网络安全39145

《网络安全39145》由会员分享，可在线阅读，更多相关《网络安全39145（30页珍藏版）》请在装配图网上搜索。

1、网络安全总复习第一章1、2003年2月14日，美国公布了确保网络空间安全的国家战略，该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。1、其中的三项总体战略目标是：1、阻止针对美国至关重要的基础设施的网络攻击；2、减少美国对网络攻击的脆弱性；3、在确实发生网络攻击时，使损害程度最小化、恢复时间最短化。2、五项优先目标是：（1）建立国家网络安全反应系统；（2）建立一项减少网络安全威胁和脆弱性的国家项目；（3）建立一项网络安全预警和培训的国家项目；（4）确保政府各部门的网络安全；（5）国家安全与国际网络空间安全合作。2、2005年2月14日，美国总统信息化咨询委员会（PITAC）向

2、总统布什提交了网络空间安全：迫在眉睫的危机紧急报告，指出软件是美国网络和计算系统漏洞的一个主要来源。3、发达国家网络安全的重大调整1、美国-2009年5月29日，美国总统奥巴马发布网络空间政策审查_保证一个可信与有弹性的信息和通信基础设施报告。强调“美国21世纪的经济繁荣将依赖于网络安全”，“网络威胁是我们面临的最严重的国家经济和国家安全挑战之一” 美国在网络战方面的部署：1、美国网络战司令部-美国国防部长盖茨于2009年6月23日正式下令由美军战略司令部复杂组建2、美国多层次红队策略-红对又称为伦理黑客，通过扮演外部对手，测试网络或系统，通过挑战计划、程序、假设等，寻找未预料到的事件，以期发

3、现新观念或新方法中的弱点3、国家网络靶场-源于2008年1月8日由美国总统签署的“全面网络安全行动计划”，该靶场的建设目标是为模拟真实的网络攻防作战提供虚拟环境。2、英国-2009年6月，英国在发布为了下一代安全_国家安全战略的同时，出台了首个国家网络安全战略 网络空间的可靠，安全与弹性3、法国-2008年11月，法国政府发布国防与国家安全白皮书，2009年8月，组建网络与信息安全局（FNISA），以监控敏感的政府网络，发现和应对网络攻击*以上信息知道就可以了*4、信息：信息是一种资产，它意味着一种风险5、信息内容和信息载体的关系好比灵魂和肉体的关系：1、同一个内容，可以用多种载体承载2、不同

4、内容，可以用同一载体承载6、信息可以被创建、输入、输出、存储、传输（发送，接收，截取）、处理（编码，解码，计算）、销毁信息的要害是改变知识的状态7、网络：确保信息按需有序流动的基础设施8、传输网络：基础电信网、基础广电网9、互联网络：互联网（因特网）、内联网、外联网10、人际网络：关系网、销售网、间谍网11、什么是信息安全（security）？1、在有敌人（enemy）/对手（adversary）/含敌意的主体（hostile agent）存在的网络空间中，确保己方的信息、信息系统和通信不受窃取和破坏，按照需要对敌方的信息、信息系统和通信进行窃取和破坏的“机制”（mechanism）2、计算机

5、安全：重点是孤立的系统安全问题3、网络安全：重点是因为它是网络系统之间传输的数据安全4、但他们并不总是具有明确的分界线5、举例：1、计算机安全（病毒、安全的数据存储、操作系统的安全）2、网络安全（认证协议、加密传输的数据、防火墙）12、什么是网络信息安全？1、在网络环境下信息资产（信息、信息系统、通信）的可能面临的风险的评估、防范、应对、化解措施2、技术措施（采用特定功能的设备或系统）3、管理措施（法律、规章制度、检查）4、三分技术七分管理13、网络信息安全的危害1、网络信息安全的要害就是防止通过改变知识状态来造成不希望的后果2、对信息进行窃取，会使窃取者知道信息拥有者不希望他知道的信息3、对

6、信息进行破坏，会使信息的拥有者失去对信息的拥有，不再知道他本来应该知道的事情14、背景1、网络的普及2、对网络的依赖加深3、攻击的门槛降低4、维护国家主权和社会稳定、打击网上犯罪、引导青少年健康上网（过滤与监控）5、网络信息资源的综合利用（情报获取与分析）6、网络信息对抗和网络信息战15、OSI和协议栈1、链路层：包括设备驱动程序和网络接口卡2、网络层：负责处理数据包的运动，即路由3、传输层：提供了可靠的数据流之间的两个主机4、应用层：负责处理特定应用程序的细节16、TCP / IP架构 - 网络层1、整个网络的信息传输通过网关/路由器2、对应于OSI的网络层：路由和拥塞控制3、全球唯一的IP

7、地址和IP数据包4、尽力而为的无连接的IP数据包传输：不设置，改为独立，强大，出于秩序，复制，或失去的包17、传输层与数据链路层的区别1、数据链路层的环境：结点一物理层结点二2、传输层的环境网络主机A主机B18、TCP中的SOCKET流程申请创建等待侦听许可连接接收数据申请创建呼叫发起连接发送数据19、UDP中的SOCKET流程申请创建SENDTORECVFROM申请创建RECVFROMSENDTO20、建立TCP连接：三次握手21、三次握手的简化22、连接的正常释放23、TCP连接管理的有限状态自动机第二章1、主机名.组名.网点名.顶级域名com（商业组织）、edu（教育机构）、gov（政府

