網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材

網(wǎng)絡(luò)信息安全技術(shù)

加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第1頁。

加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)網(wǎng)絡(luò)信息安全技術(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第2頁。加密技術(shù)

基本概念對(duì)稱密碼技術(shù)非對(duì)稱密碼技術(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第3頁。加密技術(shù)經(jīng)典密碼：古埃及人用以保密傳遞的消息；

單表置換密碼，凱撒密碼，

多表置換密碼，Vigenere密碼等等近代密碼：DES數(shù)據(jù)加密標(biāo)準(zhǔn)，70年代Diffie,Hellman

的開創(chuàng)性工作——公鑰體制的提出密碼應(yīng)用：電子數(shù)據(jù)，軍事目的，經(jīng)濟(jì)目的。應(yīng)用形式：數(shù)據(jù)的保密性、真實(shí)性、完整性。主要內(nèi)容：數(shù)據(jù)加密，密碼分析，數(shù)字簽名，信息

鑒別，零泄密認(rèn)證，秘密共享等等。信息攻擊：主動(dòng)攻擊——對(duì)數(shù)據(jù)的惡意刪除、篡改等

被動(dòng)攻擊——從信道上截取、偷竊、拷貝

信息。

無意攻擊——錯(cuò)誤操作、機(jī)器故障等。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第4頁。密碼體制基本術(shù)語：信源——消息的發(fā)送處

信宿——消息的目的地

明文——沒有加密的消息

密文——加密后的消息

信道——傳遞消息的通道通信模型：經(jīng)典的通信模型如圖所示：網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第5頁。密碼體制：可能的明文集合P——稱為明文空間

可能的密文集合C——稱為密文空間

可能的密鑰集合K——稱為密鑰空間

一組加密變換：

一組解密變換：滿足：則五元組（P，C，K，Ek，Dk）稱為一個(gè)密碼體制?；疽螅?1)對(duì)所有密鑰，加、解密算法迅速有效,

(2)體制的安全性不依賴于算法的保密，

只依賴于密鑰的保密—Kerchohoff原則。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第6頁。經(jīng)典的密碼體制中，加密密鑰與解密密鑰是相同的，或者可以簡(jiǎn)單相互推導(dǎo)，也就是說：知道了加密密鑰，也就知道了解密密鑰；知道了解密密鑰，也就知道了加密密鑰。所以，加、解密密鑰必須同時(shí)保密。這種密碼體制稱為對(duì)稱（也稱單鑰）密碼體制。最典型的是DES數(shù)據(jù)加密標(biāo)準(zhǔn)，應(yīng)該說數(shù)據(jù)加密標(biāo)準(zhǔn)DES是單鑰體制的最成功的例子。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第7頁。現(xiàn)代密碼學(xué)修正了密鑰的對(duì)稱性，1976年，Diffie，Hellmann提出了公開密鑰密碼體制（簡(jiǎn)稱公鑰體制），它的加密、解密密鑰是不同的，也是不能（在有效的時(shí)間內(nèi)）相互推導(dǎo)。所以，它可稱為雙鑰密碼體制。它的產(chǎn)生，是密碼學(xué)革命性的發(fā)展，它一方面，為數(shù)據(jù)的保密性、完整性、真實(shí)性提供了有效方便的技術(shù)。另一方面，科學(xué)地解決了密碼技術(shù)的瓶頸──密鑰的分配問題。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第8頁。第一個(gè)公鑰體制是1977年由Rivest，Shamir，Adleman提出的，稱為RSA公鑰體制，其安全性是基于整數(shù)的因子分解的困難性。RSA公鑰體制已得到了廣泛的應(yīng)用。其后，諸如基于背包問題的Merkle-Hellman背包公鑰體制，基于有限域上離散對(duì)數(shù)問題的EIGamal公鑰體制，基于橢圓曲線的密碼體制等等公鑰體制不斷出現(xiàn)，使密碼學(xué)得到了蓬勃的發(fā)展，網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第9頁。公鑰體制用于數(shù)據(jù)加密時(shí)：用戶將自己的公開（加密）密鑰登記在一個(gè)公開密鑰庫或?qū)崟r(shí)公開，秘密密鑰則被嚴(yán)格保密。信源為了向信宿發(fā)送信息，去公開密鑰庫查找對(duì)方的公開密鑰，或臨時(shí)向?qū)Ψ剿魅」€，將要發(fā)送的信息用這個(gè)公鑰加密后在公開信道上發(fā)送給對(duì)方，對(duì)方收到信息（密文）后，則用自己的秘密（解密）密鑰解密密文，從而，讀取信息。可見，這里省去了從秘密信道傳遞密鑰的過程。這是公鑰體制的一大優(yōu)點(diǎn)。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第10頁。E(m)Kb1AKa1BD(E(m))Kb2mmRSA的加解密過程公開信道網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第11頁。公鑰體制用于數(shù)字簽名時(shí)：信源為了他人能夠驗(yàn)證自己發(fā)送的消息確實(shí)來自本人，他將自己的秘密（解密）密鑰公布，而將公開（加密）密鑰嚴(yán)格保密。與別人通信時(shí)，則用自己的加密密鑰對(duì)消息加密──稱為簽名，將原消息與簽名后的消息一起發(fā)送.對(duì)方收到消息后，為了確定信源的真實(shí)性，用對(duì)方的解密密鑰解密簽名消息──稱為（簽名）驗(yàn)證，如果解密后的消息與原消息一致，則說明信源是真實(shí)的，可以接受，否則，拒絕接受。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第12頁。密碼分析方法分類：窮舉法、統(tǒng)計(jì)法、系統(tǒng)分析法

