计算机网络学习课件-第14讲 网络安全攻击与入侵检测技术

第十四讲第十四讲 网络攻击与入侵检测网络攻击与入侵检测来源：河南学历考试网来源：河南学历考试网 7.4 网络安全的攻击与入侵检测技术 v常见的网络攻击方法常见的网络攻击方法 n1口令窃取口令窃取 n2木马程序攻击木马程序攻击 n3欺骗攻击欺骗攻击 n3欺骗攻击欺骗攻击 n5网络监听网络监听 n6寻找系统漏洞寻找系统漏洞 n7拒绝服务攻击拒绝服务攻击入侵检测与入侵检测系统入侵检测与入侵检测系统 v入侵检测（入侵检测（Intrusion Detection）n通过收集和分析计算机网络或计算机系统中若干关键点通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象为和被攻击的迹象.v入侵检测系统（入侵检测系统（Intrusion Detection System）n是对计算机和网络资源的恶意使用行为进行识别的系统是对计算机和网络资源的恶意使用行为进行识别的系统.入侵检测系统分类 v（1）基于主机的入侵检测系统。）基于主机的入侵检测系统。v（2）基于网络的入侵检测系统。）基于网络的入侵检测系统。v（3）分布式入侵检测系统。）分布式入侵检测系统。入侵检测系统框架结构入侵检测系统框架结构 入侵检测的基本方法入侵检测的基本方法(1)模式匹配模式匹配(2)协议分析协议分析(3)专家系统专家系统(4)统计分析统计分析(5)基于技术发展的入侵检测方法基于技术发展的入侵检测方法7.5 网络防病毒技术 v计算机病毒的定义计算机病毒的定义n计算机病毒计算机病毒(Computer Virus)“指编制或者在计算机程指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码使用并且能够自我复制的一组计算机指令或者程序代码”。v计算机病毒的分类计算机病毒的分类n根据病毒存在的媒体，病毒可以划分为：根据病毒存在的媒体，病毒可以划分为：网络病毒网络病毒文件病毒文件病毒引导型病毒引导型病毒混合型病毒混合型病毒计算机病毒的分类v根据病毒传染的方法可分为：根据病毒传染的方法可分为：n驻留型病毒。驻留型病毒。n非驻留型病毒。非驻留型病毒。v根据病毒破坏的能力可划分为：根据病毒破坏的能力可划分为：n无害型无害型n无危险型无危险型n危险型危险型n非常危险型非常危险型网络病毒v计算机病毒一般通过有盘工作站的软盘和硬盘计算机病毒一般通过有盘工作站的软盘和硬盘进入网络，然后开始在网上的传播。进入网络，然后开始在网上的传播。网络工作站防病毒方法 1基于工作站的防治方法基于工作站的防治方法(1)防病毒软件防病毒软件(2)病毒防护芯片病毒防护芯片(3)多用无盘工作站多用无盘工作站2基于服务器的防治方法基于服务器的防治方法集中式实时扫毒。集中式实时扫毒。7.6 网络管理技术 v网络管理网络管理n指网络使用期内为保证用户安全、可靠、正常使用网络指网络使用期内为保证用户安全、可靠、正常使用网络服务而从事的全部操作和维护性活动。服务而从事的全部操作和维护性活动。v计算机网络管理分为两类：计算机网络管理分为两类：n第一类是计算机网络应用程序、用户帐号和存取权限的第一类是计算机网络应用程序、用户帐号和存取权限的管理，属于与软件有关的网络管理问题；管理，属于与软件有关的网络管理问题；n第二类是对构成计算机网络的硬件的管理，包括对工作第二类是对构成计算机网络的硬件的管理，包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。站、服务器、网卡、路由器、网桥和集线器等的管理。网络管理系统v网络管理涉及以下三个方面：网络管理涉及以下三个方面：(1)网络服务网络服务(2)网络维护网络维护(3)网络处理网络处理v网络管理系统网络管理系统是一个软硬件结合以软件为主的分布式网络应用系统，可是一个软硬件结合以软件为主的分布式网络应用系统，可以帮助网络管理者维护和监视网络的运行，生成网络信以帮助网络管理者维护和监视网络的运行，生成网络信息日志，分析和研究网络。