8、部门）、mil（军事部门）、int（国际组织）2、安全1、弱点和攻击1、系统资源的漏洞可能：被损坏（丢失的完整性）、成为漏（保密损失）、成为不可用（可用性损失）2、攻击进行了威胁，并可能：passive、active、insider、outsider2、对策1、用于处理安全攻击手段：防止、检测、恢复2、可能导致新的漏洞3、将剩余的脆弱性4、目标是尽量减少风险所限3、威胁的后果1、擅自披露：曝光，拦截，推理，入侵2、欺骗：伪装，篡改，抵赖3、中断：丧失行为能力，腐败，阻塞4、篡夺：挪用，滥用4、网络安全进攻1、归类为被动或主动2、被动攻击窃听：1、发布的信息内容2、流量分析3、所以是很难察觉的目

9、标，以防止3、主动攻击修改/伪造数据1、化妆舞会2、重播3、修改4、拒绝服务5、努力避免这样的目标探测5、安全功能要求1、技术措施：访问控制，鉴定和认证，系统及通信保障;系统和信息的完整性2、管理控制及程序宣传与培训;审计与问责制;认证，认证和安全评估;应急计划;维修;物理和环境的保护，规划，人员的安全，风险评估，系统和服务的采购3、重叠技术和管理：配置管理，事件响应，媒体保护6、计算机安全策略1、规范/政策（什么是安全计划应该做什么？）编纂的政策和程序2、执行/机制（它是如何做到这一点？）预防，检测，响应，恢复3、正确性/保证（它真的有用吗？）保证，评价7、政策VS机制1、安全政策（声明是什

10、么和什么是不允许的）2、安全机制（方法执行一项安全政策）8、攻击，服务和机制1、安全攻击：任何行动，损害了信息的安全。2、安全机制：一种是用于检测机制，防止或恢复从安全攻击。3、安全服务：服务，提高了安全数据处理系统和信息的传输。阿安全服务，使一个或多个安全机制。9、安全攻击1、任何妥协的行动，由一个组织拥有的信息安全2、信息安全是如何阻止攻击，或做不到这一点，来检测信息化系统的攻击3、经常威胁和攻击用来指同一件事4、有一个广泛的攻击5、可以重点攻击的泛型类型：passive、active10、passive attacks、active attacks、security attacks pa

11、ssive attacks active attacks security attacksInterruption: This is an attack on availabilityInterception: This is an attack on confidentialityModfication: This is an attack on integtrityFabrication: This is an attack on authenticity11、保安服务1、增强安全性的数据处理系统和一个组织的信息传输2、为了对付安全攻击3、使用一个或多个安全机制4、通常与身体经常复制文件相

12、关的功能1、其中，例如，有签名，日期，从需要保护的披露，篡改或销毁;进行公证或见证，是记录或许可5、保密（私隐）6、认证（谁创建或发送的数据）7、完整性（不被修改）8、不可抵赖性（顺序是最后一次）9、访问控制（防止滥用资源）10、可用性（持久性，非擦除）11、拒绝服务攻击12、病毒，删除文件12、安全机制1、功能设计，检测，预防或恢复从安全攻击2、没有任何单一的机制，以支持所需的所有服务3、然而一个特定元素在使用基础的安全机制很多：加密技术4、因此，我们对这个话题的焦点13、网络安全模型使用这种模式要求我们：1、设计一个合适的算法的安全改造2、产生的秘密信息（密钥）的算法中使用3、开发方法，分

13、发和共享的秘密信息4、指定一个协议使校长使用安全服务的转型和秘密信息14、模型的网络安全使用这种模式要求我们：1、选择适当的守门人功能，识别用户2、实施安全控制，以确保只有授权的用户访问指定的信息或资源3、可信计算机系统可能是有用的帮助实施这种模式第三章1、什么是密码？1、密码是对信息的一种编码和解码手段，通过数学原理保证了知道某个关键密码的人之间可以使用这种手段在有敌人、敌对势力存在的通信环境中安全地、放心地通信，而不知道这个关键密码的第三方却不可能有足够的计算资源破译他们之间的通信或交易的内容2、“足够的计算资源”、“密码所承诺的通信和交易的安全”都是相对概念2、一些基本术语1、明文（明文

14、） - 原始信息2、密文（密） - 编码信息3、密钥（密钥） - 在使用密码信息只知道向发件人/接收器4、加密（加密） - 密文转换为明文5、解密（解密） - 密文，则从明文6、密码编码学（加密） - 加密原理/方法研究7、密码分析学（密码分析） - 不知道的破译密文/方法研究的关键原则8、密码学（密码学） - 密码学和密码分析的两个领域3、密码学的发展：1、1949年之前：密码学作为一种技艺,而不是一门科学2、1929年1976年：密码学进入了科学的轨道（单密钥的对称密钥加密算法）3、1976年至今：一种新的密码体制 : 公开密钥体制4、密码系统的模型：5、密码学的主要应用1、密码学主要致力

15、于信息加密、信息认证、数字签名和密钥管理等方面的研究。它所能提供的安全服务至少上有四种：- 机密性（Confidabiality）- 完整性（Integrety）- 真实性（Authenticity）- 不可抵赖性（Non-repudiation）。 2、机密性指的是：除了收发双方之外，任何其他截获这些信息的人无法从字面上解读、也无法凭借现阶段可获得的计算资源将原文还原，只有共享秘密的接收方才能够正确解密并阅读。3、完整性指的是：通过对原文进行的某种操作，得到原文的一个“忠实的”缩影。在现阶段可以获得的计算资源条件下，对原文的任何一点改动，都会导致相应缩影的改动，以此来保证接收方收到的信息恰恰

