第2章网络攻防相关概念

1、第二章 网络攻防相关概念2.1 OSI安全体系结构 n1983年国际标准化组织ISO，开放式系统互连的参考模型OSI/RMn定义了计算机网络功能的七层n1989年，ISO7498-2标准颁布，确立了OSI参考模型的信息安全体系结构n不着眼于解决某一特定安全问题，而是提供一组公共的安全概念和术语，用来描述和讨论安全问题和解决方案，对构建具体网络环境的信息安全构架有重要的指导意义。 2.1 OSI安全体系结构nOSI安全体系结构是安全服务与相关安全机制的一般性描述，说明了安全服务怎样映射到网络的层次结构中去，并且简单讨论了它们在其中的合适位置n主要包括三部分内容：安全服务、安全机制和安全管理 n核

2、心内容包括五大类安全服务以及提供这些服务所需要的八个特定的安全机制和五个普遍安全机制 2.1 OSI安全体系结构2.1.1 五类安全服务n鉴别服务 n提供对等实体的身份鉴别和数据起源鉴别，使得当某层使用低层提供的服务时,确信与之打交道的对等实体正是它所需要的实体。n数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的，可以带有效期检验也可以不带。这种服务能够提供各种不同程度的保护。 2.1.1 五类安全服务n访问控制服务n对OSI协议的可访问资源提供保护，按照访问控制策略进行访问，防止非授权的访问。n这些资源可以是经OSI协议访问到的OSI资

3、源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问（例如 使用通信资源； 读、写或删除信息资源；处理资源的执行）或应用于对一种资源的所有访问。n访问控制服务包括策略和授权两部分，策略部分决定了访问控制的规则，实施部分则据此进行授权。2.1.1 五类安全服务n数据保密性服务n对用户数据提供针对非授权泄漏的保护，保护对象为面向连接或者无连接的或者特定字段及通信业务流。数据保密性服务包括：n连接保密：为一次连接上的全部用户数据保证其机密性；n无连接保密：为单个无连接的SDU（服务数据单元）中的全部用户数据保证其机密性n选择字段保密：为那些被选择的字段保证其机密性, 这些字段或处于某个连

4、接的用户数据中, 或为单个无连接的SDU中的字段。n业务流保密：使得通过观察通信业务流而不可能推断出其中的机密信息2.1.1 五类安全服务n数据完整性服务n提供数据完整性保护，防止通过违反安全策略的方式进行非法修改（包括篡改、重排序、删除和假冒）n可恢复的连接完整性：为连接上的所有用户数据保证完整性, 并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或重演（同时试图补救恢复）n不可恢复的连接完整性：与上相同，只是不作补救恢复n选择字段的连接完整性n无连接完整性：当由某层提供时, 对发出请求的上层实体提供完整性保证。另外, 在一定程度上也能提供对重演的检测。n选择字段无连接完整性：为

5、单位无连接的SDU中的被选字段保证完整性, 所取形式为确定被选字段是否遭受了篡改。 2.1.1 五类安全服务n抗抵赖性服务n抗抵赖服务为数据的接收者提供数据来源的证据，对通信双方进行特定通信过程的不可否认性验证。抗抵赖性服务包括：n有数据原发证明的抗抵赖：为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。n有交付证明的抗抵赖：为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容不能得逞。2.1.2 安全服务提供的安全机制 n特定的安全机制 n加密n加密机制既能为数据提供机密性，也能为通信业务流信息提供机密性，并且还可

6、成为其它的安全机制中的一部分或起补充作用。加密算法可以是可逆的, 也可以是不可逆的。可逆加密算法有两大类：n对称加密/私钥加密：对于这种加密, 知道了加密密钥也就意味着知道了解密密钥, 反之亦然；n非对称加密/公开密钥：对于这种加密, 知道了加密密钥并不意味着也知道解密密钥, 反之亦然。这种系统的这样两个密钥有时称之为“公钥”与“私钥”。n除了某些不可逆加密算法的情况外, 加密机制的存在便意味着要使用密钥管理机制。2.1.2 安全服务提供的安全机制n数字签名n数字签名是附加在数据单元上的一些数据（密码校验值），或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者确认数据单元来源和数

