網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)（微課版）（第5版） 課件 楊文虎 第5、6章 計算機(jī)病毒與木馬、安全防護(hù)與入侵檢測

第5章計算機(jī)病毒與木馬《網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)》（微課版）（第5版）主講人：課程引入2018年12月1日，一個以微信為支付手段的勒索病毒在國內(nèi)爆發(fā)。幾日內(nèi)，該勒索病毒至少感染了10萬臺電腦，通過加密受害者文件的手段，已達(dá)到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密?！?020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告中指出新冠肺炎疫情防控下的遠(yuǎn)程辦公需求明顯增多，虛擬專用網(wǎng)絡(luò)（VPN）成為遠(yuǎn)程辦公人員接入單位網(wǎng)絡(luò)的主要技術(shù)手段之一。在此背景下，部分APT組織通過控制VPN服務(wù)器，將木馬文件偽裝成VPN客戶端升級包，下發(fā)給使用這些VPN服務(wù)器的重要單位。學(xué)習(xí)要點（思政要點）隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用的大規(guī)模發(fā)展，互聯(lián)網(wǎng)上承載的數(shù)據(jù)和信息越來越豐富，這些數(shù)據(jù)資源已經(jīng)成為國家重要戰(zhàn)略資源和新生產(chǎn)要素，對經(jīng)濟(jì)發(fā)展、國家治理、社會管理、人民生活都產(chǎn)生重大影響。什么是病毒，什么是木馬，病毒和木馬的分類有哪些？特征是什么？如何防范病毒和木馬學(xué)習(xí)要點（思政要點）掌握計算機(jī)病毒的定義、分類和結(jié)構(gòu)（網(wǎng)絡(luò)安全意識）；了解常見的計算機(jī)病毒的特點和檢測技術(shù)（善于思考）；掌握木馬的定義、分類；了解常見的木馬應(yīng)用和防護(hù)方法（以人為本）；掌握移動互聯(lián)網(wǎng)惡意程序的防護(hù)技術(shù)（職業(yè)素養(yǎng)）。3第5章計算機(jī)病毒與木馬33計算機(jī)病毒的檢測與防范5.3實訓(xùn)

病毒和木馬計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.133移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.45.1計算機(jī)病毒與木馬概述計算機(jī)病毒的概念起源非常早，在第一臺商用計算機(jī)出現(xiàn)之前好幾年，計算機(jī)的先驅(qū)者馮·諾依曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動裝置的理論及組織的進(jìn)行》里，就已經(jīng)勾勒出病毒程序的藍(lán)圖。1983年計算機(jī)病毒首次被確認(rèn)。我國于1989年發(fā)現(xiàn)了計算機(jī)病毒。5.1計算機(jī)病毒與木馬概述5.1.1計算機(jī)病毒的起源計算機(jī)病毒的萌芽1975年，美國科普作家約翰·布魯勒爾（JohnBrLiiler）《震蕩波騎士》的書描寫了在信息社會中，計算機(jī)作為正義和邪惡雙方斗爭的工具的故事。1977年夏天，托馬斯·捷·瑞安的科幻小說《P-1的春天》描寫了一種可以在計算機(jī)中互相傳染的病毒，病毒最后控制了7000臺計算機(jī)，造成了一場災(zāi)難。計算機(jī)病毒的概念形成1983年11月3日，南加州大學(xué)學(xué)生弗雷德·科恩在UNIX系統(tǒng)下編寫了一個會引起系統(tǒng)死機(jī)的程序并以論文形式發(fā)表。計算機(jī)病毒具備破壞性的概念具體成形。5.1計算機(jī)病毒與木馬概述5.1.1計算機(jī)病毒的起源第一個計算機(jī)病毒的誕生1987年，第一個計算機(jī)病毒C-BRAIN誕生。由巴基斯坦的一對兄弟巴斯特和阿姆捷特所寫，他們的目的主要是防止他們的軟件被任意盜版，只要有人盜版他們的軟件，C-BRAIN就會發(fā)作，將盜版者的硬盤剩余空間給吃掉。計算機(jī)病毒的興起以C-BRAIN為藍(lán)本，制作出一些變形的病毒。而其他新的病毒創(chuàng)作也紛紛出現(xiàn)。各類掃毒、防毒與殺毒軟件，以及專業(yè)公司也紛紛出現(xiàn)。5.1計算機(jī)病毒與木馬概述5.1.2計算機(jī)病毒的定義和特性計算機(jī)病毒的定義我們通常所說的計算機(jī)病毒是為達(dá)到特殊目的制作和傳播的計算機(jī)代碼或程序，簡單說就是惡意代碼。從廣義上講，凡是人為編制的、干擾計算機(jī)正常運行并造成計算機(jī)軟硬件故障，甚至破壞計算機(jī)數(shù)據(jù)的、可自我復(fù)制的計算機(jī)程序或指令集合都是計算機(jī)病毒。在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義，病毒是指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。5.1計算機(jī)病毒與木馬概述計算機(jī)病毒的特性：非法性。隱藏性。潛伏性?？捎|發(fā)性破壞性傳染性表現(xiàn)性針對性變異性不可預(yù)見性5.1計算機(jī)病毒與木馬概述5.1.3計算機(jī)病毒的分類1．按照計算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒。攻擊Windows系統(tǒng)的病毒。攻擊UNIX系統(tǒng)的病毒。2．按照計算機(jī)病毒的鏈接方式分類源碼型病毒。嵌入型病毒。外殼型病毒。操作系統(tǒng)型病毒。5.1計算機(jī)病毒與木馬概述3．按照計算機(jī)病毒的破壞情況分類良性計算機(jī)病毒。它不包含立即對計算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。惡性計算機(jī)病毒。其代碼中包含損傷和破壞計算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。