16、就是发信方发出的原文，没有经过任何篡改和破坏。4、真实性指的是：通过对原文进行的某种操作，得到发信方在原文上的一个“签名”。一个在现阶段可以获得的计算资源条件下，这个签名很容易验证但很难模仿。以此来确认接收到的信息确实是发信方发的，不是别人仿冒的。5、不可抵赖性指的是：通过上述的“签名”，来确认发信方确实发了接收方收到的信息。他想否认都做不到：因为在现阶段可以获得的计算资源条件下，如果不是发信方发的，将无法解释接收方何以能够收到具有那样“签名”的信息。6、历史上的密码：滚筒密码、凯撒密码7、两个加密技巧：1、移位，或叫置换（Transposition cipher）：将字母顺序重新排列，例如h

17、elp me变成ehpl em；2、替代，或叫代换（Substitution cipher）：有系统地将一组字母换成其他字母或符号，例如fly at once变成gmz bu podf（每个字母用下一个字母取代）。 *对于加密解密技术，请自行参照课件（资料过多）*8、密码分析者攻击密码系统的方法主要有以下三种：1、穷举攻击：指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文；或者用一个确定的密钥对所有可能的明文进行加密，直至得到所获得的密文。 2、统计分析攻击：指密码分析者通过分析密文和明文的统计规律来破译密码。 3、数学分析攻击：指密码分析者针对加解密算法的数学基础

18、和某些密码学特性，通过数学求解的方法来破译密码。 9、对加密信息的攻击类型10、蛮力搜索1、总是尽一切可能以简单的关键2、最基本的攻击，密钥大小成正比3、假定或者知道/承认明文11、狐狸尾巴：概率分布1、单个字母对单个字母，不管怎样变换，字母的出现概率在一个具体的语言里面是十分稳定的2、稳定的概率是破译这种经典密码体制的关键12、密码体制的安全性1、无条件安全性如果密码分析者具有无限的计算能力，密码体制也不能被攻破，那么这个密码体制就是无条件安全的。 2、计算安全性如果攻破一个密码体制的最好的算法用现在或将来可得到的资源都不能在足够长的时间内破译，这个密码体制被认为在计算上是安全的。 3、可证

19、明安全性可证明安全性只是说明密码体制的安全与一个问题是相关的，并没有证明密码体制是安全的，可证明安全性也有时候被称为归约安全性。 13、加密体制的分类1、流（序列）密码2、分组密码（无密钥体制、单密钥体制、公钥体制）14、流密码模型15、分组密码体制16、无密钥体制、单密钥体制、公钥体制特点比较1、无密钥体制特点1、不需要密钥（收发双方的共享秘密），因而不需要密钥管理，相对安全2、尚未找到相应的比较安全的数学算子（满足交换性）3、需要两次通信，代价和可靠性都有问题2、单密钥体制特点1、效率高，容易实现2、安全性还可以3、密钥的分发和管理是大问题- 安全性问题（需要另外的安全信道发送）- 管理复

20、杂性问题（N个人两两通信需要多少个单钥？）O(N2)3、公钥体制1、效率较低，硬件实现难度稍大2、安全性好3、密钥管理相对容易*对于混淆与扩散技术，请自行参照课件（资料过多）*17、DES 全称为Data Encryption Standard，即数据加密算法，它是IBM公司于1975年研究成功并公开发表的，1977年，美国把DES用于国家非保密机关。18、DES是一种采用传统加密方法的分组密码。它的算法是对称的，既可用于加密又可用于解密。第四章1、利用以1、数字信号处理理论（图像信号处理、音频信号处理、视频信号处理等）2、人类感知理论（视觉理论、听觉理论）3、现代通信技术4、密码技术等为代表

21、的伪装式信息隐藏方法来研究信息的保密和安全问题2、隐藏者 尽可能多地将信息隐藏在公开消息之中 尽可能不让对手发现任何破绽攻击者 尽可能地发现和破坏对手利用信息隐藏技术隐藏在公开消息中的机密信息3、信息隐藏（伪装）就是将秘密信息秘密地隐藏于另一非机密的文件内容之中。其形式可为任何一种数字媒体，如图象、声音、视频或一般的文档等等；4、密码仅仅隐藏了信息的内容，而信息伪装不但隐藏了信息的内容而且隐藏了信息的存在；5、传统的以密码学为核心技术的信息安全和伪装式信息安全技术不是互相矛盾、互相竞争的技术，而是互补的； 6、信息伪装技术研究的内容包括信息隐藏和信息的版权认证，信息访问的合法身份认定等。其研究

22、涉及密码学，图象处理，模式识别，数学和计算机科学等领域。7、信息隐藏的特性： 1）隐蔽性; 2）安全性; 3）对称性; 4）可纠错性。8、信息隐藏的应用- 信息隐藏 伪装式隐蔽通信- 数字水印- 数字版权管理DRM 数字产品的版权保护9、信息伪装技术（广义信息隐藏）- 为防止数据泄漏，在某种载体中嵌入数据- 古代的隐写术（Steganography）：隐蔽机密信息10、信息隐藏 利用人类感知系统以及计算机处理系统的冗余 载体可以是任何一种多媒体数据，如音频、视频、图像、甚至文本、数据等 被隐藏的信息也可以是任何形式（全部作为比特流）11、信息隐藏的必要性 信息隐藏- 加密：对秘密信息本身进行保

