计算机网络技术第二十三讲

计算机网络技术聊城大学环境与规划学院2007年1月第二十三讲计算机网络技术第二十三讲共38页，您现在浏览的是第1页!6.4计算机网络入侵检测与安全预警6.4.1黑客的常用入侵手段6.4.2入侵检测系统6.4.3网络安全预警系统计算机网络技术第二十三讲共38页，您现在浏览的是第2页!6.4计算机网络入侵检测与安全预警本节教学目标：了解黑客的常用入侵手段；理解入侵检测系统；理解网络安全预警系统。计算机网络技术第二十三讲共38页，您现在浏览的是第3页!6.4.1黑客的常用入侵手段§6.4计算机网络入侵检测与安全预警2.黑客进行远程攻击的一般过程收集被攻击目标的有关信息，分析后找出被攻击系统的漏洞。用适当的工具进行扫描。建立模拟环境，进行模拟攻击，测试对方反应，找出毁灭入侵证据的方法。实施攻击。计算机网络技术第二十三讲共38页，您现在浏览的是第4页!6.4.1黑客的常用入侵手段4.漏洞扫描被动式扫描策略基于主机的扫描技术基于目标的扫描技术基于应用的扫描技术§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第5页!6.4.1黑客的常用入侵手段5.IP欺骗基本思路是：假定要攻击主机X，首先要找一个X信任的主机A；攻击者B假冒A的IP地址，建立与X的连接；对X进行攻击。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第6页!6.4.2入侵检测系统IDS1.IDS的工作内容监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补丁审计、识别、跟踪违反安全法规的行为；使用诱骗服务器记录黑客行为。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第7页!6.4.2入侵检测系统IDS实时入侵检测：§6.4计算机网络入侵检测与安全预警当前操作是攻击否?Yes监测No入侵检测攻击识别模块攻击处理模块计算机网络技术第二十三讲共38页，您现在浏览的是第8页!6.4.2入侵检测系统IDS事后入侵检测：§6.4计算机网络入侵检测与安全预警历史纪录是攻击否?Yes返回No入侵检测攻击识别模块攻击处理模块计算机网络技术第二十三讲共38页，您现在浏览的是第9页!6.4.2入侵检测系统IDS3.IDS的工作原理数据分析模式匹配；统计分析；完整性分析。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第10页!6.4.2入侵检测系统IDS基于网络的入侵检测系统§6.4计算机网络入侵检测与安全预警Internet域名路由器控制台Web服务器子网1防火墙子网2子网3计算机网络技术第二十三讲共38页，您现在浏览的是第11页!6.4.2入侵检测系统IDS5.IDS的分析方法异常检测型IDS§6.4计算机网络入侵检测与安全预警是否符合正常行为?YesNo审计数据正常的系统行为轮廓正常状态入侵状态更新轮廓动态的生成新的轮廓计算机网络技术第二十三讲共38页，您现在浏览的是第12页!6.4.2入侵检测系统IDS5.IDS的分析方法两种检测方法之间的区别：§6.4计算机网络入侵检测与安全预警（1）异常检测系统试图发现一些未知的入侵行为；而误用检测系统则是标识一些已知的入侵行为。（2）异常检测指根据使用者的行为或资源使用情况来判断是否入侵，而不依赖于具体行为是否出现来检测；而误用检测系统则大多是通过对一些具体的行为的判断和推理，从而检测出入侵。计算机网络技术第二十三讲共38页，您现在浏览的是第13页!6.4.3网络安全预警系统1.预警系统的原理建立系统的关键是建立一种有效的安全沟通机制。三要素是：先进的“网警”技术；系统的沟通机制；快速的通报手段。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第14页!6.5恶意程序及其防治6.5.1恶意程序与病毒6.5.2网络病毒防范计算机网络技术第二十三讲共38页，您现在浏览的是第15页!6.5.1恶意程序与病毒恶意程序是一类可以危害系统或应用正常功能的特殊程序或程序片断。其活动方式有：修改合法程序，使之变为有破坏能力的程序；利用合法程序，非法获取或篡改系统资源或敏感数据。1.恶意程序及其类型§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第16页!6.5.1恶意程序与病毒陷门（TrapDoors）逻辑炸弹特洛伊木马蠕虫细菌病毒几种常见的恶意程序：§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第17页!6.5.1恶意程序与病毒病毒产生的原因