4．按照計算機(jī)病毒的鏈接方式分類磁盤引導(dǎo)區(qū)傳染的計算機(jī)病毒。操作系統(tǒng)傳染的計算機(jī)病毒?？蓤?zhí)行程序傳染的計算機(jī)病毒。5.1計算機(jī)病毒與木馬概述5．按照計算機(jī)病毒激活的時間分類定時型病毒。隨機(jī)型病毒。6．按照傳播媒介分類單機(jī)病毒。網(wǎng)絡(luò)病毒。5.1計算機(jī)病毒與木馬概述5.1.4計算機(jī)病毒的結(jié)構(gòu)由于計算機(jī)病毒本身是一些計算機(jī)程序代碼，就必定擁有一定的程序結(jié)構(gòu)。1．計算機(jī)病毒的程序結(jié)構(gòu)各種計算機(jī)病毒程序大小不同、長短各異，但是它們一般都包含3個部分：引導(dǎo)模塊、傳染模塊和表現(xiàn)、破壞模塊，如圖5.1計算機(jī)病毒與木馬概述2．計算機(jī)病毒的存儲結(jié)構(gòu)（1）病毒的磁盤存儲結(jié)構(gòu)系統(tǒng)型病毒是指專門感染操作系統(tǒng)的啟動扇區(qū)，主要是硬盤主引導(dǎo)區(qū)和DOS引導(dǎo)扇區(qū)的病毒。這種病毒一般分作兩部分，第一部分存放在磁盤引導(dǎo)扇區(qū)中，第二部分則存放在磁盤的其他扇區(qū)。病毒在傳染時，首先根據(jù)文件分區(qū)表在磁盤上找到一個空白簇，然后將病毒的第二部分和原來引導(dǎo)扇區(qū)中的內(nèi)容寫入該空白簇，再將自己的第一部分寫入磁盤的引導(dǎo)區(qū)。5.1計算機(jī)病毒與木馬概述文件型病毒主要是指感染系統(tǒng)中的可執(zhí)行文件或者依賴于可執(zhí)行文件發(fā)作的病毒。文件型病毒一般附著在被感染的文件的首部、尾部，或者中間的空閑部分。這類病毒不需要單獨申請磁盤的空白簇，而是依賴于被感染的可執(zhí)行程序所占用的磁盤空間。當(dāng)然，被病毒感染后，原來的宿主程序所占用的磁盤空間就會增加。文件型病毒一般屬于外殼病毒。5.1計算機(jī)病毒與木馬概述（2）病毒的內(nèi)存駐留結(jié)構(gòu)計算機(jī)病毒一般都駐留在常規(guī)內(nèi)存中。病毒的內(nèi)存駐留結(jié)構(gòu)可以劃分為系統(tǒng)病毒的內(nèi)存駐留結(jié)構(gòu)和文件病毒的內(nèi)存駐留結(jié)構(gòu)。系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的。文件型病毒是在其宿主程序運行時被裝入的33第5章計算機(jī)病毒與木馬3計算機(jī)病毒的檢測與防范5.3計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.133移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.4實訓(xùn)

病毒和木馬5.2計算機(jī)病毒的危害感染病毒的計算機(jī)系統(tǒng)內(nèi)部會發(fā)生某些變化，并且在一定條件下表現(xiàn)出來，這樣可以通過直接觀察來判斷系統(tǒng)是否感染病毒。5.2.1計算機(jī)病毒的表現(xiàn)當(dāng)計算機(jī)病毒發(fā)作時一般會出現(xiàn)一些發(fā)作現(xiàn)象，根據(jù)計算機(jī)病毒的發(fā)作現(xiàn)象，就有可能及時發(fā)現(xiàn)并清除病毒。常見的發(fā)作現(xiàn)象:計算機(jī)運行速度的變化。計算機(jī)磁盤的變化。計算機(jī)內(nèi)存的變化。計算機(jī)文件系統(tǒng)的變化。異常的提示信息和現(xiàn)象。5.2計算機(jī)病毒的危害5.2.2計算機(jī)故障與病毒特征的區(qū)別

1．計算機(jī)硬件故障計算機(jī)硬件的配置硬件的正常使用CMOS的設(shè)置2．計算機(jī)軟件故障丟失文件文件版本不匹配資源耗盡非法操作33第5章計算機(jī)病毒與木馬3計算機(jī)病毒的檢測與防范5.3計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.133移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.4實訓(xùn)