窮舉法——對(duì)可能的密鑰或明文的窮舉；

統(tǒng)計(jì)法——根據(jù)明文、密文、密鑰的統(tǒng)計(jì)特性達(dá)到破譯密碼的方法；

系統(tǒng)分析法——根據(jù)掌握的明文、密文的有關(guān)信息，應(yīng)用加、解密算法求解密鑰、明文的方法。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第13頁。計(jì)算安全性：理論上，除一文一密外，沒有絕對(duì)安全的密碼體制，通常，稱一個(gè)密碼體制是安全的是指計(jì)算上安全的，即：密碼分析者為了破譯密碼，窮盡其時(shí)間、存儲(chǔ)資源仍不可得，或破譯所耗資材已超出因破譯而獲得的獲益。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第14頁。1、唯密文攻擊：僅根據(jù)密文進(jìn)行的密碼攻擊；2、已知明文攻擊：根據(jù)一些相應(yīng)的明、密文對(duì)進(jìn)行的密碼攻擊。3、選擇明文攻擊：可以選擇一些明文，并獲取相應(yīng)的密文，這是密碼分析者最理想的情形。例如，在公鑰體制中。根據(jù)密碼分析者掌握明、密文的程度密碼分析可分類為：網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第15頁。加密技術(shù)

基本概念

對(duì)稱密碼技術(shù)非對(duì)稱密碼技術(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第16頁。序列密碼

通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列，使用該序列逐比特加密信息流得到密文序列產(chǎn)生偽隨機(jī)序列：反饋移位寄存器，前饋序列，鐘控序列，組合網(wǎng)絡(luò)，混沌理論……網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第17頁。分組密碼

將明文分成固定長(zhǎng)度的組（塊）DESIDEAAES網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第18頁。分組密碼DESIDEAAES網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第19頁。1973.5.15：美國(guó)國(guó)家標(biāo)準(zhǔn)局（NSA）公開征求密碼體制的聯(lián)邦注冊(cè)；1975.3.17：DES首次在《聯(lián)邦記事》公開，它由IBM開發(fā)，它是LUCIFER的改進(jìn)；1977.2.15：DES被采用作為非國(guó)家機(jī)關(guān)使用的數(shù)據(jù)加密標(biāo)準(zhǔn)，此后，大約每五年對(duì)DES進(jìn)行依次審查，1992年是最后一次審查，美國(guó)政府已聲明，1998年后對(duì)DES不再審查了；1977.2.15：《聯(lián)邦信息處理》標(biāo)準(zhǔn)版46（FIPSPUB46）給出了DES的完整描述。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第20頁。DES密碼體制：它是應(yīng)用56位密鑰，加密64比特明文分組的分組秘鑰密碼體制DES加密算法：

（一）初始置換：x0=L0R0=IP(x)；

（二）16次迭代：xi-1=Li-1Ri-1，

Li=Ri，Ri=Li

f(Ri-1,ki)

i=1,2,…,16；

（三）逆置換：x16=L16R16，y=IP-1(x16)。密鑰生成器：密鑰ki是由56位系統(tǒng)密鑰k生成的32位子密鑰。函數(shù)f及S盒：f(Ri-1,ki)=P(S(E(Ri-1)ki))網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第21頁。

其中E，P是兩個(gè)置換，表示比特的“異或”，S是一組八個(gè)變換S1，S2，S3，…，S8，稱為S盒，每個(gè)盒以6位輸入，4位輸出，S盒構(gòu)成了DES安全的核心。DES算法流程圖網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第22頁。函數(shù)f及S盒的示意圖DES解密：DES的解密過程與加密過程相同，只不過

