信息安全导论（52 网络安全－防火墙、入侵检测、反病毒）

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,网络安全技术,防火墙、入侵检测、反病毒,信息安全导论（模块5网络安全）,1,网络安全技术,防火墙技术,入侵检测技术,反病毒技术,2,第一部分 防火墙技术,1 防火墙的作用,2 防火墙技术原理,3 防火墙的体系结构,4 基于防火墙的VPN技术,3,1 防火墙的作用,防火墙是一种由,软件或硬件设备组合,而成的装置，通常处于企业的,内部局域网与Internet之间,，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,4,1 防火墙的作用,防火墙能有效地,控制内部网络与外部网络之间的访问及数据传送,，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。,5,1 防火墙的作用,一个好的防火墙系统应具备以下三方面的条件：,内部和外部之间的所有网络数据流必须经过防火墙,。否则就失去了防火墙的主要意义了。,只有,符合安全策略的数据流才能通过防火墙,。这也是防火墙的主要功能,审计和过滤,数据。,防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。,6,1 防火墙的作用,防火墙由四大要素组成：,安全策略,是一个防火墙能否充分发挥其作用的关键。哪些数据可以（或不可以）通过防火墙；防火墙应该如何部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作，等等，这些都属于安全策略,内部网,：需要受保护的网。,外部网,：需要防范的外部网络。,技术手段,：具体的实施技术。,7,防火墙的优点,1,集中的安全管理,，强化网络安全策略，经济易行。,2,防止非授权用户,进入内部网络。,3,可以方便地,监视网络的安全性,并报警。,4,利用,NAT,技术，可以,缓解地址空间的短缺,，隐藏内部网的结构。,5,实现,重点网段的分离,，限制安全问题的扩散。,6,审计和记录,网络的访问和使用的最佳地方。,8,防火墙存在的缺陷和不足,为了提高安全性，,限制或关闭,了一些有用但存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便。,防火墙,只对内外网之间的通信,进行审计和“过滤”，但对于内部人员的恶意攻击，防火墙无能为力。,防火墙,不能防范绕过防火墙的攻击,，如内部网用户通过拨号上网直接进入Internet。,防火墙,对用户不完全透明,，可能带来传输延迟、瓶颈及单点失效。,防火墙也,不能完全防止受病毒感染的文件或软件的传输,，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。,防火墙,不能有效地防范数据驱动式攻击,。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果,作为一种,被动,的防护手段，防火墙不能防范因特网上不断出现的,新的威胁和攻击,。,9,2 防火墙技术原理,防火墙的技术主要有,包过滤技术,代理技术,状态检测技术,地址翻译技术,内容检查技术,其他技术,10,2.1 包过滤技术,包过滤型防火墙,在网络中适当的位置,对数据包实施有选择的通过,选择依据：系统内设置,过滤规则,（通常称为访问控制列表），只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。,11,包过滤的概念,包过滤一般要检查下面几项：,IP源地址,IP目的地址,协议类型（TCP包、UDP包和ICMP包）,TCP或UDP的源端口,TCP或UDP的目的端口,ICMP消息类型,TCP报头的ACK位,12,包过滤的设置,设置步骤,必须知道什么是应该和不应该被允许的，必须制订一个安全策略,必须正式规定允许的包类型、包字段的逻辑表达,必须用防火墙支持的语法重写表达式,按地址过滤,包过滤路由器检查包头的信息，与过滤规则进行匹配，决定是否转发该数据包,按服务过滤,根据安全策略决定是,允许或者拒绝某一种服务,，比如：禁止外部主机访问内部的Email服务器,13,包过滤的优点,处理包的速度比代理服务器快,只需要很小的开销，因此屏蔽设备的性能不会受很多影响,几乎不需要额外费用,一般的,路由器,都有配套的包过滤功能，不需要额外购买相应的包过滤软件，因而包过滤技术相当便宜甚至是免费的,对用户是透明的,用户基本上觉察不出包过滤的存在，它是在路由器上对进出数据包进行过滤。