病毒和木馬5.3計算機(jī)病毒的檢測與防范不同類型的病毒有相應(yīng)的防范措施，以實現(xiàn)數(shù)據(jù)的安全保護(hù)。5.3.1文件型病毒文件型病毒是指能夠寄生在文件中的，以文件為主要感染對象的病毒。這類病毒主要感染可執(zhí)行文件或數(shù)據(jù)文件，是種類和數(shù)量最為龐大的一種病毒。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)和蠕蟲型的文件型病毒肆虐，一些帶病毒的數(shù)據(jù)包和郵件越來越多，一不小心打開這些帶毒文件，系統(tǒng)就會中毒甚至崩潰。5.3計算機(jī)病毒的檢測與防范1．文件型病毒的載入當(dāng)一個被感染的應(yīng)用程序運行之后，病毒開始控制系統(tǒng)后臺和后續(xù)操作；如果這個病毒是常駐內(nèi)存型的，則病毒將自己裝入內(nèi)存，監(jiān)視文件系統(tǒng)的運行狀況并打開服務(wù)的調(diào)用，系統(tǒng)調(diào)用該服務(wù)時，病毒將感染其他文件；如果該文件不是常駐內(nèi)存型的，則病毒會立即找到一個感染對象，然后取得這個原始文件的控制權(quán)。5.3計算機(jī)病毒的檢測與防范2．文件型病毒的防范安裝最新版本、有實時監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時更新病毒引擎，一般每個月至少更新一次，最好每周更新一次，并在有病毒突發(fā)事件時立即更新。經(jīng)常使用防毒軟件對系統(tǒng)進(jìn)行病毒檢查。對關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下經(jīng)常備份。在不影響系統(tǒng)正常工作的情況下，對系統(tǒng)文件設(shè)置最低的訪問權(quán)限。5.3計算機(jī)病毒的檢測與防范5.3.2宏病毒1．觀察計算機(jī)是否有宏病毒的表現(xiàn)嘗試保存文檔時，Word只允許保存為文檔模板。Word文檔圖標(biāo)的外形類似于文檔模板圖標(biāo)而不是文檔圖標(biāo)。在工具菜單上選擇“宏”并單擊“宏”后，程序沒有反應(yīng)。宏列表中出現(xiàn)新宏。打開Word文檔或模板時顯示異常消息。如果打開一個文檔后沒有進(jìn)行修改，立即就有存盤操作。5.3計算機(jī)病毒的檢測與防范5.3.2宏病毒2．對宏病毒的防范提高宏的安全級別。目前，高版本的Word軟件可以設(shè)置宏的安全級別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級別。刪除不知來路的宏定義。將Normal.dot模板進(jìn)行備份，當(dāng)被病毒感染后，使用備份模板進(jìn)行覆蓋。5.3計算機(jī)病毒的檢測與防范5.3.3蠕蟲病毒蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡意病毒。1.主要傳播方式蠕蟲病毒利用微軟的系統(tǒng)漏洞攻擊計算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)中的客戶端感染了這種病毒，會不斷地?fù)芴柹暇W(wǎng)，利用文件中的地址或者網(wǎng)絡(luò)的共享進(jìn)行傳播，導(dǎo)致網(wǎng)絡(luò)服務(wù)遭到拒絕，最終導(dǎo)致用戶的大部分重要數(shù)據(jù)被破壞。蠕蟲病毒利用電子郵件進(jìn)行傳播，如“求職信”病毒和“愛蟲”病毒等，它們會盜取被感染計算機(jī)中的郵件地址，并利用這些郵件地址進(jìn)行傳播，對接收到郵件的計算機(jī)進(jìn)行破壞，甚至最終造成整個網(wǎng)絡(luò)的癱瘓。5.3計算機(jī)病毒的檢測與防范5.3.3蠕蟲病毒2.蠕蟲病毒防范措施用戶在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀，對重要的文件夾設(shè)置訪問賬號和密碼.要定期檢查自己的系統(tǒng)內(nèi)是否具有可寫權(quán)限的共享文件夾，一旦發(fā)現(xiàn)這種文件夾，需要及時關(guān)閉該共享權(quán)限。要定期檢查計算機(jī)中的賬戶，看看是否存在不明賬戶信息。一旦發(fā)現(xiàn)，應(yīng)該立即刪除該賬戶，并且禁用Guest賬號，防止被病毒利用。5.3計算機(jī)病毒的檢測與防范給計算機(jī)的賬戶設(shè)置比較復(fù)雜的密碼，防止被蠕蟲病毒破譯。購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并隨時更新。提高防殺病毒的意識，不要輕易登錄陌生的站點。不要隨意查看陌生郵件，尤其是帶有附件的郵件。5.3計算機(jī)病毒的檢測與防范5.3.4文件加密勒索病毒1．勒索病毒概述勒索病毒（Ransomware）是伴隨數(shù)字貨幣興起的一種新型木馬病毒，通常以垃圾郵件、服務(wù)器入侵、網(wǎng)頁掛馬、捆綁軟件等多種形式進(jìn)行傳播。機(jī)器一旦遭受勒索病毒攻擊，將會使絕大多數(shù)文件被加密算法修改，并添加一個特殊的擴(kuò)展名，且用戶無法讀取原本正常的文件，對用戶造成無法估量的損失。5.3計算機(jī)病毒的檢測與防范2．判斷勒索病毒可通過以下方式判斷是否中了勒索病毒。計算機(jī)中的文件變?yōu)椴豢纱蜷_形式，或者文件擴(kuò)展名被篡改，需要支付贖金才能恢復(fù)文件。業(yè)務(wù)系統(tǒng)無法訪問，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時，登錄服務(wù)器桌面，桌面通常會出現(xiàn)新的文本或者網(wǎng)頁文件，內(nèi)容是說明如何解密和聯(lián)系方式。5.3計算機(jī)病毒的檢測與防范3．中勒索病毒的處理方式正確的處理方式確認(rèn)服務(wù)器已經(jīng)感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)。隔離主要包括物理隔離和訪問控制兩種手段。物理隔離主要為斷網(wǎng)或斷電；訪問控制主要是指對訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。錯誤的處理方式

