第7章应用安全

第7章应用安全7.1反垃圾邮件技术7.2网页防篡改技术7.3反网络钓鱼技术7.4内容过滤技术7.1反垃圾邮件技术7.1.1垃圾邮件的概念7.1.2反垃圾邮件技术

7.1.1垃圾邮件的概念所谓的垃圾邮件主要指的是具有下列属性的电子邮件：(1)收件人无法拒收的电子邮件；(2)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等具有宣传性质的电子邮件；

(3)含有病毒、色情、反动等不良或有害信息的电子邮件；(4)隐藏发件人身份、地址、标题等信息的电子邮件；(5)含有虚假的信息源、发件人、路由等信息的电子邮件。垃圾邮件发送者可以通过多种途径获取邮件地址，例如，用户在论坛注册的邮件地址、被病毒感染的邮箱中的地址簿、对邮件提供商进行的用户枚举等。7.1.2反垃圾邮件技术

1.垃圾邮件过滤技术垃圾邮件过滤主要是通过电子邮件的来源或者内容来进行过滤。(1)黑名单(BlackList)黑名单技术的原理是把已知垃圾邮件制造者的域名或IP地址整理成列表，并以此为根据来拒绝任何来自列表上的垃圾邮件制造者的邮件。

(2)白名单(WhiteList)这个方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。(3)简单的关键字过滤简单的关键字过滤一直是对抗垃圾邮件的基本方法，但由于它没有在过滤的时候参照上下文，所以这种方式存在很多误判现象。

(4)简单DNS测试简单DNS测试就是在收到电子邮件时对发送者的互联网域名进行查询，以此来验证发送者信息的真实性。(5)实时黑名单实时黑名单是一个可供查询的IP地址列表，通过DNS的查询方式来查找一个IP地址的记录是否存在，并以此来判断其是否被列入了该实时黑名单中。

(6)指纹识别技术指纹识别技术来源于生物识别技术，它将垃圾邮件抽样提取标本，形成特征码，也就是所谓的“指纹”，再利用这些“指纹”来判定一封邮件究竟是不是垃圾邮件。(7)基于规则的过滤技术基于规则的过滤技术就是在邮件标题和邮件内容中寻找特定的模式。

(8)贝叶斯过滤技术它和基于规则的过滤技术比较相似，但是贝叶斯过滤器不必预先设定规则。(9)分布式适应性黑名单分布式黑名单过滤器会让一个用户的“删除”操作去警告其他许多用户注意这个垃圾邮件。

2.简单邮件通信协议(SMTP)的改进对SMTP协议进行改进和完善的主要的技术：(1)反向查询技术反向查询技术要求邮件来自已知的并且信任的邮件服务器，而且对应合理的IP地址(反向MX纪录)，这对那些没有主机或者只有空域名的用户造成一些问题。

(2)SenderID检查技术SenderID可以判断出电子邮件的确切来源，因此，可以降低垃圾邮件以及域名欺骗等行为发生的可能性。SenderID技术并不能根除垃圾邮件，它只是一个解决垃圾邮件发送源认证的技术，从本质上来说，并不能鉴定一个邮件是否是垃圾邮件。

SenderID技术原理图如下：

(3)DKIM技术DKIM给邮件提供一种机制来同时验证每个域邮件发送者和消息的完整性。一旦域能被验证，就用来同邮件中的发送者地址作比较，从而检测其真伪。如果是伪造的，那么可能就是垃圾邮件，就可以被丢弃；如果不是伪造的，并且域是已知的，可为其建立起良好的声誉，并绑定到反垃圾邮件策略系统中，也可以在服务提供商之间共享，甚至直接提供给用户。

DKIM的实现过程如下图：

（4）FairUCE技术FairUCE由IBM开发，该技术使用网络领域的内置身份管理工具，通过分析电子邮件域名，过滤并封锁垃圾邮件。（5）密码技术目前的邮件协议(SMTP)不能直接支持加密验证。研究中的解决方案扩展了SMTP，例如，S/MIME、PGP/MIME和AMTP。

3.邮件服务器的安全管理(1)SMTP身份认证；(2)病毒过滤；(3)安全审计。7.2网页防篡改技术7.2.1网页篡改技术7.2.2网页防篡改技术7.2.1网页篡改技术一些常见的网页篡改技术：(1)利用各种漏洞进行木马植入；(2)黑客利用窃听或者暴力破解的方法获取网站合法管理员的用户名、口令；(3)利用病毒进行攻击；(4)网站管理员没有对网站进行有效的管理和配置。7.2.2网页防篡改技术防止网页被篡改的最有效方法就是使用没有漏洞的操作系统和应用程序，并且合理地进行配置。目前，网页防篡改技术主要分为两类：1.第一类：阻止黑客侵入(1)操作系统级防止黑客利用操作系统的漏洞(如缓冲区溢出)入侵系统，如安装病毒防火墙、保持操作系统最新等。