息日志，分析和研究网络。网络管理模型网络管理模型(1)管理者管理者(2)管理代理管理代理(3)网络管理信息库（网络管理信息库（MIB）(4)网络管理协议网络管理协议OSI管理功能域vISO 定义了网络管理的五个功能域：定义了网络管理的五个功能域：n1故障管理故障管理(Fault Management)n2计费管理计费管理(Accounting Management)n3配置管理配置管理(Configuration Management)n4性能管理性能管理(Performance Management)n5安全管理安全管理(Security Management)1故障管理(Fault Management)v是对网络环境中的问题和故障进行定位的过程。是对网络环境中的问题和故障进行定位的过程。v包括故障检测、隔离和纠正三方面，主要功能：包括故障检测、隔离和纠正三方面，主要功能：(1)维护并检查错误日志维护并检查错误日志(2)接受错误检测报告并做出响应接受错误检测报告并做出响应(3)跟踪、辨认故障跟踪、辨认故障(4)执行诊断测试执行诊断测试(5)纠正错误，重新开始服务纠正错误，重新开始服务 2计费管理(Accounting Management)v计费管理负责控制和监测网络操作的费用和代价。计费管理负责控制和监测网络操作的费用和代价。v计费管理的功能包括：计费管理的功能包括：(1)统计网络利用率等数据，提供给网络管理员确定费率统计网络利用率等数据，提供给网络管理员确定费率的依据。的依据。(2)根据用户对网络资源使用情况，公平合理的收取费用。根据用户对网络资源使用情况，公平合理的收取费用。(3)提供费用统计和账单审查服务。提供费用统计和账单审查服务。(4)当多个资源同时用来提供一项服务时，能计算各个资当多个资源同时用来提供一项服务时，能计算各个资源的费用。源的费用。3配置管理(Configuration Management)v配置管理是发现和设置网络设备的过程。配置管理是发现和设置网络设备的过程。v配置管理的功能主要包括：配置管理的功能主要包括：(1)设置开放系统中有关路由操作的参数。设置开放系统中有关路由操作的参数。(2)被管对象和被管对象组属性的管理。被管对象和被管对象组属性的管理。(3)初始化或关闭被管理对象。初始化或关闭被管理对象。(4)根据要求收集系统当前状态的有关信息。根据要求收集系统当前状态的有关信息。(5)获取系统重要变化的信息，维护最新的设备清单并根获取系统重要变化的信息，维护最新的设备清单并根据数据产生报告。据数据产生报告。(6)更改系统的配置，提供远程修改设备配置的手段。更改系统的配置，提供远程修改设备配置的手段。4性能管理(Performance Management)v用于对系统运行及通信效率等系统性能进行评价。用于对系统运行及通信效率等系统性能进行评价。v典型的网络性能管理分为性能监测和网络控制两典型的网络性能管理分为性能监测和网络控制两部分。典型的功能包括：部分。典型的功能包括：(1)收集并统计与被管理对象性能有关的参数、历史数据收集并统计与被管理对象性能有关的参数、历史数据等信息。等信息。(2)维护并检查系统状态日志，检测性能故障，报告性能维护并检查系统状态日志，检测性能故障，报告性能事件。事件。(3)确定自然和人工状况下系统的性能。确定自然和人工状况下系统的性能。(4)以保证网络性能为目的，对被管理对象和被管理对象以保证网络性能为目的，对被管理对象和被管理对象组进行控制。组进行控制。5安全管理(Security Management)v安全管理的目的是确保网络资源不被非法使用，安全管理的目的是确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭到破坏。防止网络资源由于入侵者攻击而遭到破坏。v安全管理提供的主要功能有：安全管理提供的主要功能有：(1)支持身份鉴别，控制和维护访问权限。支持身份鉴别，控制和维护访问权限。(2)支持密钥管理。支持密钥管理。(3)维护和检查安全日志。维护和检查安全日志。