使用移動存儲設(shè)備和自行恢復(fù)磁盤文件。33第5章計算機(jī)病毒與木馬3計算機(jī)病毒的檢測與防范5.3計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.133移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.4實訓(xùn)

病毒和木馬5.4木馬攻擊與分析木馬是指以盜取用戶個人信息，甚至以遠(yuǎn)程控制用戶計算機(jī)為主要目的的惡意程序。木馬常被用作入侵網(wǎng)絡(luò)系統(tǒng)的重要工具，一旦感染木馬，計算機(jī)將面臨數(shù)據(jù)丟失、系統(tǒng)被操控的威脅。5.4.1木馬背景介紹古希臘故事中的“特洛伊木馬”。

網(wǎng)絡(luò)中的“特洛伊木馬”。5.4木馬攻擊與分析5.4.2木馬概述特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和用戶操作、破壞用戶系統(tǒng)，甚至使系統(tǒng)癱瘓的功能。木馬可以被分成良性木馬和惡性木馬兩種。5.4木馬攻擊與分析1．特洛伊木馬與其他病毒的區(qū)別

病毒能進(jìn)行復(fù)制和傳播，特洛伊木馬不能自行傳播。2．特洛伊木馬的種植木馬靠偽裝植入目標(biāo)機(jī)器，偽裝有兩種手段：將自己偽裝成一般的軟件或者把木馬綁定在正常的程序上面。5.4木馬攻擊與分析3．特洛伊木馬的行為瀏覽文件系統(tǒng)，修改、刪除、獲取目標(biāo)機(jī)器上的文件；查看系統(tǒng)的進(jìn)程信息，對該系統(tǒng)的進(jìn)程進(jìn)行控制；查看系統(tǒng)注冊表，修改系統(tǒng)的配置信息；截取計算機(jī)的屏幕顯示，發(fā)送給“客戶端”；記錄被攻擊系統(tǒng)的輸入、輸出操作，盜取密碼等個人信息；控制計算機(jī)的鍵盤、鼠標(biāo)或其他硬件設(shè)備的動作；以被攻擊者的計算機(jī)為跳板，攻擊網(wǎng)絡(luò)中的其他計算機(jī)；通過網(wǎng)絡(luò)下載新的病毒文件。5.4木馬攻擊與分析5.4.3木馬的分類遠(yuǎn)程控制木馬密碼發(fā)送木馬鍵盤記錄木馬破壞性質(zhì)的木馬DoS攻擊木馬代理木馬FTP木馬5.4木馬攻擊與分析5.4.4木馬的發(fā)展

第一代木馬功能非常簡單，主要針對UNIX系統(tǒng)，有BO、Netspy等。第二代木馬功能大大地加強(qiáng)，幾乎能夠進(jìn)行所有的操作，國外具有代表性的有BO2000和Sub7，而國內(nèi)幾乎就是冰河的天下。第三代木馬繼續(xù)完善了連接與文件傳輸技術(shù)，增加了木馬穿透防火墻的功能，并出現(xiàn)了“反彈端口”技術(shù)，如國內(nèi)常見的“灰鴿子”等。第四代木馬除了完善之前幾代木馬的所有技術(shù)外，還增加了進(jìn)程隱藏技術(shù)，使得系統(tǒng)對于木馬的存在和入侵更加難以發(fā)現(xiàn)。第五代木馬是集竊聽密碼和遠(yuǎn)程控制于一體的木馬，可用于盜取密碼和留后門。333第5章計算機(jī)病毒與木馬3計算機(jī)病毒的檢測與防范5.3計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.13移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.4實訓(xùn)

病毒和木馬5.5木馬的攻擊防護(hù)技術(shù)5.5.1常見木馬

1．第三代木馬“灰鴿子”是國內(nèi)一個著名的后門程序，，灰鴿子變種木馬運行后，會自我復(fù)制到Windows目錄下，并自行將安裝程序刪除；修改注冊表，將病毒文件注冊為服務(wù)項，實現(xiàn)開機(jī)自啟；木馬程序還會注入所有的進(jìn)程中，隱藏自我，防止被殺毒軟件查殺；自動開啟IE瀏覽器，以便與外界進(jìn)行通信，監(jiān)聽黑客指令，在用戶不知情的情況下連接黑客指定站點，盜取用戶信息、下載其他特定程序。2．第四代木馬第四代木馬“廣外幽靈”，它是一個短小精悍的記錄工具，可以截取到Windows窗體中的星號、黑點密碼，可以記錄鍵盤、輸入法輸入的英文和漢字。5.5木馬的攻擊防護(hù)技術(shù)5.5.1常見木馬