子密鑰的使用相反，即，首先使用k16，再使用k15，

…，最后使用k1。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第23頁。關(guān)于DES的討論S盒是唯一非線性組件：有人認(rèn)為其中可能含有某種“陷門”，國(guó)家安全機(jī)關(guān)可以解密。DES的密鑰量太?。好荑€量為2561977年：Diffie.Hellman提出制造一個(gè)每秒測(cè)試106的VLSI芯片，則一天就可以搜索完整個(gè)密鑰空間，當(dāng)時(shí)造價(jià)2千萬美圓。CRYPTO’93：R.Session，M.Wiener提出并行密鑰搜索芯片，每秒測(cè)試5x107個(gè)密鑰，5760片這種芯片，造價(jià)10萬美圓，平均一天即可找到密鑰。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第24頁。Internet的超級(jí)計(jì)算能力：1997年1月28日，美國(guó)RSA數(shù)據(jù)安全公司在Internet上開展了一項(xiàng)“秘密密鑰挑戰(zhàn)”的競(jìng)賽，懸賞一萬美圓，破解一段DES密文。計(jì)劃公布后，得到了許多網(wǎng)絡(luò)用戶的強(qiáng)力相應(yīng)?？屏_拉州的程序員R.Verser設(shè)計(jì)了一個(gè)可以通過互聯(lián)網(wǎng)分段運(yùn)行的密鑰搜索程序，組織了一個(gè)稱為DESCHALL的搜索行動(dòng)，成千上萬的的志愿者加入到計(jì)劃中。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第25頁。第96天，即競(jìng)賽公布后的第140天，1997年6月17日晚上10點(diǎn)39分，美國(guó)鹽湖城Inetz公司職員M.Sanders成功地找到了密鑰，解密出明文：TheunknownMessageis：“Strongcryptographymakesthewordasaferplace”(高強(qiáng)度密碼技術(shù)使世界更安全)。Internet僅僅利用閑散資源，毫無代價(jià)就破譯了DES密碼，這是對(duì)密碼方法的挑戰(zhàn)，是Internet超級(jí)計(jì)算能力的顯示.網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第26頁。差分分析法：除去窮舉搜索密鑰外，還有其他形式的攻擊方法，最著名的有Biham，Shamir的差分分析法。這是一個(gè)選擇明文攻擊方法。雖然對(duì)16輪DES沒有攻破，但是，如果迭代的輪數(shù)降低，則它可成功地被攻破。例如，8輪DES在一個(gè)個(gè)人計(jì)算機(jī)上只需要2分鐘即可被攻破。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第27頁。分組密碼DESIDEAAES網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第28頁。IDEAIDEA(InternationdataencryptionAlgorithm國(guó)際數(shù)據(jù)加密算法)是瑞士聯(lián)邦技術(shù)學(xué)院開發(fā)的一種分組秘鑰加密算法。可以說，它是DES的替代算法，它針對(duì)DES的64位短密鑰使用128位密鑰，每次加密64位明文。通過密鑰的加長(zhǎng)，提高了IDEA的抵御強(qiáng)力窮舉密鑰的攻擊，通過算法的改進(jìn)，有效地阻止了差分密碼分析。IDEA加密效率很高，可以在177MB/s的芯片上實(shí)現(xiàn)加密。對(duì)IDEA的攻擊：還沒有人攻擊成功IDEA，攻擊IDEA的困難性如同分解3000比特的整數(shù)。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第29頁。IDEA工作原理

1、分解64比特明文成為4個(gè)16比特的子塊；

2、執(zhí)行8輪迭代：

A.由128比特密鑰生成器生成6個(gè)子密鑰；

B.在每一輪迭代中，使用加法、乘法把4個(gè)子密

鑰和4個(gè)子塊結(jié)合起來，并保存以待后用；

C.將B中兩對(duì)子塊（共4塊）做XOR，得2個(gè)16

比特子塊，并將其與兩個(gè)子密鑰結(jié)合，所得結(jié)

果與B中4個(gè)子塊結(jié)合。

D.如此進(jìn)行8輪。IDEA的解密：IDEA的加、解密過程類似于DES，但，解密子密鑰是加密子密鑰的加法或乘法逆，且順序相反。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第30頁。IDEA算法流程圖

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第31頁。IDEA迭代運(yùn)算流程圖

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第32頁。分組密碼DESIDEAAES網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第33頁。美國(guó)高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)AES一、Rijndael的數(shù)學(xué)基礎(chǔ)二、Rijndael密碼算法三、Rijndael設(shè)計(jì)準(zhǔn)則四、Rijndael密鑰生成器網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第34頁。2000年10月2日，Rijndael算法被推薦為美國(guó)非國(guó)家機(jī)關(guān)數(shù)據(jù)加密標(biāo)準(zhǔn)AES，接受90天的公眾評(píng)論。2001年2月29日，Rijndael算法被正式確定為美國(guó)非國(guó)家機(jī)關(guān)數(shù)據(jù)加密標(biāo)準(zhǔn)AES。美國(guó)高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)AES網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第35頁。一、Rijndael數(shù)學(xué)基礎(chǔ)Rijndael支持：128比特，192比特，256比特密鑰，128比特，

192比特，256比特明文的混合長(zhǎng)度加密的分組密碼算法Rijndael的運(yùn)算：字節(jié)運(yùn)算——有限域GF(28)上的運(yùn)算、字

運(yùn)算—有限域GF(28)上多項(xiàng)式的運(yùn)算。有限域GF(28)：看成是系數(shù)取0，1的次數(shù)最多是7的全體多項(xiàng)

式集合，即：GF(28)={b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0|bk=0,1}，或GF(28)={(b7,b6,b5,b4,b3,b2,b1,b0)|bk=0,1}加法定義為：普通多項(xiàng)式加法，但是其系數(shù)加法是比特異或,

例如：(10110110)+(11001101)=(01111011)乘法定義為：普通多項(xiàng)式的乘法除多項(xiàng)式：

m(x)=x8+x4+x3+x+1

取余。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第36頁。例如：(01010111)(10000011)

模m(x)：(x13+x11+x9+x8+x6+x5+x4+x3+1)mod(x8+x4+x3+x+1)=(10101101111001)mod(100011011)

