第十章网络安全

第10章网络安全1

10.1网络安全问题概述10.2数据加密技术10.2.1替代密码与置换密码10.2.2数据加密标准DES210.3公开密钥密码体制10.3.1公开密钥密码体制的特点10.3.2RSA公开密钥密码体制10.4防火墙技术10.5入侵检测技术*10.6网络攻击及防御技术310.1.1计算机网络面临的安全性威胁

计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。4对网络的被动攻击和主动攻击

截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站5被动攻击和主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。更改报文流拒绝报文服务伪造连接初始化

6(1)防止析出报文内容；(2)防止通信量分析；(3)检测更改报文流；(4)检测拒绝报文服务；(5)检测伪造初始化连接。计算机网络通信安全的目标

有可能发生分组丢失7(1)计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。

恶意程序(rogueprogram)

810.1.2计算机网络安全的内容保密性安全协议的设计

接入控制

9一些重要概念

密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。

1010.2数数据据加密技术术所谓常规密密钥密码体体制，即加加密密钥与与解密密钥钥是相同的的密码体制制。这种加密系系统又称为为对称密钥钥系统。我我们先介绍绍在常规密密钥密码体体制中的两两种最基本本的密码。。1110.2.1替替代代密密码码与与置置换换密密码码替代代密密码码(substitabcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文文密文文明文文c变变成成了了密密文文F1210.2.1替替代代密密码码与与置置换换密密码码替代代密密码码(substitutioncipher)的原原理理可可用用一一个个例例子子来来说说明明。。（（密密钥钥是是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文文密文文明文文a变变成成了了密密文文D1310.2.1替替代代密密码码与与置置换换密密码码替代密码(substitutioncipher)的原理可用一一个例子来说说明。（密钥钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文e变变成了密文14CIPHER145326attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，，我们可以得得出密钥中的的每一个字母母的相对先后后顺序。因为为密钥中没有有A和B，因此C为第1。同理，，E为第2，H为为第3,………，R为为第6。于于是得出密钥钥字母的相对对先后顺序为为145326。15CIPHER145326attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，16CIPHER14532attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，，我们可以得得出密钥中的的每一个字母母的相对先后后顺序。因为为密钥中没有有A和B，因此C为第1。同理，，E为第2，H为为第3,………，R为为第6。于于是得出密钥钥字母的相对对先后顺序为为145326。17CIPHER145326attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，，我们可以得得出密钥中的的每一个字母母的相对先后后顺序。因为为密钥中没有有A和B，因此C为第1。同理，18CIPHER145326attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，，我们可以得得出密钥中的的每一个字母母的相对先后后顺序。因为为密钥中没有有A和B，因此C为第1。同理，，E为第2，H为为第3,………，R为为第6。于于是得出密钥钥字母的相对对先后顺序为为145326。19CIPHER145326attackbeginsatfour置换密码置换密码(transpositioncipher)则是按照某一一规则重新排排列消息中的的比特或字符符顺序。密钥顺序明文根据英文字母母在26个个字母中的的先后顺序，，我们可以得得出密钥中的的每一个字母母的相对先后后顺序。因为为密钥中没有有A和B，因此C为第1。同理，，E为第2，H为为第3,………，R为为第6。于于是得出密钥钥字母的相对对先后顺序为为145326。