3．第五代和第六代木馬第五代木馬是驅(qū)動級木馬。驅(qū)動級木馬多數(shù)使用大量的Rookit技術(shù)來達(dá)到深度隱藏的效果。它深入內(nèi)核空間，針對殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去功能。有的驅(qū)動級木馬可駐留BIOS，并且很難查殺。隨著身份認(rèn)證USBKey和殺毒軟件主動防御的興起，第六代木馬黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主。PassCopy和“暗黑蜘蛛俠”是這類木馬的代表。5.5木馬的攻擊防護(hù)技術(shù)5.5.2木馬的偽裝手段

1．木馬捆綁技術(shù)網(wǎng)絡(luò)游戲中，一些游戲外掛、游戲插件和游戲客戶端軟件容易被捆綁盜號木馬。2．木馬加殼和脫殼加殼：木馬通過加殼后可以避免被殺毒軟件查殺脫殼：把加殼后的程序恢復(fù)成毫無包裝的可執(zhí)行代碼，達(dá)到對未授權(quán)者便可以對程序進(jìn)行修改。5.5木馬的攻擊防護(hù)技術(shù)5.5.3安全解決方案

使用專業(yè)廠商的正版防火墻，使用正版的殺毒軟件，并能夠正確地對防火墻和殺毒軟件進(jìn)行配置。使用軟件工具隱藏自身的實際地址。注意自己電子郵箱的安全：不要打開陌生人的郵件，更不要在沒有防護(hù)措施的情況下打開或下載郵件中的附件。不要輕易運行別人通過聊天工具發(fā)來的東西，對于從網(wǎng)上下載的資料或工具應(yīng)該使用殺毒軟件查殺，確認(rèn)安全后再使用。5.5木馬的攻擊防護(hù)技術(shù)5.5.3安全解決方案

不要隱藏文件的擴(kuò)展名，以便及時地發(fā)現(xiàn)木馬文件。定期檢查系統(tǒng)的服務(wù)和系統(tǒng)的進(jìn)程，查看是否有可疑服務(wù)或者可疑進(jìn)程。根據(jù)文件的創(chuàng)建日期觀察系統(tǒng)目錄下是否有近期新建的可執(zhí)行文件，如果有，則可能存在病毒文件。333第5章計算機(jī)病毒與木馬3計算機(jī)病毒的檢測與防范5.3計算機(jī)病毒的危害5.2計算機(jī)病毒與木馬概述5.13移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6木馬的攻擊防護(hù)技術(shù)5.5木馬攻擊與分析5.4實訓(xùn)

病毒和木馬5.6移動互聯(lián)網(wǎng)惡意程序的防護(hù)移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動終端系統(tǒng)中安裝、運行有不正當(dāng)目的，或具有違反國家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費、信息竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。5.6移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6.1常見移動互聯(lián)網(wǎng)惡意程序1．移動端惡意程序分類按照傳統(tǒng)分類方法，移動端惡意程序可分為木馬類、病毒類、后門類、僵尸類、間諜類、勒索類、廣告類、跟蹤類。根據(jù)Android惡意程序的特征來進(jìn)行分類，可分為惡意軟件安裝、重打包、更新攻擊、誘惑下載、惡意軟件運行、惡意載荷、提權(quán)攻擊、遠(yuǎn)程控制、付費、信息收集、權(quán)限使用。5.6移動互聯(lián)網(wǎng)惡意程序的防護(hù)2．個人信息竊取惡意程序分類個人信息竊取惡意程序可分為兩大類：Trackers和成熟的跟蹤應(yīng)用程序。5.6移動互聯(lián)網(wǎng)惡意程序的防護(hù)5.6.2安全解決方案選擇官方網(wǎng)站下載Android應(yīng)用，同時確認(rèn)網(wǎng)址是否正確。確保應(yīng)用上傳者是官方開發(fā)者，而非個人，個人開發(fā)的應(yīng)用安全隱患較高。下載前閱讀用戶評價，即便是官方網(wǎng)站上的應(yīng)用也會包含廣告信息或其他惡意負(fù)載，因此通過其他用戶的評價可以幫助我們完成初步篩選。不要下載論壇或博客中的破解軟件，這樣的應(yīng)用被植入惡意組件或者惡意指令的可能性較大。正確配置應(yīng)用權(quán)限開啟狀態(tài)，這將有效避免絕大多數(shù)手機(jī)的安全問題。雖然涉及手機(jī)安全的因素還有很多，但對于大部分用戶來說，控制好權(quán)限狀態(tài)就相當(dāng)于將手機(jī)安全隱患降到最低了。本章總結(jié)

本章主要講解了計算機(jī)病毒和木馬。重點是掌握計算機(jī)病毒和木馬的定義、分類和結(jié)構(gòu)，了解了解常見的計算機(jī)病毒的特點和檢測技術(shù)，了解常見的木馬應(yīng)用和防護(hù)方法，掌握移動互聯(lián)網(wǎng)惡意程序的防護(hù)技術(shù)。