23、护，但信息的传递过程是暴露的- 隐藏：掩盖秘密信息存在的事实 将密码学与信息隐藏相结合，就可以同时保证信息本身的安全和信息传递过程的安全 数字水印- 数字产品的无失真复制的特点，造成版权保护和管理方面的漏洞12、信息隐藏的技术分类：1、隐秘信道2、伪装术1、基于语义的伪装术2、基于技术的伪装术3、匿名通信4、版权标识1、稳健的版权标识：水印（不可见水印、可见水印）、指纹2、脆弱的数字水印第五章 网络安全防御（防火墙、入侵检测）*防火墙*1、防火墙部署在一个网络与其他网络相连接的必经要道上，把网络世界分割成内部和外部2、防火墙以静态的方式侦测进出网络内部的通信参数，符合条件的通信予以放行，不符合

24、条件的通信予以截断3、防火墙的功能和局限性1、功能：1、定义了一个瓶颈点（单一阻塞点）2、提供用于监测安全事件的地点3、方便的平台，如NAT的，使用监控的IPSEC VPN的一些互联网功能2、限制：1、不能防范绕过防火墙的攻击2、可能没有充分保护，防止内部威胁3、不当的安全无线局域网4、笔记本电脑，掌上电脑，便携式存储设备的内部使用外，其余内部使用（laptop, PDA, portable storage device infected outside then used inside）4、防火墙的类型：1、包过滤路由器2、状态检查防火墙3、应用层网关4、电路层网关5、防火墙的体系结构（防火

25、墙的配置）1、屏蔽路由器2、双宿主网关3、屏蔽主机网关4、被屏蔽子网6、防火墙规则配置的基本准则1、一切未被允许的就是禁止的2、一切未被禁止的就是允许的7、NAT（网络地址转换）1、做在防火墙里面的一个附带功能2、将内网地址转换为外网地址3、内转外：多对一，自然实现4、外传内：一对多，需要维护映射标记8、NAT的弱点1、可以伪装合法地址、信任主机、电话拨号、合法用户等方式绕过防火墙2、防外不防内3、对合法性的区分能力弱（仅仅局限于地址、端口等结构特征）4、本身可能有漏洞5、操作系统底座的安全性可能不够9、在遇到攻击时，防火墙可能有如下四种表现：1、未受伤害，能够继续正常工作2、关闭并重新启动，

26、同时恢复到正常工作状态3、关闭并禁止所有的数据通行4、关闭并允许所有的数据通行前面两种比较理想、第三种说的过去，最后一种是最糟糕的10、防火墙面临的考验1、网络带宽越来越大2、防火墙所处的位置不能绕过，面临大流量的压力3、性能成为制约防火墙发展的瓶颈11、防火墙产业的特点1、用户群广大2、利润空间大3、竞争激烈1、软件防火墙，性能不能适应需要2、通用芯片+嵌入式操作系统+特制软件系统，大家处在几乎相同的档次，拉不开距离3、专用芯片，性能高，开发投入大，一旦成功较容易保持领先地位4、国产防火墙同国外先进产品存在明显差距5、政策壁垒相对小，国外/外资产品在个别领域受到限制*入侵检测*1、入侵检测（

27、IDS）：部署在指定的网段上（一般在防火墙里面）及早发现具有入侵特征的网络通信行为，并启动有关的处置（比如切断连接等）的系统 2、入侵检测的类型：1、面向网络的：在共享的网络或者交换网络的监听端口上部署，从网络流量中识别攻击特征串（比如缓冲区溢出攻击中使用的攻击代码）2、面向主机的：从主机的系统调用拦截、审计日志分析等渠道获取数据、识别攻击特征3、入侵检测原理1、入侵行为有一定的规律，通过对网络流量和主机审计记录的分析可以判断2、判断有时间限制，只有赶在穿透成功之前实现识别和响应，才能达到拦截的效果3、公式：PtDt+Rt （入侵检测在公式成立时才有意义）Pt： 穿透时间Dt: 检测时间Rt:

28、响应时间4、问题：问什么有了防火墙还需要入侵检测？防火墙是非常好的访问控制点，但并不善于防止入侵。5、入侵检测的起源1980年，James Anderson最早提出计算机安全威胁监控与监视：入侵检测概念1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统

29、2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。6、入侵检测系统包括三个功能部件（也就是入侵检测分为三步：信息收集、信息分析、信息处理）1、信息收集1、收集内容包括：系统、网络、数据及用户活动的状态和行为2、入侵检测很大程度上依赖于收集信息的可靠性和正确性，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当的坚固性，防止被篡改而收集到错误的信息3、信息收集的来源1、系统或网络的日志文件2、网络流量3、系统目录和文件的异常变化4

30、、程序执行中的异常行为2、信息分析1、模式匹配：就是将收集到的信息与已知的网络入侵和系统误用模式数据进行比较，从而发现违背安全策略的行为2、统计分析：首先给系统对象（用户、文件、目录和设备等）创建一个系统描述，统计正常使用时的一些测量属性（访问次数、操作失败次数和延时等）3、完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。在发现被更改的，被安装木马的应用程序方面特别有效。3、结果处理1、误报：系统错误地将异常活动定义为入侵2、漏报：系统未能检测出真正的入侵行为7、入侵检测分类：1、按照分析方法：异常检测、误用检测2、按照数据来源：基于主机、基于网络

31、8、异常检测模型：首先总结正常操作应该具有的特征（用户轮廊），当用户活动与正常行为有重大偏离时即被认为是入侵1、异常检测：1、前提：入侵是异常活动的子集 2、用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围3、过程4、指标:漏报率低,误报率高2、异常检测的特点：1、异常检测系统的效率取决于用户轮廓的完备性和监控的频率2、因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵3、系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源9、误用检测模型：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系