++=(x6+x4+x2+x+1)(x7+x+1)=x13+x11+x9+x8+2x7+x6+x5+x4+x3+2x2+2x+1=x13+x11+x9+x8+x6+x5+x4+x3+1=(x5+x3)(x8+x4+x3+x+1)+x7+x6+1≡x7+x6+1modm(x)=(11000001)10101101111001

100011011100000011

10001101111000001網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第37頁。逆元：對(duì)GF(28)中兩個(gè)個(gè)元a,b,如果ab≡1modm(x)，則稱b

是a的逆元，也稱a是b的逆元，記為：b=a-1，a=b-1。逆元存在性：有結(jié)論告訴我們，因?yàn)槎囗?xiàng)式

m(x)=x8+x4+x3+x+1

不可分解因式，所以除元0外，所有元都有逆元。逆元的求法：應(yīng)用Euclid算法。字運(yùn)算：系數(shù)在GF(28)上多項(xiàng)式模x4+1乘法。設(shè)：a(x)=a3x3+a2x2+a1x+a0，b(x)=b3x3+b2x2+b1x+b0，

c(x)=a(x)b(x)=c6x6+c5x5+c4x4+c3x3+c2x2+c1x+c0，那么，

c0=a0b0，

c1=a1b0+a0b1，

c2=a2b0+a1b1+a0b2，

c3=a3b0+a2b1+a1b2+a0b3，

c4=a3b1+a2b2+a1b3，

c5=a3b2+a2b3，

c6=a3b3，

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第38頁。模x4+1：因?yàn)椋簒4k+s=(x4)kxs=(x4+1+1)kxs=P(x)(x4+1)xs+xs

所以：xtmodx4+1=xtmod4

。例如：x5modx4+1=x1，x6modx4+1=x2，….

所以：c(x)=d3x3+d2x2+d1x+d0

d0=a0b0+a3b1+a2b2+a1b3

d1=a1b0+a0b1+a3b2+a2b3

d2=a2b0+a1b1+a0b2+a3b3

d3=a3b0+a2b1+a1b3+a0b3寫成好記的形式為：

d0

a0a3a2a1b0d1

a1a0a3a2b1d2

a2a1a0a3b2d3

a3a2a1a0b3

=網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第39頁。注：這里的aibj所是GF(28)中的乘法，

a0b0+a3b1

是GF(28)中的加法。#網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第40頁。二、Rijndael密碼算法密鑰Key密鑰擴(kuò)展初始輪的處理r=1密文輸出最后輪FinalRound(state,RoundKey)Nr<Nrr=r+1Round(State,RoundKey)Y明文M網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第41頁。5、Rijndael解密算法1、解密算法：解密算法與加密算法完全相同。2、解密子密鑰如果加密子密鑰記為：k0,k1,k2,……,kN,則接密子密鑰為：

kN,HM–1(kN-1),……,HM–1(k2),HM–1(k1),k0。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第42頁。不存在類DES的對(duì)稱性，弱密鑰，半弱密鑰，等價(jià)密鑰：

差分分析問題：

已證明，4輪Rijndael的差分傳播預(yù)測(cè)率在2-150以下，8輪Rijndael的差分傳播預(yù)測(cè)率在2-300以下。線性分析問題：已證明，4輪Rijndael的輸入—輸出相關(guān)性系數(shù)在2-75以下，8輪Rijndael的相關(guān)性系數(shù)在2-150以下。截?cái)嗖罘址治鰡栴}：已證明，對(duì)6輪及以上Rijndael算法，截?cái)嗖罘址治霾槐葟?qiáng)力攻擊快。方塊攻擊問題：

Rijndael算法沒有采用典型的Feistel結(jié)構(gòu)，而采用了Square結(jié)構(gòu)，對(duì)Square結(jié)構(gòu)有一種稱為Square攻擊的方法，但是研究證明，對(duì)7輪及以上Rijndael算法方塊攻擊不比強(qiáng)力攻擊快。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第43頁。理論上講，如果有一臺(tái)每秒可以嘗試255個(gè)密鑰的計(jì)算機(jī)，1秒內(nèi)可以破譯DES，但是，它破譯Rejndael需要145萬億年，這個(gè)數(shù)字比宇宙年齡還要大。#

與DES比較：網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第44頁。加密技術(shù)

基本概念對(duì)稱密碼技術(shù)非對(duì)稱密碼技術(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第45頁。非對(duì)稱密碼技術(shù)RSA公鑰密碼算法

Diffie-Hellman密鑰交換協(xié)議量子密碼技術(shù)其他公鑰體制網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第46頁。非對(duì)稱密碼技術(shù)

RSA公鑰密碼算法

Diffie-Hellman密鑰交換協(xié)議量子密碼技術(shù)其他公鑰體制網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第47頁。RSA1976年：Diffie，Hellman在“NewDirectioninCryptography”(密碼學(xué)新方向)一文中首次提出公開密鑰密碼體制的思想。1977年：Rivest,Shamir,Adleman第一次實(shí)現(xiàn)了公開密鑰密碼體制，現(xiàn)稱為RSA公鑰體制。基本算法：

