計(jì)算機(jī)網(wǎng)絡(luò)安全之木馬攻防論文

畢業(yè)論文----網(wǎng)絡(luò)安全之木馬攻防緒論第一章計(jì)算機(jī)網(wǎng)絡(luò)威脅1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅：①計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體面臨威脅（實(shí)體為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備）②計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅（典型安全威脅）③惡意程序的威脅（如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、間諜軟件、木馬程序）④計(jì)算機(jī)網(wǎng)絡(luò)威脅的潛在對(duì)手和動(dòng)機(jī)（惡意攻擊/非惡意）1.2典型的網(wǎng)絡(luò)安全威脅：①竊聽②重傳③偽造④篡改⑤非授權(quán)訪問⑥拒絕服務(wù)攻擊⑦行為否認(rèn)⑧旁路控制⑨電磁/射頻截獲⑩人員疏忽1.2.1計(jì)算機(jī)網(wǎng)絡(luò)的不安全主要因素：（1）偶發(fā)因素：如電源故障、設(shè)備的功能失常及軟件開發(fā)過程中留下的漏洞或邏輯錯(cuò)誤等。（2）自然災(zāi)害：各種自然災(zāi)害對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成嚴(yán)重的威脅。（3）人為因素：人為因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞也稱為人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊?？煞譃閹讉€(gè)方面：①被動(dòng)攻擊②主動(dòng)攻擊③鄰近攻擊④內(nèi)部人員攻擊⑤分發(fā)攻擊1.2.2不安全的主要原因：①互聯(lián)網(wǎng)具有不安全性②操作系統(tǒng)存在的安全問題③數(shù)據(jù)的安全問題④傳輸線路安全問題⑤網(wǎng)絡(luò)安全管理的問題1.3計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念：計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多學(xué)科的綜合性學(xué)科。1.3.1計(jì)算機(jī)網(wǎng)絡(luò)安全的定義：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。網(wǎng)絡(luò)的安全問題包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全（最終目的）。1.3.2計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)：①保密性②完整性③可用性④不可否認(rèn)性⑤可控性1.3.3計(jì)算機(jī)網(wǎng)絡(luò)安全的層次：①物理安全②邏輯安全③操作系統(tǒng)安全④聯(lián)網(wǎng)安全1.3.4網(wǎng)絡(luò)安全包括三個(gè)重要部分：①先進(jìn)的技術(shù)②嚴(yán)格的管理③威嚴(yán)的法律1.4計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.4.1網(wǎng)絡(luò)安全基本模型1.4.2OSI安全體系結(jié)構(gòu)：①術(shù)語②安全服務(wù)③安全機(jī)制五大類安全服務(wù)，也稱安全防護(hù)措施：①鑒別服務(wù)②數(shù)據(jù)機(jī)密性服務(wù)③訪問控制服務(wù)④數(shù)據(jù)完整性服務(wù)⑤抗抵賴性服務(wù)1.4.3PPDR模型通過一些典型的數(shù)學(xué)公式來表達(dá)安全的要求：①Pt>Dt+Rt②Et=Dt+Rt，如果Pt＝01.4.4網(wǎng)絡(luò)安全的典型技術(shù)：①物理安全措施②數(shù)據(jù)傳輸安全技術(shù)③內(nèi)外網(wǎng)隔離技術(shù)④入侵檢測(cè)技術(shù)⑤訪問控制技術(shù)⑥審計(jì)技術(shù)⑦安全性檢測(cè)技術(shù)⑧防病毒技術(shù)⑨備份技術(shù)⑩終端安全技術(shù)1.5網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)：①與Internet更加緊密結(jié)合，利用一切可以利用的方式進(jìn)行傳播；②所有病毒都有混合型特征，破壞性大大增強(qiáng)；③擴(kuò)散極快，更加注重欺騙性；④利用系統(tǒng)漏洞將成為病毒有力的傳播方式；⑤無線網(wǎng)絡(luò)技術(shù)的發(fā)展，使遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