20CIPHER145326attackbeginsatfour密文的得出密钥顺序明文先读顺序为1的明文文列，即aba21CIPHER145326attackbeginsatfour密文的得出出密钥顺序明文再读顺序为为2的的明文列，，即cnu22CIPHER145326attackbeginsatfour密文的得出出密钥顺序明文再读顺序为为3的的明文列，，即aio23CIPHER145326attackbeginsatfour密文的得出出密钥顺序明文再读顺序为为4的的明文列，，即tet24CIPHER145326attackbeginsatfour密文的得出出密钥顺序明文再读顺序为为5的的明文列，，即tgf25CIPHER145326attackbeginsatfour密文的得出出密钥顺序明文最后读顺序序为6的的明文列列，即ksr因此密文就就是：abacnuaiotettgfksr26CIPHER145326attackbeginsatfour接收端收到到密文后按按列写下密钥顺序明文先写下第1列密密文aba收到的密文文：abacnuaiotettgfksr27CIPHER145326attackbeginsatfour接收端收到到密文后按按列写下密钥顺序明文再写下第2列密密文收到的密密文：abacnuaiotettgfksr28CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第3列列密文文aio收到的密密文：abacnuaiotettgfksr29CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第4列列密文文tet收到的密密文：abacnuaiotettgfksr30CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第5列列密文文tgf收到的密密文：abacnuaiotettgfksr31CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文最后写下下第6列密密文ksr收到的密密文：abacnuaiotettgfksr32CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr33CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr34CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr得出明文文：attackbeginsatfour35序列密码码与分组组密码序列码体体制是将将明文X看成是连连续的比比特流(或字符流流)x1x2…，并且且用密钥钥序列Kk1k2…中的第第i个元素ki对明文中中的xi进行加密密，即36序列密码体制制密钥序列产生生器种子I0发端ki密钥序列产生生器种子I0收端ki密文序列明文序列明文序列xixiyiyi在开始工作作时种子I0对密钥序列列产生器进进行初始化化。按照模2进行运运算，得出出：(10-1)37序列密码体体制密钥序列产产生器种子I0发端ki密钥序列产产生器种子I0收端ki密文序列明文序列明文序列xixiyiyi在收端，对对yi的解密算法法为：(10-2)序列密码又又称为密钥钥流密码。。38序列密码体体制的保密密性序列密码体体制的保密密性完全在在于密钥的的随机性。。如果密钥是是真正的随随机数，则则这种体制制就是理论论上不可破破的。这也也可称为一一次一密乱乱码本体制制。严格的一次次一密乱码码本体制所所需的密钥钥量不存在在上限，很很难实用化化。密码学家试试图模仿这这种一次一一密乱码本本体制。目目前常使用用伪随机序序列作为密密钥序列。。关键是序序列的周期期要足够长长，且序列列要有很好好的随机性性（这很难难寻找）。。39分组密码它将明文划划分成固定定的n比特的数据据组，然后后以组为单单位，在密密钥的控制制下进行一一系列的线线性或非线线性的变化化而得到密密文。这就就是分组密密码。分组密码一一次变换一一组数据。。分组密码算算法的一个个重要特点点就是：当当给定一个个密钥后，，若明文分分组相同，，那么所变变换出密文文分组也相相同。分组密码的的一个重要要优点是不不需要同步步40分组密码体体制输入输出加密算法密钥明文输入输出解密算法密钥明文nbitnbitnbitnbit密文密文4110.2.2数数据加密标标准DES数据加密标标准DES属于常规密密钥密码体体制，是一一种分组密密码。在加密前，，先对整个个明文进行行分组。每每一个组长长为64bit。然后对每一一个64bit二进制数据据进行加密密处理，产产生一组64bit密文文数数据据。。最后后将将各各组组密密文文串串接接起起来来，，即即得得出出整整个个的的密密文文。。使用用的的密密钥钥为为64bit（实实际际密密钥钥长长度度为为56bit，有有8bit用于于奇奇偶偶校校验验)。42DES加加密密标标准准L0R0L1=R0IPL2=R1L15=R14R1=L0f(R0,K1)R2=L1f(R1,K2)R15=L14f(R14,K15)L16=R15R16=L15f(R15,K16)IP1fff输出出密文文Y(64bit)明文文X(64bit)输入入K16(48bit)K2(48bit)K1(48bit)X0的左左半半边边(32bit)X0(64bit)X0的右右半半边边(32bit)R16L16(64bit)43DES的明明显显缺缺点点DES实际际上上就就是是一一种种单单字字符符替替代代，，而而这这种种字字符符的的长长度度是是64bit。