络安全 期末总结提纲

• 络安全概述
• • • 资产保护
    • 信息安全模型
    • 络攻击类型及分类
    • 络信息安全服务
    • 络安全评估
• 络攻击
• • • DNS威胁与防范
    • ARP攻击
    • 拒绝服务攻击
    • SQL注入攻击
• 恶意代码
• • • 计算机病毒
    • 木马
    • 蠕虫
    • 启动、隐藏
• 络安全扫描
• • • 络安全扫描概述
    • 络安全扫描技术
    • 络协议安全
    • 安全漏洞概述
    • 安全漏洞发现和防御
• 防火墙
• • • 访问控制
    • 访问控制模型
    • 防火墙
    • 络地址翻译
    • 防火墙体系架构
• 入侵检测技术
• • • 入侵检测概述
    • 入侵检测结构
    • 入侵检测技术
    • 入侵检测部署
    • 入侵检测实例
• 虚拟专用
• • • 链路层安全
    • 络层安全
    • 传输层安全
• PGP

络安全概述

资产保护

资产的类型：任何有效的风险分析始于需要保护的资产和资源的鉴别。
物理资源、知识资源、时间资源、信誉资源

损失：即时的损失、长期的恢复所需花费

需要考虑：用户的方便程度、管理的复杂性、对现有系统的影响、对不同平台的支持

信息安全模型

信息保障：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

PDRR模型：保护、检测、响应、恢复

络攻击类型及分类

攻击属性：阻断攻击、截取攻击、篡改攻击、伪造攻击

攻击方式：主动攻击、被动攻击
主动攻击：伪装、回答、修改 文、拒绝服务
被动攻击：传输 文内容的泄露和通信流量分析

访问攻击：窥探、窃听、截获（机密性、可审性）
篡改攻击：改变、输入、删除（完整性、可审性）
拒绝服务攻击：拒绝访问信息、拒绝访问应用、拒绝访问系统、拒绝访问通信（可用性）
否认攻击：假冒、否认（完整性、可审性）

络信息安全服务

机密性服务、完整性服务、可用性服务、可审性服务

数字签名是通信双方在 上交换信息用公钥密码防止伪造和欺骗的一种身份认证。

访问控制是确定来访实体有否访问权以及实施访问权限的过程。

络安全评估

风险评估就是从风险管理的角度，运用科学的方法和手段，系统地分析 络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防御威胁的防护对策和整改措施，以防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障 络和信息安全。

计算机病毒

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。

特征：可执行性、传染性、隐蔽性、潜伏性、可触发性、破坏性、寄生性、衍生性、诱骗性

生命周期：开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期

组成结构：引导模块、感染模块、表现（破坏）模块

传播途径：不可移动的计算机硬件设备、移动存储设备、有线 络系统、无线通信系统

传播机制：目的是实现病毒自身的复制和隐藏。

木马

木马程序一般由客户端和服务端组成：服务端是黑客植入到目标机器的独立的木马模块，等待接受客户端的各种命令操作。客户端是控制端，被使用木马的黑客操控，享有服务端各种操作的最大权限。

屏蔽主机体系结构：由防火墙和内部 络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。典型构成：包过滤路由器＋堡垒主机。

• 包过滤路由器配置在内部 和外部 之间，保证外部系统对内部 络的操作只能经过堡垒主机。

• 堡垒主机配置在内部 络上，是外部 络主机连接到内部 络主机的桥梁，它需要拥有高等级的安全。
  

  入侵检测技术

  入侵检测概述

  动态安全模型P2DR：策略、防护、检测、响应

  入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、 机密性、 可用性、可控性。

  络攻击工作流程：目标探测和信息收集、自身隐藏、利用漏洞侵入主机、稳固和扩大战果、清除日志

  入侵检测是从计算机 络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现 络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。 一种主动保护自己的 络和系统免遭非法攻击的 络安全技术。

  入侵检测功能：监控、分析用户和系统活动；发现入侵企图或异常现象；记录、 警和响应；审计系统的配置和弱点、评估关键系统和数据文件的完整性等。

  入侵检测的优点：提高信息安全构造的其他部分的完整性；监控系统及用户行为及事件；检测系统配置安全状态，发现错误并纠正；从入口点到出口点跟踪用户的活动；识别和汇 数据文件的变化；识别入侵行为，并向管理人员发出警 。