性加大；⑥各種境外情報(bào)、諜報(bào)人員將越來越多地通過信息網(wǎng)絡(luò)渠道收集情況和竊取資料；⑦各種病毒、蠕蟲和后門技術(shù)越來越智能化，并出現(xiàn)整合趨勢(shì)，形成混合性威脅；⑧各種攻擊技術(shù)的隱秘性增強(qiáng)，常規(guī)防范手段難以識(shí)別；⑨分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅高強(qiáng)度密碼的安全性；⑩一些政府部門的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板；11）網(wǎng)絡(luò)管理安全問題日益突出。1.6網(wǎng)絡(luò)安全主要實(shí)用技術(shù)的發(fā)展①物理隔離②邏輯隔離③防御來自網(wǎng)絡(luò)的攻擊④防御網(wǎng)絡(luò)上的病毒⑤身份認(rèn)證⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測(cè)和主動(dòng)防衛(wèi)⑧網(wǎng)管、審計(jì)和取證第二章網(wǎng)絡(luò)安全技術(shù)防范與應(yīng)用2.1物理安全物理安全主要包括：①機(jī)房環(huán)境安全②通信線路安全③設(shè)備安全④電源安全2.1.1機(jī)房的安全等級(jí)分為三個(gè)基本類別：A類：對(duì)計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)機(jī)房安全措施。B類：對(duì)計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)機(jī)房安全措施。C類：對(duì)計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)機(jī)房安全措施。2.1.2①機(jī)房的場(chǎng)地，選址避免靠近公共區(qū)域，避免窗戶直接鄰街，機(jī)房布局應(yīng)使工作區(qū)在內(nèi)，生活輔助區(qū)在外；機(jī)房不要在底層或頂層。措施：保證所有進(jìn)出計(jì)算機(jī)機(jī)房的人都必須在管理人員的監(jiān)控之下，外來人員進(jìn)入機(jī)房，要辦理相關(guān)手續(xù)，并檢查隨身物品。②機(jī)房的防盜要求，對(duì)重要的設(shè)備和存儲(chǔ)媒體應(yīng)采取嚴(yán)格的防盜措施。措施：早期采取增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護(hù)重要設(shè)備的方法，一種更方便的措施類似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設(shè)備，能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進(jìn)行實(shí)時(shí)的全程監(jiān)控。③機(jī)房的三度要求（溫度（18-22度）、濕度（40%-60%為宜）、潔凈度（要求機(jī)房塵埃顆粒直徑小于0.5μm））為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)和除塵器是必不可少的設(shè)備。④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應(yīng)采用乙烯材料，安裝防靜電地板并將設(shè)備接地。⑤接地與防雷要求：1.地線種類：A保護(hù)地B直流地C屏蔽地D靜電地E雷擊地2.接地系統(tǒng)：A各自獨(dú)立的接地系統(tǒng)B交、直流分開的接地系統(tǒng)C共線接地系統(tǒng)D直流地、保護(hù)地共用地線系統(tǒng)E建筑物內(nèi)共地系統(tǒng)3、接地體：A地樁B水平柵網(wǎng)C金屬接地板D建筑物基礎(chǔ)鋼筋4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機(jī)器設(shè)備應(yīng)有專用地線，機(jī)房本身有避雷設(shè)備和裝置。⑥機(jī)房的防火、防水措施：為避免火災(zāi)、水災(zāi)，應(yīng)采取的措施為：隔離、火災(zāi)報(bào)警系統(tǒng)、滅火設(shè)施（滅火器，滅火工具及輔助設(shè)備）、管理措施2.1.3硬件設(shè)備的使用管理：①要根據(jù)硬件設(shè)備的具體配置情況，制定切實(shí)可靠的硬件設(shè)備的操作使用規(guī)程，并嚴(yán)格按操作規(guī)程進(jìn)行操作；②建立設(shè)備使用情況日志，并嚴(yán)格登記使用過程的情況；③建立硬件設(shè)備故障情況登記表，詳細(xì)記錄故障性質(zhì)和修復(fù)情況；④2.1.4電磁輻射防護(hù)的措施：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對(duì)輻射的防護(hù)，又分為兩種：一種是采用各種電磁屏蔽措施，第二種是干擾的防護(hù)措施。