919615-網絡安全技術與實踐-第5章-黑客攻防與檢測防御

第5章黑客攻防與檢測防御主編賈鐵軍副主編嵩天俞小怡蘇慶剛沈學東編著羅宜元王福陳國秦宋少婷上海市教育高地建設項目高等院校規(guī)劃教材網絡安全技術與實踐上海市精品課程網絡安全技術目錄

5.2黑客攻擊的目的及過程

2

5.3常見黑客攻防技術

3

5.4網絡攻擊的防范策略和措施

4

5.1黑客的概念及入侵方式

1

5.5入侵檢測與防御系統(tǒng)概述

55.6Sniffer網絡檢測實驗

65.7本章小結

7教學目標

教學目標

●了解黑客攻擊的目的及攻擊步驟●熟悉黑客常用的攻擊方法●理解防范黑客的措施●掌握黑客攻擊過程，并防御黑客攻擊●掌握入侵檢測與防御系統(tǒng)的概念、功能、特點和應用方法重點重點5.1黑客概述5.1.1黑客概念危害及類型

1.

黑客的概念及類型

黑客（Hacker）一詞源于Hack，其起初本意為“干了一件可以炫耀的事”，原指一群專業(yè)技能超群、聰明能干、精力旺盛對計算機信息系統(tǒng)進行非授權訪問的人員。

“駭客”是英文“Cacker”的譯音,意為“破譯者和搞破壞的人”.把“黑客”和“駭客”混為一體.黑客分為紅客、破壞者和間諜三種類型,紅客是指“國家利益至高無上”的正義“網絡大俠”;破壞者也稱“駭客”;間諜是指“利益至上”情報“盜獵者”。

美軍網絡戰(zhàn)的分司令部多達541個,未來4年將擴編4000人.為強化美國對網絡攻擊的防御能力,計劃將約900人規(guī)模的網絡戰(zhàn)司令部在今后4年擴編4000人,為此將投入230億美元。案例5-12.黑客的產生與發(fā)展

20世紀60年代，在美國麻省理工學院的人工智能實驗室里，有一群自稱為黑客的學生們以編制復雜的程序為樂趣，當初并沒有功利性目的。此后不久，連接多所大學計算機實驗室的美國國防部實驗性網絡APARNET建成，黑客活動便通過網絡傳播到更多的大學乃至社會。后來，有些人利用手中掌握的“絕技”，借鑒盜打免費電話的手法，擅自闖入他人的計算機系統(tǒng)，干起隱蔽活動。隨著其逐步發(fā)展成為因特網，黑客活動天地越來越廣，形成魚目混珠的局面。案例5-25.1黑客概述3.黑客的危害及現(xiàn)狀

黑客猖獗其產業(yè)鏈年獲利上百億.黑客利用木馬程序盜取銀行賬號,信用卡賬號,QQ,網絡游戲等個人機密信息,并從中牟取金錢利益的產業(yè)鏈每年可達上百億.黑客地下產業(yè)鏈極其龐大且分工明確,黑客產業(yè)鏈大致分為老板,編程者,流量商,盜號者和販賣商等多個環(huán)節(jié),產業(yè)鏈如圖5-1所示.互聯(lián)網資源與服務濫用地下產業(yè)鏈,如圖5-2所示.圖5-1黑客產業(yè)鏈示意圖

案例5-35.1黑客概述5.1.2黑客攻擊的入侵方式

1.

系統(tǒng)漏洞產生的原因

系統(tǒng)漏洞又稱缺陷。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。產生漏洞的主要原因：1）計算機網絡協(xié)議本身的缺陷。2）系統(tǒng)開發(fā)的缺陷。3）系統(tǒng)配置不當。4）系統(tǒng)安全管理中的問題。

其他:協(xié)議、系統(tǒng)、路由、傳輸、DB、技術、管理及法規(guī)等5.1黑客概述2.黑客攻擊入侵通道—端口

計算機通過端口實現(xiàn)與外部通信的連接/數(shù)據交換,黑客攻擊是將系統(tǒng)和網絡設置中的各種(邏輯)端口作為入侵通道.其端口是指網絡中面向連接/無連接服務的通信協(xié)議端口,是一種抽象的軟件結構,包括一些數(shù)據結構和I/O緩沖區(qū)。端口號：端口通過端口號標記（只有整數(shù)）,范圍：0~65535（216-1）

目的端口號:用于通知傳輸層協(xié)議將數(shù)據送給具體處理軟件源端口號：一般是由操作系統(tǒng)動態(tài)生成的號碼：1024～65535

5.1黑客概述

3.端口分類

按端口號分布可分為三段：1）公認端口

(0～1023),又稱常用端口,為已經或將要公認定義的軟件保留的.這些端口緊密綁定一些服務且明確表示了某種服務協(xié)議.如80端口表示HTTP協(xié)議(Web服務).2）注冊端口

(1024～49151),又稱保留端口,這些端口松散綁定一些服務。3）動態(tài)/私有端口(49152～65535).理論上不為服務器分配.

按協(xié)議類型將端口劃分為TCP和UDP端口：1）TCP端口需要在客戶端和服務器之間建立連接,提供可靠的數(shù)據傳輸.如Telnet服務的23端口,SMTP默認25。2）UDP端口不需要在客戶端和服務器之間建立連接.常見的端口有DNS服務的53端口。

討論思考：（1）什么是安全漏洞和隱患？為什么網絡存在著的安全漏洞和隱患？（2）舉例說明，計算機網絡安全面臨的黑客攻擊問題。（3）黑客通道——端口主要有哪些？特點是什么？FTP服務通過TCP傳輸,默認端口20數(shù)據傳輸,21命令傳輸5.1黑客概述5.2.1黑客攻擊的目的及種類5.2黑客攻擊的目的及過程

最大網絡攻擊案件幕后黑手被捕.2013年荷蘭男子SK因涉嫌有史以來最大的網絡攻擊案件而被捕.SK對國際反垃圾郵件組織Spamhaus等網站,進行了前所未有的一系列的大規(guī)模分布式拒絕服務攻擊,在高峰期攻擊達到每秒300G比特率,導致歐洲的某些局部地區(qū)互聯(lián)網緩慢,同時致使成千上萬相關網站無法正常運行服務。

黑客攻擊其目的：一是為了得到物質利益；是指獲取金錢財物；二是為了滿足精神需求。是指滿足個人心理欲望.黑客行為：盜竊資料；攻擊網站；進行惡作劇；告知漏洞；獲取目標主機系統(tǒng)的非法訪問權等。從攻擊方式上可以將黑客攻擊大致分為主動攻擊和被動攻擊兩大類。常見的黑客攻擊方法，主要包括以下6類：①網絡監(jiān)聽。②計算機病毒及密碼攻擊。③網絡欺騙攻擊。④拒絕服務攻擊。⑤應用層攻擊。⑥緩沖區(qū)溢出。案例5-45.2.2黑客攻擊的過程

黑客攻擊過程不盡一致,但其整個攻擊過程有一定規(guī)律,一般可分為“攻擊五部曲”。隱藏IP踩點掃描黑客利用程序的漏洞進入系統(tǒng)后安裝后門程序，以便日后可以不被察覺地再次進入系統(tǒng)。就是隱藏黑客的位置，以免被發(fā)現(xiàn)。通過各種途徑對所要攻擊目標進行多方了解,確保信息準確,確定攻擊時間和地點.篡權攻擊種植后門隱身退出即獲得管理/訪問權限,進行攻擊。

為避免被發(fā)現(xiàn),在入侵完后及時清除登錄日志和其他相關日志,隱身退出.5.2黑客攻擊的目的及過程黑客對企業(yè)局域網實施網絡攻擊的具體過程，如圖5-4所示。