32、统行为与库中的记录相匹配时，系统就认为这种行为是入侵1、误用检测：1、前提：所有的入侵行为都有可被检测到的特征 2、攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 3、过程4、指标:误报低、漏报高 2、误用检测特点：1、采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。2、攻击特征的细微变化，会使得滥用检测无能为力10、基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机11、基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行12、入侵检测响应机制1、弹出窗口报警2、e-mail通知3、切断TCP连接4、执行

33、自定义程序5、与其他安全产品交互：firewall、SNMP Trap13、蜜罐：1、一个高级的网络节点可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐。2、蜜罐的分类：1、交互性：攻击者在蜜罐中活动的交互性级别2、低交互型虚拟蜜罐3、高交互型物理蜜罐4、虚拟机蜜罐虚拟硬件、真实操作系统/网络服务3、蜜罐技术的优势：1、高度保真的小数据集1、低误报率2、低漏报率2、能够捕获新的攻击方法及技术3、并不是资源密集型4、原理简单，贴近实际4、蜜罐技术的发展历程：蜜罐蜜网蜜场5、蜜罐技术研究热点：虚拟蜜罐工具、蜜网体系框架、蜜场、客户端蜜罐捕获并分析针对客户端的安全威胁6、蜜网

34、技术实质上就是一种研究型、高交互型的蜜罐技术，是一个体系框架7、蜜网技术的核心需求：1、数据控制机制2、数据捕获机制3、数据分析机制12、CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议13、CIDF的规格文档由四部分组成，分别为：1、体系结构：阐述了一个标准的IDS的通用模型2、规范语言：定义了一个用来描述各种检测信息的标准语言3、内部通讯：定义了IDS组件之间进行通信的标准协议4、程序接口：提供了一整套标准的应用程序接口第五章 漏洞与攻击1、漏洞是程序的一种客观存在的脆弱性，可以被利用来实施攻击2、攻击是对漏洞的最直观的验证方式，攻击在某些条件下也是最好

35、的防御3、拥塞：1、因处理能力或某种必备资源不足而产生的失去服务能力的现象，也叫“拒绝服务”（Denial of service）2、人为造成目标主机或网络处于拥塞状态的行为，称为“拒绝服务攻击”3、拒绝服务攻击不可能对目标主机进行实质性的破坏，但可能造成因服务停顿而带来的损失（可能非常之巨大）4、主要的攻击方式：邮件炸弹攻击、ping风暴攻击、同步风暴攻击、IP碎片攻击、分布式拒绝服务攻击5、邮件炸弹攻击：垃圾邮件与邮件炸弹6、邮件炸弹攻击的危害：1、干扰用户的电子邮件系统的正常使用2、致使邮件服务器系统崩溃3、造成网络系统瘫痪7、在短时间内对准一个目标系统发送密集的大Ping包，将使这类目

36、标系统出现拥塞。这就是Ping to Death的攻击，也称为Ping风暴攻击方式。8、Ping风暴攻击的先决条件：1、目标系统版本较老（新的版本大多已经对此漏洞采取了一定的补救措施）2、己方出入口带宽对方出入口带宽（否则，被淹死的首先是你自己）9、Ping风暴攻击的防范1、更新系统，扩大带宽2、安装IDS3、发现可疑IP立即封锁4、各个ISP协查联防5、万不得已时，关闭ICMP10、同步风暴攻击：英文Syn flood，是利用TCP三次握手中的漏洞造成主机拥塞11、同步风暴攻击为什么能够得手1、目标系统有漏洞2、具体地说，握手机制的实现，顺序有问题申请开销过早3、如果先花费少量开销维持握手状

37、态，等到对方的ACK来了之后再申请真正的开销，情况就会好得多12、同步风暴攻击应对1、目标系统更新版本，握手机制的实现采用新顺序，推迟申请开销的时机2、安装IDS3、发现可疑IP立即封锁4、各个ISP联防协查13、IP碎片攻击是一种利用IP报文分片和重组机制中存在的漏洞造成目标系统资源耗尽或崩溃的一种拒绝服务攻击。它不仅可以攻击联网主机，也可以攻击防火墙、IDS（入侵监测系统）等网络设备。IP碎片攻击还可以用来逃避IDS检查，因为许多网络入侵检测系统的机理是单IP包检测，没有处理分片。14、IP碎片攻击原理1、所有攻击，都是在报片偏移上做文章2、Jolt2：在报片重组时造成溢出，一些未打补丁的

38、Windows系统（如NT,2000）会造成蓝屏、死机(溢出)3、Teardrop：在报片重组时造成重叠，一些老的Linux版本在遇到重叠时会导致系统崩溃（重叠）15、分布式拒绝服务攻击：英文Distributed Denial of Service，简称DdoS。顾名思义，是多个攻击源同时攻击，造成目标系统拥塞。每个攻击源的攻击手法可以相同，也可以不同。攻击源受控于同一攻击者16、DDoS的步骤1、部署主攻节点2、控制僵尸，植入攻击程序3、向主攻节点发送攻击启动命令（很可能是非常隐蔽的，比如进行了加密）4、主攻节点向僵尸发送攻击启动命令5、各僵尸在同一时间对准同一目标发起DoS攻击（比如pi