增強(qiáng)安全意識，將數(shù)據(jù)保護(hù)理念，掌握病毒和木馬的防護(hù)技術(shù)，盡最大可能阻止計算機(jī)惡意程序傳播和活動、移動互聯(lián)網(wǎng)惡意程序傳播和活動等。作業(yè)和實訓(xùn)教材P129頁課后題實訓(xùn)4Restart程序的制作實訓(xùn)5U盤病毒制作過程實訓(xùn)6安卓木馬實驗拓展實驗：安裝360安全衛(wèi)士，對電腦進(jìn)行病毒和木馬查殺。安裝手機(jī)安全衛(wèi)士，快速掃描手機(jī)中已安裝的軟件，如若發(fā)現(xiàn)病毒木馬和惡意軟件，一鍵徹底查殺。

作業(yè)和實訓(xùn)（1）下載并運行AhMyth。（2）生成惡意的APK文件。（3）運行360手機(jī)衛(wèi)士并單擊手機(jī)殺毒，進(jìn)行快速殺毒。實訓(xùn)6安卓木馬實驗感謝聆聽第6章安全防護(hù)與入侵檢測《網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)》（微課版）（第5版）主講人：課程引入2020年12月，中共中央印發(fā)《法治社會建設(shè)實施綱要（2020－2025年）》，要求依法治理網(wǎng)絡(luò)空間，推動社會治理從現(xiàn)實社會向網(wǎng)絡(luò)空間覆蓋，建立健全網(wǎng)絡(luò)綜合治理體系，加強(qiáng)依法管網(wǎng)、依法辦網(wǎng)、依法上網(wǎng)，全面推進(jìn)網(wǎng)絡(luò)空間法治化，營造清朗的網(wǎng)絡(luò)空間?！?020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告中指出：部分APT組織網(wǎng)絡(luò)攻擊工具長期潛伏在我國重要機(jī)構(gòu)設(shè)備中，工業(yè)控制系統(tǒng)已成為黑客攻擊利用的重要對象，境外黑客組織對我國工控視頻監(jiān)控設(shè)備進(jìn)行了針對性攻擊。學(xué)習(xí)要點（思政要點）

APT組織特別是境外APT組織近幾年加大了對我國黨政機(jī)關(guān)、科研院所等重要行業(yè)單位發(fā)起的攻擊，造成較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。他們利用網(wǎng)絡(luò)攻擊工具，在入侵我國重要機(jī)構(gòu)后長期潛伏，這些工具功能強(qiáng)大、結(jié)構(gòu)復(fù)雜、隱蔽性高。作為一名網(wǎng)絡(luò)管理員如何是檢測網(wǎng)絡(luò)通信的？使用什么工具進(jìn)行網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)日常監(jiān)控？動態(tài)和靜態(tài)安全技術(shù)的典型代表是什么？學(xué)習(xí)要點（思政要點） 掌握SnifferPro的主要功能與基本組成；掌握SnifferPro和Wireshark的基本使用方法和數(shù)據(jù)的捕獲（勤思敏學(xué)）；了解如何利用SnifferPro進(jìn)行網(wǎng)絡(luò)優(yōu)化與故障排除（網(wǎng)絡(luò)安全意識）；掌握入侵檢測系統(tǒng)的定義與分類，以及選擇方法（責(zé)任和擔(dān)當(dāng)）；了解蜜罐的定義、分類和應(yīng)用。第6章安全防護(hù)與入侵檢測333Wireshark網(wǎng)絡(luò)管理與監(jiān)視6.3SnifferPro的抓包與發(fā)包實訓(xùn)SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2網(wǎng)絡(luò)嗅探技術(shù)6.13蜜罐系統(tǒng)6.5入侵檢測系統(tǒng)6.46.1網(wǎng)絡(luò)嗅探技術(shù)入侵檢測是指試圖監(jiān)視和盡可能阻止有害信息的入侵或其他能夠?qū)τ脩舻南到y(tǒng)和網(wǎng)絡(luò)資源產(chǎn)生危害的行為。網(wǎng)絡(luò)嗅探（NetworkSniffing）又叫網(wǎng)絡(luò)監(jiān)聽，是網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的一種工具，分為軟件嗅探器和硬件嗅探器，這是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術(shù)。網(wǎng)絡(luò)防范（網(wǎng)絡(luò)管理員）:了解網(wǎng)絡(luò)運行狀況的有力助手。網(wǎng)絡(luò)攻擊（黑客）：有效收集信息的手段。6.1網(wǎng)絡(luò)嗅探技術(shù)6.1.1共享式局域網(wǎng)監(jiān)聽技術(shù)共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波偵聽多路訪問/碰撞檢測機(jī)制來進(jìn)行傳輸控制。6.1網(wǎng)絡(luò)嗅探技術(shù)6.1.2交換式局域網(wǎng)監(jiān)聽技術(shù)交換式局域網(wǎng)就是用交換機(jī)或其他非廣播式交換設(shè)備組建成的局域網(wǎng)。交換式局域網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽溢出攻擊ARP欺騙（常用技術(shù)）第6章安全防護(hù)與入侵檢測333Wireshark網(wǎng)絡(luò)管理與監(jiān)視6.3SnifferPro的抓包與發(fā)包實訓(xùn)SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2