為提高電子設(shè)備的抗干擾能力，主要措施有①屏蔽②濾波③隔離④接地，其中屏蔽是應(yīng)用最多的方法。2.1.5.電源對(duì)電設(shè)備安全的潛在威脅：①脈動(dòng)與噪聲②電磁干擾2.1.6供電要求，供電方式分為三類：①一類供電：需建立不間斷供電系統(tǒng)②二類供電：需建立帶備用的供電系統(tǒng)③2.2信息加密與PKI信息加密技術(shù)是利用密碼學(xué)的原理與方法對(duì)傳輸數(shù)據(jù)提供保護(hù)的手段，它以數(shù)學(xué)計(jì)算為基礎(chǔ)，信息論和復(fù)雜性理論是其兩個(gè)重要組成部分。2.2.12.2.2密碼學(xué)的基本概念：密碼學(xué)作為數(shù)學(xué)的一個(gè)分支，是研究信息系統(tǒng)安全保密的科學(xué)，是密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。在密碼學(xué)中，有一個(gè)五元組：明文，密文，密鑰，加密算法，解密算法，對(duì)應(yīng)的加密方案稱為密碼體制。明文（Plaintext）：是作為加密輸入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集稱為明文空間，通常用M或P來表示。密文（Ciphertext）:是明文經(jīng)加密變換后的結(jié)果，即消息被加密處理后的形式，通常用c表示。所有可能密文的有限集稱為密文空間，通常用C表示。密鑰（Key）：是參與密碼變換的參數(shù)，通常用K表示。一切可能的密鑰構(gòu)成的有限集稱為密鑰空間，通常用K表示。加密算法：是將明文變換為密文的變換函數(shù)，相應(yīng)的變換過程稱為加密，即編碼的過程，通常用E表示，即c=Ek（p）解密算法：是將密文恢復(fù)為明文的變換函數(shù)，相應(yīng)的變換過程稱為解密，即解碼的過程，通常用D表示，即p=Dk（c）對(duì)于有實(shí)用意義的密碼體制而言，總是要求它滿足：p=Dk（Ek（p）），即用加密算法得到的密文總是能用一定的解密算法恢復(fù)出原始的明文。2.2.3加密體制的分類：從原理上可分為兩大類：即單鑰或?qū)ΨQ密碼體制和雙鑰或非對(duì)稱密碼體制單鑰密碼體制與雙鑰密碼體制的區(qū)別：?jiǎn)舞€密碼體制的本質(zhì)特征是所用的加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，從一個(gè)可以推出另一個(gè)。單鑰密碼的特點(diǎn)是無論加密還是解密都使用同一個(gè)密鑰，因此，此密碼體制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法。按照加密模式的差異，單鑰密碼體制有序列密碼和分組密碼兩種方式，它不僅可用于數(shù)據(jù)加密，還可用于消息認(rèn)證。單鑰密碼的優(yōu)點(diǎn)是：安全保密度高，加密解密速度快。缺點(diǎn)是：1）密鑰分發(fā)過程十分復(fù)雜，所花代價(jià)高；2）多人通信時(shí)密鑰組合的數(shù)量會(huì)出現(xiàn)爆炸性膨脹，使分發(fā)更加復(fù)雜化；3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息；4）數(shù)字簽名困難。雙鑰密碼體制的原理是，加密密鑰與解密密鑰不同，而且從一個(gè)難以推出另一個(gè)。兩個(gè)密鑰形成一個(gè)密鑰對(duì)，其中一個(gè)密鑰加密的結(jié)果，可以用另一個(gè)密鑰來解密。雙鑰密碼是：1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。優(yōu)點(diǎn)：由于雙鑰密碼體制的加密和解密不同，可以公開加密密鑰，且僅需保密解密密鑰，所以密鑰管理問題比較簡(jiǎn)單。雙鑰密碼還有一個(gè)優(yōu)點(diǎn)是可以擁有數(shù)字簽名等新功能。最有名的雙鑰密碼體系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密碼體制。雙鑰密碼的缺點(diǎn)是：雙鑰密碼算法一般比較復(fù)雜，加解密速度慢。加密算法就其發(fā)展而言，共經(jīng)歷了古典密碼、對(duì)稱密鑰密碼（單鑰密碼體制）和公開密鑰密碼（雙鑰密碼體制）三個(gè)發(fā)展階段。2.2.4古典密碼算法：①簡(jiǎn)單代替密碼或單字母密碼②多名或同音代替③多表代替④多字母或多碼代替?，F(xiàn)代密碼按照使用密鑰方式不同，分為單鑰密碼體制和雙鑰密碼體制兩類。2.2.5DES、IDEA、RSA加密算法的基本原理；常見的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：鏈路加密、節(jié)點(diǎn)加密和端到端加密。2.2.6認(rèn)證技術(shù)的分層模型認(rèn)證技術(shù)可以分為三個(gè)層次：安全管理協(xié)議、認(rèn)證體制和密碼體制。