网络安全与攻防技术.ppt

第8章网络安全与攻防技术 8 1信息安全技术8 2网络安全8 3网络攻击与防范 本章学习要求 了解网络安全的概念掌握密码体制和应用掌握主要的认证技术 消息认证 身份认证和数字签名掌握电子邮件安全协议 PGP和S MIME掌握防火墙的概念和种类了解计算机病毒的概念和基本防范措施了解入侵检测的方法 8 1信息安全技术 8 1 1信息安全基础8 1 2密码学8 1 3对称加密体系8 1 4非对称加密体系8 1 5散列函数 8 1 1信息安全基础 信息安全是指信息能够机密地 完整地 可靠地传输和存储 不受偶然的或者恶意的原因而遭到破坏 更改和泄露 信息安全具有以下五个特性 1 机密性 2 完整性 3 可用性 4 可控性 5 可审查性 8 1 2密码学 密码目的 确保信息不泄露给未授权的实体加密 对信息进行编码转换解密 加密的逆过程明文 被转换的信息密文 转换后的信息在编码转换过程中 主要涉及到密钥和加密算法 其中密钥是独立于明文 算法则是编码转换的规则 8 1 3对称加密体系 图8 1对称加密过程 8 1 3对称加密体系 特点 1 单密钥2 在公共信道上传输密钥极容易被截获3 网络中有N个用户之间要进行相互通信则需要N N 1 个密钥 典型算法 1 DES算法2 IDEA算法3 AES算法 8 1 4非对称加密体系 图8 3非对称加密工作过程 8 1 4非对称加密体系 特点 1 采用双密钥2 从加密算法和加密密钥要确定解密密钥 在计算上是不行的 3 解决常规加密所面临的两大难题 分配密钥的难题 数字签名的难题主要典型算法 1 RSA算法2 DSA算法 8 1 5散列函数 Hash函数H一般满足以下几个基本要求 1 输入x可以为任意长度 输出数据串长度固定 2 正向计算容易 即给定任何m 容易算出h H m 3 反向计算困难 即p H 1 m 在计算上是不可行的 这也是散列函数的单向属性 4 抗冲突性 8 1 5散列函数 散列函数具有以下安全特性 1 一致性 相同的输入产生相同的输出 2 随机性 消息摘要是随机的 以防被猜出输入消息 3 唯一性 几乎不可能找到两个不同消息产生相同的消息摘要 4 单向性 即如果给出输出 则很难确定出输入消息 8 2网络安全 8 2 1数字签名8 2 2认证8 2 3IP安全8 2 4Web安全8 2 5电子邮件的安全8 2 6网络系统安全 8 2 1数字签名 图8 5数字签名和鉴别 8 2 2认证 认证目的 1 验证消息的发送者是真正的 而不是冒充的 此为信源识别 2 验证消息的完整性 在传送或存储过程中未被篡改 重放或延迟等 主要的认证技术有 1 消息认证2 身份认证3 数字签名 8 2 3IP安全 IP层的安全包含三个功能 鉴别 机密性和密钥管理 1 鉴别机制可以保证IP包确实由声明的发送方所发送 2 机密性可以保证数据包在传输过程中不被第三方所窃听 3 密钥管理则用来处理通信密钥的安全交换 IPSec提供两种安全协议1 AH 鉴别首部 2 ESP 封装安全有效载荷 8 2 4Web安全 表8 2Web所面临的威胁 8 2 5电子邮件的安全 电子邮件除了提供正常的收发邮件功能外 还应提供相应的鉴别和机密性服务 目前使用较为广泛的有两种技术 1 PGP主要提供了5种服务 鉴别 机密性 压缩 分段和基数64转换 2 S MIME 1 加密的数据 2 签名的数据 3 清澈签名的数据 4 签名并且加密的数据 8 2 6网络系统安全 8 2 6 1防火墙8 2 6 2防病毒8 2 6 3虚拟专用网 VPNs 8 2 6 4网络管理安全 8 2 6 1防火墙 防火墙的基本目标 1 内部网络和外部网络之间的所有通信量都要经过防火墙的检测 2 只有授权的协议和服务 通过防火墙安全策略定义后才能被允许通过 3 本身具有防攻击的能力 