也就就是是说说，，对对于于DES算法法，，相相同同的的明明文文就就产产生生相相同同的的密密文文。。这这对对DES的安安全全性性来来说说是是不不利利的的。。为了了提提高高DES的安安全全性性，，可可采采用用加加密密分分组组链链接接的的方方法法。。44加密密分分组组的的链链接接X0Y0X1Y1X2Y2X3Y3X0Y0X1Y1X2Y2X3Y3……初始始向量量初始始向量量密钥钥密钥钥明文文明文文密文文密文文加密密解密密EEEEDDDD45DES的保保密密性性DES的保保密密性性仅仅取取决决于于对对密密钥钥的的保保密密，，而而算算法法是是公公开开的的。。尽尽管管人人们们在在破破译译DES方面面取取得得了了许许多多进进展展，，但但至至今今仍仍未未能能找找到到比比穷穷举举搜搜索索密密钥钥更更有有效效的的方方法法。。DES是世世界界上上第第一一个个公公认认的的实实用用密密码码算算法法标标准准，，它它曾曾对对密密码码学学的的发发展展做做出出了了重重大大贡贡献献。。目前较较为严严重的的问题题是DES的密钥钥的长长度。。现在已已经设设计出出来搜搜索DES密钥的的专用用芯片片。46三重DES(TripleDES)三重DES使用两两个密密钥，，执行行三次次DES算法。。下图图中的的方框框E和D分别表表示执执行加加密和和解密密算法法。因因此加加密时时是E-D-E，解密密时是是D-E-D。EDEK1K2K1明文密文DEDK1K2K1密文明文加密解密4710.3公公开开密钥钥密码码体制制10.3.1公公开密密钥密密码体体制的的特点点公开密密钥密密码体体制使使用不不同的的加密密密钥钥与解解密密密钥，，是一一种““由已已知加加密密密钥推推导出出解密密密钥钥在计计算上上是不不可行行的””密码码体制制。公开密密钥密密码体体制的的产生生主要要是因因为两两个方方面的的原因因，一一是由由于常常规密密钥密密码体体制的的密钥钥分配配问题题，另另一是是由于于对数数字签签名的的需求求。现有三三种公公开密密钥密密码体体制，，其中中最著著名的的是RSA体制，，它基基于数数论中中大数数分解解问题题的体体制，，由美美国三三位科科学家家Rivest,Shamir和Adleman于1976年提出出并在在1978年正式式发表表的。。48加密密密钥与与解密密密钥钥在公开开密钥钥密码码体制制中，，加密密密钥钥(即公开开密钥钥)PK是公开开信息息，而而解密密密钥钥(即秘密密密钥钥)SK是需要要保密密的。。加密算算法E和解密密算法法D也都是是公开开的。。虽然秘秘密密密钥SK是由公公开密密钥PK决定的的，但但却不不能根根据PK计算出出SK。49应当注注意任何加加密方方法的的安全全性取取决于于密钥钥的长长度，，以及及攻破破密文文所需需的计计算量量。在在这方方面，，公开开密钥钥密码码体制制并不不具有有比传传统加加密体体制更更加优优越之之处。。由于目目前公公开密密钥加加密算算法的的开销销较大大，在在可见见的将将来还还看不不出来来要放放弃传传统的的加密密方法法。公公开密密钥还还需要要密钥钥分配配协议议，具具体的的分配配过程程并不不比采采用传传统加加密方方法时时更为为简单单。50公开密密钥算算法的的特点点(1)发送者者用加加密密密钥PK对明文文X加密后后，在在接收收者用用解密密密钥钥SK解密，，即可可恢复复出明明文，，或写写为：：DSK(EPK(X))X(10-5)解密密密钥是是接收收者专专用的的秘密密密钥钥，对对其他他人都都保密密。此外，，加密密和解解密的的运算算可以以对调调，即即EPK(DSK(X))X51公开密密钥算算法的的特点点(2)加密密密钥是是公开开的，，但不不能用用它来来解密密，即即DPK(EPK(X))X(10-6)(3)在计算算机上上可容容易地地产生生成对对的PK和SK。(4)从已知知的PK实际上上不可可能推推导出出SK，即从PK到SK是“计算算上不可可能的””。(5)加密和解解密算法法都是公公开的。。52公开密钥钥密码体体制接收者发送者E加密算法法D解密算法法加密密钥钥PK解密密钥钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))5310.3.2RSA公公开密钥钥密码体体制RSA公开密钥钥密码体体制所根根据的原原理是：：根据数数论，寻寻求两个个大素数数比较简简单，而而将它们们的乘积积分解开开则极其其困难。。每个用户户有两个个密钥：：加密密密钥PK{e,n}和解密密密钥SK{d,n}。用户把加加密密钥钥公开，，使得系系统中任任何其他他用户都都可使用用，而对对解密密密钥中的的d则保密。。N为两个大大素数p和q之积（素素数p和q一般为100位以上的的十进数数），e和d满足一定定的关系系。当敌敌手已知知e和n时并不能求出出d。54(1)加密算法若用整数X表示明文，用用整数Y表示密文（X和Y均小于n），则加密密和解密运运算为：加密：YXemodn(10-7)解密：XYdmodn(10-8)55(2)密钥的产生生①计算n。