認(rèn)證的三個(gè)目的：一是消息完整性認(rèn)證，即驗(yàn)證信息在傳送或存儲(chǔ)過程中是否被篡改；二是身份認(rèn)證，即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符；三是消息的序號(hào)和操作時(shí)間等的認(rèn)證，其目的是防止消息重放或延遲等攻擊。認(rèn)證體制應(yīng)滿足的條件（要求）：①意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性；②消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴，有時(shí)也要求消息的接收者不能否認(rèn)收到的消息；③除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。手寫簽名與數(shù)字簽名的區(qū)別：一是手寫簽名是不變的，而數(shù)字簽名對(duì)不同的消息是不同的，即手寫簽名因人而異，數(shù)字簽名因消息而異；二是手寫簽名是易被模擬的，無論哪種文字的手寫簽名，偽造者都容易模仿，而數(shù)字簽名是在密鑰控制下產(chǎn)生的，在沒有密鑰的情況下，模仿者幾乎無法模仿出數(shù)字簽名。2.2.7數(shù)字簽名與消息認(rèn)證的區(qū)別：消息認(rèn)證可以幫助接收方驗(yàn)證消息發(fā)送者的身份及消息是否被篡改。當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這種方式對(duì)防止第三者破壞是有效的，但當(dāng)存在利害沖突時(shí)，單純采用消息認(rèn)證技術(shù)就無法解決糾紛，這時(shí)就需要借助于數(shù)字簽名技術(shù)來輔助進(jìn)行更有效的消息認(rèn)證。2.2.8特點(diǎn)：①節(jié)省費(fèi)用②互操作性③開放性④一致的解決方案⑤可驗(yàn)證性⑥可選擇性2.2.9PKI認(rèn)證技術(shù)的組成：主要有認(rèn)證機(jī)構(gòu)CA、證書庫、密鑰備份、證書作廢處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)等。①認(rèn)證機(jī)構(gòu)CA②證書庫③證書撤銷④密鑰備份和恢復(fù)⑤自動(dòng)更新密鑰⑥密鑰歷史檔案⑦交叉認(rèn)證⑧不可否認(rèn)性⑨時(shí)間戳2.3防火墻技術(shù)2.3.1防火墻的基本概念：是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。2.3.2防火墻的主要功能：①過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)②管理進(jìn)、出網(wǎng)絡(luò)的訪問行為③封堵某些禁止的業(yè)務(wù)④記錄通過防火墻的信息和內(nèi)容⑤對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警2.3.3防火墻的局限性：①網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)②防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失。防火墻的體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)；屏蔽主機(jī)體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。防火墻可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻，這兩類防火墻的具體實(shí)現(xiàn)技術(shù)主要有騙子濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測(cè)技術(shù)和NAT技術(shù)等。2.3.4騙子濾技術(shù)的工作原理：工作在網(wǎng)絡(luò)層，通?；贗P數(shù)據(jù)包的源地址、目的地址、源端口和目的端口進(jìn)行過濾。騙子濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制列表。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)和協(xié)議狀態(tài)等因素或它們的組合，來確定是否允許該數(shù)據(jù)包通過。