对于用户端来说是透明的,14,包过滤的缺点,防火墙维护比较困难，需要管理员具备一定的专业知识,只能阻止一种IP欺骗,即外部主机伪装成内部主机的IP，对于外部主机伪装成其他可信任主机的IP不可能阻止。,无法抵抗数据驱动式攻击,部分包过滤防火墙不支持有效的用户认证,不可能提供有用的日志,影响路由器的吞吐量,无法对网络上的信息提供全面的控制,15,2.2 代理技术,代理技术（应用层网关技术）,代理技术与包过滤技术完全不同，,包过滤技术是在网络层拦截所有的信息流,，代理技术是针对每一个特定应用都有一个程序,代理是企图,在应用层实现防火墙的功能,。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。,16,代理防火墙的优点,易于配置，界面友好；,不允许内外网主机的直接连接,；,可以提供比包过滤更详细的日志记录；,可以,隐藏内部IP地址,；,可以给单个用户授权；,可以为用户提供透明的加密机制；,可以与认证、授权等安全手段方便的集成,17,代理防火墙的缺点,代理,速度,比包过滤,慢,；,因为代理防火墙工作在应用层，需要对数据包进行解包、装配，还原出原始数据，因此需要增加额外的开销。,代理对用户不透明,代理技术需要针对每种协议设置一个不同的代理服务器。并且代理服务程序开发起来比较困难。,18,2.3 状态检测技术,状态检测技术是防火墙近几年应用的新技术,传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,基于状态检测技术的防火墙不仅仅对数据包进行检测，还,对控制通信的基本因素状态信息（包括通信信息、通信状态、应用状态和信息操作性）进行检测,。通过状态检测虚拟机维护一个动态的状态表，记录所有的连接通信信息、通信状态，以完成对数据包的检测和过滤。,19,状态检测防火墙的优点,高安全性,防火墙截取到数据包，首先根据安全策略从数据包提取有用信息，然后将相关信息进行组合，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接和加密数据等。,高效性,状态检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，而不需要上层处理任何数据。,可伸缩性和易扩展性,状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新规则，具有很好的可伸缩性和易扩展性。,应用范围广,不仅支持基于TCP的应用，而且支持UDP等基于无连接的协议应用。,20,状态检测防火墙的缺点,配置比较复杂,降低网络速度,21,2.4 网络地址翻译技术,网络地址翻译（NATNetwork Address Translation）的最初设计目的是用来,增加私有组织的可用地址空间,和,解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题,。,NAT,技术并非为防火墙而设计，它在解决,IP,地址短缺的同时提供了如下功能：,内部主机地址隐藏；,网络负载均衡；,网络地址交迭。,22,网络地址翻译技术（NAT）,目的, 解决IP地址空间不足问题, 向外界隐藏内部网结构,方式, M-1：多个内部网地址翻译到1个IP地址, 1-1：简单的地址翻译, M-N：多个内部网地址翻译到N个IP地址,23,3 防火墙的体系结构,在防火墙和网络的配置上，有以下四种典型结构：,双宿/多宿主机模式,屏蔽主机模式,屏蔽子网模式,混合结构模式,24,3.1 双宿/多宿主机模式,双宿/多宿主机防火墙（又称为双宿/多宿网关防火墙）,拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有,两块或多块网卡的堡垒主机,做防火墙，两块或多块网卡各自与受保护网和外部网相连。,特点：,主机的路由功能是被禁止的,，,两个网络之间的通信通过应用层代理服务来完成的,。如果一旦黑客侵入堡垒主机并使其具有路由功能，那么防火墙将变得没用。,25,3.1 双宿/多宿主机模式,双宿/多宿主机模型的示意图,双宿/多宿主机,Internet,内部网络1,内部网络2,26,3.2 屏蔽主机模式,强迫所有的外部主机与堡垒主机相连接，而不让他们与内部主机直接连接。,通过一个过滤路由器，把所有外部到内部的连接都路由到了堡垒主机。,屏蔽路由器介于Internet和内部网之间，是防火墙的第一道防线。,安全等级比包过滤防火墙系统高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。