计算机安全课件.ppt

1、精选ppt1 网 络 安 全普通高等教育“十一五”国家级规划教材高等院校信息安全专业系列教材胡道元 闵京华 主编精选ppt2自身缺陷开放性黑客攻击自身缺陷开放性黑客攻击网络不安全的原因精选ppt3信息信息:是从调查、研究和教育获得的知识，是情报、新闻、是从调查、研究和教育获得的知识，是情报、新闻、事实、数据，是代表数据的信号或字符，是代表物事实、数据，是代表数据的信号或字符，是代表物质的或精神的经验的消息、经验数据、图片。质的或精神的经验的消息、经验数据、图片。安全安全:是避免危险、恐惧、忧虑的度量和状态。是避免危险、恐惧、忧虑的度量和状态。 信息安全：信息安全：信息安全是防止对知识、事实、数

2、据信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。的措施（量度）。1.1.1 网络安全的概念精选ppt4 计算机网络计算机网络:计算机网络是地理上分散的多台自计算机网络是地理上分散的多台自主计算机互联的集合。主计算机互联的集合。网络安全网络安全:是在分布网络环境中，对信息载体（处是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或被

3、非授权使用和篡改。内容或能力拒绝服务或被非授权使用和篡改。精选ppt5网络安全具有三个基本属性：机密性、完整网络安全具有三个基本属性：机密性、完整性、可用性。性、可用性。1. 机密性机密性(Confidentiality)机密性是指保证信息与信息系统不被非授权机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。者所获取与使用，主要防范措施是密码技术。信息的机密性，对于未授权的个体而言，信信息的机密性，对于未授权的个体而言，信息不可用息不可用1.1.2 网络安全的属性精选ppt6物理层，要保证系统实体不以电磁的方式物理层，要保证系统实体不以电磁的方式（电磁辐射、电磁泄漏

4、）向外泄漏信息，主（电磁辐射、电磁泄漏）向外泄漏信息，主要的防范措施是电磁屏蔽技术、加密干扰技要的防范措施是电磁屏蔽技术、加密干扰技术等。术等。在运行层面，要保障系统依据授权提供服务，在运行层面，要保障系统依据授权提供服务，使系统任何时候不被非授权人所使用。使系统任何时候不被非授权人所使用。在数据处理、传输层面，要保证数据在传输、在数据处理、传输层面，要保证数据在传输、存储过程中不被非法获取、解析，主要防范存储过程中不被非法获取、解析，主要防范措施是数据加密技术。措施是数据加密技术。精选ppt72. 完整性完整性(Integrity)完整性是指信息是真实可信的，其发布者不完整性是指信息是真实可

5、信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。要防范措施是校验与认证技术。数据完整性，未被未授权篡改或者损坏；数据完整性，未被未授权篡改或者损坏；系统完整性，系统未被非法操纵，按既定的系统完整性，系统未被非法操纵，按既定的目标运行。目标运行。精选ppt83. 可用性可用性(Availability)可用性是指保证信息与信息系统可被授权人可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。系统处于一个可靠的运行状态之下。服务的连续

6、性，即，具有按要求顺序使用的服务的连续性，即，具有按要求顺序使用的特性特性精选ppt9网络安全的其它属性网络安全的其它属性真实性真实性authenticity个体身份的认证，适用于用户、进程、个体身份的认证，适用于用户、进程、系统等系统等可控性可控性Controlability授权机构可以随时控制信息的机密性授权机构可以随时控制信息的机密性可靠性可靠性Reliability行为和结果的可靠性、一致性行为和结果的可靠性、一致性精选ppt10信息窃取信息窃取信息传递信息传递信息冒充信息冒充信息篡改信息篡改信息抵赖信息抵赖加密技术加密技术完整性技术完整性技术认证技术认证技术数字签名数字签名精选ppt