用户秘密密地选择两两个大素数数p和q，计算出npq。n称为RSA算法的模数数。明文必必须能够用用小于n的数来表示示。实际上上n是几百比特特长的数。。②计算(n)。用户再计计算出n的欧拉函数数(n)(p1)(q1)(10-9)(n)定义为不超超过n并与n互素的数的的个数。③选择e。用户从[0,(n)1]中选择一个个与(n)互素的数e作为公开的的加密指数数。56(2)密钥的产生生（续）④计算d。用户计算算出满足下下式的ded1mod(n)(10-10)作为解密指指数。⑤得出所需要要的公开密密钥和秘密密密钥：公开密钥（（即加密密密钥）PK{e,n}秘密密钥（（即解密密密钥）SK{d,n}57(3)正确性的例例子说明设选择了两两个素数，，p7,q17。计算出npq717119。计算出(n)(p1)(q1)96。从[0,95]中选择一个个与96互素的数e。选e5。然后根据据(9-10)式，5d1mod96解出d。不难得出出，d77,因为ed57738549611mod96。于是，公开开密钥PK(e,n){5,119},秘密密钥SK{77,119}。58(3)正确性的例例子说明（（续）对明明文文进进行行加加密密。。先先把把明明文文划划分分为为分分组组，，使使每每个个明文文分分组组的的二二进进制制值值不不超超过过n,即不不超超过过119。设明明文文X19。用用公公开开密密钥钥加加密密时时，，先先计计算算Xe1952476099。再除除以以119，得得出出商商为为20807，余余数数为为66。这这就就是是对对应应于于明明文文19的密密文文Y的值值。。在用用秘秘密密密密钥钥SK{77,119}进行行解解密密时时，，先先计计算算Yd66771.27...10140。再除除以以119，得得出出商商为为1.06...10138，余余数数为为19。此余余数数即即解解密密后后应应得得出出的的明明文文X。59RSA算法法举举例例明文文1919==20807公开开密密钥钥={5,119}加密密52476099119及余余数数66密文文6666==1.0610秘密密密密钥钥={77,119}解密密771.27...10119及余余数数19明文文191401386010.8防防火火墙墙(firewall)防火火墙墙是是由由软软件件、、硬硬件件构构成成的的系系统统，，用用来来在在两两个个网网络络之之间间实实施施接接入入控控制制策策略略。。接接入入控控制制策策略略是是由由使使用用防防火火墙墙的的单单位位自自行行制制订订的的，，为为的的是是可可以以最最适适合合本本单单位位的的需需要要。。防火火墙墙内内的的网网络络称称为为““可可信信赖赖的的网网络络””(trustednetwork)，而将外部的的因特网称为为“不可信赖赖的网络”(untrustednetwork)。防火墙可用来来解决内联网网和外联网的的安全问题。。61防火墙在互连连网络中的位位置G内联网可信赖的网络络不可信赖的网网络分组过滤路由器R分组过滤路由器R应用网网关外局域网内局域网防火墙因特网62防火墙的功功能防火墙的功功能有两个个：阻止和和允许。“阻止”就就是阻止某某种类型的的通信量通通过防火墙墙（从外部部网络到内内部网络，，或反过来来）。“允许”的的功能与““阻止”恰恰好相反。。防火墙必须须能够识别别通信量的的各种类型型。不过在在大多数情情况下防火火墙的主要要功能是““阻止”。。63防火墙技术术一般分为为两类(1)网络级防火火墙——用用来防止整整个网络出出现外来非非法的入侵侵。属于这这类的有分分组过滤和和授权服务务器。前者者检查所有有流入本网网络的信息息，然后拒拒绝不符合合事先制订订好的一套套准则的数数据，而后后者则是检检查用户的的登录是否否合法。(2)应用级级防火火墙———从从应用用程序序来进进行接接入控控制。。通常常使用用应用用网关关或代代理服服务器器来区区分各各种应应用。。例如如，可可以只只允许许通过过访问问万维维网的的应用用，而而阻止止FTP应用用的的通通过过。。6410.5入入侵侵检检测测技技术术入侵侵检检测测是是防防火火墙墙的的合合理理补补充充，，帮帮助助系系统统对对付付网网络络攻攻击击，，扩扩展展了了系系统统管管理理员员的的安安全全管管理理能能力力（（包包括括安安全全审审计计、、监监视视、、进进攻攻识识别别和和响响应应）），，提提高高了了信信息息安安全全基基础础结结构构的的完完整整性性。。6510.5.1入侵侵检检测测的的概概念念入侵侵检检测测是是从从计计算算机机网网络络系系统统中中的的若若干干关关键键点点收收集集信信息息，，并并分分析析这这些些信信息息，，看看看看网网络络或或系系统统中中是是否否有有违违反反安安全全策策略略的的行行为为和和遭遭到到袭袭击击的的迹迹象象的的一一种种机机制制。。入入侵侵检检测测被被认认为为是是防防火火墙墙之之后后的的第第二二道道安安全全闸闸门门，，在在不不影影响响网网络络性性能能的的情情况况下下能能对对网网络络进进行行监监测测，，从从而而提提供供对对内内部部攻攻击击、、外外部部攻攻击击和和误误操操作作的的实实时时保保护护。。