简单网络管理协议SNMPvSNMP为网络管理系统提供网络设备监视、网络为网络管理系统提供网络设备监视、网络参数设定、网络流量的统计与分析及发现故障。参数设定、网络流量的统计与分析及发现故障。vSNMP的管理模型是的管理模型是“管理者管理者代理代理”模型。模型。SNMP的管理模型 vSNMP管理器也称管理进管理器也称管理进程，程，SNMP管理器运行在管理器运行在网络工作站或网管中心的网络工作站或网管中心的主机上。主机上。vSNMP管理器负责完成各管理器负责完成各种网络管理功能，通过被种网络管理功能，通过被管理设备中管理代理对网管理设备中管理代理对网络设备和资源进行管理。络设备和资源进行管理。7.7 网络安全测评 v目的是目的是通过网络安全测评，认清网络的脆弱性和通过网络安全测评，认清网络的脆弱性和潜在威胁，能够快速查出网络上存在的安全隐患、潜在威胁，能够快速查出网络上存在的安全隐患、网络系统中存在的安全漏洞等。网络系统中存在的安全漏洞等。v网络安全测评的前提是：设备安装环境是安全的、网络安全测评的前提是：设备安装环境是安全的、设备的质量是可靠的、外部运行环境是不安全的、设备的质量是可靠的、外部运行环境是不安全的、内部运行环境是相对安全的、系统管理员是可信内部运行环境是相对安全的、系统管理员是可信任的。任的。网络安全测评标准网络安全测评标准v1.可信计算机标准评价准则可信计算机标准评价准则v2.计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则 1.可信计算机标准评价准则v1983年美国国防部发表的年美国国防部发表的可信计算机标准评价可信计算机标准评价准则准则，简称，简称TCSEC，又称桔皮书，又称桔皮书v把计算机安全等级分为把计算机安全等级分为4类类7个级别。依据安全性个级别。依据安全性从低到高的级别，依次为从低到高的级别，依次为D、C1、C2、B1、B2、B3、A，每个级别包括了它下级的所有特性。，每个级别包括了它下级的所有特性。vTCSEC标准是计算机网络安全测评的第一个正式标准是计算机网络安全测评的第一个正式标准。标准。级别名称名称特征特征A验证设计安全安全级形式化的最高形式化的最高级描述和描述和验证，形式化的，形式化的隐蔽通道蔽通道分析，非形式化的代分析，非形式化的代码一致性一致性证明明B3安全域安全域级安全内核，高抗渗透能力安全内核，高抗渗透能力B2结构化安全保构化安全保护级面向安全的体系面向安全的体系结构，遵循最小授构，遵循最小授权原原则，有，有较好的抗渗透能力，好的抗渗透能力，对所有的主体和客体提供所有的主体和客体提供访问控制保控制保护，对系系统进行行隐蔽通道分析蔽通道分析B1标记安全保安全保护级在在C2安全安全级上增加安全策略模型，数据上增加安全策略模型，数据标记(安安全和属性全和属性)，托管，托管访问控制控制C2访问控制控制环境保境保护级访问控制，以用控制，以用户为单位位进行广泛的行广泛的审计C1选择性安全保性安全保护级有有选择的的访问控制，用控制，用户与数据分离，数据以用与数据分离，数据以用户组为单位位进行保行保护D最低安全保最低安全保护级保保护措施很少，没有安全功能措施很少，没有安全功能网络安全测评内容网络安全测评内容v网络安全测评的内容大致有以下几个方面：网络安全测评的内容大致有以下几个方面：(1)安全策略测评安全策略测评(2)网络物理安全测评网络物理安全测评(3)网络体系的安全性测评网络体系的安全性测评(4)安全服务测评安全服务测评(5)病毒防护安全性测评病毒防护安全性测评(6)其它测评，如审计的安全性测评、备份的安全性测评、其它测评，如审计的安全性测评、备份的安全性测评、紧急事件响应测评、安全组织和管理测评等紧急事件响应测评、安全组织和管理测评等本讲小结计算机网络安全概述计算机网络安全概述加密与认证技术加密与认证技术防火墙技术防火墙技术网络安全与入侵检测技术网络安全与入侵检测技术网络防病毒技术网络防病毒技术网络管理技术网络管理技术网络安全测评网络安全测评来源：河南学历考试网来源：河南学历考试网