,27,屏蔽主机体系结构示意图,28,屏蔽主机型的典型构成,包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。,29,屏蔽主机型的配置,屏蔽路由器可按如下方式进行配置：,允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）,不允许所有来自外部主机的直接连接,对于内部主机到外部的连接，可以采用不同的策略决定是否要经过堡垒主机,30,屏蔽主机型的优缺点,优点：安全性更高，双重保护,与双宿/多宿主机模式相比，安全性更高，双重保护：实现了,网络层安全,（包过滤）和,应用层安全,（代理服务）。,缺点：过滤路由器成了“单一失效点”。,如果路由器被损害，堡垒主机将被穿过，整个网络对攻击者是开放的。,31,3.3 屏蔽子网模式,屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系,周边网络,。,堡垒主机位于周边网络上，周边网络和内部网络被,内部路由器,分开。,增加一个周边网络的原因：堡垒主机是用户网络上最容易受侵袭的机器。通过,在周边网络上隔离堡垒主机,，能减少堡垒主机被侵入的影响。,万一堡垒主机被入侵者控制，入侵者仍不能直接侵袭内部网络，内部网络仍受到,屏蔽路由器,的保护。,32,屏蔽子网型结构,周边网络,内部网络,外部路由器,堡垒主机,内部路由器,Internet,DMZ,33,主要构成,周边网络,：位于内部网络与外部网络之间的子网，部署有,堡垒主机和应用层网关,。,堡垒主机：放置在周边网络上是整个防御体系的核心。,在堡垒主机上可以允许各种各样的代理服务器,。,内部路由器,：保护内部网络。执行大部分的过滤工作。,外部路由器,：保护内部网络的第一道防线。,34,周边网络,周边网络的概念,是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。,周边网络的作用,即使堡垒主机被入侵者控制，它仍可消除对内部网的攻击。,35,堡垒主机,堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机应该尽可能地简单。并做好随时做好堡垒主机受损、修复堡垒主机准备,堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。,对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机,。,36,内部路由器（阻塞路由器）,作用：位于内部网与周边网络之间，保护内部网络不受外部网络和周边网络的侵害，它执行大部分,过滤,工作。,即使堡垒主机被攻占，也可以保护内部网络。,实际应用中，应按“,最小特权原则,”设计堡垒主机与内部网的通信策略。,37,外部路由器（访问路由器）,作用：保护周边网络和内部网络不受外部网络的侵犯。,它,把入站的数据包路由到堡垒主机,。,防止部分IP欺骗,，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。,38,3.4 混合模式,主要是以上一些模式结构的混合使用：,将屏蔽子网结构中的内部路由器和外部路由器合并,合并屏蔽子网结构中堡垒主机与外部路由器,使用多台堡垒主机,使用多台外部路由器,使用多个周边网络,39,混合型防火墙,一个堡垒主机和一个非军事区示意图,DMZ,堡垒主机,内部网,外部路由器,Internet,40,混合型防火墙(续),两个堡垒主机和两个非军事区,外部DMZ,外部堡垒主机,内部网,外部路由器,Internet,内部堡垒主机,内部DMZ,41,4 基于防火墙的VPN技术,虚拟专用网(VPNVirtual Private Network),虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），,在公用网络中建立专用的数据通信网络,的技术。,在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,42,VPN工作原理,IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个,私有,的广域网”,通过私有的,隧道技术,在,公共数据网络,上仿真一条,点到点的专线,技术,所谓,虚拟,，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。,所谓,专用,网络，是指用户可以为自己制定一个最符合自己需求的网络。