网络安全检测与评估技术课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第,6,章 网络安全检测与评估技术,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,第,6,章 网络安全检测与评估技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,1,第,6,章 网络安全检测与评估技术,内容提要：,网络安全漏洞,网络安全漏洞检测技术,网络安全评估标准,网络安全评估方法,网络安全检测评估系统简介,小结,2024/10/18,1第6章 网络安全检测与评估技术 内容提要：2023/9/,2,6.1,网络安全漏洞,1.,网络安全漏洞威胁,（,1,）安全漏洞的定义,漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。,漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而,“,检测只能发现错误，证明错误的存在，不能证明错误的不存在”。,2024/10/18,26.1 网络安全漏洞 1.网络安全漏洞威胁2023/9,3,（,2,）安全威胁的定义,安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。,2024/10/18,3（2）安全威胁的定义2023/9/18,4,可以按照风险等级对安全漏洞进行归类，表,6-1,，,6-2,，,6-3,对漏洞分类方法进行了描述。,表,6-1,漏洞威胁等级分类,严 重 度,等级,影响度,低严重度,:,漏洞难以利用，并且潜在的损失较少。,1,低影响度,:,漏洞的影响较低，不会产生连带的其他安全漏洞。,中等严重度,:,漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。,2,中等影响度,:,漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。,高严重度,:,漏洞易于利用，并且潜在的损失较大。,3,高影响度,:,漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。,2024/10/18,4 可以按照风险等级对安全漏洞进行归类，表6-1,5,表,6-2,漏洞威胁综合等级分类,严重,等级,影响等级,1,2,3,1,1,2,3,2,2,3,4,3,3,4,5,2024/10/18,5表6-2 漏洞威胁综合等级分类影响等级1231123223,6,表,6-3,漏洞威胁等级分类描述,等级,描 述,1,低影响度，低严重度,2,低影响度，中等严重度；中等影响度，低严重度,3,低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度,4,中等影响度，高严重度；高影响度，中等严重度,5,高影响度，高严重度,2024/10/18,6表6-3 漏洞威胁等级分类描述等级描 述1低影响度，低严,7,2.,网络安全漏洞的分类方法,按漏洞可能对系统造成的直接威胁分类,按漏洞的成因分类,2024/10/18,72.网络安全漏洞的分类方法2023/9/18,8,（,1,）按漏洞可能对系统造成的直接威胁分类,可以将漏洞分为：,远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。,2024/10/18,8（1）按漏洞可能对系统造成的直接威胁分类 2023/9/1,9,（,2,）按漏洞的成因分类,可以分为：,输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。,2024/10/18,9（2）按漏洞的成因分类 2023/9/18,10,6.2,网络安全漏洞检测技术,网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。,通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；,通过操作系统探测可以掌握操作系统的类型信息；,通过安全漏洞探测可以发现系统中可能存在的安全漏洞。,2024/10/18,106.2 网络安全漏洞检测技术 网络安全漏,11,1.,端口扫描技术,端口扫描的原理是向目标主机的,TCP/IP,端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。,端口扫描技术分为：,TCP,端口扫描技术,UDP,端口扫描技术,6.2.1,网络安全漏洞检测技术,2024/10/18,111.端口扫描技术6.2.1 网络安全漏洞检测技术 2,12,（,1,）,TCP,端口扫描技术,TCP,端口扫描技术主要有全连接扫描技术、半连接（,SYN,）扫描技术、间接扫描技术和秘密扫描技术等。,全连接扫描技术,全连接扫描的工作方式是：对目标主机上感兴趣的端口进行,connect(),连接试探，如果该端口被监听，则连接成功，否则表示该端口未开放或无法到达。,2024/10/18,12（1）TCP端口扫描技术2023/9/18,13,全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。,半连接（,SYN,）端口扫描技术,半连接端口扫描不建立完整的,TCP,连接，而是只发送一个,SYN,信息包，就如同正在打开一个真正的,TCP,连接，并等待对方的回应一样。,2024/10/18,13全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准,14,半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全连接扫描要少得多。,缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的,IP,包，通常情况下，构造,SYN,数据包需要超级用户或者授权用户访问专门的系统调用。,2024/10/18,14半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进,15,（,2,）,UDP,端口扫描技术,UDP,端口扫描主要用来确定在目标主机上有哪些,UDP,端口是开放的。其实现思想是发送零字节的,UDP,信息包到目标机器的各个端口，若收到一个,ICMP,端口不可达的回应，则表示该,UDP,端口是关闭的，否则该端口就是开放的。,2024/10/18,15（2）UDP端口扫描技术2023/9/18,16,6.2.2,操作系统探测技术,由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统的类型信息是网络安全检测的一个重要内容。,操作系统探测技术主要包括：,获取标识信息探测技术,基于,TCP/IP,协议栈的指纹探测技术,基于,ICMP,响应分析探测技术,2024/10/18,166.2.2 操作系统探测技术2023/9/18,17,（,1,）获取标识信息探测技术,获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。,通常，可以利用,telnet,这个简单命令得到主机操作系统的类型。,2024/10/18,17（1）获取标识信息探测技术2023/9/18,18,（,2,）基于,TCP/IP,协议栈的指纹探测技术,指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。,操作系统指纹探测步骤为：,形成一个全面的操作系统指纹特征库；,向目标发送多种特意构造的信息包，检测其是否响应这些信息包以及其响应方式；,把从目标返回的特征信息与指纹特征库进行匹配，判断目标机器的操作系统类型等信息。,2024/10/18,18（2）基于TCP/IP协议栈的指纹探测技术2023/9/,19,（,3,）基于,ICMP,响应分析探测技术,ICMP,响应分析探测技术是一种较新的操作系统探测技术。该技术通过发送,UDP,或,ICMP,的请求报文，然后分析各种,ICMP,应答信息来判断操作系统的类型及其版本信息。,本质也是一种基于,TCP/IP,协议栈的操作系统指纹探测技术。,2024/10/18,19（3）基于ICMP响应分析探测技术2023/9/18,20,6.2.3,安全漏洞探测技术,安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。,按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。,按照漏洞探测的技术特征，可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。,2024/10/18,206.2.3 安全漏洞探测技术2023/9/18,21,（,1,）信息型漏洞探测技术,信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。,该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。,2024/10/18,21（1）信息型漏洞探测技术2023/9/18,22,为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入,:,顺序扫描技术,多重服务检测技术,2024/10/18,22 为提高信息型漏洞探测技术的准确率和效率，许,23,（,2,）攻击型漏洞探测技术,模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。,该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。,2024/10/18,23（2）攻击型漏洞探测技术2023/9/18,24,（,3,）漏洞探测技术按其技术特征可分为：,基于应用的检测技术,基于主机的检测技术,基于目标的漏洞检测技术,基于网络的检测技术,2024/10/18,24（3）漏洞探测技术按其技术特征可分为：2023/9/18,25,6.3,网络安全检测评估系统简介,计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。,我们以,Internet Scanner,和,Nessus,为例来介绍网络安全检测评估系统。,2024/10/18,256.3 网络安全检测评估系统简介 计算机网络信息系,26,6.3.1 Internet Scanner,简介,Internet Scanner,是,ISS,公司开发的网络安全评估工具，可以对网络漏洞进行分析和提供决策支持。,Internet Scanner,可以对计算机网络信息系统进行全面的检测和评估。,2024/10/18,266.3.1 Internet Scanner简介2023,27,2.Internet Scanner,的扫描评估过程,Internet Scanner,有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描，查找最容易被用来攻击的漏洞，探测、调查和模拟攻击网络。最后,Internet Scanner,对漏洞情况进行分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。,2024/10/18,272.Internet Scanner的扫描评估过程20,28,Internet Scanner,的扫描评估