这这些些都都通通过过它它执执行行以以下下任任务务来来实实现现：：66监视、、分析析用户户及系系统活活动；；系统构构造和和弱点点的审审计；；识别反反映已已知进进攻的的活动动模式式并向向相关关人士士报警警；异常行行为模模式的的统计计分析析；评估重重要系系统和和数据据文件件的完完整性性；操作系系统的的审计计跟踪踪管理理，并并识别别用户户违反反安全全策略略的行行为。。6710.5.2入侵检检测系系统的的系统统模型型为解决决入侵侵检测测系统统之间间的互互操作作性，，国际际上的的一些些研究究组织织开展展了标标准化化工作作，目目前对对IDS进行标标准化化工作作的有有两个个组织织：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF早期由由美国国国防防部高高级研研究计计划局局赞助助研究究，现现在由由CIDF工作组组负责责，是是一个个开放放组织织。68CIDF阐述了了一个个入侵侵检测测系统统（IDS）的通通用模模型，，如图图10-11所示。。它将将一个个入侵侵检测测系统统分为为以下下组件件：事事件产产生器器（Eventgenerators），用用E盒表示示；事事件分分析器器（Eventanalyzers），用用A盒表示示；响响应单单元（（Responseunits），用用R盒表示示；事事件数数据库库（Eventdatabases），用D盒表示。69事件产生器事件分析器EADRE70在CIDF模型结构中中：E盒通过传感感器收集事事件数据，，并将信息息传送给A盒，A盒检测误用用模式；D盒存储来自自A、E盒的数据，，并为额外外的分析提提供信息；；R盒从A、E盒中提取数数据，D盒启动适当当的响应。。A、E、D及R盒之间的通通信都基于于GIDO（generalizedIntrusiondetectionobjects，通用入侵侵检测对象象）和CISL（commonintrusionspecificationlanguage，通用入侵侵规范语言言）。如果果想在不同同种类的A、E、D及R盒之间实现现互操作，，需要对GIDO实现标准化化并使用CISL。7110.5.3入侵检测系系统分类按照检测对对象和工作作凡是的不不同，入侵侵检测系统统划分为：：1．基于主机机的入侵检检测系统。。基于主机机的入侵检检测系统将将检测模块块驻留在被被保护系统统上，通过过提取被保保护系统的的运行数据据并进行入入侵分析来来实现入侵侵检测的功功能。722．基于网络的的入侵检测系系统。基于网网络的入侵检检测系统通过过网络监视来来实现数据提提取。3．混合型入侵侵检测系统：：基于网络和和基于主机的的入侵检测系系统都有不足足之处，会造造成防御体系系的不全面，，综合了基于于网络和基于于主机的混合合型入侵检测测系统既可以以发现网络中中的攻击信息息，也可以从从系统日志中中发现异常情情况。7310.5.4入侵检测系统统发展趋势对分析技术加加以改进：采采用当前的分分析技术和模模型，会产生生大量的误报报和漏报，难难以确定真正正的入侵行为为。采用协议议分析和行为为分析等新的的分析技术后后，可极大地地提高检测效效率和准确性性，从而对真真正的攻击做做出反应。协协议分析是目目前最先进的的检测技术，，通过对数据据包进行结构构化协议分析析来识别入侵侵企图和行为为，这种技术术比模式匹配配检测效率更更高，并能对对一些未知的的攻击特征进进行识别，具具有一定的免免疫功能；行行为分析技术术不仅简单分分析单次攻击击事件，还根根据前后发生生的事件确认认是否确有攻攻击发生、攻攻击行为是否否生效，是入入侵检测技术术发展的趋势势。74增进对大流量量网络的处理理能力：随着着网络流量的的不断增长，，对获得的数数据进行实时时分析的难度度加大，这导导致对所在入入侵检测系统统的要求越来来越高。入侵侵检测产品能能否高效处理理网络中的数数据是衡量入入侵检测产品品的重要依据据。向高度可集成成性发展：集集成网络监控控和网络管理理的相关功能能。入侵检测测可以检测网网络中的数据据包，当发现现某台设备出出现问题时，，可立即对该该设备进行相相应的管理。。未来的入侵侵检测系统将将会结合其他他网络管理软软件，形成入入侵检测、网网络管理、网网络监控三位位一体的工具具。75*10.6网络攻击及防防御技术1、严峻的信息息安全问题2000年2月6日前后后，美国YAHOO等8家大型网站站接连遭受黑黑客的攻击，，直接经济损损失约为12亿美元（网网上拍卖“电电子港湾”网网站、亚马逊逊网站、AOL）此次安全事故故具有以下的的特点：攻击直接针对对商业应用攻击造成的损损失巨大信息网络安全全关系到全社社会762、急需解决的的若干安全问问题信息安全与高高技术犯罪1999年，，上海XX证证券部电脑主主机被入侵2000年2月14日，，中国选择网网（上海）受受到黑客攻击击，造成客户户端机器崩溃溃，并采用类类似攻击YAHOO的手手法，通过攻攻击服务器端端口，造成内内存耗尽和服服务器崩溃我国约有64%的公司信信息系统受到到攻击，其中中金融业占总总数的57%不受欢迎的垃垃圾邮件的现现象愈演愈烈烈1999年4月26日，，CIH病毒毒“世纪风暴暴”媒体内容的安安全性77凯文米特尼克克凯文•米特尼尼克是美国20世纪最著名的的黑客之一，，他是“社会会工程学”的的创始人1979年他和他的伙伙伴侵入了北北美空防指挥挥部1983年的电影《战战争游戏》演演绎了同样