shí)施方案

連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)

隧道技術(shù)

實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)有：①安全隧道技術(shù)（SecureTunnelingTechnology）

②用戶認(rèn)證技術(shù)（UserAuthenticationTechnology）

③訪問控制技術(shù)（AccessControlTechnology）

隧道類型自愿隧道：當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。

強(qiáng)制隧道：客戶只能使用由前端處理器創(chuàng)建的隧道，前端處理器和隧道服務(wù)器之間建立的隧道可以被多個(gè)撥號(hào)客戶共享，而不必為每個(gè)客戶建立一條新的隧道。

隧道協(xié)議分類點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）：PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后將加密后的數(shù)據(jù)封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。

第2層隧道協(xié)議（L2TP）：L2TP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)包傳遞的任意網(wǎng)絡(luò)（IP、X.25、幀中繼或ATM等）發(fā)送。

安全I(xiàn)P（IPsec）隧道模式：IPsec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)（例如Internet）發(fā)送。

隧道功能用戶驗(yàn)證令牌卡（Tokencard）支持動(dòng)態(tài)地址分配數(shù)據(jù)壓縮數(shù)據(jù)加密密鑰管理多協(xié)議支持

VPN技術(shù)的優(yōu)點(diǎn)信息的安全性

易擴(kuò)充性

方便管理

顯著的成本效益

3.3Web安全協(xié)議——SSL協(xié)議SSL采用公開密鑰技術(shù)，其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性，可在服務(wù)器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持。利用公開密鑰技術(shù)的SSL協(xié)議已經(jīng)成為Internet上保密通信的工業(yè)標(biāo)準(zhǔn)?，F(xiàn)行Web瀏覽器普遍將HTTP和SSL相結(jié)合，從而實(shí)現(xiàn)安全通信。SSL記錄協(xié)議

SSL記錄數(shù)據(jù)包含MAC數(shù)據(jù)、實(shí)際數(shù)據(jù)和粘貼數(shù)據(jù)三個(gè)部分。

MAC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。計(jì)算MAC所用的散列函數(shù)由握手協(xié)議中的CIPHERCHOICE消息確定。若是用MD2和MD5算法，則MAC數(shù)據(jù)長度為16個(gè)字節(jié)。

MAC的計(jì)算公式為：

MAC數(shù)據(jù)=HASH[密鑰，實(shí)際數(shù)據(jù)，粘貼數(shù)據(jù)，序號(hào)]

SSL數(shù)據(jù)單元的形成過程

SSL更改密碼規(guī)格協(xié)議

SSL更改密碼規(guī)格協(xié)議是SSL3個(gè)特定協(xié)議之中最簡單的一個(gè)協(xié)議。

協(xié)議由單個(gè)消息組成，該消息只包含一個(gè)值為1的單個(gè)字節(jié)，作用是使未決狀態(tài)復(fù)制為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密碼組。

SSL警報(bào)協(xié)議

警報(bào)協(xié)議的每條消息包含兩個(gè)字節(jié)：第一個(gè)字節(jié)表示消息的嚴(yán)重性，它有兩個(gè)值，取1時(shí)表示警報(bào)級(jí)別，取2時(shí)為錯(cuò)誤級(jí)。第二個(gè)字節(jié)包含了指示特定警報(bào)的代碼。

SSL握手協(xié)議第一階段：通信的初始化階段，通信雙方都發(fā)出hello消息。第二階段：客戶認(rèn)證

SSL握手協(xié)議的第一階段SSL握手協(xié)議的第二階段

第二階段的主要任務(wù)是對客戶進(jìn)行認(rèn)證，此時(shí)服務(wù)器已經(jīng)被認(rèn)證。服務(wù)器方向客戶方發(fā)出認(rèn)證請求消息request-certificate。當(dāng)客戶方收到服務(wù)器方的認(rèn)證請求消息時(shí)，發(fā)出自己的證書，并且監(jiān)聽對方回送的認(rèn)證結(jié)果。而當(dāng)服務(wù)器方收到客戶方的認(rèn)證時(shí)，認(rèn)證成功返回server-finish消息，否則返回錯(cuò)誤消息。到此為止，握手協(xié)議全部結(jié)束。