討論思考：（1）黑客攻擊的目的與種類有哪些？（2）黑客確定攻擊目標后,將采用哪些攻擊過程？（3）建立說明黑客攻擊的具體步驟？①用Ping查詢企業(yè)內部網站服務器的IP③用PortScan掃描企業(yè)內部局域網PORT④用WWWhack入侵局域網絡E-mail⑥用Legion掃描局域網⑦植入特洛伊木馬⑤破解Internet賬號與口令（或密碼）②用IPNetworkBrowser掃描企業(yè)內部局域網IP圖5-4黑客攻擊企業(yè)內部局域網的過程示意框圖5.2黑客攻擊的目的及過程案例5-55.3.1端口掃描攻防端口掃描是管理員發(fā)現(xiàn)系統(tǒng)的安全漏洞，加強系統(tǒng)的安全管理，提高系統(tǒng)安全性能的有效方法。端口掃描成為黑客發(fā)現(xiàn)獲得主機信息的一種最佳手段。1.端口掃描及掃描器（1）端口掃描.是使用端口掃描工具檢查目標主機在哪些端口可建立TCP連接,若可連接，則表明

主機在那個端口被監(jiān)聽。（2）掃描器。掃描器也稱掃描工具或掃描軟件,是一種自動檢測遠程或本地主機安全性弱點的程序。5.3常用黑客攻防技術5.3.1端口掃描攻防2.端口掃描方式及工具

端口掃描的方式有手工命令行方式和掃描器掃描方式。手工掃描,需要熟悉各種命令,對命令執(zhí)行后的輸出進行分析.如命令:Ping,Tracert,rusers和finger(后兩個是Unix命令).

掃描器掃描，許多掃描軟件都有分析數(shù)據的功能。如，SuperScan、AngryIPScanner、、X-Scan、X-Scan、SAINT

(SecurityAdministrator'sIntegratedNetworkTool,安全管理員集成網絡工具)、Nmap、TCPconnect、TCPSYN

等.5.3常用黑客攻防技術

圖5-5用X-scan的掃描結果圖

5-6用Nmap掃描主機開放的端口5.3.1端口掃描攻防3．端口掃描攻擊類型

端口掃描攻擊采用探測技術，可將其用于尋找可以成功攻擊的應用及服務。常用端口掃描攻擊類型包括：①秘密掃描。②SOCKS端口探測。③跳躍掃描。④UDP掃描。4.防范端口掃描的對策端口掃描的防范又稱系統(tǒng)“加固”.網絡的關鍵處使用防火墻對來源不明的有害數(shù)據進行過濾,可有效減輕端口掃描攻擊,防范端口掃描的主要方法有兩種：(1)關閉閑置及有潛在危險端口方式一：定向關閉指定服務的端口。計算機的一些網絡服務為系統(tǒng)分配默認的端口，應將閑置服務-端口關閉。5.3常用黑客攻防技術

操作方法與步驟：1）打開“控制面板”窗口。2）打開“服務”窗口?！翱刂泼姘濉薄肮芾砉ぞ摺薄胺铡?選擇DNS。3）關閉DNS服務在“DNSClient的屬性”窗口.啟動類型項:選擇“自動”服務狀態(tài)項：選<停止>-<確定>。在服務選項中選擇關閉掉一些沒使用的服務，如FTP服務、DNS服務、IISAdmin服務等，對應的端口也停用。5.3常用黑客攻防技術方式二：只開放允許端口.可用系統(tǒng)的“TCP/IP篩選”功能實現(xiàn),設置時只允許系統(tǒng)的一些基本網絡通訊需要的端口.

(2)屏蔽出現(xiàn)掃描癥狀的端口檢查各端口，有端口掃描癥狀時，立即屏蔽該端口。關閉DNS端口服務5.3.2網絡監(jiān)聽及攻防2.嗅探器的功能與部署5.3常用的黑客攻防技術嗅探器（Sniffer）是利用計算機的網絡接口截獲目的地主機及其他數(shù)據報文的一種工具。起初也是一種網絡管理員診斷網絡系統(tǒng)的有效工具，也常被黑客利用竊取機密信息。嗅探器的主要功能包括4個方面：一是可以解碼網絡上傳輸?shù)膱笪?；二是為網絡管理員診斷網絡系統(tǒng)并提供相關的幫助信息；三是為網絡管理員分析網絡速度、連通及傳輸?shù)刃阅芴峁﹨⒖?，發(fā)現(xiàn)網絡瓶頸；四是發(fā)現(xiàn)網絡漏洞及入侵跡象，為入侵檢測提供重要參考。常用的嗅探軟件：SnifferPro、Wireshark、IRIS等。捕獲后的數(shù)據包和明文傳送的數(shù)據包，分別如圖5-9和5-10所示。

圖5-9捕獲后的數(shù)據包

圖5-10明文傳送的數(shù)據包5.3.2網絡監(jiān)聽及攻防3．檢測防范網絡監(jiān)聽5.3常用的黑客攻防技術針對運行監(jiān)聽程序的主機可以采用多種方法防范。一是用正確的IP地址和錯誤的物理地址ping，運行監(jiān)聽程序的主機具有相應的響應信息提示。二是運用虛擬局域網VLAN技術，可以將以太網通信變?yōu)辄c到點通信，防范絕大部分基于網絡監(jiān)聽的入侵攻擊。三是以交換式集線器代替共享式集線器，這種方法使單播包只限于在兩個節(jié)點之間傳送，從而防止非法監(jiān)聽，當然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast

Packet)和多播包(Multicast

Packet)。四是對于網絡信息安全防范的最好的方法是使用加密技術。五是利用防火墻技術、六是利用SATAN等系統(tǒng)漏洞檢測工具，并定期檢查EventLog中的SECLog記錄，查看可疑情況，防止網絡監(jiān)聽與端口掃描；七是利用網絡安全審計或防御新技術等。5.3.2網絡監(jiān)聽及攻防

1.網絡監(jiān)聽

網絡監(jiān)聽是網絡管理員監(jiān)測網絡傳輸數(shù)據,排除網絡故障的管理工具。5.3常用的黑客攻防技術

美國全球監(jiān)聽引發(fā)網絡空間深刻變化。2013年10月，隨著美國國安局監(jiān)聽門事件不斷升級，眾議院情報委員會舉行公開聽證會。最近，西方媒體披露，美國國家安全局在全球約80個地點的駐外使館都設有監(jiān)聽站，35國首腦的電話被監(jiān)聽。其中包括德國總理默克爾。其他國家也紛紛譴責美國的監(jiān)聽行動。墨西哥內政部長稱將自行調查美方的間諜行為。法國總統(tǒng)奧朗德稱，“我們不能接受以朋友關系干涉法國公民的私人生活”。案例5-65.3.3密碼破解攻防方法1.密碼破解攻擊的方法（1）通過網絡監(jiān)聽非法竊取密碼。（2）利用釣魚網站欺騙（3）強行破解用戶密碼（4）密碼分析攻擊（5)放置木馬程序5.3常用的黑客攻防技術2.密碼破解防范對策計算機用戶必須注意的要點“5不要”：①一定不要將密碼寫下來，以免泄露或遺失；②一定不要將密碼保存在電腦或磁盤文件中；③切記不要選取容易猜測到的信息作為密碼；④一定不要讓別人知道密碼，以免增加不必要的損失或麻煩；⑤切記不要在多個不同的網銀等系統(tǒng)中使用同一密碼。誤入購買機票釣魚網站，損失近百萬。2013年10月上海市的林先生通過瀏覽網絡查到一個可以“低價購買機票的網站”，不僅被欺騙打開了釣魚網站，還不慎通過點擊“客服咨詢”打開不明鏈接激活木馬程序，致使電腦被黑客遠程控制，眼看著個人賬戶內的96萬元被洗劫一空。