2.3.5騙子濾技術(shù)的缺陷：①不能徹底防止地址欺騙②無法執(zhí)行某些安全策略③安全性較差④一些應(yīng)用協(xié)議不適合于數(shù)據(jù)騙子濾⑤管理功能弱代理服務(wù)技術(shù)是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)技術(shù)的工作原理：所謂代理服務(wù)器，是指代表客戶處理連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它將核實(shí)客戶請(qǐng)求，并用特定的安全化的proxy應(yīng)用程序來處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并進(jìn)行下一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以又叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議。2.3.6代理技術(shù)的優(yōu)點(diǎn)：①代理易于配置②代理能生成各項(xiàng)記錄③代理能靈活、完全地控制進(jìn)出流量、內(nèi)容④代理能過濾數(shù)據(jù)內(nèi)容⑤代理能為用戶提供透明的加密機(jī)制⑥代理可以方便地與其它安全手段集成。2.3.7代理技術(shù)的缺點(diǎn)：①代理速度較路由器慢②代理對(duì)用戶不透明③對(duì)每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器④代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制⑤代理不能改進(jìn)底層協(xié)議的安全性。2.3.8狀態(tài)檢測(cè)技術(shù)的工作原理：也稱為動(dòng)態(tài)騙子濾防火墻?；跔顟B(tài)檢測(cè)技術(shù)的防火墻通過一個(gè)在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測(cè)引擎而獲得非常好的安全特性，檢測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施檢測(cè)，并將抽取的狀態(tài)信息動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。狀態(tài)檢測(cè)防火墻監(jiān)視和跟蹤每一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過防火墻。狀態(tài)檢測(cè)技術(shù)的特點(diǎn)：①高安全性②高效性③可伸縮性和易擴(kuò)展性④應(yīng)用范圍廣NAT技術(shù)的工作原理：網(wǎng)絡(luò)地址轉(zhuǎn)換，是一個(gè)internet工程任務(wù)組的標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。即是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT有三種類型：靜態(tài)NAT、動(dòng)態(tài)NAT和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。2.3.9個(gè)人防火墻的主要功能：①IP數(shù)據(jù)騙子濾功能②安全規(guī)則的修訂功能③對(duì)特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能④應(yīng)用程序網(wǎng)絡(luò)訪問控制功能⑤網(wǎng)絡(luò)快速切斷、恢復(fù)功能⑥日志記錄功能⑦網(wǎng)絡(luò)攻擊的報(bào)警功能⑧產(chǎn)品自身安全功能個(gè)人防火墻的特點(diǎn)：優(yōu)點(diǎn)：①增加了保護(hù)級(jí)別，不需要額外的硬件資源；②除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊；③是對(duì)公共網(wǎng)絡(luò)中的單位系統(tǒng)提供了保護(hù)，能夠?yàn)橛脩粝蓦[蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。缺點(diǎn)：①對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口，導(dǎo)致個(gè)人防火墻本身容易受到威脅；②在運(yùn)行時(shí)需要戰(zhàn)勝個(gè)人計(jì)算機(jī)的內(nèi)存、CPU時(shí)間等資源；③只能對(duì)單機(jī)提供保護(hù)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)。防火墻的發(fā)展趨勢(shì)：①優(yōu)良的性能②可擴(kuò)展的結(jié)構(gòu)和功能③簡(jiǎn)化的安裝與管理④主動(dòng)過濾⑤防病毒與防黑客⑥發(fā)展聯(lián)動(dòng)技術(shù)2.4入侵檢測(cè)技術(shù)2.4.1入侵檢測(cè)的原理：通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。