3.4安全電子郵件協(xié)議3.4.1PGP協(xié)議3.4.2多用郵件擴(kuò)展協(xié)議S/MIME協(xié)議PGP協(xié)議PGP提供了一種安全的通信方式，而事先并不需要任何保密的渠道用來傳遞密鑰。采用RSA公鑰體系、傳統(tǒng)加密體系、用于數(shù)字簽名的郵件文摘算法、加密前壓縮算法以及密鑰認(rèn)證管理機(jī)制等設(shè)計(jì)方法，并將這些算法集成為獨(dú)立于操作系統(tǒng)和處理器的通用應(yīng)用程序。

PGP可以在各種平臺(tái)上運(yùn)行的各種版本在全世界都可以免費(fèi)使用，并且適用范圍非常廣泛，從需要選擇標(biāo)準(zhǔn)化方案來加密文檔和消息的公司到想要通過Internet或其他網(wǎng)絡(luò)與他人安全通信的個(gè)人都適用。

PGP提供的服務(wù)

身份驗(yàn)證：發(fā)送方首先創(chuàng)建消息，用SHA-1算法生成消息的160位哈希值，然后用發(fā)送方私鑰的RSA加密該哈希值，并將結(jié)果附在消息上；接收方收到消息后，用公鑰的RSA來解密消息，恢復(fù)哈希值，并且再生成消息的新哈希值，與接收到的解密后哈希值相比較，如果兩個(gè)值相符合，則說明消息是真實(shí)的。

PGP提供的服務(wù)

保密性：發(fā)送方首先生成一個(gè)消息和只適于此消息的隨機(jī)128位數(shù)字作為會(huì)話密鑰，用具有會(huì)話密鑰的CAST-128或者IDEA、TDEA算法加密消息，然后用接收方公鑰的RSA加密會(huì)話密鑰，并附在消息上；接收方使用具有私鑰的RSA解密消息，恢復(fù)會(huì)話密鑰，最后用會(huì)話密鑰來解密消息。

PGP提供的服務(wù)

同時(shí)使用身份驗(yàn)證和保密技術(shù)PGP提供的服務(wù)

壓縮：在默認(rèn)情況下，PGP在應(yīng)用簽名之后、加密之前進(jìn)行消息壓縮，這樣有利于減少在電子郵件傳送和文件存儲(chǔ)時(shí)的磁盤空間。

電子郵件兼容性：許多電子郵件消息只允許使用由ASCII文本構(gòu)成的塊，為了適應(yīng)這種限制，PGP提供了把未處理的8位二進(jìn)制串轉(zhuǎn)換成可打印的ASCII字符串服務(wù)。

分段與重組：電子郵件的機(jī)制通常受到長度的限制，為了適應(yīng)這種限制，PGP自動(dòng)將超過長度的消息分成可以通過電子郵件發(fā)送的小段，分段工作是在所有其他處理（包括基數(shù)64轉(zhuǎn)換）完成之后進(jìn)行的。這樣，會(huì)話密鑰組件和簽名組件只在第一段的開始出現(xiàn)一次。在接收端，PGP必須打開所有的電子郵件報(bào)頭。

會(huì)話密鑰的生成

每個(gè)會(huì)話密鑰都與單個(gè)消息相關(guān)，只在加密和解密消息時(shí)使用。下面以CAST-128算法為例討論會(huì)話密鑰生成的過程。CAST-128算法生成隨機(jī)的128位數(shù)字。這種隨機(jī)數(shù)字生成器的輸入由128位密鑰和兩個(gè)作為明文加密的64位數(shù)據(jù)塊構(gòu)成。CAST-128算法生成兩個(gè)64位的加密文本塊，這兩個(gè)文本塊被鏈接起來形成128位的會(huì)話密鑰。隨機(jī)數(shù)字生成器的明文輸入由兩個(gè)64位塊構(gòu)成，是從128位的隨機(jī)數(shù)字流中得到的。密鑰標(biāo)識(shí)符

利用用戶ID和密鑰ID的組合來惟一識(shí)別一個(gè)密鑰，并且只需傳送較短的密鑰ID。這種方法必須分配和存儲(chǔ)密鑰ID，才能使得發(fā)送方和接收方將密鑰ID和公鑰對應(yīng)起來。PGP協(xié)議的解決方法是對于那些在用戶ID里很可能是惟一的公鑰都分配密鑰ID。與公鑰相關(guān)的密鑰ID至少由64位數(shù)構(gòu)成，也就是說，公鑰的密鑰ID等于（公鑰mod264）。PGP消息