網(wǎng)絡(luò)嗅探技術(shù)6.13蜜罐系統(tǒng)6.5入侵檢測系統(tǒng)6.46.2SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2.1SnifferPro的功能SnifferPro是目前最好的網(wǎng)絡(luò)協(xié)議分析軟件之一，支持各種平臺，性能優(yōu)越，是可視化的網(wǎng)絡(luò)分析軟件。它主要具有以下功能。實時監(jiān)測網(wǎng)絡(luò)活動。數(shù)據(jù)包捕捉與發(fā)送。網(wǎng)絡(luò)測試與性能分析。利用專家分析系統(tǒng)進(jìn)行故障診斷。網(wǎng)絡(luò)硬件設(shè)備測試與管理。6.2SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2.2SnifferPro的登錄與界面1．SnifferPro的登錄（進(jìn)行實做演練講解）2．SnifferPro的界面（進(jìn)行實做演練講解）6.2SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2.3SnifferPro報文的捕獲與解析（進(jìn)行實做演練講解）SnifferPro是一款比較完備的網(wǎng)絡(luò)管理工具，可以用來捕獲流量。6.2.4SnifferPro的高級應(yīng)用（進(jìn)行實做演練講解）SnifferPro是能夠捕獲網(wǎng)絡(luò)報文的工具。捕獲功能的用途是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如，假設(shè)網(wǎng)絡(luò)的某一網(wǎng)段運行不穩(wěn)定，報文的發(fā)送比較慢，而又不知道問題出在什么地方，此時就可以用捕獲功能來做出精確的問題判斷。第6章安全防護(hù)與入侵檢測333Wireshark網(wǎng)絡(luò)管理與監(jiān)視6.3SnifferPro的抓包與發(fā)包實訓(xùn)SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2網(wǎng)絡(luò)嗅探技術(shù)6.13蜜罐系統(tǒng)6.5入侵檢測系統(tǒng)6.46.3Wireshark網(wǎng)絡(luò)管理與監(jiān)視Wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件，功能十分強(qiáng)大。它可以截取各種網(wǎng)絡(luò)封包，并顯示網(wǎng)絡(luò)封包的詳細(xì)信息。為了安全考慮，Wireshark只能查看封包，而不能修改封包的內(nèi)容，或者發(fā)送封包。

主要用途：抓取TCP、UDP的封包第6章安全防護(hù)與入侵檢測333Wireshark網(wǎng)絡(luò)管理與監(jiān)視6.3SnifferPro的抓包與發(fā)包實訓(xùn)SnifferPro網(wǎng)絡(luò)管理與監(jiān)視6.2網(wǎng)絡(luò)嗅探技術(shù)6.13蜜罐系統(tǒng)6.5入侵檢測系統(tǒng)6.46.4入侵檢測系統(tǒng)靜態(tài)安全技術(shù)：操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等。動態(tài)安全技術(shù)：入侵檢測技術(shù)等。6.4.1入侵檢測的概念與原理入侵檢測是指“通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測技術(shù)是用來發(fā)現(xiàn)內(nèi)部攻擊、外部攻擊和誤操作的一種方法。它利用不同的引擎實時或定期地對網(wǎng)絡(luò)數(shù)據(jù)源進(jìn)行分析，并將其中的威脅部分提取出來，觸發(fā)響應(yīng)機(jī)制。6.4入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：入侵檢測的軟件與硬件的組合IDS的作用：監(jiān)控計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性：1.對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實時檢測2.收集并分析關(guān)鍵點信息3.檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象6.4入侵檢測系統(tǒng)6.4.2入侵檢測系統(tǒng)的構(gòu)成與功能1．入侵檢測系統(tǒng)的構(gòu)成部件名稱作用事件發(fā)生器提供事件記錄流的信息源，從網(wǎng)絡(luò)中獲取所有的數(shù)據(jù)包，然后將所有的數(shù)據(jù)包傳送給分析引擎進(jìn)行數(shù)據(jù)分析和處理。事件分析器接收信息源的數(shù)據(jù)，進(jìn)行數(shù)據(jù)分析和協(xié)議分析，通過這些分析發(fā)現(xiàn)入侵現(xiàn)象，從而進(jìn)行下一步的操作。響應(yīng)單元對基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)生反應(yīng)，包括切斷連接、發(fā)出報警信息或發(fā)動對攻擊者的反擊等。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。6.4入侵檢測系統(tǒng)入侵檢測系統(tǒng)的組成6.4入侵檢測系統(tǒng)2．入侵檢測系統(tǒng)的功能入侵檢測系統(tǒng)不但可以使網(wǎng)絡(luò)管理人員及時了解網(wǎng)絡(luò)的變化，而且能夠給網(wǎng)絡(luò)安全策略的制定提供指南。它在發(fā)現(xiàn)入侵后會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件、報警等。入侵檢測系統(tǒng)的基本功能有以下幾點。檢測和分析用戶與系統(tǒng)的活動。審計系統(tǒng)配置和漏洞。評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。識別已知攻擊。統(tǒng)計分析異常行為。操作系統(tǒng)的審計、跟蹤、管理，并識別違反安全策略的用戶活動。6.4入侵檢測系統(tǒng)6.4.3入侵檢測系統(tǒng)的分類1．按照檢測類型劃分異常檢測模型建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。特征檢測模型假設(shè)入侵者活動可以用一種模式表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。6.4入侵檢測系統(tǒng)2．按照檢測對象劃分基于主機(jī)的入侵檢測系統(tǒng)（Host-basedIntrusionDetectionSystem，HIDS）安裝在被重點檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)進(jìn)行實時連接，以及對系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑（具有異?；顒犹卣骰蜻`反統(tǒng)計規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)的措施。