的的故事，在片片中，以凯文文为原型的少少年黑客几乎乎引发了第三三次世界大战战78莫里斯蠕虫（MorrisWorm）时间1988年肇事者-RobertT.Morris,美国康奈尔大大学学生，其其父是美国国国家安全局安安全专家机理-利用sendmail,finger等服务的漏洞洞，消耗CPU资源，拒绝服服务影响-Internet上大约6000台计算机感染染，占当时Internet联网主机总数数的10%，造成9600万美元的损失失CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似““蠕虫（MorrisWorm）”事件件7994年年末末，，俄俄罗罗斯斯黑黑客客弗弗拉拉基基米米尔尔··利利文文与与其其伙伙伴伴从从圣圣彼彼得得堡堡的的一一家家小小软软件件公公司司的的联联网网计计算算机机上上，，向向美美国国CITYBANK银银行行发发动动了了一一连连串串攻攻击击，，通通过过电电子子转转帐帐方方式式，，从从CITYBANK银银行行在在纽纽约约的的计计算算机机主主机机里里窃窃取取1100万万美美元元96年年8月月17日日，，美美国国司司法法部部的的网网络络服服务务器器遭遭到到黑黑客客入入侵侵，，并并将将““美美国国司司法法部部””的的主主页页改改为为““美美国国不不公公正正部部””，，将将司司法法部部部部长长的的照照片片换换成成了了阿阿道道夫夫··希希特特勒勒，，将将司司法法部部徽徽章章换换成成了了纳纳粹粹党党徽徽，，并并加加上上一一幅幅色色情情女女郎郎的的图图片片作作为为所所谓谓司司法法部部部部长长的的助助手手。。此此外外还还留留下下了了很很多多攻攻击击美美国国司司法法政政策策的的文文字字96年年9月月18日，，黑客客光顾顾美国国中央央情报报局的的网络络服务务器，，将其其主页页由““中中央情情报局局”改改为为“中中央央愚蠢蠢局””96年年12月29日日，黑黑客侵侵入美美国空空军的的全球球网网网址并并将其其主页页肆意意改动动，其其中有有关空空军介介绍、、新闻闻发布布等内内容被被替换换成一一段简简短的的黄色色录象象，且且声称称美国国政府府所说说的一一切都都是谎谎言。。迫使使美国国国防防部一一度关关闭了了其他他80多个个军方方网址址8081中美五五一黑黑客大大战2001年5月1日是国国际劳劳动节节，5月4日是中中国的的青年年节，，而5月7日则是是中国国在南南斯拉拉夫的的大使使馆被被炸两两周年年的纪纪念日日。中中国黑黑客在在这几几个重重大的的纪念念日期期间对对美国国网站站发起起了大大规模模的攻攻击美国部部分被被黑网网站美国加加利福福尼亚亚能源源部日美社社会文文化交交流会会白宫历历史协协会UPI新闻服服务网网华盛顿顿海军军通信信站82国内网站遭遭攻击的分分布83红色代码84“红色代码码”的蔓延延速度85尼姆达（Nimda）尼姆达是在在9·11恐怖怖袭击整整整一个星期期后出现的的，当时传传言是中国国为了试探探美国对网网络恐怖袭袭击的快速速反应能力力而散布了了尼姆达病病毒尼姆达是在在早上9:08发现现的，明显显比红色代代码更快、、更具有摧摧毁功能，，半小时之之内就传遍遍了整个世世界。随后后在全球各各地侵袭了了830万万部电脑，，总共造成成将近10亿美元的的经济损失失传播方式包包括：电子子邮件、网网络临近共共享文件、、IE浏览览器的内嵌嵌MIME类型自动动执行漏洞洞、IIS服务器文文件目录遍遍历漏洞、、CodeRedII和Sadmind/IIS蠕虫留留下的后门门等86SQLSlammer蠕虫虫Slammer的传传播数度比比“红色代代码”快两两个数量级级在头一分钟钟之内，感感染主机数数量每8.5秒增长长一倍；3分钟后该该病毒的传传播速度达达到峰值（（每秒钟进进行5500万次扫扫描）；接下来，其其传播速度度由于自身身挤占了绝绝大部分网网络带宽而而开始下降降；10分钟后后，易受攻攻击的主机机基本上已已经被感染染殆尽30分钟后后在全球的感感染面积872003年8月11日首先被发发现，然后后迅速扩散散，这时候候距离被利利用漏洞的的发布日期期还不到1个月该蠕虫病毒毒针对的系系统类型范范围相当广广泛（包括括WindowsNT/2000/XP）截至8月24日，国内被被感染主机机的数目为为25~100万台全球直接经经济损失几几十亿美金金RPCDCOM蠕蠕虫883、网络威胁胁恶意代码及及黑客攻击击手段的三三大特点：传播速度惊惊人受害面惊人人穿透深度惊惊人89传播速度“大型推土土机”技术术(Massrooter)，是新一代代规模性恶恶意代码具具备的显著著功能。这些恶意代代码不仅能能实现自我我复制，还还能自动攻攻击内外网网上的其它它主机，并并以受害者者为攻击源源继续攻击击其它网络络和主机。。以这些代码码设计的多多线程和繁繁殖速度，，一个新蠕蠕虫在一夜夜之间就可可以传播到到互联网的的各个角落落。90受害面许多国家的的能源、交交通、金融融、化工、、军事、科科技和政府府部门等关关键领域的的信息化程程度逐年提提高，这些些领域的用用户单位的的计算机网网络，直接接或间接地地与Internet有所联系。。各种病毒、、蠕虫等恶恶意代码，，和各种黑黑客攻击，，通过Internet为主线，对对全球各行行业的计算算机网络用用户都造成成了严重的的影响。