39、ng风暴、同步风暴、垃圾Web请求等），而且僵尸发出的攻击包可能伪造假的IP源地址17、分布式拒绝服务攻击的危害：1、网络拥塞、系统崩溃、正常的服务难以开展2、服务停顿导致的间接损失巨大，尤其是门户网站和电子商务网站3、享受服务的普通网民的损失，总的算起来也非常巨大4、如果用于门户网站和电子商务网站之间的恶性竞争，将极大地破坏网络经济的秩序，导致网络经济的全面崩溃18、分布式拒绝服务攻击的防范和应对1、各ISP协查、联防2、路由器/防火墙（尤其是部署在骨干网上的）进行流量threasholding（阈上分流），相当于到了警戒水位就泄洪19、对拥塞攻击的总体评价1、攻击深度不够，只能瘫痪系统，不

40、能控制系统2、局部合法，整体非法3、小带宽具有天然劣势，可通过分布式等手段，放大杀伤力，化局部劣势为全局优势4、商店的比喻：纠集大批人群占据柜台，光问价不买东西20、访问权限的获取，是对目标系统进行控制的必由之路1、访问权限的获取有如下途径：1、获取口令1、通过“社会工程”获取口令2、通过窃听获取口令3、通过猜测获取口令4、通过计算（破译）获取口令2、利用隐通道1、利用缓冲区溢出制造隐通道2、利用后门制造隐通道21、什么是社会工程学方法1、窥探：看别人击键、隐蔽录像2、骗取：假冒可信任的人的名义3、利用管理漏洞和目标系统管理者的疏忽：纸条22、社会工程学方法的防范：好的文化、好的习惯、好的管理

41、（最关键）23、什么是“弱口令”直观上说，容易猜测的口令就是弱口令严格地说，如果存在一个函数，任给一个特定的用户ID及其必要的相关信息作为自变量，那么这个函数只需要少量的计算代价就会得出包含该用户口令的一个范围很小的集合，那么就称这个用户使用的口令是一个弱口令24、绝对弱口令与相对弱口令猜测口令的代价与用户ID及其相关信息无关的，这种弱口令称为绝对弱口令，比如使用英文单词作为口令猜测口令的代价与用户ID及其相关信息有关的，这种弱口令称为相对弱口令，比如用户ID为zhangsan，用户口令为zhangsan或者zhangsan12325、绝对弱口令的猜测攻击1、绝对弱口令一般都属于一个公用的封闭

42、集合，例如一部字典2、绝对弱口令攻击就是遍历这个封闭的集合，由于前述原因又被称为字典攻击3、遍历一个有几万个元素的封闭集合，对于现代计算机来说代价是非常小的26、对绝对弱口令攻击的防范1、设定最大不成功登录次数，防止多次口令试探2、避免使用现成的中英文单词作为口令27、相对弱口令的猜测攻击1、相对弱口令依据的变换：前后缀、重复、头声母组合2、信息+变换：一个并不大的空间3、有些工具把绝对弱口令和相对弱口令的猜测放在一起28、缓冲区溢出攻击1、现象：给函数传递超出预期大小的参数，使系统进入异常状态2、后果：取得对目标系统的部分或全部控制权29、什么是“缓冲区”？1、缓冲区:内存中一块连续的区域,

43、用于储存相同类型的数据实例;2、缓冲区定义类型:1、静态分配内存：装载时分配的数据段load time,data segment;2、动态分配内存：运行时分配的堆栈run time,stack.30、缓冲区溢出攻击控制目标系统的条件1、被攻击的具有缓冲区溢出漏洞的程序以超级用户（Root）身份运行2、嵌入越界数据的攻击代码是一段Shell Code，通过Root的执行，达到控制系统的目的31、制造远程缓冲区溢出的途径1、通过服务程序（ftpd, sendmail等）2、通过Web请求携带的CGI参数或ASP/PHP脚本3、通过打包拆包编码工具32、缓冲区溢出的预防1、程序指针完整性检查2、堆栈

44、保护方法和非执行缓冲区方法3、兼容性和性能的考虑33、缓冲区溢出攻击的应对1、注意跟踪最新的安全事件报告和漏洞报告，及时升级、打补丁2、安装IDS，很多缓冲区溢出漏洞有明确的攻击特征串3、一般不容易发现，发现时要及时切断网络连接，更换超级用户口令4、缓冲区溢出只是引子，它引导执行的那段攻击代码却可以千差万别，各自造成的损失（比如网页被黑，文件被盗被破坏等）有各自的应对办法第六章 隐藏与欺骗1、IP欺骗1、Unix主机间可以定义一些信任关系，有了这些信任关系，就可以在一个小圈子里弱化安全策略，简化访问控制的手续2、IP欺骗攻击就是利用了这种信任关系，采用技术欺骗手段达到攻击的目的3、概括来说，I

45、P攻击可以归纳为以下五点：1、找出B与C的信任关系2、封死你要冒充的主机C，以免它对你攻击B造成干扰3、连接到B主机的某个端口（比如25）来猜测ISN的变化规律4、与B主机建立虚假连接并骗取B的信任关系5、其它后续手段2、TCP劫持攻击1、我们可以首先控制一台已经和目标主机建立起连接的机器，模仿它的序列号但把源地址替换成一个子虚乌有的IP地址，然后无缝地切换到自己的机器上，同时继续保持刚才的假地址和序列号，做更多的事情。这种攻击叫做“TCP劫持攻击”或“会话劫持攻击”3、域名欺骗攻击1、你是否遇到这样的情况：本来想登录网站甲，结果却走进了网站乙。你以为网站甲被黑了，其实网站甲的数据完好无损，只