優(yōu)點：對分析“可能的攻擊行為”非常有用、性價比高、更加精確、視野集中、易于用戶選擇、較少的主機(jī)、對網(wǎng)絡(luò)流量不敏感、適用于被加密的環(huán)境等。

缺點：必須安裝在需要保護(hù)的設(shè)備上，會在降低應(yīng)用系統(tǒng)效率的同時帶來一些額外的安全問題6.4入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-basedIntrusionDetectionSystem，NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。

優(yōu)點：能夠檢測來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問。

缺點：只能檢測直接連接網(wǎng)段的通信，不能檢測處于不同網(wǎng)段中的網(wǎng)絡(luò)包。6.4入侵檢測系統(tǒng)HIDS與NIDS的區(qū)別名稱數(shù)據(jù)源內(nèi)容優(yōu)點缺點HIDS計算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄能夠提供更為詳盡的用戶行為信息；系統(tǒng)復(fù)雜性低；誤報率低對主機(jī)的依賴性很強(qiáng)、性能波動很大，不能監(jiān)測網(wǎng)絡(luò)情況NIDS網(wǎng)絡(luò)中的所有數(shù)據(jù)包不會影響業(yè)務(wù)系統(tǒng)的性能；采取旁路監(jiān)聽工作方式，不會影響網(wǎng)絡(luò)的正常運行不能檢測通過加密通道的攻擊6.4入侵檢測系統(tǒng)6.4.4入侵檢測系統(tǒng)的部署1．入侵檢測產(chǎn)品的組成和部署一般入侵檢測產(chǎn)品由兩部分組成：傳感器（Sensor）與控制臺（Console）。傳感器負(fù)責(zé)采集數(shù)據(jù)（網(wǎng)絡(luò)包、系統(tǒng)日志等）、分析數(shù)據(jù)并生成安全事件?？刂婆_主要起到中央管理的作用，商品化的產(chǎn)品通常會提供圖形界面的控制臺。6.4入侵檢測系統(tǒng)2．系統(tǒng)部署的措施基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有傳感器才能工作。對于傳感器的放置，一般可以采取以下措施：放置位置作用邊界防火墻之內(nèi)傳感器可以發(fā)現(xiàn)所有來自Internet的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊。邊界防火墻之外可以檢測所有對保護(hù)網(wǎng)絡(luò)的攻擊事件，包括數(shù)目和類型。但是這樣部署會使傳感器徹底地暴露給黑客。主要的網(wǎng)絡(luò)中樞中傳感器可以監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測黑客攻擊的可能性，可通過授權(quán)用戶的權(quán)利周界來發(fā)現(xiàn)未授權(quán)用戶的行為。一些安全級別需求高的子網(wǎng)中對非常重要的系統(tǒng)和資源的入侵檢測6.4入侵檢測系統(tǒng)6.4.5入侵檢測系統(tǒng)的選型目前入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和信創(chuàng)兩個方面取得了長足的進(jìn)展。網(wǎng)絡(luò)環(huán)境：從技術(shù)上、物理結(jié)構(gòu)和策略上綜合考慮網(wǎng)絡(luò)環(huán)境，以及網(wǎng)絡(luò)中存在哪些應(yīng)用和設(shè)備，自身網(wǎng)絡(luò)已經(jīng)部署了哪些安全設(shè)備等。檢測范圍：主要關(guān)注來自企業(yè)外部的入侵還是來自內(nèi)部人員的入侵，是否使用IDS管理控制其他應(yīng)用，如站點訪問、帶寬控制等。6.4入侵檢測系統(tǒng)入侵檢測系統(tǒng)選擇標(biāo)準(zhǔn)性能與指標(biāo)項性能與指標(biāo)內(nèi)容產(chǎn)品是否可擴(kuò)展系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理該產(chǎn)品是否進(jìn)行過攻擊測試了解產(chǎn)品提供商提供的產(chǎn)品是否進(jìn)行過攻擊測試，明確測試步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力產(chǎn)品支持的入侵特征數(shù)不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考國際標(biāo)準(zhǔn)特征庫升級與維護(hù)的周期、方式、費用入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法最大可處理流量一般有百兆bit/s、千兆bit/s、萬兆bit/s之分是否通過了國家權(quán)威機(jī)構(gòu)的測評主要的權(quán)威測評機(jī)構(gòu)有國家信息安全測評認(rèn)證中心、公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心是否有成功案例需要了解產(chǎn)品的成功應(yīng)用案例，有必要進(jìn)行實地考察和測試使用系統(tǒng)的價格性價比6.4入侵檢測系統(tǒng)6.4.6入侵防護(hù)系統(tǒng)

入侵防護(hù)系統(tǒng)（IntrusionPreventionSystem，IPS）是一種主動的、積極的入侵防范及阻止系統(tǒng)。它部署在網(wǎng)絡(luò)的進(jìn)出口處。當(dāng)檢測到攻擊意圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。IPS的檢測功能類似于IDS，但I(xiàn)PS檢測到攻擊后會采取行動阻止攻擊?？梢哉f，IPS是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。6.4入侵檢測系統(tǒng)1．IPS的主要技術(shù)優(yōu)