开个玩笑，一个恶作剧产生于个别人的报复心理用于版权保护用于特殊目的

§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第18页!6.5.2网络病毒防范基于工作站的防病毒技术安装防病毒芯片使用防毒杀毒软件使用无盘工作站备份主要应当从工作站和服务器两个方面进行：§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第19页!6.5.2网络病毒防范病毒防火墙技术实时过滤病毒，对病毒的入侵和向外扩散实行双向把关。主要应当从工作站和服务器两个方面进行：§6.5恶意程序及其防治防杀结合、以防为主、以杀为辅、软硬互补、标本兼治

计算机网络技术第二十三讲共38页，您现在浏览的是第20页!6.4.1黑客的常用入侵手段§6.4计算机网络入侵检测与安全预警1.什么是黑客？黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。计算机网络技术第二十三讲共38页，您现在浏览的是第21页!6.4.1黑客的常用入侵手段3.黑客常用工具扫描器口令入侵工具特洛伊木马网络嗅觉器系统破坏装置§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第22页!6.4.1黑客的常用入侵手段4.漏洞扫描主动式扫描策略是基于网络的扫描技术；通过一些脚本文件对系统进行攻击；记录系统的反应，从中发现漏洞。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第23页!6.4.1黑客的常用入侵手段IP欺骗的一些预防策略放弃基于IP地址的信任策略使用随机化的初始序列号在路由器中加上一些附加条件§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第24页!6.4.2入侵检测系统IDS2.入侵检测方式实时入侵检测：在网络的连接中进行；检测过程是反复循环的。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第25页!6.4.2入侵检测系统IDS2.入侵检测方式事后入侵检测：根据计算机系统对用户操作所作的历史审计记录判断；定期或不定期的进行。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第26页!6.4.2入侵检测系统IDS3.IDS的工作原理数据收集分布式数据源还是集中式数据源；直接监控还是间接监控；基于主机的数据收集还是基于网络的数据收集；使用外部探测器还是内部探测器。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第27页!6.4.2入侵检测系统IDS4.IDS的信息源基于网络的入侵检测系统网络引擎配置在防火墙内；网络引擎配置在非军事区；网络引擎配置在内部网络的各临界字段。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第28页!6.4.2入侵检测系统IDS4.IDS的信息源基于主机的入侵检测系统在每台要保护的主机后台运行一个代理程序；提供了基于网络的IDS不能提供的一些功能；在交换网络中非常有用；但对网络流量不敏感；不能访问被保护系统的核心功能。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第29页!6.4.2入侵检测系统IDS5.IDS的分析方法误用检测型IDS§6.4计算机网络入侵检测与安全预警是否与现有规则匹配?YesNo审计数据规则库正常状态攻击状态修改现有规则增加新规则计算机网络技术第二十三讲共38页，您现在浏览的是第30页!6.4.2入侵检测系统IDS5.IDS的分析方法两种检测方法之间的区别：§6.4计算机网络入侵检测与安全预警（3）异常检测的主要缺陷在于误检率很高，尤其在用户数目众多或工作行为经常改变的环境中；而误用检测系统由于依据具体特征库进行判断，准确度要高很多。（4）异常检测对具体系统的依赖性相对较小；而误用检测系统对具体的系统依赖性太强，可移植性不好。计算机网络技术第二十三讲共38页，您现在浏览的是第31页!6.4.3网络安全预警系统2.建立预警系统的意义保护公网的安全，有效地抵御对网络的攻击。有效的防止来自内部的攻击行为。§6.4计算机网络入侵检测与安全预警计算机网络技术第二十三讲共38页，您现在浏览的是第32页!6.5恶意程序及其防治本节教学目标：理解恶意程序及其类型；了解网络病毒防范方法。计算机网络技术第二十三讲共38页，您现在浏览的是第33页!6.5.1恶意程序与病毒恶意程序的存在方式有：宿主程序方式；独立存在。还可分为：有复制能力；无复制能力。1.恶意程序及其类型§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第34页!6.5.1恶意程序与病毒2.广义病毒从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。§6.5恶意程序及其防治计算机网络技术第二十三讲共38页，您现在浏览的是第35页!6.5.1恶意程序与病毒§6.5恶意程序及其防治3.网络与病毒网络病毒一般通过以下方