7、11网络安全的目的网络安全的目的精选ppt121.1.3 网络安全层次结构应 用 层表 示 层会 话 层传 输 层网 络 层数据链路层物 理 层传输介质传输介质传输介质主机主机CCPCCP网 络 层数据链路层物 理 层应 用 层表 示 层会 话 层传 输 层网 络 层数据链路层物 理 层主机主机CCPCCP网 络 层数据链路层物 理 层精选ppt13OSI环境中的数据传输过程环境中的数据传输过程网 络 层数据链路层物 理 层数据链路层物 理 层应 用 层表 示 层会 话 层传 输 层网 络 层 数据链路层物 理 层应 用 层表 示 层会 话 层传 输 层网 络 层数据链路层物 理 层传输介质传

8、输介质传输介质C CC CP P网 络 层应用进程AO OS SI I环环境境应用进程B主主机机A A主主机机B BA AC CC CP PB B精选ppt14应 用 层表 示 层会 话 层传 输 层网 络 层 数据链路层物 理 层应 用 层表 示 层会 话 层传 输 层网 络 层数据链路层物 理 层应用进程A应用进程B比特序列帧分组报文数据单元数据单元数据数据传输介质主主机机A A主主机机B BOSI环境中的数据传输过程环境中的数据传输过程精选ppt15网络安全层次图网络安全层次图网络安全层次网络安全层次精选ppt16精选ppt17防火墙防火墙安全网关安全网关VPNVPN反病毒反病毒风险评估

9、风险评估入侵检测入侵检测审计分析审计分析用户用户/组管理组管理单机登录单机登录身份认证身份认证访问控制访问控制授权授权加密加密存储备份存储备份精选ppt18网络安全的层次体系网络安全的层次体系从层次体系上，可以将网络安全分成从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。逻辑安全，操作系统安全和联网安全。（一）物理安全主要包括（一）物理安全主要包括5个方面：防盗，防火，防静电，防雷击个方面：防盗，防火，防静电，防雷击和防电磁泄漏。和防电磁泄漏。（二）逻辑安全需要用口令、文件许可等方法来实现。（二）逻辑安全需要用口令、文件许

10、可等方法来实现。（三）操作系统安全，操作系统必须能区分用户，以便防止相互干（三）操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。扰。操作系统不允许一个用户修改由另一个账户产生的数据。（四）联网安全通过访问控制服务和通信安全服务两方面的安全服（四）联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信）通信安全服务：用来认证数据机要性与完整性，以及各

11、通信的可信赖性。的可信赖性。精选ppt19网络安全模型精选ppt20开放网络环境中提供的安全机制和安全服务开放网络环境中提供的安全机制和安全服务主要包含两个部分：主要包含两个部分：对发送的信息进行与安全相关的转换。对发送的信息进行与安全相关的转换。由两个主体共享的秘密信息，而对开放网络由两个主体共享的秘密信息，而对开放网络是保密的。是保密的。为了完成安全的处理，常常需要可信的第三为了完成安全的处理，常常需要可信的第三方。方。精选ppt21设计网络安全系统时，该网络安全模型应完设计网络安全系统时，该网络安全模型应完成成4个基本任务：个基本任务：（1） 设计一个算法以实现和安全有关的转设计一个算法

12、以实现和安全有关的转换。换。（2） 产生一个秘密信息用于设计的算法。产生一个秘密信息用于设计的算法。（3） 开发一个分发和共享秘密信息的方法。开发一个分发和共享秘密信息的方法。（4） 确定两个主体使用的协议，用于使用确定两个主体使用的协议，用于使用秘密算法与秘密信息以得到特定的安全服务。秘密算法与秘密信息以得到特定的安全服务。精选ppt22黑客攻击形成两类威胁：黑客攻击形成两类威胁：一类是信息访问威胁，即非授权用户截获或一类是信息访问威胁，即非授权用户截获或修改数据；修改数据；另一类是服务威胁，即服务流激增以禁止合另一类是服务威胁，即服务流激增以禁止合法用户使用。法用户使用。精选ppt23对非