案例5-75.3.4木馬攻防對策1．木馬的特點和組成特洛伊木馬（Trojanhorse）簡稱“木馬”。其名稱源于希臘神話《木馬屠城記》?，F(xiàn)指一些具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊等遠程控制特殊功能的后門程序。木馬特點：通過偽裝、引誘用戶將其安裝在PC或服務器上,并具有進行遠程控制和破壞功能特點。一般木馬的執(zhí)行文件較小，若將其捆綁到其他文件上很難發(fā)現(xiàn)。木馬可以利用新病毒或漏洞借助工具一起使用，時?？梢远氵^多種殺毒軟件，盡管現(xiàn)在很多新版的殺毒軟件，可以查殺木馬，仍需要注意世上根本不存在絕對的安全.木馬系統(tǒng)組成：一是服務器程序，二是控制器程序。木馬種類大體可分為：破壞型、密碼發(fā)送型、遠程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬等。有些木馬具有多種功能，如灰鴿子、冰河木馬等。5.3常用的黑客攻防技術5.3.4

特洛伊木馬攻防2．木馬攻擊途徑及過程

木馬攻擊途徑：在客戶端和服務端通信協(xié)議的選擇上，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但是，也有一些木馬由于特殊的原因，使用UDP協(xié)議進行通訊。

木馬攻擊的基本過程分為6個步驟：5.3常用的黑客攻防技術配置木馬傳播木馬運行木馬泄露信息建立連接遠程控制5.3.4

特洛伊木馬攻防2.木馬攻擊途徑及過程

灰鴿子（Hack.Huigezi）木馬產業(yè)鏈活動猖獗?；银澴邮且粋€集多種控制功能于一體的木馬病毒，可以監(jiān)控中毒用戶的一舉一動，并可被輕易竊取其賬號、密碼、照片、重要文件等。甚至還可以連續(xù)捕獲遠程電腦屏幕，還可監(jiān)控被控電腦上的攝像頭、自動開機（不開顯示器）并利用攝像頭進行錄像。到2006年底，“灰鴿子”木馬就已達6萬多個變種。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客?；银澴幽抉R產業(yè)鏈，如圖5-11所示。5.3常用的黑客攻防技術圖5-11灰鴿子木馬產業(yè)鏈5.3.4

特洛伊木馬攻防3.木馬的防范對策防范木馬的對策關鍵是提高防范意識，采取切實可行的有效措施。一是在打開或下載文件之前，一定要確認文件的來源是否安全可靠；二是閱讀readme.txt，并注意readme.exe；三是使用殺毒軟件；四是發(fā)現(xiàn)有不正?，F(xiàn)象出現(xiàn)立即掛斷；五是監(jiān)測系統(tǒng)文件和注冊表的變化；六是備份文件和注冊表；七要需要特別注意，不要輕易運行來歷不明軟件或從網上下載的軟件，即使通過了一般反病毒軟件的檢查也不要輕易運行；八是不要輕易相信熟人發(fā)來的E-Mail不會有黑客程序；九是不要在聊天室內公開自身的E-Mail地址，對來歷不明的E-Mail應立即清除；十是不要隨便下載軟件，特別是不可靠的FTP站點；十一是不要將重要密碼和資料存放在上網的計算機中，以免被破壞或竊取。可以利用360安全衛(wèi)士等防范查殺木馬。5.3常用的黑客攻防技術5.3.5拒絕服務攻防1.拒絕服務攻擊拒絕服務是指通過各種手段向某個Web網站發(fā)送巨量的垃圾郵件或服務請求等,干擾該網站系統(tǒng)的正常運行，導致無法完成應有網絡服務.拒絕服務按入侵方式可分：資源消耗型、配置修改型、物理破壞型以及服務利用型。拒絕服務攻擊（DenialofService，簡稱DoS）,是指黑客對攻擊目標網站發(fā)送大量的垃圾郵件或服務請求搶占過多的服務資源，使系統(tǒng)無法提供正常服務的攻擊方式。5.3常用的黑客攻防技術

美國核武庫系統(tǒng)每天遭受到數(shù)以百萬計的攻擊。據“美國新聞與世界報道”2012年3月援引美國國家核軍工管理局(NNSA)工作人員的話稱，該局管理核武庫的計算機系統(tǒng)每天遭受到數(shù)以百萬計的電腦攻擊，核實驗室和能源部也不斷遭受攻擊。案例5-10分布式拒絕服務攻擊(DistributedDenialofService,DDoS),指借助于客戶/服務器技術，將網絡系統(tǒng)中的多個計算機進行聯(lián)合作為攻擊平臺，對一個或幾個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。攻擊原理如圖5-13所示。。

DDoS攻擊的類型.帶寬型攻擊和應用型攻擊。

DDoS攻擊的方式.通過使網絡過載干擾甚至阻斷正常的網絡通訊；通過向服務器提交大量請求，使服務器超負荷；阻斷某一用戶訪問服務器；阻斷某服務與特定系統(tǒng)或個人的通訊.2.常見的拒絕服務攻擊

1）Flooding攻擊。

2）SYNflood攻擊。

3）LANDattack攻擊。4）ICMPfloods攻擊。5）Applicationlevelfloods攻擊。5.3常用的黑客攻防技術圖5-14SYNflood攻擊示意圖圖5-13DDoS的攻擊原理5.3.6拒絕服務攻防3.拒絕服務攻擊檢測與防范主要檢測方法2種：一是異常檢測分析，二是使用DDoS檢測工具主要防范策略和方法：①定期掃描及時發(fā)現(xiàn)并處理漏洞.要定期掃描現(xiàn)有的網絡主節(jié)點,清查可能存在的安全漏洞,及時安裝系統(tǒng)補丁程序,對新出現(xiàn)的漏洞及時處理.

②利用網絡安全設備(如防火墻、防御系統(tǒng))等加固網絡系統(tǒng)的安全性,在網絡骨干節(jié)點配置防火墻以抵御DDoS和其他一些攻擊。③在網絡管理方面，要經常檢查系統(tǒng)的物理環(huán)境，禁用不必要的網絡服務或端口；④與網絡服務提供商合作協(xié)調工作，幫助用戶實現(xiàn)路由的訪問控制和對帶寬總量的限制；⑤當發(fā)現(xiàn)主機正在遭受DDoS時，應當啟動應對策略，盡快追蹤審計攻擊包，并及時聯(lián)系ISP和有關應急組織，分析受影響系統(tǒng)，確定涉及的有關節(jié)點，限制已知攻擊節(jié)點的流量；⑥對于潛在的DDoS隱患應當及時清除，以免后患。5.3常用的黑客攻防技術5.3.6緩沖區(qū)溢出攻防方法1.緩沖區(qū)溢出

緩沖區(qū)溢出是指當計算機向緩沖區(qū)內填充數(shù)據時，超過了緩沖區(qū)本身的容量，溢出的數(shù)據覆蓋在合法數(shù)據上。

緩沖區(qū)溢出的原理.是由于字符串處理函數(shù)(gets,strcpy等)沒有對數(shù)組的越界監(jiān)視和限制,結果覆蓋了老堆棧數(shù)據.2.緩沖區(qū)溢出攻擊指通過向緩沖區(qū)寫入超長度內容造成緩沖區(qū)溢出,破壞程序的堆棧.使程序轉而執(zhí)行其他指令/使黑客取得程序控制權.