,43,44,隧道技术,采用了,隧道技术,：数据包不是公开在网上传输，而是首先进行,加密,以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。,45,基于防火墙的VPN,基于防火墙的VPN是最常见的一种实现方式，许多厂商都提供这种配置类型。,46,基于防火墙的VPN,47,小结,防火墙的,作用,位置,基本技术,48,第二部分 入侵检测技术,入侵检测系统（Intrusion Detection System，IDS）,49,入侵检测技术（IDS）,1 入侵检测概述,2 入侵检测类型,3 入侵检测基本技术,50,1 入侵检测概述,入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统,入侵检测系统通过对网络中的数据包或主机的日志等信息进行,提取,、,分析,，,发现,入侵和攻击行为，并对入侵或攻击作出,响应,是一种,主动防御,技术,51,为什么需要IDS？,入侵很容易,入侵教程随处可见,各种工具唾手可得,防火墙不能保证绝对的安全,网络边界的设备,自身可以被攻破,对某些攻击保护很弱,不是所有的威胁来自防火墙外部,防火墙是锁，入侵检测系统是监视器,52,入侵检测的任务,检测,来自内部,的攻击事件和越权访问,85以上的攻击事件来自于内部的攻击,防火墙只能防外，难于防内,入侵检测系统作为防火墙系统的一个有效的,补充,入侵检测系统可以有效的防范防火墙开放的服务入侵,通过,事先发现风险,来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员。,检测其它安全工具没有发现的网络攻击事件。,提供有效的,审计信息,，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。,53,安装入侵检测的必要性,网络中可被入侵者利用的资源,在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序,用户和管理员在配置和使用系统中的失误,对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用,54,IDS功能与模型,IDS能够完成下列活动：,监控、分析,用户和系统的活动,发现,入侵企图或异常现象,审计,系统的配置和弱点,评估,关键系统和数据文件的完整性,对,异常,活动的统计分析,识别,攻击的活动模式,实时报警和主动,响应,55,IDS功能与模型,入侵检测系统分为四个基本组件：,事件产生器（Event generators）,事件分析器（Event analyzers）,响应单元（Response units）,事件数据库（Event databases）,这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。,56,通用入侵检测模型,57,事件产生器,：从整个计算环境中获得事件，并向系统的其他部分提供此事件。,事件分析器,：分析得到的数据，并产生分析结果。,响应单元,：对分析结果作出作出反应的功能单元，它可以作出,切断连接,、,改变文件属性,等强烈反应，甚至发动对攻击者的,反击,，也可以只是简单的,报警,。,事件数据库,：存放各种中间和最终数据的地方，它可以是复杂的数据库，也可以是简单的文本文件。,58,2 IDS类型,按照,信息源,划分，入侵检测系统主要分为两类,基于网络的IDS（NIDS）,基于主机的IDS（HIDS）,59,防火墙和IDS典型部署图,60,2.1 基于网络的IDS,使用原始的,网络数据包,作为数据源，主要用于实时,监控网络关键路径的信息,，它侦听网络上的所有分组来采集数据，分析可疑现象。,61,2.1 基于网络的IDS,使用四种常用技术来识别攻击标志：,模式、表达式或字节匹配,频率或穿越阈值,次要事件的相关性,统计学意义上的非常规现象检测,62,基于网络检测的优点,实施成本低,隐蔽性好,监测速度快,视野更宽,操作系统无关性,攻击者不易转移证据,63,基于网络检测的缺点,只能监视,本网段,的活动，精确度不高；,在交换网络环境下无能为力；,对加密数据无能为力；,防入侵欺骗的能力也比较差；,难以定位入侵者。,64,2.2 基于主机的IDS,通过监视与分析,主机,的审计记录和日志文件来检测入侵。,通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。,主要用于,保护,运行关键应用的,服务器,。