13、授权访问的安全机制可分为两类：对非授权访问的安全机制可分为两类：第一类是网闸功能，包括基于口令的登录过第一类是网闸功能，包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击；测、拒绝病毒、蠕虫和其他类似攻击；第二类是内部的安全控制，一旦非授权用户第二类是内部的安全控制，一旦非授权用户或软件攻击得到访问权，第二道防线将对其或软件攻击得到访问权，第二道防线将对其进行防御，包括各种内部控制的监控和分析，进行防御，包括各种内部控制的监控和分析，以检测入侵者。以检测入侵者。精选ppt24网络安全评价标准网络安全评价标准n美国美国

14、TCSEC可信计算机安全评估准则（又称可信计算机安全评估准则（又称美国橙皮书）把安全的级别分成美国橙皮书）把安全的级别分成4大类大类7级。级。精选ppt25安全级别安全级别类别类别 级别级别名称名称主要特征主要特征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性，安全标识单独的可查性，安全标识BB1标识的安全保护标识的安全保护标识的安全保护强制存取控制，标识的安全保护强制存取控制，安全标识安全标识B2结构化保护结构化保护面向安全的体系结构面向安全的体系结构,较好的较好的抗渗透能力抗渗透能力B3安全区域安全

15、区域存取监控、高抗渗透能力存取监控、高抗渗透能力A验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证精选ppt26 风险分析精选ppt27风险风险=威胁威胁+漏洞漏洞 网络不安全的原因网络不安全的原因精选ppt28风险分析的最终目标是制定一个有效的、节风险分析的最终目标是制定一个有效的、节省的计划来看管资产。省的计划来看管资产。任何有效的风险分析始于需要保护的资产和任何有效的风险分析始于需要保护的资产和资源的鉴别，资产的类型一般可分成以下资源的鉴别，资产的类型一般可分成以下4类。类。2.1 资产保护 2.1.1 资产的类型精选ppt29（1） 物理资源物理资源物理资源是具有物理形

16、态的资产。物理资源是具有物理形态的资产。（2） 知识资源知识资源（3） 时间资源时间资源（4） 信誉（感觉）资源信誉（感觉）资源精选ppt30攻击源包括内部系统、来自办公室的访问、攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过的访问，以及通过modem池的访池的访问等。问等。潜在的攻击来自多方面，包括组织内部的员潜在的攻击来自多方面，包括组织内部的员工、临时员工和顾问、竞争者、和组织中具工、临时员工和顾问、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其有不同观点和目的的人、反对这个组织或其员工

17、的人员工的人但是，对攻击可能性的分析在很大程度上带但是，对攻击可能性的分析在很大程度上带有主观性。有主观性。2.1.2 潜在的攻击源精选ppt31资产的两类损失：资产的两类损失：即时的损失即时的损失长期恢复所需花费，也就是从攻击或失效到长期恢复所需花费，也就是从攻击或失效到恢复正常需要的花费恢复正常需要的花费特殊的特殊的：维护安全本身也是一种损失。因此：维护安全本身也是一种损失。因此还需要安全强度和安全代价的折中。考虑四还需要安全强度和安全代价的折中。考虑四个方面：个方面：2.1.3 资产的有效保护精选ppt32（1） 用户的方便程度。用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。不

18、应由于增加安全强度给用户带来很多麻烦。（2） 管理的复杂性。管理的复杂性。对增加安全强度的网络系统要易于配置、管理。对增加安全强度的网络系统要易于配置、管理。（3） 对现有系统的影响。对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。包括增加的性能开销以及对原有环境的改变等。（4） 对不同平台的支持。对不同平台的支持。网络安全系统应能适应不同平台的异构环境的网络安全系统应能适应不同平台的异构环境的使用。使用。精选ppt33图图2.1 安全强度和安全代价的折中安全强度和安全代价的折中精选ppt34从安全属性来看，攻击类型可分为阻断从安全属性来看，攻击类型可分为阻断攻击、截取攻击、篡改攻