3．緩沖區(qū)溢出攻擊的防范方法

1）編寫程序中應時刻注意的問題。

2）改進編譯器。

3）利用人工智能的方法檢查輸入字段。4）程序指針完整性檢查。

5.3常用的黑客攻防技術5.3.7其他攻防技術1.WWW的欺騙技術

WWW的欺騙是指黑客篡改訪問站點頁面或將用戶要瀏覽的網頁URL改寫為指向黑客的服務器?！熬W絡釣魚”（Phishing）是指利用欺騙性很強、偽造的Web站點來進行詐騙活動,目的在于釣取用戶的賬戶資料,假冒受害者進行欺詐性金融交易,從而獲得經濟利益.可被用作網絡釣魚的攻擊技術有：URL編碼結合釣魚技術，Web漏洞結合釣魚技術,偽造Email地址結合釣魚技術，瀏覽器漏洞結合釣魚技術。

防范攻擊可以分為兩個方面：其一對釣魚攻擊利用的資源進行限制。如Web漏洞是Web服務提供商可直接修補；郵件服務商可使用域名反向解析郵件發(fā)送服務，提醒用戶是否收到匿名郵件;其二及時修補漏洞.如瀏覽器漏洞,須打上補丁.5.3常用的黑客攻防技術5.3.7其他攻防技術2.電子郵件攻擊

電子郵件欺騙是攻擊方式之一，攻擊者佯稱自己為系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令，或在貌似正常的附件中加載病毒或其他木馬程序,這類欺騙只要用戶提高警惕,一般危害性不是太大。

防范電子郵件攻擊的方法：1)解除電子郵件炸彈。2)拒收某用戶信件方法。3．通過一個節(jié)點來攻擊其他節(jié)點4．利用缺省帳號進行攻擊

5.3常用的黑客攻防技術

討論思考：（1）常用的黑客攻擊方法具體有哪些？（2）針對黑客攻擊常用的防范策略是什么？5.4.1防范攻擊的策略在主觀上重視，客觀上積極采取措施。制定規(guī)章制度和管理制度，普及網絡安全教育，使用戶需要掌握網絡安全知識和有關的安全策略。在管理上應當明確安全對象，建立強有力的安全保障體系，按照安全等級保護條例對網絡實施保護與監(jiān)督。認真制定有針對性的防攻措施，采用科學的方法和行之有效的技術手段，有的放矢，在網絡中層層設防，使每一層都成為一道關卡,從而讓攻擊者無隙可鉆、無計可使.在技術上要注重研發(fā)新方法，同時還必須做到未雨稠繆，預防為主，將重要的數(shù)據備份（如主機系統(tǒng)日志）、關閉不用的主機服務端口、終止可疑進程和避免使用危險進程、查詢防火墻日志詳細記錄、修改防火墻安全策略等。5.4防范攻擊的策略和措施5.4.2網絡攻擊的防范措施①提高安全防范意識，注重安全防范管理和措施。②應當及時下載、更新、安裝系統(tǒng)漏洞補丁程序。③盡量避免從Internet下載無法確認安全性的軟件、歌曲、游戲等。④不要隨意打開來歷不明的電子郵件及文件、運行不熟悉的人給用戶的程序或鏈接。⑤不隨便運行黑客程序,不少這類程序運行時會發(fā)出用戶的個人信息.⑥在支持HTML的BBS上,如發(fā)現(xiàn)提交警告,先看源代碼,預防騙取密碼。⑦設置安全密碼。使用字母數(shù)字混排，常用的密碼設置不同，重要密碼經常更換。⑧使用防病毒、防黑客等防火墻軟件，以阻檔外部網絡的侵入。⑨隱藏自已的IP地址?？刹扇〉姆椒ㄓ校菏褂么矸掌鬟M行中轉，用戶上網聊天、BBS等不會留下自身的IP；使用工具軟件，如NortonIntemetSecurity來隱藏主機地址,避免在BBS和聊天室暴露個人信息⑩切實做好端口防范.在安裝端口監(jiān)視程序同時,將不用端口關閉。?加強IE瀏覽器對網頁的安全防護。?上網前備份注冊表,許多黑客攻擊會對系統(tǒng)注冊表進行修改.?加強管理。將防病毒、防黑客形成慣例，當成日常例性工作.

5.4防范攻擊的策略和措施5.4防范攻擊的策略和措施通過對IE屬性設置提高IE訪問網頁的安全性方法：

①提高IE安全級別。操作方法：打開IE→“工具”→“Internet選項”→“安全”→“Internet區(qū)域”，將安全級別設置為“高”。

②禁止ActiveX控件和JavaApplets的運行。操作方法：打開IE→“工具”→“Intemet選項”→“安全”→“自定義級別”，在“安全設置”對話框中找到ActiveX控件相關的設置，將其設為“禁用”或“提示”即可。

③禁止Cookie。由于許多網站利用Cookie記錄網上客戶的瀏覽行為及電子郵件地址等信息,為確保個人隱私信息的安全,可將其禁用.操作方法：在任一網站上選擇“工具”→“Internet選項”→“安全”→“自定義級別”，在“安全設置”對話框中找到Cookie相關的設置，將其設為“禁用”或“提示”即可。④將黑客網站列入黑名單,將其拒之門外.操作方法：在任一網站上選擇“工具”→“Internet選項”→“內容”→“分級審查”→“啟用”，在“分級審查”對話框的“許可站點”下輸入黑客網站地址，并設為“從不”即可。及時安裝補丁程序,以強壯IE。應及時利用微軟網站提供的補丁程序來消除這些漏洞，提高IE自身的防侵入能力。

討論思考：

1.為什么要防范黑客攻擊？如何防范黑客攻擊？2.簡述網絡安全防范攻擊的基本措施有哪些？3.說出幾種通過對IE屬性的設置來提高IE訪問網頁的安全性具體措施？5.5.1入侵檢測系統(tǒng)的概念1.入侵檢測的概念

“入侵”是一個廣義上的概念，指任何威脅和破壞系統(tǒng)資源的行為。實施入侵行為的“人”稱為入侵者或攻擊者。攻擊是入侵者進行入侵所采取的技術手段和方法。

入侵的整個過程(包括入侵準備、進攻、侵入)都伴隨著攻擊有時也把入侵者稱為攻擊者。

入侵檢測（IntrusionDetection，ID）是指通過對行為、安全日志、審計數(shù)據或其它網絡上可獲得的信息進行操作，檢測到對系統(tǒng)的闖入或企圖的過程。5.5入侵檢測與防御系統(tǒng)概述5.5.1入侵檢測系統(tǒng)的概念2.入侵檢測系統(tǒng)概述（1）入侵檢測系統(tǒng)的概念

入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS),是可對入侵自動進行檢測、監(jiān)控和分析的軟件與硬件的組合系統(tǒng),是一種自動監(jiān)測信息系統(tǒng)內、外入侵的安全系統(tǒng)。IDS通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

（2）入侵檢測系統(tǒng)產生與發(fā)展（3）入侵檢測系統(tǒng)的架構

5.5入侵檢測與防御系統(tǒng)概述圖5-15入侵檢測系統(tǒng)通用架構5.5.2入侵檢測系統(tǒng)的功能及分類1.IDS的構成及分析方法IDS主要由事件產生器、事件分析器、事件數(shù)據庫、響應單元等構成.常用的入侵檢測系統(tǒng)的分析方法主要有三種：①模式匹配。②統(tǒng)計分析。③完整性分析。2.IDS的主要功能1）對已知攻擊特征的識別。2）對異常行為的分析、統(tǒng)計與響應。3)對網絡流量的跟蹤與分析。4）實現(xiàn)特征庫的在線升級。5）對數(shù)據文件的完整性檢驗。6）系統(tǒng)漏洞的預報警功能。7）自定義特征的響應。5.5入侵檢測與防御系統(tǒng)概述5.5.4入侵及防御系統(tǒng)概述3.IDS的主要分類

按照檢測對象(數(shù)據來源)分:基于主機、基于網絡和分布式(混合型)(1)基于主機的入侵檢測系統(tǒng)（HIDS）HIDS是以系統(tǒng)日志、應用程序日志等作為數(shù)據源，也可以通過其他手段（如監(jiān)督系統(tǒng)調用）從所在的主機收集信息進行分析。HIDS一般是保護所在的系統(tǒng)，經常運行在被監(jiān)測的系統(tǒng)上，監(jiān)測系統(tǒng)上正在運行的進程是否合法。