,65,基于主机IDS的优点,能够检测到基于网络的系统检测不到的攻击,安装、配置灵活,监控粒度更细,监视特定的系统活动,适用于交换及加密环境,不要求额外的硬件,66,基于主机入侵检测的缺点,占用主机的资源，在服务器上产生额外的负载,缺乏平台支持，可移植性差，应用范围受到严重限制；,例如，在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整个网络是入侵活动. 例如“,旋转门柄,”攻击，入侵者企图登录到网络主机，他对每台主机只试用一次用户ID和口令，并不进行暴力口令猜测，如果不成功，便转向其它主机. 对于这种攻击方式，各主机上的入侵检测系统显然无法检测到。这就需要建立面向网络的入侵检测系统.,67,3 IDS基本技术,3.1 误用检测,3.2 异常检测,68,3.1 误用检测,适用于,已知使用模式,的可靠检测，这种方法的前提是入侵行为能按照某种方式进行特征编码。,如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入侵者即被检测到。,69,误用入侵检测模型,模式库,模式匹配,攻击者,警报,70,2. 异常检测,异常检测的前提是,异常行为,包括,入侵行为,。最理想情况下，异常行为集合等同于入侵行为集合。,行为是入侵行为，但不表现异常；,行为是入侵行为，且表现异常；,行为不是入侵行为，却表现异常；,行为既不是入侵行为，也不表现异常。,71,2. 异常检测,异常活动集与入侵活动集之间的关系如下图所示：,72,小结：入侵检测技术,是一种主动防御技术,是传统计算机安全机制的补充,73,第三部分 反病毒技术,1 病毒概论,2 病毒的特点,3 病毒的分类,4 反病毒技术,74,1 病毒概论,病毒,计算机病毒,(computer virus),：指,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,。（中华人民共和国计算机信息系统安全保护条例中明确定义，,1994年2月18日）,病毒一般隐藏在其他宿主程序中，具有,潜伏,能力，自我,繁殖,能力，被激活产生,破坏,能力。,75,1 病毒概论,自从Fred Cohen博士于1983年11月成功研制了第一种计算机病毒以来，计算机病毒技术正以惊人速度发展，不断有新的病毒出现。,76,计算机病毒的危害,计算机病毒激发对计算机,数据,信息的直接破坏作用,计算机病毒占用,磁盘空间,和对信息的破坏,计算机病毒抢占,系统资源,计算机病毒影响计算机,运行速度,77,惨痛事实,梅莉莎病毒在1999年造成的损失高达12亿美元。,2001年7、8月份在互联网上肆虐的“红色代码”蠕虫病毒给全世界造成了26亿美元的损失；包括清除它所需要的11亿美元和因感染病毒而造成的15亿美元生产方面的损失。,78,惨痛事实,2003年1月25日，互联网上出现一种新型高危蠕虫病毒“2003蠕虫王” 其危害远远超过曾经肆虐一时的“红色代码”病毒。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。,爱虫病毒及其,50,多种变种感染了全球约,4000,万台计算机，造成的损失高达,87,亿美元。,美国的公司2001年用于消除病毒造成的损害花费大约123亿美元。,79,病毒破坏的后果,良性病毒,是指那些只表现自己而不破坏系统数据的病毒。,后果：只显示些画面或音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源,恶性病毒,的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化,后果：破坏数据、删除文件、加密磁盘、格式化磁盘，破坏操作系统、破坏硬件、堵塞网络等,80,蠕虫,蠕虫也是一段,独立的可执行程序,，它可以,通过计算机网络把自身的拷贝（复制品）传给其他的计算机,。,蠕虫具有,病毒和入侵者,双重特点：像病毒那样，它可以进行自我复制，并可能被当作假指令去执行；像入侵者那样，它以穿透网络系统为目标。,蠕虫利用网络系统中的缺陷或系统管理中的不当之处进行复制，将其自身通过网络复制传播到其他计算机上，造成网络的瘫痪。,81,木马,木马（Trojan Horse）又称特洛伊木马,一种通过各种方法直接或者间接,与远程计算机之间建立起连接,，使远程计算机能够通过网络,控制本地计算机,的程序,通常木马并不被当成病毒，因为它们并不自我复制，只是,靠欺骗获得传播,。,像间谍一样,潜入,用户的计算机，使远程计算机通过网络控制本地计算机。,82,病毒产生的原因,破坏、报复心理,盈利途径,特殊目的,83,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,传染性是计算机病毒最重要的特性，计算机病毒在这点上与生物病毒是一致的。