19、击、伪造攻击攻击、截取攻击、篡改攻击、伪造攻击 4 4类。类。2.2 攻击 2.2.1 攻击的类型精选ppt35正常情况下的信息流动：正常情况下的信息流动：（1） 阻断攻击阻断攻击使信息系统被毁坏或不能使用，即，对可使信息系统被毁坏或不能使用，即，对可用性进行攻击用性进行攻击如部分硬件（硬盘）的毁坏，通信线路的如部分硬件（硬盘）的毁坏，通信线路的切断，文件管理系统的瘫痪等。切断，文件管理系统的瘫痪等。 精选ppt36（2） 截取攻击截取攻击一个非授权方介入系统的攻击，破坏保密性(confidentiality).这种攻击包括搭线窃听，文件或程序的不正当拷贝。密码窃听，会话劫持。精选ppt37（

20、3） 篡改攻击篡改攻击一个非授权方不仅介入系统而且在系统中进行篡改的攻击，破坏完整性（integrity）。这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。对协议的攻击，缓冲区溢出。精选ppt38（4） 伪造攻击伪造攻击一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。冒充，phishing(电子邮件欺诈电子邮件欺诈 ;网上银行、网上银行、网上证券网站网上证券网站 ;虚假电子商务信息虚假电子商务信息 ;)。精选ppt39攻击分类：被动攻击与主动攻击 被动攻击，如窃听或者偷窥，非常难以被检测到，但可

21、以防范release of message content报文内容的泄露traffic analysis流量分析主动攻击，常常是对数据篡改及破坏主动攻击，常常是对数据篡改及破坏 ，可以被检测，可以被检测到，难以防范到，难以防范Masquerade伪装 Replay重放modification of message消息篡改denial of service 拒绝服务2.2.2 主动攻击与被动攻击精选ppt40被动攻击被动攻击常见的被动攻击：窃听、监听常见的被动攻击：窃听、监听攻击者的目的是获取正在传输的信息。攻击者的目的是获取正在传输的信息。精选ppt412. 主动攻击主动攻击主动攻击包含对数据

22、流的某些修改，或者生主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可分成成一个假的数据流。它可分成4类：类：（1） 伪装伪装伪装是一个实体假装成另一个实体。伪装是一个实体假装成另一个实体。（2） 重放重放重放攻击包含数据单元的被动捕获，随之再重放攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。重传这些数据，从而产生一个非授权的效果。精选ppt42攻击目的n动机：动机： 1、破坏目标工作、破坏目标工作 2、窃取目标信息、窃取目标信息 3、控制目标计算机、控制目标计算机 4、利用假消息欺骗对方、利用假消息欺骗对方n目的：目的： 1、破坏、破坏 2、入侵、入侵精

23、选ppt43入侵者进入系统的主要途径有：入侵者进入系统的主要途径有： l l 物理侵入：指一个入侵者对主机有物理物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移进入权限，比如他们能使用键盘，有权移走硬盘等。走硬盘等。 l l 本地侵入本地侵入: 这类侵入表现为入侵者已经这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的一个利用知名漏洞获得系统管理员权限的机会。机会。 l l 远程侵入远程侵入: 这类入侵指入侵者通过网络这

24、类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机目标主机的控制，从远程发起对目标主机的攻击等。的攻击等。精选ppt44入侵的级别1级：邮件炸弹、简单服务拒绝：邮件炸弹、简单服务拒绝2级：本地用户获得非授权读访问：本地用户获得非授权读访问3级、本地用户获得非授权写权限、远程用、本地用户获得非授权写权限、远程用户获得非授权的帐号户获得非授权的帐号4级：远程用户获得特权文件的读权限：远程用户获得特权文件的读权限5级：远程用户获得了特权文件的写权限：远程用户获得了特权文件的写权限6级：远程用户拥有了根（：远程用户拥有了根