46、不过你接收到的数据并不来自网站甲而是来自网站乙。都是域名惹的祸在域名解析这个环节，你被欺骗了，有人向你伪造了关于这个域名的IP地址的信息2、域名欺骗的实现路径1、通过伪造的电子邮件注册域名修改信息2、通过请求重定向3、通过伪造DNS应答包4、通过控制DNS服务器4、隔离 != 隔绝5、安全策略上具有共性的网络互联而成的整体，叫做一个安全域。不同的安全域之间，在安全策略上有所不同，需要一种技术措施来加以维持。这种维持不同安全域之间不同安全策略“压差”的技术措施，称为广义的“隔离”。6、隔离的等级与狭义隔离1、（不设防连接）网络之间存在不受控的即时连接2、（设防连接）网络之间存在受控的即时连接3、

47、（逻辑隔离）网络之间存在受控的延时数据交换4、（物理隔离）网络之间不存在任何数据交换7、隔离等级与安全域等级1、隔离等级标记：ABCD2、把网络视为节点，把网络之间的可能施加了某种隔离措施的连接视为边，则构成一个图（无向）G，边上的权值为隔离等级标记3、一个具有隔离等级X的安全域是G的一个子图G，满足1、G的节点与非G的节点之间的边的隔离等级均不小于X2、G的节点之间的边的隔离等级均不大于X8、狭义隔离1、定义：在同一个物理办公环境中，容纳两个（或以上）安全域，以尽可能小的成本保证它们之间不发生数据交换（等级D）或只发生受控的延时数据交换（等级C）2、手段：切断或接管控制网间数据交换的一切可能

48、的隐蔽通道9、狭义隔离的典型应用1、一般政务网（政务外网）办公环境：逻辑隔离（C级）1、内部网获取外部网的指定信息2、内部网与外部网交换指定信息2、核心涉密网（政务内网）办公环境：物理隔离（D级）1、一个桌面容纳两个网的办公环境，确保二者不发生数据交换10、狭义隔离的分类1、严格（物理）隔离系统：双机系统、单机双网卡双硬盘系统单机单隔离卡双硬盘系统、单机单线单硬盘系统（内网为远程终端）2、延迟（逻辑）隔离系统（网闸系统）：转播（安全镜像）系统、延迟代理系统、内外网互斥开关11、什么叫“受控”？1、外来病毒、木马的过滤2、外来攻击的过滤3、内部涉密信息外泄的过滤4、内外网之间的安全通信协议12、

49、来自管理的挑战1、网线对调、软盘拷贝、笔记本电脑的控制13、安全信息发布技术：1、服务与信息分离2、分布式入侵检测13、安全信息镜像技术的基本功能：1、信息采集2、互斥开关3、信息镜像4、信息检索5、信息推送第七章 恶意代码1、通过未经用户授权的渠道传播并执行的、具有恶意执行效果的计算机程序，称为恶意代码（Malware）2、计算机病毒（Virus）是恶意代码的典型代表，具有通过操作系统或网络自我复制的能力3、后门（Backdoor）、特洛伊木马（Trojan Horse）、逻辑炸弹（Logical Bomb）不具备自我复制的能力，但也属于恶意代码的范畴4、计算机病毒：1、广义定义：能够引起计

50、算机故障,破坏计算机数据的程序都统称为计算机病毒。2、狭义定义：病毒程序通过修改(操作)而传染其他程序,即修改其他程序使之含有病毒自身的精确版本或可能演化的版本、变种或其他病毒繁衍体。3、可见，计算机病毒的广义定义差不多就相当于恶意代码5、我国的计算机病毒定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。6、计算机病毒的特征1、非授权可执行性2、隐蔽性3、传染性4、潜伏性5、表现性或破坏性6、可触发性7、计算机病毒与生物病毒相比较8、恶意代码的分类1、计算机病毒：通过自我复制传播，带有不同程度的破坏性2、后门：

51、通过特殊手段植入或预留，用以绕开正常的访问控制机制进入系统3、特洛伊木马：通过特殊手段植入，用以进行远程控制4、逻辑炸弹：通过特殊手段植入，用以耗尽目标系统资源9、病毒的分类按传染方式1、引导型病毒：小球病毒、大麻病毒、Anti-CMOS病毒2、文件型病毒：1575/1591病毒、CIH病毒、WM/Concept病毒3、网络病毒1、即时传播类：红色代码、Nimda2、延时传播类：爱虫、SirCam、求职信、欢乐时光等10、病毒的分类按破坏性1、良性病毒：小球病毒、WM/Concept病毒2、恶性病毒：CIH病毒、爱虫病毒11、制作恶意代码的目的：自我表现、版权保护、发泄报复、特殊目的12、恶意

52、代码的危害：消耗资源、干扰输出、干扰输入、破坏信息、泄漏信息、破坏系统、心理影响13、即时网络病毒的传播原理1、利用网络漏洞向远程主机植入并运行病毒代码2、运行病毒代码的同时向另外一台远程主机植入并运行病毒代码3、分三个阶段1、请求探测2、代码植入3、发作（代码运行）14、延时网络病毒的传播机理1、利用合法途径通过网络将携带病毒的宿主对象（邮件或网页）送至第三方平台（如邮件服务器、网站）2、在目标系统使用者不知情的情况下将携带病毒代码的宿主对象下载到本地3、利用本地网络软件（邮件客户端或浏览器）的漏洞，激活宿主所携带的病毒运行，运行结果是携带病毒的新的宿主对象被发送到网上4、分四个阶段：代码加