,84,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒通常附在正常程序中或磁盘,较隐蔽的地方,，不让用户发现。正是由于这种潜伏性，计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。,85,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,大部分病毒感染系统后一般不会马上发作，它可长期隐藏在系统中，只有在,满足其特定条件时,才启动其破坏模块。,86,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒一般是针对某一种或几种计算机和,特定的操作系统,进行攻击的。,87,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒编制者或者其他人将某个计算机病毒进行一定的修改后，使其衍生为一种与原版本不同的计算机病毒，称其为原计算机病毒的一个,变种,。,88,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒程序,依附,在某个宿主程序中，依赖于宿主程序而生存，并且通过宿主程序的执行而传播。,89,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒的,侵入、传播和发作是不可预见的,，计算机病毒的发展速度也远远超出了我们的想象。病毒如何出现以及如何防范永远是不可预见的。,90,2 病毒的特点,传染性,潜伏性,触发性,针对性,衍生性,寄生性,不可预见性,破坏性,病毒对计算机产生,破坏,作用,91,3 病毒的分类,按,感染对象,分为：,引导型病毒；,文件型病毒；,混合型病毒。,按,感染方式,分为：,源码型病毒；,入侵型病毒；,操作系统型病毒；,外壳型病毒。,按,破坏性,可分为：,良性病毒；,恶性病毒。,92,4 反病毒技术,病毒与反病毒是互相对抗发展的，任何一种检测方法都不可能是万能的,反病毒技术需要根据病毒的最新特点不断改进或发现新的方法,93,检测计算机病毒的基本方法,1. 外观检测法,病毒侵入计算机系统后，会使计算机系统的某些部分发生变化，引起一些,异常现象,，如屏幕,显示,的异常现象、系统运行,速度,的异常、打印机,并行端口,的异常、通信,串行口,的异常等等。可以根据这些异常现象来判断病毒的存在，尽早地发现病毒，并作适当处理,94,检测计算机病毒的基本方法,2. 特征代码法,将各种已知病毒的特征代码串组成,病毒特征代码数据库,。用特征代码数据库中的病毒特征代码逐一比较，就可确定被检计算机系统感染了何种病毒。,很多著名的病毒检测工具中广泛使用特征代码法。,特征代码法是检测已知病毒的最简单、开销最小的方法。,95,检测计算机病毒的基本方法,3. 虚拟机技术,多态性病毒或多型性病毒即俗称的,变形病毒,。多态性病毒,每次感染后都改变其病毒密码,。多态和变形病毒的出现让传统的特征值查毒技术无能为力。,使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动“虚拟机”模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。,其实质是,让病毒在虚拟的环境中执行,，从而原形毕露，无处藏身。,96,检测计算机病毒的基本方法,4. 启发式扫描技术,病毒和正常程序在指令特点上有很大区别。,一个运用启发式扫描技术的病毒检测软件，就是通过对有关指令序列的,反编译,，逐步,理解和确定其蕴藏的真正动机,。,97,防范计算机病毒的基本方法,不要轻易上一些不正规的网站,。一些病毒、木马制造者正是利用人们的猎奇心理，引诱大家浏览他的网页，甚至下载文件，这样很容易使机器染上病毒。,提防电子邮件病毒的传播,。在收到,陌生可疑邮件,时尽量不要打开，特别是对于带有附件的电子邮件更要小心。甚至有的是从你的好友发送的邮件中传到你机器上的。,对于渠道不明的光盘、软盘、U盘等,便携存储器,，使用之前应该查毒。对于从网络上下载的文件同样如此。,经常关注,病毒报告,，这样可以在未感染病毒的时候做到预先防范。,对于重要文件、数据做到,定期备份,。,不能因为担心病毒而不敢使用网络，时刻具有,防范意识,98,小结,了解网络安全的相关技术,所涉及的后续课程,99,作业（第七次）,调研电信网的安全问题，完成一个调查报告,包括存在的安全威胁、可能的解决对策,100,