PGP消息由消息、簽名（可選）和會(huì)話密鑰（可選）構(gòu)成

會(huì)話密鑰：每個(gè)會(huì)話密鑰都與單個(gè)消息相關(guān)，只在加密和解密消息時(shí)使用。利用對稱加密算法對消息進(jìn)行的加密/解密，CAST-128算法使用128位密鑰。會(huì)話密鑰部分包含會(huì)話密鑰和接收方公鑰的標(biāo)識(shí)符，這個(gè)公鑰就是被發(fā)送方用作加密會(huì)話密鑰的。

密鑰環(huán)

密鑰ID對PGP的操作非常重要，任意一個(gè)PGP消息中都包括兩個(gè)提供機(jī)密性和身份驗(yàn)證的密鑰ID，這些密鑰需要存儲(chǔ)并用對稱方式進(jìn)行組織，以便所有實(shí)體能夠被高效使用。

PGP中使用的方案能夠提供在每個(gè)節(jié)點(diǎn)上提供數(shù)據(jù)結(jié)構(gòu)時(shí)，一個(gè)用來存儲(chǔ)此節(jié)點(diǎn)的公鑰/私鑰對，另一個(gè)用來存儲(chǔ)此節(jié)點(diǎn)已知的其他用戶的公鑰。這兩種數(shù)據(jù)結(jié)構(gòu)分別叫做私鑰環(huán)和公鑰環(huán)。

密鑰環(huán)私鑰環(huán)的數(shù)據(jù)結(jié)構(gòu)：公鑰環(huán)的數(shù)據(jù)結(jié)構(gòu)PGP消息傳送過程PGP消息的接收過程3.4.2多用郵件擴(kuò)展協(xié)議S/MIME協(xié)議 MIME是一種正式的Internet電子郵件擴(kuò)充標(biāo)準(zhǔn)格式，但它未提供任何安全服務(wù)功能。S/MIME在MIME基礎(chǔ)上增加了數(shù)字簽名和加密技術(shù)，主要用于電子郵件或相關(guān)的業(yè)務(wù)，也可以用于Web業(yè)務(wù)。一些著名軟件公司如Microsoft、Novell、Lotus等都支持該協(xié)議。S/MIME協(xié)議的功能封裝的數(shù)據(jù)：對于一個(gè)或多個(gè)接收方，它的構(gòu)成是任何類型的加密內(nèi)容和加密內(nèi)容的加密密鑰。

簽署的數(shù)據(jù)：數(shù)字簽名對需要簽署內(nèi)容的消息摘要采用簽署者的私鑰進(jìn)行加密，然后將內(nèi)容和簽名用基數(shù)64轉(zhuǎn)換進(jìn)行編碼。簽署的數(shù)據(jù)消息只能由具有S/MIME功能的接收方才能查看。

明文簽署的數(shù)據(jù)：對內(nèi)容進(jìn)行數(shù)字簽名，但只有簽名用基數(shù)64轉(zhuǎn)換進(jìn)行編碼。簽署和封裝的數(shù)據(jù)：加密的數(shù)據(jù)可以被簽署，簽署的數(shù)據(jù)或明文簽署的數(shù)據(jù)也可以加密。

S/MIME合并了3種公鑰算法。數(shù)字簽名的首選算法是DSS，加密會(huì)話密鑰的首選算法為Diffie-Hellman算法，RSA算法是用于簽名和會(huì)話密鑰加密的首選算法。S/MIME使用簽名、加密或者兩者兼有的方式來確保MIME實(shí)體的安全。S/MIME新的MIME內(nèi)容類型類型子類型S/MIME參數(shù)說明多部分應(yīng)用

已簽名

兩部分明文簽名的消息：消息和簽名pkcs7-mime簽名的數(shù)據(jù)簽名的S/MIME實(shí)體pkcs7-mime封裝的數(shù)據(jù)加密的S/MIME實(shí)體pkcs7-mime弱簽名的數(shù)據(jù)僅包含公鑰證書的實(shí)體pkcs7-signature—多部分/已簽名消息類型的簽名子部分的內(nèi)容類型pkcs10-mime—證書注冊請求消息3.5計(jì)算機(jī)病毒及其防治3.5.1計(jì)算機(jī)病毒及其分析3.5.2計(jì)算機(jī)病毒防治技術(shù)3.5.1計(jì)算機(jī)病毒及其分析