7、据单元的完整性，并保护数据，防止被他人伪造。n这种机制确定两个过程：对数据单元签名和验证签过名的数据单元。n第一过程使用签名者私有信息作为私钥。n第二个过程所有的规程与信息是公之于众的, 但不能够从它们推断出该签名者的私有信息。签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。2.1.2 安全服务提供的安全机制n访问控制n根据实体的身份来确定其访问权限，按照事先约定的规则决定主体对客体的访问是否合法。n如果某个实体试图使用非授权的资源，或者以不正当方式使用授权资源，那么访问控制功能将拒绝这一企图，另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。n其基础

8、包括访问授权信息、鉴别信息、访问权限、安全标记、访问请求事件以及方式。 2.1.2 安全服务提供的安全机制n数据完整性n数据完整性有两个方面：单个数据单元或字段的完整性以及数据单元流或字段流的完整性。一般来说, 用来提供这两种类型完整性服务的机制是不相同的，尽管没有第一类完整性服务，第二类服务是无法提供的。对数据单元主要采用数字签名技术。n认证交换n通过信息的交换来提供对等实体的认证，包括口令鉴别、密码技术、时间戳和同步时钟、二/三次握手、不可否认机制、实体特征或所有权鉴别。如果认证实体时得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。

9、2.1.2 安全服务提供的安全机制n业务流填充n在应用连接空闲时，持续发送伪随机序列，使攻击者不知道哪些是有用信息，从而抵抗业务流量分析攻击。这种机制只有在业务流填充受到机密服务保护时才是有效的。n路由选择控制n路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。2.1.2 安全服务提供的安全机制n公证n有关在两个或多个实体之间通信的数据的性质, 如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保

10、。n这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。n当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信，可以提供对通信数据的完整性、源和宿以及事件特性的第三方保证和公平仲裁。通信过程中使用的签名、加密和完整性机制应与公证机制兼容。2.1.2 安全服务提供的安全机制n普遍安全机制 n可信功能度机制n用来度量扩充其他安全机制的范围或建立这些安全机制的有效性，必须使用可信功能度。任何功能度，只要它是直接提供安全机制，或提供对安全机制的

11、访问，都应该是可信的。n安全标记机制n安全标记是与某一资源（可以是数据单元）密切相联的标记，为该资源命名或指定安全属性（这种标记或约束可以是明显的，也可以是隐含的）。n包含数据项的资源可能具有与这些数据相关联的安全标记，如表明数据敏感性级别的标记，安全标记通常必须和数据一起传送。安全标记既可能与被传送的数据相连，也可能是隐含的信息。2.1.2 安全服务提供的安全机制n事件检测机制n与安全有关的事件检测包括对安全明显的检测, 也可以包括对“正常”事件的检测, 例如一次成功的访问（或注册）。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。n安全审计跟踪机制n安全审计跟踪提供了一种不可忽

12、视的安全机制, 它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。n安全审计就是对系统的记录与行为进行独立的品评考查, 目的是测试系统的控制是否恰当, 保证与既定策略和操作堆积的协调一致, 有助于作出损害评估, 以及对在控制、策略与规程中指明的改变作出评价.安全审计要求在安全审计跟踪中记录有关安全的信息, 分析和报告从安全审计跟踪中得来的信息。2.1.2 安全服务提供的安全机制n安全恢复n安全恢复处理来自诸如事件处置与管理功能等机制的请求，并把恢复动作当作是应用一组规则的结果。这种恢复动作可能有三种：n立即的：可能造成操作的立即放弃, 如断开n暂时的：可能使一个实体暂时无效n长期的：可

13、能是把一个实体记入“黑名单”, 或改变密钥。2.1.3 安全服务和特定安全机制的关系2.1.3 安全服务和特定安全机制的关系2.1.4 OSI安全体系的管理nOSI安全管理涉及与OSI有关的安全管理以及OSI管理的安全两个方面。n与OSI有关的安全管理活动有三类n系统安全管理n安全服务管理n安全机制管理n另外，还必须考虑到OSI管理本身的安全。 2.1.4 OSI安全体系的管理n系统安全管理n系统安全管理涉及总的OSI环境方面管理。属于这一类安全管理的典型活动有：n总体安全策略的管理，包括一致性的修改与维护；n与其它OSI管理功能的相互作用；n与安全服务管理和安全机制管理的交互作用；n事件处理