2.4.2.4.3入侵檢測(cè)系統(tǒng)的分類：①基于數(shù)據(jù)源的分類：按數(shù)據(jù)源所處的位置，把入侵檢測(cè)系統(tǒng)分為五類：即基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入侵檢測(cè)系統(tǒng)及文件完整性檢查系統(tǒng)；②基于檢測(cè)理論分類，可分為異常檢測(cè)和誤用檢測(cè)；③基于檢測(cè)時(shí)效的分類，可分為離線檢測(cè)方式（采取批處理方式）和在線檢測(cè)方式（實(shí)時(shí)檢測(cè)）。2.4.4入侵檢測(cè)分析模型：分析是入侵檢測(cè)的核心功能，一般的，入侵檢測(cè)分析處理過程可分為三個(gè)階段：構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和提煉過程。其中，前兩個(gè)階段都包含三個(gè)功能，即數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。2.4.5誤用檢測(cè)：誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對(duì)已知模式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)，主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方法。分為①條件概率預(yù)測(cè)法②產(chǎn)生式/專家系統(tǒng)③狀態(tài)轉(zhuǎn)換方法④用于批模式分析的信息檢索技術(shù)⑤KeystrokeMonitor和基于模型的方法。2.4.6異常檢測(cè)：異常檢測(cè)基于一個(gè)假定：用戶的行為是可預(yù)測(cè)的、遵循一致性模式的，且隨著用戶事件的增加，異常檢測(cè)會(huì)適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測(cè)中是由試題集來描述的。分為①Denning的原始模型②量化分析③統(tǒng)計(jì)度量④非參數(shù)統(tǒng)計(jì)度量⑤基于規(guī)則的方法2.4.7分布式入侵檢測(cè)的優(yōu)勢(shì)：分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢(shì)：①檢測(cè)大范圍的攻擊行為②提高檢測(cè)的準(zhǔn)確度③提高檢測(cè)效率④協(xié)調(diào)響應(yīng)措施分布式入侵檢測(cè)的技術(shù)難點(diǎn)：①事件產(chǎn)生及存儲(chǔ)②狀態(tài)空間管理及規(guī)則復(fù)雜度③知識(shí)庫管理④推理技術(shù)2.4.8入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)：①IETF/IDWG。IDWG定義了用于入侵檢測(cè)與響應(yīng)系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)消息交換格式（IDMEF）、入侵檢測(cè)交換協(xié)議（IDXP）及隧道輪廓（TunnelProfile）②CIDF。CIDF的工作集中體現(xiàn)在四個(gè)方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語言和應(yīng)用編程接口API。2.4.9CIDF的體系結(jié)構(gòu)組成：分為四個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。事件產(chǎn)生器、事件分析器、響應(yīng)單元通常以應(yīng)用程序的形式出現(xiàn)，而事件數(shù)據(jù)庫則是以文件或數(shù)據(jù)流的形式。2.5網(wǎng)絡(luò)安全檢測(cè)技術(shù)2.5.1安全威脅的概念：安全威脅是指所有能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)信息的機(jī)密性、可用笥和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。可分為人為安全威脅和非人為安全威脅兩大類。2.5.2網(wǎng)絡(luò)安全漏洞威脅等級(jí)的劃分方法：可按風(fēng)險(xiǎn)等級(jí)進(jìn)行歸類。2.5.3網(wǎng)絡(luò)安全漏洞的分類：漏洞的分類方法主要有按漏洞可能對(duì)系統(tǒng)造成的直接威脅分類和按漏洞的成因分類兩大類。2.5.4漏洞的概念：漏洞是在硬件、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。2.5.5端口掃描的基本原理：端口掃描的原理是向目標(biāo)主機(jī)的TCP/IP端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷端口是打開還是關(guān)閉等狀態(tài)信息。根據(jù)所使用通信協(xié)議的不同，網(wǎng)絡(luò)通信端口可以分為TCP端口UDP端口兩大類，因此端口掃描技術(shù)也可相應(yīng)地分為TCP端口掃描技術(shù)和UDP端口掃描技術(shù)。