優(yōu)點：對分析“可能的攻擊行為”有用。與NIDS相比通常能夠提供更詳盡的相關信息,誤報率低,系統(tǒng)的復雜性少。

弱點：HIDS安裝在需要保護的設備上,會降低應用系統(tǒng)的效率,也會帶來一些額外的安全問題.另一問題是它依賴于服務器固有的日志與監(jiān)視能力,若服務器沒有配置日志功能,則必須重新配置,這將會給運行中的業(yè)務系統(tǒng)帶來不可預見的性能影響。5.5入侵檢測與防御系統(tǒng)概述(2)基于網絡的入侵檢測系統(tǒng)（NIDS）

NIDS又稱嗅探器,通過在共享網段上對通信數(shù)據的偵聽采集數(shù)據,分析可疑現(xiàn)象(將NIDS放置在比較重要的網段內,不停地監(jiān)視網段中的各種數(shù)據包.輸入數(shù)據來源于網絡的信息流).該類系統(tǒng)一般被動地在網絡上監(jiān)聽整個網絡上的信息流，通過捕獲網絡數(shù)據包，進行分析，檢測該網段上發(fā)生的網絡入侵，如圖4-8示。5.5入侵檢測與防御系統(tǒng)概述圖5-16基于網絡的入侵檢測過程（3）分布式入侵檢測系統(tǒng)

分布式入侵檢測系統(tǒng)DIDS是將基于主機和基于網絡的檢測方法集成一起,即混合型入侵檢測系統(tǒng).系統(tǒng)一般由多個部件組成，分布在網絡的各個部分，完成相應的功能，分別進行數(shù)據采集、分析等。通過中心的控制部件進行數(shù)據匯總、分析、產生入侵報警等。在這種結構下，不僅可以檢測到針對單獨主機的入侵，同時也可以檢測到針對整個網絡上的主機入侵。其他分類方法：

1）按照體系結構分為：集中式和分布式。2）按照工作方式分為：離線檢測和在線檢測。3）按照所用技術分為：特征檢測和異常檢測。5.5入侵檢測與防御系統(tǒng)概述5.5.3常見的入侵檢測方法1.特征檢測的概念

特征檢測又稱誤用檢測（Misusedetection）是指將正常行為特征表示的模式與黑客的異常行為特征進行分析、辨識和檢測的過程。IDS可以對黑客已知的異常攻擊或入侵的方式作出確定性的描述，形成相應的事件模式，無法檢測出新的入侵行為。當被審計檢測的事件與已知的入侵事件模式相匹配時，系統(tǒng)立即響應并進行報警。2.特征檢測的類型入侵檢測系統(tǒng)對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是其核心功能。從技術上,入侵檢測分為兩類：一種基于標志(signature-based),另一種基于異常情況（anomaly-based）。5.5入侵檢測與防御系統(tǒng)概述5.5.3常見的入侵檢測方法3.異常檢測的常用方法

異常檢測（Anomalydetection）是指假設入侵者活動異常于正常主體的活動的特征檢測.根據這一原理建立主體正?；顒拥奶卣鲙?將當前主體的活動狀況與特征庫相比較,當違反其統(tǒng)計模型時,認為該活動可能是“入侵”行為.異常檢測的難題在于建立特征庫和設計統(tǒng)計模型.從而不將正常的操作作為“入侵”/忽略真正“入侵”行為。常用的5種入侵檢測統(tǒng)計模型為：①操作模型;②方差.③多元模型;④馬爾柯夫過程模型。⑤時間序列分析。常用的異常檢測方法包括：①基于貝葉斯推理檢測法。②基于特征選擇檢測法。③基于貝葉斯網絡檢測法。④基于模式預測的檢測法。⑤基于統(tǒng)計的異常檢測法。⑥基于機器學習檢測法。⑦數(shù)據挖掘檢測法。⑧基于應用模式的異常檢測法。⑨基于文本分類的異常檢測法。

5.5入侵檢測與防御系統(tǒng)概述5.5.4入侵防御系統(tǒng)概述1.入侵防御系統(tǒng)的概念（1）入侵防御系統(tǒng)的概念

入侵防御系統(tǒng)

(IntrusionPreventSystem，IPS)是能夠監(jiān)視網絡或網絡設備的網絡信息傳輸行為，及時的中斷、調整或隔離一些不正?；蚓哂袀π缘木W絡信息傳輸行為.如同IDS一樣,專門深入網路數(shù)據內部查找攻擊代碼特征,過濾有害數(shù)據流,丟棄有害數(shù)據包,并進行記載,以便事后分析。

（2）入侵防御系統(tǒng)IPS的種類按其用途可以劃分為三種類型：①基于主機的入侵防御系統(tǒng)HIPS。②基于網絡的入侵防御系統(tǒng)NIPS。是IPS與防火墻的集成,為了提高其使用效率,應采用信息流通過的方式。受保護的信息流應代表向網絡系統(tǒng)或從中發(fā)出的數(shù)據,且要求：一是指定的網絡領域中，需要高度的安全和保護，二是該網絡領域中存在極可能發(fā)生的內部爆發(fā)配置地址，三是可以有效地將網絡劃分成最小的保護區(qū)域，并能提供最大范圍的有效覆蓋率。③分布式入侵防御系統(tǒng)DIPS。5.5入侵檢測與防御系統(tǒng)概述5.5.4入侵防御系統(tǒng)概述（3）入侵防御系統(tǒng)IPS的工作原理IPS實現(xiàn)實時檢查和阻止入侵的原理，如圖5-17所示。主要利用多個IPS的過濾器，當新的攻擊手段被發(fā)現(xiàn)后，就會創(chuàng)建一個新的過濾器。IPS數(shù)據包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據包的內容。針對不同攻擊行為,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，規(guī)則的定義非常廣泛。在對傳輸內容分類時，過濾引擎還要參照數(shù)據包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性.5.5入侵檢測與防御系統(tǒng)概述圖5-17IPS的工作原理（4）IPS應用及部署

IPS的關鍵技術包括:集成全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟件和支持全球訪問并用于管理IPS的控制臺。類似IDS，通常使用更為先進的入侵檢測技術，如試探式掃描、內容檢查、狀態(tài)和行為分析，同時還結合常規(guī)的侵入檢測技術如基于簽名的檢測和異常檢測。H3CSecBladeIPS入侵防御系統(tǒng)。是一款高性能入侵防御模塊,可應用于多種路由器,集成入侵防御/檢測、病毒過濾和帶寬管理等功能。通過深達7層的分析與檢測,實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為,并實現(xiàn)對網絡基礎設施、網絡應用和性能的全面保護.IPS部署交換機的應用如圖5-18所示,IPS部署路由器的應用,如圖5-19所示。5.5入侵檢測與防御系統(tǒng)概述

圖5-18IPS部署交換機的應用

圖5-19IPS部署路由器的應用案例5-125.5.4入侵防御系統(tǒng)概述3.防火墻、IDS與IPS的區(qū)別

IDS核心價值在于通過對全網信息分析,了解信息系統(tǒng)的安全狀況,進而指導信息系統(tǒng)安全建設目標以及安全策略的確立和調整。入侵防御系統(tǒng)的核心價值在于安全策略的實施，阻擊黑客行為；入侵檢測系統(tǒng)需要部署在網絡內部，監(jiān)控范圍可以覆蓋整個子網，包括來自外部的數(shù)據以及內部終端之間傳輸?shù)臄?shù)據。入侵防御系統(tǒng)則必須部署在網絡邊界,抵御來自外部的入侵,對內部攻擊行為無能為力。