“計(jì)算機(jī)病毒”最早由美國計(jì)算機(jī)病毒研究專家F.Cohen博士提出?！坝?jì)算機(jī)病毒”有很多種定義，國外最流行的定義為：計(jì)算機(jī)病毒，是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒的生命期休眠期：這個(gè)期間計(jì)算機(jī)病毒處于休眠狀態(tài)。但最后病毒會(huì)被某些事件激活。傳播期：計(jì)算機(jī)病毒把一個(gè)和自己完全一樣的副本附加到其他程序中，或者放到磁盤的特定系統(tǒng)區(qū)域中。這樣每個(gè)受感染的程序就包含了一個(gè)病毒副本，它們也將進(jìn)入傳播期。

觸發(fā)期：計(jì)算機(jī)病毒被激活，這個(gè)期間它能夠完成自己的“使命”。

執(zhí)行期：計(jì)算機(jī)病毒執(zhí)行自身的操作。

計(jì)算機(jī)病毒的種類文件感染或寄生病毒：文件感染通過在計(jì)算機(jī)上的現(xiàn)有文件或文件區(qū)域中附加一個(gè)代碼來修改可執(zhí)行程序的內(nèi)容。

引導(dǎo)型病毒：這類病毒感染主引導(dǎo)記錄或引導(dǎo)記錄。當(dāng)系統(tǒng)從已感染此類病毒的磁盤啟動(dòng)時(shí)，它就開始傳播。

隱身病毒：此類病毒可通過壓縮技術(shù)使得程序感染以后的長度和未感染前的一樣，也可采用其他更復(fù)雜的技術(shù)。計(jì)算機(jī)病毒的種類變形病毒：此類病毒在復(fù)制時(shí)便會(huì)產(chǎn)生一些在功能上等價(jià)但在形式上不同的副本，其目的是為了躲避掃描病毒程序的檢測。

宏病毒：宏病毒是一種基于Word和其他辦公軟件（例如MicrosoftExcel等）中的宏產(chǎn)生的計(jì)算機(jī)病毒。

3.5.2計(jì)算機(jī)病毒防治技術(shù)預(yù)防技術(shù)：通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對系統(tǒng)的傳染和破壞，實(shí)際上病毒預(yù)防技術(shù)是一種動(dòng)態(tài)判定技術(shù)，是采用對病毒的行為規(guī)則進(jìn)行分類處理，而后在程序運(yùn)行中凡有類似的規(guī)則出現(xiàn)則可以認(rèn)定是計(jì)算機(jī)病毒。

計(jì)算機(jī)病毒的預(yù)防：對已知病毒的預(yù)防和對未知病毒的預(yù)防。

3.5.2計(jì)算機(jī)病毒防治技術(shù)檢測技術(shù)：通過一定的技術(shù)手段判斷出特定計(jì)算機(jī)病毒的一種技術(shù)。檢測技術(shù)種類：（1）根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征以及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。（2）不針對具體病毒程序，而對某個(gè)文件或數(shù)據(jù)段進(jìn)行檢測和計(jì)算并保存其結(jié)果，以后定期或不定期的利用保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢測，若出現(xiàn)差異，則表示該文件或數(shù)據(jù)段的動(dòng)態(tài)性已遭到破壞，說明已染上了病毒，從而檢測到病毒的存在。

3.5.2計(jì)算機(jī)病毒防治技術(shù)網(wǎng)絡(luò)防病毒的基本方法和技術(shù)：（1）工作站防毒芯片

（2）服務(wù)器的防毒技術(shù)

（3）對用戶開放的病毒特征接口

3.6網(wǎng)絡(luò)入侵檢測3.6.1網(wǎng)絡(luò)入侵的類型3.6.2網(wǎng)絡(luò)入侵的檢測方法3.6.1網(wǎng)絡(luò)入侵的類型漏洞掃描口令破解拒絕服務(wù)攻擊DoS系統(tǒng)后門緩沖區(qū)溢出Web攻擊

漏洞掃描掃描器是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。掃描器可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本,從而了解安全問題。掃描器原理：通過選用TCP/IP不同的端口服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集很多關(guān)于目標(biāo)主機(jī)的各種有用信息(如匿名登錄、可寫的FTP目錄、TELNET登錄)。

秘密掃描TCPSYN掃描：向一個(gè)端口發(fā)送一個(gè)SYN，如果端口是打開的，那么接收到SYN|ACK，否則收到RST，很少有操作系統(tǒng)會(huì)記錄這樣的日志，其缺點(diǎn)是攻擊者在UNIX環(huán)境下須具有root權(quán)限。