(2)限制管理员的权限黑客通常攻入系统后获得管理员(或者超级帐号)的权限，限制管理员的权限，这样也就限制了黑客篡改网页。(3)HTTP请求级防止黑客利用恶意的HTTP请求入侵系统，例如，对网页请求参数进行验证、防止非法参数传入、防止SQL注入攻击等。

2.第二类：阻止黑客侵入后篡改(1)轮询检测利用一个网页读取和检测程序，周期性地从外部逐个访问网页来判断网页合法性。(2)事件触发技术在所有类型的操作系统中，任何形式的文件系统改动，操作系统都会迅速、准确地获取相应的事件。

(3)核心内嵌技术核心内嵌技术是将篡改检测模块嵌入用户的Web服务器中。当网页请求到达时，Web应用引擎需要利用篡改检测模块来读取网页文件，篡改检测模块首先对要访问文件进行完整性检查。7.3反网络钓鱼技术7.3.1网络钓鱼的概念7.3.2网络钓鱼技术7.3.3网络钓鱼的应对措施7.3.1网络钓鱼的概念网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、帐户用户名和口令等内容。7.3.2网络钓鱼技术1.网络钓鱼技术的特征(1)迷惑性网络钓鱼所用的消息往往被仔细地伪装成知名的、可信的财务机构。(2)目标性网络钓鱼者往往细心地选择一些电子邮件地址作为目标。他不但要提高回应率，而且还要逃避少数类似垃圾邮件蜜罐系统的特殊检测系统的检测。

(3)短暂性网络钓鱼攻击的生存期都比较短，常常只有几个小时。(4)动态性网络钓鱼攻击和它所使用的站点都是动态的，会很快地改变服务器。

2.网络钓鱼技术的常用手段(1)利用垃圾邮件和社会工程诈骗分子大量发送欺诈性电子邮件，这些邮件多以中奖、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

(2)利用假冒网上银行、网上证券网站诈骗分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入帐号和密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。

(3)利用虚假的电子商务此类诈骗活动往往是建立电子商务网站，或是在比较知名的大型电子商务网站上，如易趣、淘宝、阿里巴巴等发布虚假的商品销售信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”等名义出售各种产品。

(4)利用计算机病毒网络钓鱼通常和计算机病毒技术相结合，以便更快地传播，有的甚至携带木马或间谍程序，给用户带来更大的危害。7.3.3网络钓鱼的应对措施1.服务器端应对措施(1)采用必要手段提高客户的安全意识；(2)及时处理用户反馈，打击假冒网站等违法行为；(3)采用技术手段增加网络钓鱼的难度；(4)建立一套动态安全体系，防止服务器被攻击者利用。

2.客户端应对措施(1)不要点击电子邮件中的链接；(2)使用无效的认证信息登录可疑的Web站点；(3)妥善选择和保管密码；(4)防范黑客或病毒入侵计算机；(5)积极进行举报。7.4内容过滤技术7.4.1内容过滤的概念7.4.2进行内容过滤的目的7.4.3内容过滤常用技术7.4.4内容过滤技术的发展趋势7.4.1内容过滤的概念内容过滤具体包含以下三个方面：(1)过滤互联网请求，从而阻止用户浏览不适当的内容或站点；(2)过滤流入的内容，从而阻止潜在的攻击进入用户的网络系统；(3)过滤流出的内容，从而阻止敏感数据的泄漏。7.4.2进行内容过滤的目的1．阻止不良信息对人们的侵害；2．规范用户的上网行为，提高工作效率；3．防止敏感数据的泄漏；4．遏制垃圾邮件的蔓延；5．减少病毒对网络的侵害。7.4.3内容过滤常用技术内容过滤常用技术有两种：

1.基于源的过滤技术(1)DNS过滤；

(2)IP包过滤；

(3)URL过滤。

2.基于内容的过滤技术(1)内容分级审查；

(2)关键字过滤技术；

(3)启发式内容过滤技术；

(4)机器学习技术。

7.4.4内容过滤技术的发展趋势

内容过滤技术在防病毒、防火墙、入侵检测等多种领域有着广泛的应用。随着应用环境的复杂化和传统安全技术的成熟，整合各种安全模块成为信息安全领域的一个发展趋势，以对更大范围的信息内容进行更加全面地检测和防护，同时也能提高检测的效率和准确性。习题

1．填空题（1）

实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护Web站点的数据安全。（2）

是可以管理Web，修改主页内容等的权限，如果要修改别人的主页，一般都需要这个权限，上