防火墻是實施訪問控制策略的系統(tǒng)，對流經的網絡流量進行檢查，攔截不符合安全策略的數(shù)據包。入侵檢測技術(IDS)通過監(jiān)視網絡或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，IDS往往無法預先發(fā)出警報。而入侵防護系統(tǒng)

(IPS)則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網絡流量中實現(xiàn)這一功能的,即通過一個網絡端口接收來自外部系統(tǒng)的流量,經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺?，再通過另外一個端口將它傳送到內部系統(tǒng)中.這樣一來,有問題的數(shù)據包,以及所有來自同一數(shù)據流的后續(xù)數(shù)據包，都可在IPS設備中被清除掉。5.5入侵檢測與防御系統(tǒng)概述5.5.5入侵檢測及防御技術的發(fā)展趨勢1.入侵檢測及防御技術發(fā)展趨勢

三個方向發(fā)展：1）分布式入侵檢測：第一層含義，即針對分布式網絡攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。2）智能化入侵檢測:使用智能化的方法與手段進行入侵檢測.3）全面的安全防御方案：2.統(tǒng)一威脅管理

統(tǒng)一威脅管理(UnifiedThreatManagement,UTM),2004年9月,全球著名市場咨詢顧問機構—IDC(國際數(shù)據公司),首度提出此概念，將防病毒、入侵檢測和防火墻安全設備劃歸統(tǒng)一威脅管理。5.5入侵檢測與防御系統(tǒng)概述5.5.5入侵檢測及防御技術的發(fā)展趨勢

（1）UTM重要特點1）建一個更高、更強、更可靠的墻,除了傳統(tǒng)的訪問控制之外,防火墻還應該對防垃圾郵件、拒絕服務、黑客攻擊等這樣的一些外部的威脅起到綜合檢測網絡全協(xié)議層防御；2）用高檢測技術降低誤報；3）用高可靠、高性能的硬件平臺支撐。

UTM優(yōu)點:整合使成本降低、信息安全工作強度降低、技術復雜度降低。（2）UTM的技術架構

1）完全性內容保護（CompleteContentProtection，CCP）,對OSI模型中描述的所有層次的內容進行處理；2）緊湊型模式識別語言（CompactPatternRecognitionLanguage，CPRL）,是為了快速執(zhí)行完全內容檢測而設計的。3）動態(tài)威脅防護系統(tǒng)（DynamicThreatPreventionSystem）,是在傳統(tǒng)的模式檢測技術上結合未知威脅處理的防御體系.動態(tài)威脅防護系統(tǒng)可以將信息在防病毒、防火墻和入侵檢測等子模塊之間共享使用,以達到檢測準確率和有效性的提升。這種技術是業(yè)界領先的一種處理技術，也是對傳統(tǒng)安全威脅檢測技術的一種顛覆。5.5入侵檢測與防御系統(tǒng)概述

討論思考：（1）入侵檢測系統(tǒng)及防御系統(tǒng)的主要功能是什么？（2）計算機網絡安全面臨的主要威脅類型有哪些？（3）入侵檢測及防御技術發(fā)展的趨勢。5.5入侵檢測與防御系統(tǒng)概述5.6Sniffer檢測實驗5.6.1

實驗目的利用Sniffer軟件捕獲網絡信息數(shù)據包，然后通過解碼進行檢測分析。學會利用網絡安全檢測工具的實際操作方法，具體進行檢測并寫出結論。5.6.2實驗要求及方法1.實驗環(huán)境

（1）硬件：三臺PC計算機。單機基本配置參見教材表5-1。

（2）軟件：Windows2008ServerSP4以上；Sniffer軟件。2．注意事項本實驗是在虛擬實驗環(huán)境下完成，如要在真實的環(huán)境下完成，則網絡設備應該選擇集線器或交換機。如果是交換機，則在C機上要做端口鏡像。5.6Sniffer檢測實驗3.實驗方法

三臺PC機的IP地址及任務分配見表5-2所示。實驗用時：2學時（90-120分鐘）。表5-1實驗設備基本配置要求5-2三臺PC機的IP地址及任務分配設備名

稱設備IP地址任務分配內存1G以上A機用戶Zhao利用此機登陸到FTP服務器CPU2G以上B機已經搭建好的FTP服務器硬盤40G以上C機用戶Tom在此機利用Sniffer軟件捕獲

Zhao的賬號和密碼5.6Sniffer檢測實驗5.6.3

實驗內容及步驟1.實驗內容

3臺PC機,其中用戶Zhao用已建好的賬號在A機上登錄到B機已搭建好的FTP服務器,用戶Tom在此機用Sniffer軟件捕獲Zhao的賬號和密碼。2.實驗步驟（1）在C機上安裝Sniffer軟件。啟動Sniffer進入主窗口,見圖4-9所示。（2）在進行流量捕捉前,先選網絡適配器，確定從計算機的哪個適配器上接收數(shù)據,并把網卡設成混雜模式.就是把所有數(shù)據包接收后放入內存進行分析.設置方法:單擊File→SelectSettings命令,在彈出的對話框中設置,見圖4-10所示。5.6Sniffer檢測實驗2.實驗步驟（3）新建一個過濾器。設置方法為：1）單擊“Capture”→“DefineFilter”命令進入DefineFilter–Capture窗口。2）單擊<Profiles>命令，打開CaptureProfiles對話框；單擊<New>按鈕。在NewProfilesName文本框中輸入ftp_test;單擊<OK>按鈕。在CaptureProfiles對話框中單擊<Done>按鈕。圖5-22新建過濾器窗口之一5.6Sniffer檢測實驗2.實驗步驟（4）在“DefineFilter”對話框的Address選項卡中，設置地址的類型為IP，并在Station1和Station2中分別制定要捕獲的地址對，如圖5-23所示。圖5-23設置地址類型為IP5.6Sniffer檢測實驗2.實驗步驟（5）在“DefineFilter”對話框的Advanced選項卡中，指定要捕獲的協(xié)議為FTP。（6）主窗口中，選擇過濾器為ftp_test，然后單擊“Capture”→“Start”，開始進行捕獲。（7）用戶Zhao在A機上登錄到FTP服務器。（8）當用戶用名字Zhao及密碼登錄成功時，Sniffer的工具欄會顯示捕獲成功的標志。（9）利用專家分析系統(tǒng)進行解碼分析，可以得到基本信息，如用戶名、客戶端IP等。5.7本章小結

本章概述了黑客的概念、形成與發(fā)展，簡單介紹黑客產生的原因、攻擊的方法、步驟；重點介紹常見的黑客攻防技術，包括網絡端口掃描攻防、網絡監(jiān)聽攻防、密碼破解攻防、特洛伊木馬攻防、緩沖區(qū)溢出攻防、拒絕服務攻擊和其他攻防技術；同時討論了防范攻擊的具體措施和步驟；最后，概述了入侵檢測系統(tǒng)的概念、功能、特點、分類、檢測過程、常用檢測技術和方法、實用入侵檢測系統(tǒng)、統(tǒng)一威脅管理和入侵檢測技術發(fā)展趨勢等。教學目標教學目標●掌握網絡安全的概念、目標和內容●理解網絡安全面臨的威脅及脆弱性●掌握網絡安全技術概念、種類和模型●理解網絡安全研究現(xiàn)狀與趨勢●了解物理（實體安全）與隔離技術●了解構建虛擬局域網VLAN方法重點上海市重點課程建設項目重點1.1網絡安全概念及內容

全球重大數(shù)據泄露事件頻發(fā)，針對性攻擊持續(xù)增多。根據賽門鐵克2013年10月的《安全分析報告》，發(fā)現(xiàn)全球近幾年最嚴重的一起重大數(shù)據泄露事件，已造成1.5億用戶的個人資料被泄露，到目前為止所知的數(shù)據泄露事件中，被泄露最多的信息為用戶的真實姓名、證件賬號(如社會保險卡卡號)和出生日期等重要信息，而且各種有針對性的攻擊也持續(xù)增多。1.1.1網絡安全的概念及目標