53、载、代码发送、代码接收、代码激活5、延时网络病毒的特点1、蔓延速度低于即时网络病毒2、影响面广（差不多所有的客户端）3、隐蔽性好（有些病毒附件并不是可执行的类型，但是隐含地具有执行属性）4、防不胜防（客户端漏洞知多少）15、远程控制1、目的：植入特洛伊木马，一般不是为了让木马自行其是，而是让木马作为目标主机里的一个服务例程，随时准备接受远程指令，通过这种办法实现从远程对目标主机的控制和操作2、著名例子：BO（ Back Orifice ），冰河16、在一个信息系统中，不为正当用户所知晓、但却为少数未经正当用户授权的非法特权人物所掌握的访问途径，被称为这个信息系统的“后门”。可以被第三者“植入”

54、，也可以是开发者“预留”17、后门与木马的区别1、特洛伊木马是一个未经授权而驻留的程序，而后门则是一个本来有着正当用途的合法系统的未经正当用户授权的访问途径。2、一个系统的后门可以是这个系统的设计阶段就预先埋伏下的，也可能是这个系统付诸使用以后因为有人更改了系统的配置而导致的。3、后一种情况是典型的攻击行为4、前一种情况十分复杂，在个人失误与组织犯罪之间走钢丝，往往被一些政治势力利用18、逻辑炸弹的目的：1、恶意消耗系统资源2、导致系统崩溃3、一般在敌对、对抗环境中使用，如果用来威胁普通用户，是严重的违法行为19、逻辑炸弹的类型1、从外部：Ping炸弹、OICQ炸弹、邮件炸弹（黑客工具）2、从

55、内部：1、Fork炸弹：由一个进程派生出越来越多的进程，最后资源耗尽导致死机2、内存炸弹：不断占用越来越多的内存空间，最后内存耗尽而崩溃3、网页炸弹：不断弹出越来越多的窗口，让你一一确认，最后用户不胜其烦或系统不堪重负而不得不重启动4、等等20、逻辑炸弹的用法1、可作为病毒代码中的效果部分2、有人用于保护知识产权（法律上受到指责），某病毒公司的例子3、用于信息战4、原理、实现都很简单，使用要谨慎21、其他恶意代码1、强制修改默认网页2、强制进入收藏夹3、强制占用CPU资源（云计算不得不防的一点）22、恶意代码的侦测手段：1、代码特征检测2、宿主特征检测3、虚拟机检测23、恶意代码的清杀步骤1、

56、用干净的系统盘启动系统2、把恶意代码从宿主程序中剪除出去，恢复正常的宿主程序 3、把本身就是恶意代码的文件删除掉4、把与恶意代码相关的项目从注册表中删除掉5、重新启动系统 6、CIH病毒的清杀涉及到BIOS，特殊处理24、恶意代码的预防1、打补丁2、从严配置3、管理与习惯第八章 取证分析1、取证分析：搜集、分析数据，在此基础上重构一个计算机系统在过去一段时间里所发生的事件再现历史2、取证分析面临的问题1、数据可能遗失，或者被有意破坏2、数据的可信任程度不等3、数据来源多样化，需要综合分析和融合3、取证来源1、内存映像2、MAC时间3、网络状态4、物理磁记录5、MD5散列（消息文摘）6、配置文件

57、与日志文件4、时间证据1、数据或者动作总是发生在一定的时间段之中的2、时间总是通过一定的痕迹反映出来A 通过元数据，比如MAC TimeB 通过内容，比如日志记录5、MAC时间1、Mtime：最近修改时间（Time of last modification）例如：写/截断，创建/删除目录项2、Atime：最近访问时间（Time of last access）读/执行文件，查看目录项3、Ctime：最近状态变更时间（Time of last status change）属主、权限、参照计数等6、空间证据1、发生过的事情，可能在意想不到的地方留下痕迹2、即使你以为你删除了它，可它还顽强地存活在系统

58、中3、追溯这些痕迹，你会成为一个取证的高手7、硬盘上的信息存储何时发生？1、在你明确选择“保存”或者“另存为”时操作系统显式地把文件存入文件系统2、在你下载文件时操作系统隐式地把临时文件存入文件系统的缓存目录下3、在你编辑文件时系统将根据调度策略将某些内容“预写”(pre-write)到硬盘4、在你执行程序时系统将会把部分硬盘空间作为“虚存”,随着程序的执行频繁写入8、文件被破坏/被删除时硬盘上发生了什么？1、仅仅是文件的物理存储与操作系统的联系被切断2、代表文件物理存储的磁记录大部分没有改变（一遍低级格式化都未必能清楚干净）9、硬盘数据的总特点1、“产生易、销毁难”2、成为取证的一个重要的途

59、径3、双刃剑优点：可以取到不容易销毁的证据，可以部分恢复丢失的或被覆盖的信息缺点：真正为了安全需要彻底销毁硬盘数据的时候，需要比较专业的处理10、硬盘上的信息存储特点1、计算机系统的活动或多或少有固定模式和规律可循2、每个子系统的活动伴随的对文件系统的访问都有稳定的分布模式3、即使是存储空间非常有限的情况下，所存储的大多数信息也很少变化，变化频繁的文件只是少数4、信息的销毁是一个渐变的过程，无论数据还是元数据都是如此11、日志证据类型1、操作系统日志2、应用系统日志3、LAN网络设备日志4、沿途ISP日志5、公共网络服务日志12、诱骗取证1、所谓有骗取证，就是营造一个虚假的环境，骗取攻击者留下证据2、虚假的主机环境，叫做一个“蜜罐”（honey pot