選取合數(shù)n=pq，p,q是素?cái)?shù)；

選取ab≡1mod(n)，

a保密——解密密鑰，b公開——加密密鑰；

加密算法：ek(x)≡xb

modn，

解密算法：dk(x)≡ya

modn；網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第48頁。RSA示例設(shè)p=101，q=113，n=pq=11413，

(n)=(p-1)(q-1)=100×112=11200，a=6597，b=3533，x=9726。

加密：y=xb=97263533=5761mod11413；解密：x=ya=57616597=9726mod11413。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第49頁。算法分析：該體制的數(shù)學(xué)依據(jù)是Euler定理及大數(shù)分解的困難性，體制中使用的是Zn中的計(jì)算。設(shè)是兩個(gè)不同奇素?cái)?shù)p,q的乘積，對(duì)于這樣的正整數(shù)，其Euler函數(shù)值是容易計(jì)算的，它是(n)=(p-1)(q-1)。對(duì)于給定的明文x<n，選定一個(gè)正整數(shù)b，稱為加密密鑰。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第50頁。作Zn中的指數(shù)運(yùn)算，將明文以指數(shù)形式xb表示出來，即以指數(shù)形式將明文隱藏起來。即使知道一個(gè)明、密文對(duì)(x,y)，y=xbmodn,要得到密鑰b，必須求解離散對(duì)數(shù)問題：b=logxy，在Zn中這也是一個(gè)困難問題?？梢娺@種加密思想是簡(jiǎn)單、明確的。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第51頁。RSA安全性說明

加密密鑰b是公開的，從而，要求從b不能有效地推導(dǎo)出a，解已知b，求解ab≡1mod(n)是計(jì)算上不可能的。(n)是n的Euler函數(shù)，如果已知(n)，則可以應(yīng)用展轉(zhuǎn)相除法求得b的逆元a，從而(n)的保密是安全的關(guān)鍵，而(n)的有效計(jì)算則依賴于n的素因子分解，從而，RSA的安全性與n的素因子分解等價(jià)。體制的安全性機(jī)理是大數(shù)分解的困難性。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第52頁。大數(shù)分解是一個(gè)NP問題，目前已知的最好的算法需要進(jìn)行ex次算術(shù)運(yùn)算。假設(shè)我們用一臺(tái)每秒運(yùn)算（即：一億）次的計(jì)算機(jī)來分解一個(gè)200位十進(jìn)制的數(shù)

要分解一個(gè)200位十進(jìn)制的數(shù)，需要3.8×107年，類似地，可算出要分解一個(gè)300位的十進(jìn)制整數(shù)，則需要年4.86×1013?？梢?，增加的位數(shù)，將大大地提高體制的安全性。由以上分析可見，從直接分解大數(shù)來破譯RSA是計(jì)算上不可能的，那么是否存在一種破譯方法不依賴于的分解呢？雖然現(xiàn)在還沒有發(fā)現(xiàn)，但是也沒有嚴(yán)格的論證。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第53頁。直接分解一個(gè)大素?cái)?shù)的強(qiáng)力攻擊的一個(gè)實(shí)例是：1994年4月分解的RSA密鑰RSA-129，即分解了一個(gè)129位十進(jìn)制，425比特的大素?cái)?shù)。分解時(shí)啟用了1600臺(tái)計(jì)算機(jī)，耗時(shí)8個(gè)月，處理了4600MIPS年的數(shù)據(jù)。1MIPS年是1MIPS的機(jī)器一年所能處理數(shù)據(jù)量。Pentium100大約是125MIPS，它分解RSA-129需要37年。100臺(tái)Pentium100需要4個(gè)月。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第54頁。硬件實(shí)現(xiàn)時(shí)，RSA比DES要慢大約1000倍，軟件實(shí)現(xiàn)時(shí)，RSA比DES要慢大約100倍。可見，用RSA直接加密信息有諸多不便，所以，很多實(shí)際系統(tǒng)中，只用RSA來交換DES的密鑰，而用DES來加密主體信息。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第55頁。非對(duì)稱密碼技術(shù)RSA公鑰密碼算法

Diffie-Hellman密鑰交換協(xié)議量子密碼技術(shù)其他公鑰體制網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第56頁。p為512比特以上大素?cái)?shù)，g<p,p和g公開1)A隨機(jī)選擇x<p，發(fā)送gxmodp給B2)B隨機(jī)選擇y<p，發(fā)送gymodp給A3)A通過自己的x秘密計(jì)算(gy)xmodp=gxymodp4)B通過自己的y秘密計(jì)算(gx)ymodp=gxymodp5)A與B擁有相同的數(shù)據(jù)gxymodp作為密鑰進(jìn)行通信

Diffie-Hellman密鑰交換協(xié)議網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第57頁。以前：基于數(shù)學(xué)問題的困難，或?qū)?shù)學(xué)問題的無知量子密碼：基于Hesenberg測(cè)不準(zhǔn)定律通過對(duì)量子態(tài)的適當(dāng)編碼，隨機(jī)發(fā)送和接收一定長(zhǎng)度量子序列，再由公開信道確認(rèn)接收裝置的正確狀態(tài)，最后協(xié)商出共享密鑰序列可以發(fā)現(xiàn)竊聽行為缺點(diǎn)：信號(hào)的衰減和不可增強(qiáng)性，而中繼不可信賴量子通信的極限距離100KM，目前日本到87KM量子密碼技術(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第58頁。背包體制Rabin算法Elgamal密碼體制ECC體制其他公鑰體制網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第59頁。網(wǎng)絡(luò)信息安全技術(shù)