TCPFIN掃描：向一個(gè)端口發(fā)送FIN，如果端口是開放的，通常會(huì)忽略掉這個(gè)包，否則會(huì)回復(fù)RET。分片掃描：在發(fā)送一個(gè)掃描數(shù)據(jù)包時(shí)，人為地將數(shù)據(jù)包分成許多IP分片，這種方法可以繞過某些包過濾程序。TCPreverseident掃描：ident協(xié)議允許TCP連接得到進(jìn)程所有者的用戶名。

秘密掃描FTP跳轉(zhuǎn)攻擊：如果目標(biāo)是掃描端口，可以使用port命令，聲明的某個(gè)端口處于監(jiān)聽狀態(tài)，如果這個(gè)端口的確是打開的，F(xiàn)TP服務(wù)器會(huì)返回150和226，否則返回錯(cuò)誤信息425。

UDPICMP端口不可到達(dá)掃描：使用UDP協(xié)議，向一個(gè)端口發(fā)送UDP包。一個(gè)打開的UDP端口不會(huì)發(fā)送任何回應(yīng)，但如果端口是關(guān)閉的，有些系統(tǒng)會(huì)返回ICMP_PORT_UNREACH信息。

口令破解

如果黑客能夠猜測或者確定用戶的口令，那么他就能獲得主機(jī)或者網(wǎng)絡(luò)的訪問權(quán)，并且能夠訪問到合法用戶所能訪問到的任何資源。

口令攻擊主要有以下幾種方式：①詞典攻擊。②強(qiáng)行攻擊。③組合攻擊。拒絕服務(wù)攻擊DoS

拒絕服務(wù)攻擊的類型（1）錯(cuò)誤配置或者軟件弱點(diǎn)、協(xié)議固有的缺陷或者對協(xié)議的實(shí)現(xiàn)導(dǎo)致的錯(cuò)誤。（2）利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他請求。

典型的拒絕服務(wù)攻擊方法：郵件炸彈：郵件炸彈會(huì)大量消耗服務(wù)器硬盤空間，阻塞網(wǎng)絡(luò)帶寬。Flood：具有高帶寬的計(jì)算機(jī)通過大量發(fā)送TCP、UDP和ICMPEchoRequest報(bào)文，將低帶寬的計(jì)算機(jī)“淹沒”，以降低對方計(jì)算機(jī)的響應(yīng)速度。

Smurf：攻擊者使用經(jīng)過欺騙的受害者的IP地址向一個(gè)廣播地址發(fā)送ICMP回響請求（ping）通信。在一個(gè)多層訪問的廣播網(wǎng)絡(luò)上，這就會(huì)造成潛在的數(shù)以千計(jì)的計(jì)算機(jī)對每個(gè)ping信號(hào)做出響應(yīng)。

典型的拒絕服務(wù)攻擊方法：Teardrop：對于有teardrop漏洞的操作系統(tǒng)，如果接收到“病態(tài)的”數(shù)據(jù)分段，例如，一個(gè)40字節(jié)的數(shù)據(jù)報(bào)被分為兩段，第一段數(shù)據(jù)發(fā)送0~36字節(jié)，而第二段發(fā)送24~27字節(jié)，則在某些情況下會(huì)破壞整個(gè)IP協(xié)議棧，因此，必須重新啟動(dòng)計(jì)算機(jī)才能恢復(fù)。Land：Land攻擊是針對種類繁多的TCP實(shí)現(xiàn)發(fā)起的拒絕服務(wù)攻擊。此程序通過發(fā)送一個(gè)TCPSYN數(shù)據(jù)包使得源地址與目的地址相同，源端口與目的端口相同。

系統(tǒng)后門

攻擊者在獲得系統(tǒng)的root權(quán)限以后，會(huì)千方百計(jì)的保持這個(gè)權(quán)限，這樣即使管理員安裝了安全補(bǔ)丁程序，攻擊者仍然可以輕松的進(jìn)出系統(tǒng)。為了達(dá)到此目的，一般采用的方式是在系統(tǒng)中安裝后門。