2.5.6操作系統(tǒng)類型探測(cè)的主要方法：操作系統(tǒng)探測(cè)技術(shù)主要包括：獲取標(biāo)識(shí)信息探測(cè)技術(shù)、基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測(cè)技術(shù)和ICMP響應(yīng)分析探測(cè)技術(shù)。2.5.7信息型漏洞探測(cè)和攻擊型漏洞探測(cè)技術(shù)的原理。信息型漏洞探測(cè)的原理：大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀態(tài)直接相關(guān)，因此只要對(duì)目標(biāo)的此類信息進(jìn)行準(zhǔn)確探測(cè)就可以在很大程度上確定目標(biāo)存在的安全漏洞。攻擊型漏洞探測(cè)的原理：模擬攻擊是最直接的漏洞探測(cè)技術(shù)，其探測(cè)結(jié)果的準(zhǔn)確率也是最高的。該探測(cè)技術(shù)的主要思想是模擬網(wǎng)絡(luò)入侵的一般過程，對(duì)目標(biāo)系統(tǒng)進(jìn)行無惡意攻擊嘗試，若攻擊成功則表明相應(yīng)安全漏洞必然存在。2.6計(jì)算機(jī)病毒與惡意代碼防范技術(shù)2.6.1計(jì)算機(jī)病毒的定義：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2.6.2計(jì)算機(jī)病毒的特征：①非授權(quán)可執(zhí)行性②隱蔽性③傳染性④潛伏性⑤破壞性⑥觸發(fā)性2.6.3計(jì)算機(jī)病毒的主要危害：①直接破壞計(jì)算機(jī)數(shù)據(jù)信息②占用磁盤空間和對(duì)信息的破壞③搶占系統(tǒng)資源④影響計(jì)算機(jī)運(yùn)行速度⑤計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害⑥計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響⑦給用戶造成嚴(yán)重的心理壓力2.6.4計(jì)算機(jī)病毒的分類：按病毒攻擊的系統(tǒng)分類：①攻擊DOS系統(tǒng)的病毒②攻擊windows系統(tǒng)的病毒③攻擊UNIX系統(tǒng)的病毒④攻擊OS/2系統(tǒng)的病毒。按病毒的攻擊機(jī)型分類：①攻擊微型計(jì)算機(jī)的病毒②攻擊小型機(jī)的計(jì)算機(jī)病毒③攻擊工作部的計(jì)算機(jī)病毒。按病毒的鏈接方式分類：①源碼型病毒②嵌入型病毒③外殼型病毒④操作系統(tǒng)型病毒。按病毒的破壞情況分類：①良性計(jì)算機(jī)病毒②惡性計(jì)算機(jī)病毒。按病毒的寄生方式分類：①引導(dǎo)型病毒②文件型病毒③復(fù)合型病毒。按病毒的傳播媒介分類：①單機(jī)病毒②網(wǎng)絡(luò)病毒。2.6.5常用計(jì)算機(jī)病毒檢測(cè)手段的基本原理①特征代碼法②校驗(yàn)和法③行為監(jiān)測(cè)法④軟件模擬法2.6.6計(jì)算機(jī)病毒的防范手段：防范計(jì)算機(jī)病毒主要從管理和技術(shù)兩方面著手：①嚴(yán)格的管理。制定相應(yīng)的管理制度，避免蓄意制造、傳播病毒的事件發(fā)生。②有效的技術(shù)。1）將大量的消毒/殺毒軟件匯集一體，檢查是否存在已知病毒。2）檢測(cè)一些病毒經(jīng)常要改變的系統(tǒng)信息，以確定是否存在病毒行為；3）監(jiān)測(cè)寫盤操作，對(duì)引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報(bào)警。4）對(duì)計(jì)算機(jī)系統(tǒng)中的文件形成一個(gè)密碼檢驗(yàn)碼和實(shí)現(xiàn)對(duì)程序完整性的驗(yàn)證，在程序執(zhí)行前或定期對(duì)程序進(jìn)行密碼校驗(yàn)，如有不匹配現(xiàn)象即報(bào)警。5）智能判斷型：設(shè)計(jì)病毒行為過程判定知識(shí)庫，應(yīng)用人工智能技術(shù)，有效區(qū)別正常程序與病毒程序的行為。6）智能監(jiān)察型：設(shè)計(jì)病毒特征庫，病毒行為知識(shí)庫，受保護(hù)程序存取行為知識(shí)庫等多個(gè)知識(shí)庫及相應(yīng)的可變推理機(jī)。2.6.7惡意代碼的特征與分類：特征：①惡意的目的②本身是程序③通過執(zhí)行發(fā)生作用。分類：按惡意代碼的工作原理和傳輸方式區(qū)分，惡意代碼可分為普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動(dòng)代碼和復(fù)合型病毒等類型。2.6.8惡意代碼的關(guān)鍵技術(shù)：惡意代碼主要關(guān)鍵技術(shù)有生存技術(shù)、攻擊技術(shù)和隱藏技術(shù)。2.6.9