案例1-11.信息安全與網絡安全的概念國際標準化組織（ISO）對信息安全定義是：為數(shù)據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件、數(shù)據不因偶然及惡意的原因而遭到破壞、更改和泄漏。我國《計算機信息系統(tǒng)安全保護條例》將信息安全定義為：計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的配套設備、設施（含網絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)安全運行。主要防止信息被非授權泄露、更改、破壞或使信息被非法的系統(tǒng)辨識與控制，確保信息的完整性、保密性、可用性和可控性。主要涉及物理（實體）安全、運行（系統(tǒng)）安全與信息（數(shù)據）安全三個層面，如圖1-1所示。1.1網絡安全概念及內容圖1-1一種信息安全的層次模型

1.1.1網絡安全的概念及目標

計算機網絡安全（ComputerNetworkSecurity）簡稱網絡安全，是指利用計算機網絡技術、管理、控制和措施，保證網絡系統(tǒng)及數(shù)據（信息）的保密性、完整性、網絡服務可用性、可控性和可審查性受到保護。即保證網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據資源得到完整、準確、連續(xù)運行與服務不受干擾破壞和非授權使用。狹義上，網絡安全是指計算機及其網絡系統(tǒng)資源和數(shù)據（信息）資源不受有害因素的威脅和危害。廣義上，凡是涉及到計算機網絡信息安全屬性特征（保密性、完整性、可用性、可控性、可審查性）的相關知識、技術、管理、理論和方法等，都是網絡安全的研究領域。1.1網絡安全概念及內容1.1.1網絡安全的概念及目標2.網絡安全的目標及特征網絡安全問題包括兩方面的內容，一是網絡的系統(tǒng)安全，二是網絡的信息（數(shù)據）安全，而網絡安全的最終目標和關鍵是保護網絡的信息（數(shù)據）安全。網絡安全的目標是指計算機網絡在信息的采集、存儲、處理與傳輸?shù)恼麄€過程中，根據安全需求，達到相應的物理上及邏輯上的安全防護、監(jiān)控、反應恢復和對抗的能力。網絡安全的最終目標就是通過各種技術與管理手段，實現(xiàn)網絡信息系統(tǒng)的保密性、完整性、可用性、可控性和可審查性。其中保密性、完整性、可用性是網絡安全的基本要求。網絡信息安全5大要素,反映了網絡安全的特征和目標要求，如圖1-2所示。1.1網絡安全概念及內容1.1.1網絡安全的概念及目標圖1-2網絡安全特征及目標（1）保密性（2）完整性（3）可用性（4）可控性（5）可審查性

1.1.2網絡安全涉及的內容及側重點

1．網絡安全涉及的主要內容從網絡安全技術及應用相關的內容方面，網絡安全涉及的內容包括：操作系統(tǒng)安全、數(shù)據庫安全、網絡站點安全、病毒與防護、訪問控制、加密與鑒別等七個方面，具體內容將在以后分別進行具體詳實的介紹。從層次結構上，也可以將網絡安全所涉及的內容概括為：物理安全、運行安全、系統(tǒng)安全、應用安全和管理安全五個方面。（1）物理安全（2）運行安全（3）系統(tǒng)安全（4）應用安全（5）管理安全網絡安全所涉及的內容1.1網絡安全概念及內容從體系結構方面，網絡信息安全的主要內容及其相互關系，如圖1-4所示。從網絡安全攻防體系方面，可以將網絡安全研究的主要內容概括成兩個體系：攻擊技術和防御技術。該體系研究內容以后將陸續(xù)介紹，如圖1-5所示。

1.1.2網絡安全涉及的內容及側重點

圖1-4網絡信息安全的內容及關系

圖1-5網絡安全攻防體系1.1網絡安全概念及內容2．網絡安全保護范疇及重點實際上，網絡安全涉及的內容對不同人員、機構或部門各有側重點：（1）網絡安全研究人員（2）網絡安全工程師（3）網絡安全評估人員（4）網絡安全管理員或主管（5）安全保密監(jiān)察人員（6）軍事國防相關人員

1.1.2網絡安全涉及的內容及側重點

1.1網絡安全概念及內容

討論思考（1）什么是信息安全？網絡安全？網絡安全目標是什么？（2）網絡安全所研究的主要內容是什么？（3）網絡安全與信息安全相關內容及其關系如何？1.2網絡安全的威脅及隱患

我國網絡遭受攻擊近況。據國家互聯(lián)網應急中心CNCERT監(jiān)測和國家信息安全漏洞共享平臺CNVD發(fā)布的數(shù)據，2014年2月10日至16日一周境內被篡改網站數(shù)量為8965個，比上周增長79.7%；境內被植入后門的網站數(shù)量為1168個；針對境內網站的仿冒頁面數(shù)量為181個。其中，政府網站被篡改418個、植入后門的35個。感染網絡病毒的主機數(shù)量約為69萬個，新增信息安全漏洞280個。另據國家互聯(lián)網應急中心(CNCERT)的數(shù)據顯示，中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2013年1月1日至2月28日，境外6747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機；其中位于美國的2194臺控制服務器控制了中國境內128.7萬臺主機，無論是按照控制服務器數(shù)量還是按照控制中國主機數(shù)量排名，美國都名列第一案例1-21.2.1國內外網絡安全的現(xiàn)狀

1.2網絡安全的威脅及隱患

國內外網絡安全威脅的現(xiàn)狀及主要因由，主要涉及以下5個方面：（1）法律法規(guī)和管理不完善（2）企業(yè)和政府的側重點不一致（3）網絡安全規(guī)范和標準不統(tǒng)一（4）網絡安全技術和手段滯后（5）網絡安全風險和隱患增強

注意：計算機病毒防范技術、網絡防火墻技術和入侵檢測技術，常被稱為網絡安全技術的三大主流。1.2.1國內外網絡安全的現(xiàn)狀

1.2.2網絡安全威脅類型及途徑

表1-1網絡安全的主要威脅種類

1.2網絡安全的威脅及隱患

威脅類型主

要

威

脅

非授權訪問通過口令、密碼和系統(tǒng)漏洞等手段獲取系統(tǒng)訪問權

截獲/竊聽數(shù)據在網絡系統(tǒng)傳輸中被截獲、竊聽信息

偽造信息將偽造的信息發(fā)送給他人

篡改/修改對合法用戶之間的通信信息篡改/替換/刪除、或破壞

竊取資源盜取系統(tǒng)重要的軟件或硬件、信息和資料病毒木馬利用計算機木馬病毒及惡意軟件進行破壞或惡意控制他人系統(tǒng)

訛傳信息攻擊者獲得某些非正常信息后，發(fā)送給他人

行為否認通信實體否認已經發(fā)生的行為

旁路控制利用系統(tǒng)的缺陷或安全脆弱性的非正常控制信息戰(zhàn)為國家或集團利益，通過信息戰(zhàn)進行網絡干擾破壞或恐怖襲擊

人為疏忽已授權人為了利益或由于疏忽將信息泄漏給未授權人信息泄露信息被泄露或暴露給非授權用戶物理破壞通過計算機及其網絡或部件進行破壞，或繞過物理控制非法訪問拒絕服務攻擊攻擊者以某種方式使系統(tǒng)響應減慢甚至癱瘓，阻止用戶獲得服務服務欺騙欺騙合法用戶或系統(tǒng)，騙取他人信任以便謀取私利冒名頂替假冒他人或系統(tǒng)用戶進行活動資源耗盡故意超負荷使用某一資源，導致其他用戶服務中斷重發(fā)信息重發(fā)某次截獲的備份合法數(shù)據，達到信任并非法侵權目的設置陷阱違反安全策略，設置陷阱“機關”系統(tǒng)或部件，騙取特定數(shù)據媒體廢棄物利用媒體廢棄物得到可利用信息，以便非法使用其他威脅上述之外的其他各種攻擊或威脅網絡主要應用包括：電子商務、網上銀行、股票證券、網游、下載軟件或流媒體等都存在大量安全隱患。一是這些網絡應用本身的安全性問題，開發(fā)商都將研發(fā)的產品發(fā)展成更開放更廣泛的支付/交易營銷平臺、網絡交流社區(qū)，用戶名、賬號和密碼等信息成為黑客的主要目標；二是網絡應用也成為黑客攻擊、病毒傳播等主要威脅及途徑。如圖1-6所示。圖1-6網絡安全主要威脅及途徑1.2網絡安全的威脅及隱患