加密技術(shù)

認(rèn)證技術(shù)入侵檢測(cè)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第60頁。認(rèn)證技術(shù)

數(shù)字簽名身份認(rèn)證網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第61頁。數(shù)字簽名數(shù)字簽名最早被建議用來對(duì)禁止核試驗(yàn)條律的驗(yàn)證。禁止核試驗(yàn)條律的締約國(guó)為了檢測(cè)對(duì)方的核試驗(yàn)，需要把地震測(cè)試儀放在對(duì)方的地下，而把測(cè)試的數(shù)據(jù)送回，自然這里有一個(gè)矛盾：東道主需要檢查發(fā)送的數(shù)據(jù)是否僅為所需測(cè)試的數(shù)據(jù)；檢測(cè)方需要送回的數(shù)據(jù)是真實(shí)的檢測(cè)數(shù)據(jù)，東道主沒有篡改。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第62頁。基本要求：

1、簽名不能偽造：簽名是簽名者對(duì)文件內(nèi)容合法性的認(rèn)同、證明、和標(biāo)記，其他人的簽名無效；

2、簽名不可抵賴：這是對(duì)簽名者的約束，簽名者的認(rèn)同、證明、標(biāo)記是不可否認(rèn)的；

3、簽名不可改變：文件簽名后是不可改變的，這保證了簽名的真實(shí)性、可靠性；

4、簽名不可重復(fù)使用：簽名需要時(shí)間標(biāo)記，這樣可以保證簽名不可重復(fù)使用。

5、簽名容易驗(yàn)證：對(duì)于簽名的文件，一旦發(fā)生糾紛，任何第三方都可以準(zhǔn)確、有效地進(jìn)行驗(yàn)證。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第63頁。數(shù)字簽名的基本原理：應(yīng)用一對(duì)不可互相推導(dǎo)的密鑰，一個(gè)用于簽名（加密），一個(gè)用于驗(yàn)證（解密），顛倒使用加解密過程。公鑰簽名原理：這種簽名就是加密過程的簡(jiǎn)單顛倒使用，簽名者用加密密鑰（保密）簽名（加密）文件，驗(yàn)證者用（公開的）解密密鑰解密文件，確定文件的真?zhèn)?。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第64頁。散列函數(shù)：散列函數(shù)是數(shù)字簽名的一個(gè)重要輔助工具，

應(yīng)用散列函數(shù)可以生成一個(gè)文件的，具有固定長(zhǎng)度的文件摘要，從而使數(shù)字簽名可以迅速有效地簽名一個(gè)任意長(zhǎng)度的文件。一般地，對(duì)文件的任意小改動(dòng)，都會(huì)改變文件的散列值，從而，秘密的散列函數(shù)可以用來檢測(cè)病毒等對(duì)文件的破壞。對(duì)簽名的攻擊：對(duì)數(shù)字簽名有各種各樣的欺騙存在，

重復(fù)使用是一個(gè)典型欺騙，如電子支票，重復(fù)的使用具有可怕后果，阻止這種欺騙的有效方法是簽名中包含時(shí)間日期標(biāo)志。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第65頁。數(shù)字簽名方案數(shù)字簽名與傳統(tǒng)簽名的本質(zhì)差別：消息與載體的分割。傳統(tǒng)簽名中，簽名與文件是一個(gè)物理整體，具有共同的物理載體，物理的不可分割性、不可復(fù)制的特性帶來了簽名與文件的不可分割、重復(fù)使用的特性；在數(shù)字簽名中，由于簽名與文件是電子形式，沒有固定的物理載體，即簽名及文件的物理形式和消息已經(jīng)分開，而電子載體是可以任意分割、復(fù)制的，從而數(shù)字簽名有可能與文件分割，被重復(fù)使用。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第66頁。另一方面，傳統(tǒng)簽名的驗(yàn)證是通過與存檔手跡對(duì)照來確定真?zhèn)蔚模侵饔^的、模糊的、容易偽造的，從而也是不安全的。而數(shù)字簽名則是用密碼，通過公開算法可以檢驗(yàn)的，是客觀的、精確的，在計(jì)算上是安全的。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第67頁。通過簡(jiǎn)單的分析，可見，要使一個(gè)數(shù)字簽名是安全、實(shí)用的，應(yīng)該做到：（1）使簽名與文件成為一個(gè)不可分割的整體，從而達(dá)到防止簽名被分割后替換文件，替換簽名等形式的偽造簽名。(2)數(shù)字簽名應(yīng)該賦予時(shí)間特征，防止消息的重復(fù)使用。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第68頁。一個(gè)簽名方案由兩部分組成，即：簽名算法，驗(yàn)證算法。簽名算法:對(duì)于一個(gè)消息，應(yīng)用一個(gè)簽名密鑰，簽名算法產(chǎn)生一個(gè)簽名y=sigk(x)，簽名算法是公開的，但是密鑰是保密的，驗(yàn)證算法ver也是公開的，它通過ver(x,y)=true或false來驗(yàn)證簽名。簽名算法與驗(yàn)證算法都應(yīng)該是時(shí)間的多項(xiàng)式函數(shù)。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第69頁。數(shù)字簽名方案的定義：