14、管理，包括远程报告违反系统安全的明显企图，对触发事件报告的阈值进行修改；n安全审计管理，包括选择被记录和被远程收集的事件，授予或取消对所选事件进行审计跟踪日志记录的能力，审计记录的远程收集，准备安全审计报告；n安全恢复管理，包括维护用来对安全事故做出反应的规则，远程报告对系统安全的明显违规，安全管理者的交互。2.1.4 OSI安全体系的管理n安全服务管理n安全服务管理涉及特定安全服务的管理。在管理一种特定安全服务时可能的典型活动包括：n为服务指派安全保护的目标；n制定与维护选择规则（存在可选择情况时），选取安全服务所需的特定的安全机制；n协商需要取得管理员同意的可用的安全机制；n通过适当的安全

15、机制管理功能调用特定的安全机制；n与其它的安全服务管理功能和安全机制管理功能进行交互。2.1.4 OSI安全体系的管理n安全机制管理n密钥管理：主要功能是间歇性地产生与所要求的安全级别相应的密钥；根据访问控制策略，对于每个密钥决定哪个实体可拥有密钥的拷贝；用可靠办法使密钥对开放系统中的实体是可用的，或将这些密钥分配给它们。n加密管理：主要功能是与密钥管理的交互作用；建立密码参数；密码同步。n数字签名管理：主要功能是与密钥管理的交互作用；建立密码参数与密码算法；在通信实体与可能有的第三方之间使用协议。n访问控制管理：主要功能是安全属性（包括口令）的分配；对访问控制表或访问权力表进行修改；在通信实

16、体与其他提供访问控制服务的实体之间使用协议。n数据完整性管理：主要功能是与密钥管理的交互作用；建立密码参数与密码算法；在通信的实体间使用协议。n鉴别管理：主要功能是将说明信息、口令或密钥分配给要求执行鉴别的实体；在通信的实体与其他提供鉴别服务的实体之间使用协议。n通信业务流填充管理：主要功能是维护通信业务流填充的规则，如预定的数据率；制定随机数据率；指定报文特性，如长度；按时间改变这些规定。n路由控制管理：主要功能是确定按特定准则被认为是安全可靠或可信任的链路或子网。n公证管理：主要功能是分配有关公证的信息；在公证方与通信的实体之间使用协议；与公证方进行交互。2.1.4 OSI安全体系的管理n

17、OSI管理的安全n所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。n这一类安全管理将对上面所列的OSI安全服务与机制进行适当的选取，以确保OSI管理协议和信息获得足够的保护。2.2 网络脆弱性分析 n网络安全威胁 n网络安全具有动态性，其概念是相对的n安全程度是随时间的变化而改变的。n在一个特定的时期内，在一定的安全策略下，系统是安全的。但是随着时间的演化和环境的变迁（如攻击技术的进步、新漏洞的暴露），系统可能会遭遇不同的安全威胁，变得不安全。n根据威胁产生的因素，网络安全威胁可以分为自然和人为两大类。 2.2 网络脆弱性分析n网络脆弱性 n所谓脆弱性，是指系统中存

18、在的漏洞，各种潜在的威胁通过利用这些漏洞给系统造成损失。n脆弱性是复杂网络系统的固有本性，至今仍没有一种方法能证明一个系统是绝对安全、无脆弱性的。 n网络安全脆弱性分类 n脆弱性分析和探测工具 2.2 网络脆弱性分析n网络安全风险n网络安全风险是指特定的威胁利用网络设备及信息资产所存在的脆弱性，使其价值受到损害或丢失的可能性。n网络安全风险就是网络威胁发生的概率和所造成影响的乘积，可以通过网络安全管理的手段来进行控制 n通过网络安全管理可以控制网络安全风险 2.3 网络攻击的分类 n攻击分类理想结果应具有的特征 n互斥性：各类别之间没有交叉和覆盖现象；n完备性：覆盖所有可能的攻击；n无二义性：