91穿透深度蠕虫和黑客客越来越不不满足于攻攻击在线的的网站，各各种致力于于突破各种种边界防线线的攻击方方式层出不不穷。一个新的攻攻击手段，，第一批受受害对象是是那些24小时在线线的网站主主机和各种种网络的边边界主机；；第二批受受害对象象是与Internet联网网的，经经常收发发邮件的的个人用用户；第三批受受害对象象是OA网或其其它二线线内网的的工作站站；终极的受受害对象象可能会会波及到到生产网网络和关关键资产产主机。。92信息战在海湾战战争和最最近的伊伊拉克战战争中，，美国大大量采用用了信息息战的手手段在未来的的局部战战争中，，信息战战或信息息威慑将将成为非非常重要要的非常常规战手手段信息战的的范围不不仅仅局局限于军军事领域域，关系系国家国国计民生生的行业业（如政政府、金金融等））也会成成为信息息战的攻攻击目标标93信息时代代威胁图图94类别攻击举例V敌国政府、间谍IV商业间谍III罪犯II恶意用户、内部人员、普通黑客I用户误操作95网络攻击击的动机机偷取国家家机密商业竞争争行为内部员工工对单位位的不满满对企业核核心机密密的企望望网络接入入帐号、、信用卡卡号等金金钱利益益的诱惑惑利用攻击击网络站站点而出出名对网络安安全技术术的挑战战对网络的的好奇心心96攻击的一一般过程程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限97攻击的种种类预攻击阶阶段端口扫描描漏洞扫描描操作系统统类型鉴鉴别网络拓扑扑分析攻击阶段段缓冲区溢溢出攻击击操作系统统漏洞应用服务务缺陷脚本程序序漏洞攻攻击口令攻击击错误及弱弱配置攻攻击网络欺骗骗与劫持持攻击后攻击阶阶段后门木马马痕迹擦除除其它攻击击种类拒绝服务务攻击嗅探攻击击恶意网页页攻击社会工程程攻击98信息收集集—非技技术手段段合法途径径从目标机机构的网网站获取取新闻报道道，出版版物新闻组或或论坛社会工程程手段假冒他人人，获取取第三方方的信任任搜索引擎擎99信息收集集—技术术手段PingTracert/TracerouteRusers/FingerHost/nslookup100端口扫描描目的判断目标标主机开开启了哪哪些端口口及其对对应的服服务常规扫描描技术调用connect函函数直接接连接被被扫描端端口无须任何何特殊权权限速度较慢慢，易被被记录高级扫描描技术利用探测测数据包包的返回回信息（（例如RST））来进行行间接扫扫描较为隐蔽蔽，不易易被日志志记录或或防火墙墙发现101TCPSYN扫描也叫半开开式扫描描利用TCP连接三次次握手的的第一次次进行扫扫描被扫描主主机开放的端端口不提供服服务的端端口防火墙过过滤的端端口扫描器SYNSYNSYNSYN+ACK握手RST重重置没有回应应或者其其他102端口扫描描工具Nmap简介被称为““扫描器器之王””有forUnix和和forWin的两两种版本本需要Libpcap库库和Winpcap库库的支持持能够进行行普通扫扫描、各各种高级级扫描和和操作系系统类型型鉴别等等使用-sS：：半开式式扫描-sT:普普通connect()扫描描-sU：：udp端口扫扫描-O：操操作系统统鉴别-P0：：强行扫扫描（无无论是否否能够ping通目标标）-p：指指定端口口范围-v：详详细模式式103NmapWinv1.3.0104端口扫描描工具SuperScan简介基于Windows平台速度快，，图形化化界面最新版本本为4.0使用傻瓜化105漏洞扫描描根据目标标主机开开放的不不同应用用和服务务来扫描描和判断断是否存存在或可可能存在在某些漏漏洞积极意义义进行网络安全全评估为网络系统的的加固提供先先期准备消极意意义被网络络攻击击者加加以利利用来来攻陷陷目标标系统统或获获取重重要的的数据据信息息106漏洞扫扫描的的种类类系统漏漏洞扫扫描特定服服务的的漏洞洞扫描描WEB服务务数据库库服务务FTP服务务Mail服服务信息泄泄漏漏漏洞扫扫描用户信信息共享信信息人为管管理漏漏洞扫扫描弱口令令错误配配置网络及及管理理设备备漏洞洞扫描描路由器器、交交换机机SNMP设设备107漏洞扫扫描工工具108ClientServerTargetsNessus工作流流程109漏洞洞扫扫描描工工具具X-Scan国人人自自主主开开发发完全全免免费费110X-Scan使用用扫描描开开始始111安全全漏漏洞洞扫扫描描器器安全全漏漏洞洞扫扫描描器器的的种种类类网络络型型安安全全漏漏洞洞扫扫描描器器主机机型型安安全全漏漏洞洞扫扫描描器器数据据库库安安全全漏漏洞洞扫扫描描器器安全漏洞扫描描器的选用ISS（InternetSecurityScanner））：安氏SSS（ShadowSecurityScanner）：俄罗罗斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAI112SSS（ShadowSecurityScanner）113RetinaNetworkSecurityScanner114LANguardNetworkSecurityScanner115操作系统类型型鉴别主要依据利用不同操作作系统对各种种连接请求的的不同反应和和特征来判断断远程主机