25、（rootroot）权限（黑）权限（黑客已攻克系统）。客已攻克系统）。精选ppt45网络攻击的步骤网络攻击的步骤n攻击的准备阶段n攻击的实施阶段n攻击的善后阶段精选ppt46 确确定定攻攻击击目目的的收收集集目目标标信信息息隐 藏隐 藏自 己自 己位置位置利用各利用各种手段种手段登陆对登陆对方主方主 机机检查漏检查漏洞、后洞、后门，获门，获取控制取控制权，权，.消除痕消除痕迹，植迹，植入后门，入后门，退退 出出攻击的准备阶攻击的准备阶段段攻击的实施阶段攻击的实施阶段攻击的善后攻击的善后阶段阶段攻击过程攻击过程准准备备供供给给工工具具精选ppt47网络攻击步骤详解1n攻击的准备阶段1.确定攻击目

26、的社会工程学攻击社会工程学攻击2.准备攻击工具(1)选择熟悉的工具选择熟悉的工具(2)优先考虑多种工具的配合使用优先考虑多种工具的配合使用(3)选择扫描工具时要慎重选择扫描工具时要慎重(4)尽量使用自己编写的软件。尽量使用自己编写的软件。3.收集目标信息精选ppt48网络攻击步骤详解2n攻击的实施阶段第一步：隐藏自已的位置（第一步：隐藏自已的位置（IP）第二步：利用收集到的信息获取账号和密第二步：利用收集到的信息获取账号和密码，登录主机码，登录主机第三步：利用漏洞或者其它方法获得控制第三步：利用漏洞或者其它方法获得控制权并窃取网络资源和特权权并窃取网络资源和特权精选ppt49网络攻击步骤详解3

27、n攻击的善后阶段 日志： *删除日志文件删除日志文件 *修改日志文件中有关自己的那一部分修改日志文件中有关自己的那一部分 植入木马，留下后门精选ppt50典型的网络攻击示意图典型的网络攻击示意图 选中选中攻击攻击目标目标获取普通获取普通用户权限用户权限擦除入擦除入侵痕迹侵痕迹安装后安装后门新建门新建帐号帐号获取超级获取超级用户权限用户权限攻击其它攻击其它主机主机获取或获取或修改信息修改信息从事其它从事其它非法活动非法活动扫描扫描网络网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。精选ppt51总结一下：攻击五部曲n一

28、次成功的攻击，都可以归纳成基本的五步一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳骤，但是根据实际情况可以随时调整。归纳起来就是起来就是“黑客攻击五部曲黑客攻击五部曲” n1、隐藏、隐藏IP或或IP欺骗欺骗n2、踩点扫描、踩点扫描n3、获得系统或管理员权限、获得系统或管理员权限n4、种植后门、种植后门n5、在网络中隐身、在网络中隐身精选ppt521、隐藏IPn假如你向一台远程主机发送特定的数据假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。包，却不想远程主机响应你的数据包。这时你使用这时你使用IP欺骗的攻击手段。欺骗的攻击手段。n通常有两种方法

29、实现自己IP的隐藏：n第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。精选ppt531、隐藏IP第二种方式是做多极跳板第二种方式是做多极跳板“Sock代理代理”，这样，这样在入侵的电脑上留下的是代理计算机的在入侵的电脑上留下的是代理计算机的IP地地址。址。对目标的攻击威胁通常通过代理实现，而代理需对目标的攻击威胁通常通过代理实现，而代理需要的特性包括：要的特性包括：1、访问目标的能力、访问目标的能力 2、对目标发出威胁的动机、对目标发出威胁的动机3、有关目标的知识、有关目标的知识 精选ppt542、踩点扫描n踩点就是通过各