緩沖區(qū)溢出攻擊者試圖在一個(gè)不夠大的接收器里存儲(chǔ)過量的信息就是一次緩沖區(qū)溢出（bufferoverflow）攻擊。實(shí)現(xiàn)這種攻擊只要程序的使用者給出的數(shù)據(jù)超出該程序所能存儲(chǔ)的最大值即可。典型的緩沖區(qū)溢出NetMeeting緩沖區(qū)溢出：NetMeeting中有一個(gè)叫做SpeedDial的工具，當(dāng)客戶在點(diǎn)擊它的時(shí)候自動(dòng)連接到一臺(tái)遠(yuǎn)程服務(wù)器上，它所用到的一個(gè)動(dòng)態(tài)連接庫可被緩沖區(qū)溢出攻擊并被執(zhí)行任意的二進(jìn)制代碼。

Outlook緩沖區(qū)溢出：Outlook處理電子郵件的方法存在一個(gè)漏洞，使得攻擊者能夠攻克系統(tǒng)并運(yùn)行受了影響的郵件客戶軟件版本。攻擊者發(fā)送一個(gè)帶有畸形頭信息的電子郵件來產(chǎn)生緩沖區(qū)溢出。

Linuxconf緩沖區(qū)溢出：Linuxconf程序不對Web信息進(jìn)行錯(cuò)誤檢測，攻擊者可以在HTTP頭信息中插入過量的信息，從而導(dǎo)致受害計(jì)算機(jī)緩沖區(qū)溢出。

Web攻擊IIS4.0/5.0緩沖區(qū)溢出漏洞：此緩沖區(qū)溢出主要存在.htr、.idc和.stm文件中。攻擊的原理是：后綴名為.asp、.htr、.idc的文件由IIS內(nèi)部一個(gè)叫ISM.DLL的程序來處理，如果文件名過長就會(huì)導(dǎo)致程序內(nèi)部堆棧溢出。泄漏源碼漏洞：IIS4.0包含了一個(gè)大而全面的演示站點(diǎn)，稱為“ExplorationAir”，它使用了很多IIS4.0的Web技術(shù)。它在每一個(gè)頁面的底端都有一個(gè)“HowItWorks”按鈕，點(diǎn)擊這個(gè)按鈕可以將頁面代碼解析成有色標(biāo)簽的腳本。這樣就泄漏了源碼，IIS的許多漏洞都與泄漏ASP源碼有關(guān)。

3.6.2網(wǎng)絡(luò)入侵的檢測方法

網(wǎng)絡(luò)入侵的檢測方法有異常檢測（anomalydetection）和濫用檢測（misusedetection）。

異常檢測提取正常模式審計(jì)數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)中是否存在與之相違背的異常模式。

濫用檢測搜索審計(jì)事件數(shù)據(jù)，查看其中是否存在預(yù)先定義的濫用模式。

異常檢測異常檢測特點(diǎn)是通過對系統(tǒng)異常行為的檢測，可以發(fā)現(xiàn)未知的攻擊模式。異常檢測的關(guān)鍵問題在于正常使用模式（normalusageprofile）的建立以及如何利用該模式對當(dāng)前的系統(tǒng)/用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。

統(tǒng)計(jì)異常檢測方法設(shè)M1，M2，…，Mn為輪廓（profile）的特征參量，這些參量可以是CPU、I/O和郵件的使用、文件訪問數(shù)量以及網(wǎng)絡(luò)會(huì)話時(shí)間等。用S1，S2，…，Sn分別表示輪廓中參量M1，M2，…，Mn的異常測量值。這些值表明了異常程度，若Si的值越高，則表示Mi的異常性越大。將這些異常測量值平方后加權(quán)計(jì)算得出輪廓異常值：

ai表示輪廓與參量Mi相關(guān)的權(quán)重如何確定合適的門限值（threshold）是統(tǒng)計(jì)方法所面臨的棘手問題，門限值如果選擇不恰當(dāng)，就會(huì)導(dǎo)致系統(tǒng)出現(xiàn)大量的錯(cuò)誤報(bào)警。神經(jīng)網(wǎng)絡(luò)異常檢測方法

將神經(jīng)網(wǎng)絡(luò)用于異常檢測，其方法主要是通過訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使之能在給定前n個(gè)動(dòng)作或命令的前提下預(yù)測出用戶下一個(gè)動(dòng)作或命令。網(wǎng)絡(luò)經(jīng)過對用戶常用的命令集進(jìn)行一段時(shí)間的訓(xùn)練后便可以根據(jù)已存在網(wǎng)絡(luò)中的用戶特征文件來匹配真實(shí)的動(dòng)作或命令。