19、类别划分清晰、明确，不会因人而异；n可重复性：不同人根据同一原则重复分类的过程，得出的分类结果是一致的；n可接受性：分类符合逻辑和直觉，能得到广泛的认同；n实用性：分类对于该领域的深入研究有实用价值； 2.3 网络攻击的分类n目前已有网络攻击分类方法n基于经验术语的分类方法n利用网络攻击中常见的技术术语、社会术语等来对攻击进行描述的方法。n基于单一属性的分类方法n仅从攻击某个特定的属性对攻击进行描述的方法。n基于多属性的分类方法n同时抽取攻击的多个属性，并利用这些属性组成的序列来表示一个攻击过程，或由多个属性组成的结构来表示攻击，并对过程或结构进行分类的方法。2.3 网络攻击的分类n基于应用的

20、分类方法n对特定类型的应用、特定系统而发起的攻击的属性进行分类描述的方法。n基于攻击方式的分类方法n根据攻击动作是否会对系统资源进行更改而进行分类描述的方法。 2.4 主动攻击与被动攻击 n主动攻击 n主动攻击包含攻击者访问他所需信息的故意行为n改变信息的流动方向 n主要有窃取、篡改、假冒和破坏等攻击方法n六种类型 n探测型攻击n肢解型攻击n病毒型攻击n内置型攻击n欺骗型攻击n阻塞型攻击2.4 主动攻击与被动攻击n被动攻击n被动攻击主要是收集信息，数据的合法用户对这种活动很难觉察到n主要有嗅探、信息收集等攻击方法n不改变信息的流动方向 并不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。

21、多数情况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不一定包括可被跟踪的行为，因此更难被发现。 2.5 网络安全模型 nP2DR模型n策略(Policy)n防护(Protection)n检测(Detection) n响应(Response) P P2 2DRDR模型是在整体的安全策略的控制和指导下，在综合运用防护工具（如模型是在整体的安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）的同时，利用检测工具（如漏防火墙、操作系统身份认证、加密等手段）的同时，利用检测工具（如漏洞评估、入侵检测等系统）了解和评估系统的安全状态，将通过响应工具洞评估、入侵检

22、测等系统）了解和评估系统的安全状态，将通过响应工具将系统调整到将系统调整到“最安全最安全”和和“风险最低风险最低”的状态的状态 2.5 网络安全模型n策略是P2DR模型的核心，它是围绕安全目标、依据网络具体应用、针对网络安全等级在网络安全管理过程中必须遵守的原则。不同的网络需要不同的策略。在实现安全目标时必然要牺牲一定的系统资源和网络运行性能，所以策略的制定要权衡利弊。n防护是网络安全的第一道防线，是用一切手段保护信息系统的保密性、完整性和可用性。通常采用的是静态的安全技术和方法来实现，主要是保护边界提高防御能力， 2.5 网络安全模型n检测是网络安全的第二道防线，是动态响应和加强防护的依据，

23、具有承上启下的作用。目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁网络安全的异常行为，通过安全监控中心掌握整个网络的运行状态，采用与安全防御措施联动方式尽可能降低网络安全的风险。检测的对象主要针对系统自身的脆弱性及外部威胁。n响应是在发现了攻击企图或攻击时，需要系统及时地反应，采用用户定义或自动响应方式及时阻断进一步的破坏活动，自动清除入侵造成的影响，从而把系统调整到安全状态。 2.5 网络安全模型n遵循P2DR模型的信息网络安全体系，采用主动防御与被动防御相结合的方式，是目前较科学的防御体系。nP2DR模型体现了防御的动态性，它强调了系统安全的动态性

24、和管理的持续性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。n安全策略是实现这一目标的核心，但是传统的防火墙是基于规则的，即它只能防御已知的攻击，对新的、未知的攻击就显得无能为力，而且入侵检测系统也多是基于规则的，所以建立高效准确的策略库是实现动态防御的关键所在。n虽然在这里，模型看上去是一个平面的图形，但是经过了这样一个循环之后，整个系统的安全性是应该得到螺旋上升的 2.5 网络安全模型nPDR2模型 nProtection（防护）nDetection（检测）nResponse（响应）nRecovery（恢复） Time-based ConceptionnProtection Time (Pt)nDetection Time (Dt)nResponse Time (Rt)nExposure Time (Et)nFormula 1：Pt