  基于主机系统结构（HIDS）：检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。
  

  • 服务器平台独立性：监视通信流量而不影响服务器的平台的变化和更新；
  • 配置简单：只需要一个普通的 络访问接口即可；
  • 众多的攻击标识：探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击。
    NIDS缺点：
  • 不能检测不同 段的 络包；
  • 很难检测复杂的需要大量计算的攻击；
  • 协同工作能力弱；
  • 难以处理加密的会话。

  入侵检测结构

  入侵检测技术

  异常检测技术：任何正常人的行为有一定的规律，而入侵会引起用户或系统行为的异常

  需要考虑的问题：选择哪些数据来表现用户的行为；通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同；考虑学习过程的时间长短、用户行为的时效性等问题。

  典型算法：统计分析（均值、偏差、Markov过程）

  异常检测模型：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

  检测原理：正常行为的特征轮廓；检查系统的运行情况；是否偏离预设的门限

  举例：多次错误登录、午夜登录

  优点：可以检测到未知的入侵；可以检测冒用他人帐 的行为；具有自适应，自学习功能；不需要系统先验知识

  缺点：漏 、误 率高：入侵者可以逐渐改变自己的行为模式来逃避检测；合法用户正常行为的突然改变也会造成误警；统计算法的计算量庞大，效率很低；统计点的选取和参考库的建立比较困难。

  误用检测技术：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为。

  误用信 需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述。

  重要问题：如何全面的描述攻击的特征；如何排除干扰，减小误 ；解决问题的方式

  典型算法：专家系统、模型推理、完整性分析

  优点：算法简单；系统开销小；准确率高；效率高

  缺点：被动：只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁；模式库的建立和维护难：模式库要不断更新，知识依赖于硬件平台、操作系统和系统中运行的应用程序等。

  入侵检测部署

  检测器部署位置
  放在边界防火墙之内
  放在边界防火墙之外
  放在主要的 络中枢
  监控大量的 络数据，可提高检测黑客攻击的可能性
  放在一些安全级别需求高的子
  对非常重要的系统和资源的入侵检测

  入侵检测实例

  Snort：基于攻击特征匹配的原理，准确度高，误 率低，无法检测未知攻击，典型的误用检测技术。
  典型的误用检测技术
  需要准确理解攻击模式并撰写检测规则
  无法应对未知攻击，造成漏
  检测效率高、准确率高
  攻击规则更新要求高，好在攻击方式变化不剧烈

  Snort的主要功能：
  截取 络数据 文，进行 络数据实时分析、 警、以及日志的能力。
  Snort还能够记录 络数据，其日志文件可以是 tcpdump格式，也可以是解码的ASCII格式。
  Snort具有实时 警能力。可以将 警信息写到syslog、 指定的文件、套接字或者使用WinPopup消息。
  能够进行协议分析，内容搜索、匹配，能够用来检测各种攻击和探测，例如：缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。
  Snort使用一种灵活的规则语言来描述 络数据 文， 因此，可以对新的攻击作出快速地解析。

  Snort的组成：
  

  VPN的构成：
  

  VPN功能：数据机密性保护、数据完整性保护、数据源身份认证、重放攻击保护

  数据包输入处理：系统收到IP包后，判断如果是IPSec包，则从头部取到<src_ip,protocol,SPI>，搜索SADB。
  若找不到SA，丢弃包；
  若找到，根据其进行解封装，得到去通道化后的原始IP包，再从原始IP包中提取选择符，搜索到SPD中某一条目，检查收到包的安全处理是否符合描述规则，不符合则丢弃包，符合则转入系统IP协议栈进行后继处理。

  IKE阶段一工作原理：
  

  传输层安全

  SSL协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证) ；互操作性、可扩展性、相对效率；为上层协议提供安全性、保密性、身份认证和数据完整性。

  底层：SSL记录协议
  上层：SSL握手协议、SSL密码变化协议、SSL警告协议

  SSL记录协议提供连接安全性，有两个特点：保密性、完整性
  上层消息的数据被分片成214字节大小的块，或者更小
  无损压缩，如果数据增加的话，则增加部分的长度不超过1024字节
  计算消息认证码
  加密：采用CBC，算法由cipher spec指定

  SSL连接：一个连接是一个提供一种合适类型服务的传输；SSL的连接是点对点的关系；连接是暂时的，每一个连接和一个会话关联。

  SSL会话：一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数；会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。

  

  本帖仅用于学习交流，内容取自郑康锋、武斌老师《 络安全》课程

  文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22224 人正在系统学习中

  声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！