操操作系统的类类型当使用足够多多的不同特征征来进行判断断，操作系统统的探测精度度就能有很大大保证116间接鉴别操作作系统说明不直接进行扫扫描利用网络应用用服务使用过过程中的信息息来推断和分分析操作系统统类型，并得得到其他有用用信息如Telnet80端口查看WEB服务器类型从从而初步判断断操作系统类类型这种方法难以以被发现防御对策修改服务器上上应用服务的的banner信息，达到迷迷惑攻击者的的目的117直接鉴别操作作系统类型TCP/IP栈指纹探测技技术各个操作系统统在实现TCP/IP栈的时候有细细微的不同，，可以通过下下面一些方法法来进行判定定TTL值Windows窗口值ToS类型DF标志位初始序列号（（ISN）采样MSS（最大分段大大小）其他118TTL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL（TimeToLive）119缓冲区溢出攻攻击危害性据统计，缓冲冲区溢出攻击击占所有网络络攻击总数的的80%以上上溢出成功后大大都能直接拿拿到目标系统统的最高权限限身边的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢溢出Wu-ftpd溢出120缓冲区溢出原原理通过往程序的的缓冲区写入入超出其长度度的内容，造造成缓冲区的的溢出，从而而破坏程序的的堆栈，使程程序转而执行行其它指令，，以达到攻击击的目的缓冲区溢出攻攻击的对象在在于那些具有有某些特权(如root或本地管理器器)运行的程程序，这样可可以使得攻击击者取得该程程序的控制权权，如果该程程序具有足够够的权限，那那么整个主机机就被控制了了121缓冲区溢出示示意图字符串变量数组函数返回点n字节输入数据>n字节,尾部为跳转的地址缓冲区用户输入正常流程溢出改变流程字符串变量数组函数返回点n字节输入数据<n字节缓冲区用户输入正常流程122程序溢出时的的表现SegmentationFault(coredumped)123以特权身份份运行的程程序网络服务程程序HTTPServerFTPServerMailServerRPCDaemon…suid/sgid程序124Root溢出Remoterootexploit通过网络，，无需认证证即可获得得远程主机机的root权限Localrootexploit本地普通用用户，利用用系统程序序的漏洞获获得root权限125远程控制技技术概念危害性发展历程技术类型126特洛伊木马马的来历希腊人攻打打特洛伊城城十年，始始终未获成成功，后来来建造了一一个大木马马，并假装装撤退，希希腊将士却却暗藏于马马腹中。特特洛伊人以以为希腊人人已走，就就把木马当当作是献给给雅典娜的的礼物搬入入城中。晚晚上，木马马中隐藏的的希腊将士士冲出来打打开城门，，希腊将士士里应外合合毁灭了特特洛伊城。。后来我们们把进入敌敌人内部攻攻破防线的的手段叫做做木马计，，木马计中中使用的里里应外合的的工具叫做做特洛伊木木马来源于希腊腊神话中的的特洛伊战战争127远程控制技技术远程控制实实际上是包包含有服务务器端和客客户端的一一套程序服务器端程程序驻留在在目标计算算机里，随随着系统启启动而自行行启动。此此外，使用用传统技术术的程序会会在某端口口进行监听听，若接收收到数据就就对其进行行识别，然然后按照识识别后的命命令在目标标计算机上上执行一些些操作（比比如窃取口口令，拷贝贝或删除文文件，或重重启计算机机等）攻击者一般般在入侵成成功后，将将服务端程程序拷贝到到目标计算算机中，并并设法使其其运行，从从而留下后后门。日后后，攻击者者就能够通通过运行客客户端程序序，来对目目标计算机机进行操作作128远程控制技技术的发展展历程第一代功能简单、、技术单一一，如简单单的密码窃窃取和发送送等第二代在技术上有有了很大的的进步，如如国外的BO2000，国内内的冰河等等第三代为了躲避防防火墙而在在数据传递递技术上做做了不小的的改进，比比如利用ICMP协协议以及采采用反弹端端口的连接接模式第四代研究操作系系统底层，，在进程隐隐藏方面有有了很大的的突破129传统的远程程控制步骤骤130如何远程植植入程序直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的的木马被植植入目标机机器131远程受控端端程序的自自启动Windows启动目录注册表启动动Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件关关联方式系统配置文文件启动Win.iniSystem.ini服务启动其他启动132远程程受受控控端端程程序序的的隐隐藏藏在任任务务栏栏（（包包括括任任务务管管理理器器））中中隐隐藏藏自自己己初步步隐隐藏藏注册册为为系系统统服服务务不适适用用于于Win2k/NT启动动时时会会先先通通过过窗窗口口名名来来确确定定是是否否已已经经在在运运行行，，如如果果是是则则不不再再启启动动防止止过过多多的的占占用用资资源源进程程隐隐藏藏远程程线线程程插插入入其其他他进进程程（（不不适适用用于于Win9X））Hook技技术术133远程程控控制制数数据据传传输输方方式式ICMP协议议传传送送反弹弹端端口