30、种途径对所要攻击的目标进行尽可踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标邮件地址的搜集和目标IP地址范围查询。地址范围查询。n踩点的目的就是探察对方的各方面情况，确定攻击踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。刻，为下一步的入侵提供良好的策略。精选ppt553、获得系统或管理

31、员权限n得到管理员权限的目的是连接到远程计算机，对其进行控得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：制，达到自己攻击目的。获得系统及管理员权限的方法有：n通过系统漏洞获得系统权限通过系统漏洞获得系统权限n通过管理漏洞获得管理员权限通过管理漏洞获得管理员权限n通过软件漏洞得到系统权限通过软件漏洞得到系统权限n通过监听获得敏感信息进一步获得相应权限通过监听获得敏感信息进一步获得相应权限n通过弱口令获得远程管理员的用户密码通过弱口令获得远程管理员的用户密码n通过穷举法获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码n通过攻破与目标

32、机有信任关系另一台机器进而得到目通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权标机的控制权n通过欺骗获得权限以及其他有效的方法。通过欺骗获得权限以及其他有效的方法。精选ppt564、种植后门 n为了保持长期对自己胜利果实的访为了保持长期对自己胜利果实的访问权问权,在已经攻破的计算机上种植一在已经攻破的计算机上种植一些供自己访问的后门。些供自己访问的后门。精选ppt575、在网络中隐身n一次成功入侵之后，一般在对方的计一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，算机上已经存储了相关的登录日志，这样就容易被管理员发现。这样就容易被管理员发现。n在入侵完毕后需要清除登

33、录日志已经在入侵完毕后需要清除登录日志已经其他相关的日志。其他相关的日志。精选ppt58常见攻击实例分析常见攻击实例分析n当你感觉到你的当你感觉到你的Windows运行速度明显运行速度明显减慢，当你打开任务管理器后发现减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，最有可能受的使用率达到了百分之百，最有可能受到了拒绝服务攻击。到了拒绝服务攻击。精选ppt59总结总结攻击技术主要包括以下几个方面。攻击技术主要包括以下几个方面。（1）网络监听：自己不主动去攻击别人，而是在计算机）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信上设置一个程序去监

34、听目标计算机与其他计算机通信的数据。的数据。（2）网络扫描：利用程序去扫描目标计算机开放的端口）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。等，目的是发现漏洞，为入侵该计算机做准备。（3）网络入侵：当探测发现对方存在漏洞后，入侵到目）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。标计算机获取信息。（4）网络后门：成功入侵目标计算机后，为了实现对）网络后门：成功入侵目标计算机后，为了实现对“战利品战利品”的长期控制，在目标计算机中种植木马等的长期控制，在目标计算机中种植木马等后门。后门。（5）网络隐身：入侵完毕退出目标计算机后，将自己入）

35、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。侵的痕迹清除，从而防止被对方管理员发现。精选ppt60总结总结防御技术主要包括以下几个方面。防御技术主要包括以下几个方面。（1）安全操作系统和操作系统的安全配置：操作系统是网）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。络安全的关键。（2）加密技术：为了防止被监听和数据被盗取，将所有的）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。数据进行加密。（3）防火墙技术：利用防火墙，对传输的数据进行限制，）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。从而防止被入侵。（4）

36、入侵检测：如果网络防线最终被攻破，需要及时发出）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。被入侵的警报。（5）网络安全协议：保证传输的数据不被截获和监听。）网络安全协议：保证传输的数据不被截获和监听。精选ppt61 入侵检测精选ppt62入侵检测精选ppt63入侵检测（入侵检测（IDS instruction detection system）是从计算机网络或计算机系统中）是从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的中发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象的一种