防火墙主要有两种类型 分别是包过滤防火墙和应用级网关 8 2 6 2防病毒 计算机病毒也有其生命周期 一般经历四个阶段 1 潜伏阶段 2 繁殖阶段 3 触发阶段 4 执行阶段典型的病毒有以下几种类型 1 寄生病毒 2 存储器驻留病毒 3 引导区病毒 4 隐形病毒 5 多形病毒 8 2 6 3虚拟专用网 VPNs VPN主要有三种应用方式 1 扩展的企业内部虚拟专用网 即企业和合作伙伴 企业客户之间建立的VPN 2 企业内部的虚拟专用网 即企业总部和各分支机构建立的VPN 3 远程访问虚拟专用网 即企业和远程企业职员之间建立的VPN 8 2 6 4网络管理安全 网络安全管理实施的目标如下 1 集中化的安全策略管理 2 实时安全监视 3 安全联动机制 4 配置与补丁管理 5 统一的权限管理 6 设备管理 DeviceManagement 8 3网络攻击与防范 8 3 1入侵检测与响应8 3 2网络攻击技术 8 3 1入侵检测与响应 入侵检测方法 1 特征检测特征检测对已知的攻击或入侵的方式做出确定性的描述 形成相应的事件模式 当被审计的事件与已知的入侵事件模式相匹配时 即报警 目前基于对包特征描述的模式匹配应用较为广泛 该方法预报检测的准确率较高 但对于无经验知识的入侵与攻击行为却无能为力 2 统计检测统计模型常用异常检测 在统计模型中常用的测量参数包括 审计事件的数量 间隔时间和资源消耗情况等 以下是比较典型的统计模型 3 专家系统用专家系统对入侵进行检测 经常是针对有特征入侵行为 所谓的规则 即是知识 不同的系统与设置具有不同的规则 且规则之间往往无通用性 8 3 1入侵检测与响应 图8 7P2DR模型 8 3 1入侵检测与响应 入侵检测系统的响应可分为主动响应与被动响应 1 主动响应技术主动响应技术是指阻止正在进行的攻击 使得攻击者不能够继续访问 2 被动响应技术最简单的被动响应一般是指自动通知 当检测到入侵发生时 入侵检测系统可以给管理员发出警报通知 8 3 2网络攻击技术 网络攻击过程分析 1 隐藏攻击者位置 2 寻找目标主机并分析目标主机 3 获取帐号和密码 登录主机 4 获得控制权 5 窃取网络资源和特权 8 3 2网络攻击技术 扫描攻击技术主要有三种类型 ping扫描 端口扫描和漏洞扫描 1 ping扫描攻击者利用ping扫描 可以获取网络的拓扑结构 并确定目标攻击主机是否是活性的 2 端口扫描一般网络服务和端口是相对应的 攻击者利用端口扫描 可以获取目标攻击主机所开放的端口和对应的服务 从而找出该主机的存在的安全漏洞 3 漏洞扫描漏洞扫描的目标不再仅仅是主机的端口 还扫描目标攻击主机的特定服务或网络协议 以获取系统的安全漏洞 8 3 2网络攻击技术 缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能 这样可以使得攻击者取得程序的控制权 如果该程序具有足够的权限 那么整个主机就被控制了 缓冲区溢出攻击分为代码安排和控制程序执行流程两种方法 1 在程序的地址空间里存放代码的方法 2 控制程序转移到攻击代码的方法 8 3 2网络攻击技术 使用访问口令是保护系统安全的第一道防线 即要求用户在进入系统前不但要提交用户标识符 ID 还要提交密码 否则拒绝访问系统资源 为了使口令更加安全 可以使用一次性口令方案 主要是通过对口令进行加密或修改加密方法来提供更强健的口令 目前常见的有S Key协议和令牌口令认证方案 破解口令一般可以使用暴力破解和字典攻击 下面先来估算这两种破解口令方法的效率 8 3 2网络攻击技术 拒绝服务攻击即攻击者通过各种手段让目标服务器停止提供服务或资源访问 下面是目前比较流行的拒绝服务攻击的原理 1 SYNFlood 2 IP欺骗DOS攻击 3 UDP洪水攻击 4 Ping洪水攻击 结束