1.2.2網絡安全威脅類型及途徑1.2.3網絡安全隱患及風險

1.網絡系統(tǒng)安全隱患及風險（1）網絡系統(tǒng)面臨的安全隱患計算機網絡面臨的隱患及風險主要包括7個方面：①系統(tǒng)漏洞及復雜性。②網絡共享性。③網絡開放性。④身份認證難。⑤傳輸路徑與結點不安全。⑥信息聚集度高。⑦邊界難確定。（2）網絡服務協(xié)議的安全風險1.2網絡安全的威脅及隱患

1.2.3網絡安全隱患及風險2.操作系統(tǒng)的漏洞及隱患（1）體系結構的漏洞（2）創(chuàng)建進程的隱患（3）服務及設置風險（4）配置和初始化錯誤3.網絡數(shù)據庫的安全風險4.防火墻的局限性5.網絡安全管理及其他問題

實際上，網絡安全是一項系統(tǒng)工程，需要各方面協(xié)同管理。1.2網絡安全的威脅及隱患

1.2.4網絡安全威脅的發(fā)展態(tài)勢

中國網絡安全問題非常突出.隨著互聯(lián)網技術和應用的快速發(fā)展，中國大陸地區(qū)互聯(lián)網用戶數(shù)量急劇增加。據估計，到2020年，全球網絡用戶將上升至50億戶,移動用戶將上升100億戶。我國2013年互聯(lián)網用戶數(shù)已達到6.48億，移動互聯(lián)網用戶數(shù)達到5.61億。網民規(guī)模、寬帶網民數(shù)、國家頂級域名注冊量三項指標仍居世界第一，互聯(lián)網普及率穩(wěn)步提升。然而各種操作系統(tǒng)及應用程序的漏洞不斷出現(xiàn)，相比西方發(fā)達國家，我國網絡安全技術、互聯(lián)網用戶安全防范能力和意識較為薄弱，極易成為境內外黑客攻擊利用的主要目標。1.2網絡安全的威脅及隱患

案例1-32014年網絡安全與管理趨勢的十大預測,包括10個方面：①隨著社交媒體和移動終端持續(xù)升溫,大數(shù)據沖擊時代即將到來.②隨著混合云模式、大宗商品化軟硬定義的數(shù)據中心(SDDC)等趨勢日益深入，未來的數(shù)據中心將發(fā)生根本性的變革。③“物聯(lián)網”時代帶來新挑戰(zhàn)。④“分布式數(shù)據”將對消費者帶來困擾。⑤針對企業(yè)的應用程序商店將得到普及。⑥人們將過分依賴和相信網絡應用程序。⑦身份認證將成為主流。⑧網絡欺詐者、數(shù)據竊取者和網絡罪犯將關注社交網絡。⑨3D打印技術將為網絡犯罪提供新可能。⑩采取更積極的舉措保護私人信息。1.2網絡安全的威脅及隱患

1.2.4網絡安全威脅的發(fā)展態(tài)勢

討論思考（1）什么說計算機網絡存在著的安全漏洞和隱患？（2）計算機網絡安全面臨的主要威脅類型和途徑有哪些？（3）網絡安全威脅的發(fā)展趨勢是什么？1.3.1網絡安全技術概述1.網絡安全技術相關概念

1.3網絡安全技術概述

網絡安全技術（NetworkSecurityTechnology）是指計算機網絡系統(tǒng)及其在數(shù)據采集、存儲、處理和傳輸過程中，保障網絡信息安全屬性特征（保密性、完整性、可用性、可控性、可審查性）的各種相關技術和措施。狹義上是指保障網絡系統(tǒng)及數(shù)據在采集、存儲、處理和傳輸過程中的安全（最終目標和關鍵是保護網絡的數(shù)據安全），采取的各種技術手段、機制、策略和措施等。廣義上是指保護網絡安全的各種技術手段、機制、策略和措施等。

2.常用網絡安全技術種類1.3網絡安全的概念及內容

網絡安全技術分類。某銀行以網絡安全業(yè)務價值鏈的概念，將網絡安全技術分為預防保護類、檢測跟蹤類和響應恢復類等三大類，如圖1-7所示。圖1-7常用網絡安全關鍵技術案例1-41.網絡安全通用模型1.3網絡安全的概念及內容1.3.2網絡安全常用模型網絡安全通用模型如圖1-8所示，不足是并非所有情況都通用。圖1-8網絡安全通用模型1.3.2網絡安全常用模型2．網絡安全PDRR模型

常用的描述網絡安全整個過程和環(huán)節(jié)的網絡安全模型為PDRR模型：防護（Protection）、檢測（Detection）、響應（Reaction）和恢復（Recovery）,如圖1-9所示

圖1-9網絡安全PDRR模型1.3網絡安全的概念及內容在此模型的基礎上，以“檢查準備、防護加固、檢測發(fā)現(xiàn)、快速反映、確?；謴?、反省改進”的原則,經過改進得到另一個網絡系統(tǒng)安全生命周期模型——IPDRRRInspection,Protection,

Detection,

Reaction,Recovery,

Reflection）模型,如圖1-10所示。

圖1-10系統(tǒng)安全生命周期模型1.3網絡安全的概念及內容1.3.2網絡安全常用模型2．網絡安全PDRR模型

黑客攻擊威脅：一是訪問威脅，二是服務威脅。對非授權訪問的安全機制可分為兩類：一是網閘功能，二是內部的安全控制，若非授權用戶得到訪問權，第二道防線將對其進行防御，包括各種內部監(jiān)控和分析，以檢查入侵者。如圖1-8所示。圖1-8網絡訪問安全模型

1.3網絡安全的概念及內容1.3.2網絡安全常用模型3.網絡訪問安全模型4．網絡安全防御模型

網絡安全的關鍵是預防，“防患于未然”是最好的保障，同時做好內網與外網的隔離保護?？梢酝ㄟ^如圖1-9所示的網絡安全防御模型構建的系統(tǒng)保護內網。

圖1-9網絡安全防御模型1.3網絡安全的概念及內容

討論思考（1）什么是網絡安全技術？（2）常用網絡安全技術有哪些種類？請舉例說明？（3）網絡安全模型的作用是什么？主要介紹那幾個模型？

1.4網絡安全技術研究現(xiàn)狀及趨勢（1）構建完善網絡安全保障體系（2）優(yōu)化安全智能防御技術（3）強化云安全信息關聯(lián)分析（4）加強安全產品測評技術（5）提高網絡生存（抗毀）技術（6）優(yōu)化應急響應技術（7）新密碼技術的研究1.5.1國內外網絡安全技術研究現(xiàn)狀1．國外網絡安全技術的現(xiàn)狀

1.4網絡安全技術研究現(xiàn)狀及趨勢（1）安全意識差，忽視風險分析（2）急需自主研發(fā)的關鍵技術（3）安全檢測防御薄弱（4）安全測試與評估不完善（5）應急響應能力欠缺（6）強化系統(tǒng)恢復技術不足 1.5.1國內外網絡安全技術研究現(xiàn)狀2.我國網絡安全技術方面的差距