37、机制。行为和遭受攻击的迹象的一种机制。13.1 入侵检测概述 13.1.1 入侵检测的概念精选ppt64入侵检测系统基本上不具有访问控制的能力，入侵检测系统基本上不具有访问控制的能力，一般工作流程如下：一般工作流程如下：首先对数据包流进行信息收集；首先对数据包流进行信息收集；然后对数据包流分析，然后对数据包流分析，从数据流中过滤出可从数据流中过滤出可疑数据；疑数据；最后将上述数据与已知的入侵方式进行对比，最后将上述数据与已知的入侵方式进行对比，确定入侵是否发生及入侵类型，进行报警。确定入侵是否发生及入侵类型，进行报警。精选ppt65入侵检测系统工作流程（1 1）信息收集）信息收集 （2 2）分

38、析引擎）分析引擎 （3 3）响应部件）响应部件精选ppt66信息搜集信息搜集精选ppt67信息收集信息收集n入侵检测的第一步是信息收集入侵检测的第一步是信息收集，收集内容包括系，收集内容包括系统、网络、数据及用户活动的状态和行为统、网络、数据及用户活动的状态和行为n需要在计算机网络系统中的若干不同关键点（不需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息同网段和不同主机）收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点精选ppt68信息收集信息收集n入侵检测的效果很大程度上依赖于收集信息的入侵检测的效果很大程度

39、上依赖于收集信息的可靠性和正确性可靠性和正确性n要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性n特别是入侵检测系统软件本身应具有相当强的特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息坚固性，防止被篡改而收集到错误的信息 精选ppt69信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为精选ppt70系统或网络的日志文件系统或网络的日志文件n攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信

40、息是检测入侵的必要条件n日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容n显然，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等 精选ppt71系统目录和文件的异常变化系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标n目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号n入侵者经常替换、修

41、改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 精选ppt72分析引擎分析引擎精选ppt73分析引擎分析引擎 模式匹配 统计分析 完整性分析，往往用于事后分析精选ppt74模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为n一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）精选ppt75统计分析统计分析

42、n统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）n测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生精选ppt76完整性分析完整性分析n完整性分析主要关注某个文件或对象是否被更改n包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特别有效精选ppt77响应部件响应部件精选ppt78响应动作n简单报警简单报警n切断连接切断连接n封锁用户封锁用户n改变文件属性改变文件属性n最强烈反应：回击攻击者最强烈反应：回击攻击者精选ppt79CIDF

43、阐述了一个入侵检测系统的基本模型，阐述了一个入侵检测系统的基本模型，如下图所示：如下图所示：13.1.2 入侵检测系统的基本结构精选ppt80根据入侵检测系统的检测对象，入侵检测根据入侵检测系统的检测对象，入侵检测系统主要分成两大类：系统主要分成两大类：n基于主机的入侵检测系统；基于主机的入侵检测系统；n基于网络的入侵检测系统。基于网络的入侵检测系统。13.2 入侵检测系统分类精选ppt8113.2.1 基于主机的入侵检测系统n基于主机的入侵检测系统用于保护单台基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安主机不受网络攻击行为的侵害，需要安装在被保护的主机上。装在被保护的

44、主机上。n根据检测对象的不同，基于主机的入侵根据检测对象的不同，基于主机的入侵检测系统可以分为：网络连接检测和主检测系统可以分为：网络连接检测和主机文件检测。机文件检测。精选ppt82基于主机的入侵检测系统优缺点n优点：优点： 检测准确度高；可以检测到没有明显行检测准确度高；可以检测到没有明显行为特征的入侵；能够对不同的操作系统为特征的入侵；能够对不同的操作系统进行有针对性的检测；成本较低；适应进行有针对性的检测；成本较低；适应加密和交换环境。加密和交换环境。n缺点：缺点： 无法监视整个网段的通信无法监视整个网段的通信 ；要求在大量；要求在大量的主机上安装和管理软件；实时性较差。的主机上安装和