設(shè)P是消息的集合，A是簽名的集合，K是密鑰集。簽名算法定義為：

驗(yàn)證算法定義為：

則五元組(P，A，K，Sig，Ver)稱為一個(gè)簽名方案。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第70頁。數(shù)字簽名方案是安全的也是指計(jì)算上是安全的

因?yàn)?，?duì)于任意給定的消息x，偽造簽名只須對(duì)所有可能消息簽名y，利用公開驗(yàn)證算法測(cè)試

ver(x,y)，直到ver(x,y)=true，則該y就是x的簽名，這個(gè)y就是偽造簽名。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第71頁。RSA公鑰體制既可應(yīng)用于加密，也可應(yīng)用于簽名，這是其加、解密密鑰的不對(duì)稱特性的應(yīng)用。公鑰簽名系統(tǒng)是利用加密系統(tǒng)相反的思想來實(shí)現(xiàn)簽名的。將公開密鑰密碼體制中的解密算法作簽名算法，密鑰保密，而用加密算法作驗(yàn)證算法，密鑰公開。

RSA簽名方案網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第72頁。RSA簽名方案的定義：

設(shè)p，q是兩個(gè)大素?cái)?shù)，n=pq，ab≡1mod(n)，

簽名算法為：Sigk(x)≡xamodn，

驗(yàn)證算法為：Verk(x,k)=truex≡ybmodn。

p，q，a保密，n，b公開。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第73頁。簽名方案一般地都是對(duì)一個(gè)較短的消息簽名，對(duì)一個(gè)很長(zhǎng)的消息，如果直接處理，則首先要把它分割成較短的段，再進(jìn)行簽名。顯然，用這種方法簽名一個(gè)幾兆的文件是不合適的。

解決這一問題的方法：對(duì)被簽名消息用一個(gè)快速散列函數(shù)產(chǎn)生一個(gè)確定長(zhǎng)度的消息摘要，比如：160比特，最后對(duì)這個(gè)摘要簽名。

所謂散列函數(shù)是：從一個(gè)消息空間到另一個(gè)消息空間的一個(gè)映射，這是一個(gè)多一對(duì)應(yīng)，可能出現(xiàn)不同消息對(duì)應(yīng)于相同散列值的情形，這一現(xiàn)象稱為碰撞散列函數(shù)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第74頁。無碰撞散列函數(shù)：

對(duì)應(yīng)用散列函數(shù)的數(shù)字簽名的一個(gè)可能攻擊方法是尋找一個(gè)碰撞：對(duì)給定的簽名消息(x,y)，

y=sigk(h(x))，如果找到一個(gè)消息x’x，h(x’)=h(x)，則(x’,y)成為一個(gè)偽造簽名。為了阻止這種攻擊，無碰撞散列函數(shù)是必須的。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第75頁。弱無碰撞散列函數(shù)：對(duì)于給定消息x，如果找到另一個(gè)消息x’x，h(x’)=h(x)是計(jì)算上不可能的；

強(qiáng)無碰撞散列函數(shù)：如果兩個(gè)消息x’x，

h(x’)=h(x)是計(jì)算上不可能的。單向散列函數(shù)：

對(duì)于給定的一個(gè)消息摘要（散列值）z，找到一個(gè)消息x，滿足h(x)=z是計(jì)算上不可能的；強(qiáng)無碰撞性包含弱無碰撞、單向性。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第76頁。MD4，MD5散列函數(shù)：1990年，Rivest提出了散列函數(shù)MD4（MessageDigest），MD4輸入任意長(zhǎng)度消息，輸出128比特消息摘要，它是一個(gè)強(qiáng)無碰撞散列函數(shù)。1991年Rivest提出改進(jìn)算法MD5，它比MD4復(fù)雜，但思想類似。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第77頁。算法MD5首先填充消息成512比特的整數(shù)倍，但最后64比特是由文件長(zhǎng)度填充的；其次，將個(gè)512比特分割成16個(gè)32比特子塊；

取4個(gè)初始向量，從其及第一個(gè)子塊出發(fā)，

作4輪（MD4只有3輪）16次迭代。得128比特輸出；以此作為初始向量，對(duì)下一個(gè)512比特執(zhí)行同樣的操作；

依次下去，直到所有的512比特都處理完畢，輸出128比特，此即MD5的輸出。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第78頁。身份認(rèn)證

基于口令的認(rèn)證基于數(shù)字簽名的認(rèn)證

CA技術(shù)身份的零知識(shí)證明基于物理安全的身份認(rèn)證方法實(shí)例：Kerberos網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第79頁。網(wǎng)絡(luò)信息安全技術(shù)

加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第80頁。入侵檢測(cè)技術(shù)

見02網(wǎng)絡(luò)信息安全技術(shù)-IDS網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第81頁。入侵檢測(cè)產(chǎn)品選擇要點(diǎn)