基于規(guī)則的異常檢測方法系統(tǒng)利用動(dòng)態(tài)的規(guī)則集來檢測入侵。歸納引擎根據(jù)已發(fā)生事件的情況來預(yù)測將來發(fā)生的事件的概率，根據(jù)此概率動(dòng)態(tài)產(chǎn)生規(guī)則，歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。其歸納出來的規(guī)則一般可寫成如下形式：

E1，E2，…，Ek，（Ek+1，P（Ek+1）），…，（En，P（En））

若輸入事件流中包含事件序列E1，E2，…，Ek，則事件Ek+1，…，En會(huì)出現(xiàn)在將要到來的事件流的概率分別為

P（Ek+1），…，P（En）。按照這種檢測方法，當(dāng)規(guī)則的左邊匹配，但右邊的概率值與預(yù)測值相差較大時(shí)，該事件便被標(biāo)識(shí)為異常行為。

誤用檢測

濫用入侵檢測是指根據(jù)已知的入侵模式來檢測入侵。入侵者常常利用系統(tǒng)和應(yīng)用軟件中的弱點(diǎn)進(jìn)行攻擊，而這些弱點(diǎn)易組織成某種模式，如果入侵者攻擊方式恰好與檢測系統(tǒng)模式庫中的模式匹配，則入侵者被檢測到。濫用入侵檢測依賴于模式庫，它將所有攻擊形式化存儲(chǔ)在入侵模式庫中。

基于串匹配的濫用檢測方法

一次獲取并解析完一個(gè)數(shù)據(jù)包，產(chǎn)生相應(yīng)的Packet結(jié)構(gòu)。從二維鏈表的第一個(gè)RTN節(jié)點(diǎn)開始，依次調(diào)用該RTN節(jié)點(diǎn)所對應(yīng)的串匹配函數(shù)，將該RTN節(jié)點(diǎn)所包含的規(guī)則頭信息和當(dāng)前數(shù)據(jù)包生成的Packet結(jié)構(gòu)中的對應(yīng)數(shù)據(jù)進(jìn)行比較，如果有一個(gè)處理函數(shù)的返回值是“FASLE”，就定位到下一個(gè)RTN，重復(fù)上述處理過程，直到在某個(gè)RTN上所有處理函數(shù)都返回“TRUE”

縱向鏈表的檢索原理和橫向檢索相同，直到某個(gè)OTN的所有處理函數(shù)的返回值為“TRUE”為止，此時(shí)說明所檢測的數(shù)據(jù)包具有該OTN對應(yīng)的攻擊特征。圖3.35Snort入侵檢測系統(tǒng)的規(guī)則庫二維鏈表結(jié)構(gòu)基于專家系統(tǒng)的誤用檢測方法

使用類似于if--then的規(guī)則格式輸入已有的知識(shí)（攻擊模式），然后輸入檢測數(shù)據(jù)（審計(jì)事件紀(jì)錄），系統(tǒng)根據(jù)知識(shí)庫中的內(nèi)容對檢測數(shù)據(jù)進(jìn)行評(píng)估，判斷是否存在入侵行為模式。

優(yōu)點(diǎn)：把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需要理解或干預(yù)專家系統(tǒng)內(nèi)部的推理過程。

基于狀態(tài)轉(zhuǎn)移的誤用檢測方法

狀態(tài)轉(zhuǎn)移法采用優(yōu)化的模式匹配技術(shù)來處理濫用檢測問題，這種方法采用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移的表達(dá)式來描述已知的攻擊模式?；跔顟B(tài)轉(zhuǎn)移的入侵檢測方法主要有狀態(tài)轉(zhuǎn)移分析和著色Petri網(wǎng)方法。

狀態(tài)轉(zhuǎn)移分析法：使用狀態(tài)轉(zhuǎn)移圖來表示和檢測已知攻擊模式。狀態(tài)轉(zhuǎn)移圖中的節(jié)點(diǎn)表示系統(tǒng)的狀態(tài)，弧線代表每一次狀態(tài)的轉(zhuǎn)變。所有入侵者的滲透過程都可以看作是從有限的特權(quán)開始，利用系統(tǒng)存在的脆弱性，逐步提升自身的權(quán)限。圖中的斷言是在每種系統(tǒng)狀態(tài)下得到的相應(yīng)的、針對