45、管理软件；实时性较差。精选ppt8313.2.2 基于网络的入侵检测系统n基于网络的入侵检测系统通常是作为一基于网络的入侵检测系统通常是作为一个独立的个体放置在被保护的网络上，个独立的个体放置在被保护的网络上，它使用原始的网络分组数据包作为进行它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络适配器来实时监视和分析所有通过网络进行传输的通信。进行传输的通信。精选ppt84基于网络的入侵检测系统优缺点n优点优点 可以提供实时的网络行为检测；可以同时保护多台可以提供实时的网络行为检测；可以同时保护多台网络主机；具

46、有良好的隐蔽性；有效保护入侵检测网络主机；具有良好的隐蔽性；有效保护入侵检测证据；不影响被保护主机的性能及服务。证据；不影响被保护主机的性能及服务。n缺点缺点 防入侵欺骗的能力较差；在交换式网络环境中难以配防入侵欺骗的能力较差；在交换式网络环境中难以配置；检测性能受硬件条件限制；不能处理加密后的置；检测性能受硬件条件限制；不能处理加密后的数据。数据。精选ppt85 恶意代码与计算机病毒精选ppt86 恶意代码通常恶意代码通常是指没有作用却是指没有作用却会带来危险的代码会带来危险的代码 。恶意代码一般具有具有如下共同特征：恶意代码一般具有具有如下共同特征： （1） 恶意的目的恶意的目的 （2）

47、本身是程序本身是程序 （3） 通过执行发生作用通过执行发生作用 14.1 恶意代码14.1.1恶意代码的概念精选ppt87分类标准一：是否需要宿主分类标准一：是否需要宿主分类标准二：是否能够自我复制分类标准二：是否能够自我复制（1）不感染的依附性恶意代码）不感染的依附性恶意代码（2）不感染的独立性恶意代码）不感染的独立性恶意代码（3）可感染的依附性恶意代码）可感染的依附性恶意代码（4）不感染的独立性恶意代码）不感染的独立性恶意代码14.1.2恶意代码的分类精选ppt88恶意代码的分类实例恶意代码的分类实例14.1.2恶意代码的分类类别类别实例实例不感染的依附性不感染的依附性恶意代码恶意代码特洛

48、伊木马特洛伊木马(Trojan horse)；逻辑炸弹；逻辑炸弹(logic bomb)；后门（后门（backdoor）；）；陷门陷门(trapdoor)不感染的独立性不感染的独立性恶意代码恶意代码b.点滴器点滴器(dropper)；繁殖器繁殖器(generator)；恶作剧恶作剧(hoax)可感染的依附性可感染的依附性恶意代码恶意代码病毒病毒(virus)可感染的独立性可感染的独立性恶意代码恶意代码j.蠕虫蠕虫(worm)d.细菌细菌(germ)精选ppt89计算机病毒，是指编制或者在计算机程计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数序中插入的破坏计算机功能或者毁坏

49、数据，影响计算机使用，并能自我复制的据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一组计算机指令或者程序代码。实际上，目前发现的恶意代码几乎都是实际上，目前发现的恶意代码几乎都是混合型的计算机病毒。混合型的计算机病毒。14.2 计算机病毒14.2.1计算机病毒的概念精选ppt90计算机病毒特征1.传染性：传染性：指病毒具有把自身复制到其它程序中的特性指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权取得系统控制权3. 隐蔽性：通过隐蔽技术使宿主程序的大小没有改变，以至于隐蔽性：通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。很难被发现。 4. 破坏性：破坏性：

50、 计算机所有资源包括硬件资源和软件资源，软件计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏所能接触的地方均可能受到计算机病毒的破坏5. 潜伏性：潜伏性： 长期隐藏在系统中，只有在满足特定条件时，才长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。启动其破坏模块。 6. 不可预见性不可预见性精选ppt91网络病毒新的特点n主动通过网络和邮件系统传播主动通过网络和邮件系统传播 n计算机的病毒种类呈爆炸式增长计算机的病毒种类呈爆炸式增长n变种多，容易编写，并且很容易被修改，生变种多，容易编写，并且很容易被修改，生成很多病毒变种成很多病毒变种 n融合多种网络