系統(tǒng)的價(jià)格特征庫升級(jí)與維護(hù)的費(fèi)用最大可處理流量是否易被攻擊躲避產(chǎn)品的可伸縮性網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第82頁。入侵檢測(cè)產(chǎn)品選擇要點(diǎn)

運(yùn)行與維護(hù)系統(tǒng)的開銷產(chǎn)品支持的入侵特征數(shù)產(chǎn)品有哪些響應(yīng)方法是否通過國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第83頁。Win2KServer的入侵檢測(cè)配置Win2000服務(wù)器經(jīng)過精心配置以后可以防御90%以上的入侵和滲透這里的入侵檢測(cè)指的是利用Win2KServer自身的功能及系統(tǒng)管理員自己編寫的軟件/腳本進(jìn)行的檢測(cè)網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第84頁。(1)基于80端口入侵的檢測(cè)IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般是按24小時(shí)滾動(dòng)的，在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置配置了IIS，使用W3C擴(kuò)展的日志格式，并至少記錄了時(shí)間（Time）、客戶端IP（ClientIP）、方法（Method）、URI資源(URIStem)、URI查詢(URIQuery)，協(xié)議狀態(tài)（ProtocolStatus）網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第85頁。啟用日志記錄

在IIS管理器中，展開本地計(jì)算機(jī)，展開“網(wǎng)站”或“FTP站點(diǎn)”目錄，右鍵單擊網(wǎng)站或FTP站點(diǎn)，然后單擊“屬性”。在“網(wǎng)站”或“FTP站點(diǎn)”選項(xiàng)卡上，選中“啟用日志記錄”復(fù)選框。在“活動(dòng)日志格式”列表框中，單擊選擇一種格式。默認(rèn)格式是“W3C擴(kuò)展日志文件格式”。注意如果選擇ODBC日志記錄，請(qǐng)單擊“屬性”，然后在相應(yīng)的文本框中鍵入ODBC數(shù)據(jù)源名(DSN)和數(shù)據(jù)庫中表的名稱。如果訪問數(shù)據(jù)庫需要用戶名稱和密碼，請(qǐng)鍵入必須的憑據(jù)，然后單擊“確定”。單擊“應(yīng)用”，然后單擊“確定”。網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第86頁。分析UNICODE漏洞UNICODE漏洞攻擊：打開IE，在地址欄輸入：/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir打開IIS的日志->打開Ex010318.log（Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期）07:42:58GET/scripts/..\../winnt/system32\cmd.exe/c+dir200這行日志表示在格林威治時(shí)間07:42:58（就是北京時(shí)間23:42:58），有一個(gè)入侵者從的IP在你的機(jī)器上利用Unicode漏洞（%c1%1c被解碼為"\"，實(shí)際的情況會(huì)因?yàn)閃indows語言版本的不同而有略微的差別）運(yùn)行了cmd.exe，參數(shù)是/cdir，運(yùn)行結(jié)果成功（HTTP200代表正確返回）網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第87頁。分析日志記錄IIS的日志動(dòng)輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個(gè)日志分析軟件（其實(shí)就是文本過濾器）都非常簡(jiǎn)單，不過考慮到一些實(shí)際情況（比如管理員不會(huì)寫程序，或者服務(wù)器上一時(shí)找不到日志分析軟件），有一個(gè)簡(jiǎn)單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find"Global.asa"ex010318.log/i網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第88頁。(2)基于安全日志的檢測(cè)

通過基于IIS日志的入侵監(jiān)測(cè)，我們能提前知道窺伺者的行蹤（如果你處理失當(dāng)，窺伺者隨時(shí)會(huì)變成入侵者），但是IIS日志不是萬能的IIS只有在一個(gè)請(qǐng)求完成后才會(huì)寫入日志；對(duì)于非Web的主機(jī)，入侵者也可以從其它的服務(wù)進(jìn)入服務(wù)器因此，建立一套完整的安全監(jiān)測(cè)系統(tǒng)是非常必要的Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第89頁。日志審核

打開審核：

“管理工具”→“本地安全策略”→“本地策略”→“審核策略”

“登錄事件”與“帳戶管理”是我們最關(guān)心的事件，同時(shí)打開“成功”和“失敗”審核非常必要，其他的審核也要打開失敗審核除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測(cè)工具網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第90頁。要審核的事件網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第91頁。(3)文件訪問日志與關(guān)鍵文件保護(hù)

除了系統(tǒng)默認(rèn)的安全審核外，對(duì)于關(guān)鍵的文件，我們還要加設(shè)文件訪問日志，記錄對(duì)他們的訪問。文件訪問有很多的選項(xiàng)：訪問、修改、執(zhí)行、新建、屬性更改，...，一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)教材全文共100頁，當(dāng)前為第92頁。(4)進(jìn)程監(jiān)控

進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門的另一個(gè)有力武器，90%以上的木馬和后門是以進(jìn)程的形式存在的（也有以其他形式存在的木馬）。作為系統(tǒng)管理員，了解服務(wù)器上運(yùn)行的每個(gè)進(jìn)程是職責(zé)之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺(tái)服務(wù)器運(yùn)行進(jìn)程的列表非常必要