网络安全期末总结提纲

网络安全概述
- - 资产保护
  - 信息安全模型
  - 网络攻击类型及分类
  - 网络信息安全服务
  - 网络安全评估
网络攻击
- - DNS威胁与防范
  - ARP攻击
  - 拒绝服务攻击
  - SQL注入攻击
恶意代码
- - 计算机病毒
  - 木马
  - 蠕虫
  - 启动、隐藏
网络安全扫描
- - 网络安全扫描概述
  - 网络安全扫描技术
  - 网络协议安全
  - 安全漏洞概述
  - 安全漏洞发现和防御
防火墙
- - 访问控制
  - 访问控制模型
  - 防火墙
  - 网络地址翻译
  - 防火墙体系架构
入侵检测技术
- - 入侵检测概述
  - 入侵检测结构
  - 入侵检测技术
  - 入侵检测部署
  - 入侵检测实例
虚拟专用网
- - 链路层安全
  - 网络层安全
  - 传输层安全
PGP

网络安全概述

资产保护

资产的类型：任何有效的风险分析始于需要保护的资产和资源的鉴别。
物理资源、知识资源、时间资源、信誉资源

损失：即时的损失、长期的恢复所需花费

需要考虑：用户的方便程度、管理的复杂性、对现有系统的影响、对不同平台的支持

信息安全模型

信息保障：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

PDRR模型：保护、检测、响应、恢复

网络攻击类型及分类

攻击属性：阻断攻击、截取攻击、篡改攻击、伪造攻击

攻击方式：主动攻击、被动攻击
主动攻击：伪装、回答、修改报文、拒绝服务
被动攻击：传输报文内容的泄露和通信流量分析

访问攻击：窥探、窃听、截获（机密性、可审性）
篡改攻击：改变、输入、删除（完整性、可审性）
拒绝服务攻击：拒绝访问信息、拒绝访问应用、拒绝访问系统、拒绝访问通信（可用性）
否认攻击：假冒、否认（完整性、可审性）

网络信息安全服务

机密性服务、完整性服务、可用性服务、可审性服务

数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。

访问控制是确定来访实体有否访问权以及实施访问权限的过程。

网络安全评估

风险评估就是从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防御威胁的防护对策和整改措施，以防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全。

计算机病毒

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。

特征：可执行性、传染性、隐蔽性、潜伏性、可触发性、破坏性、寄生性、衍生性、诱骗性

生命周期：开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期

组成结构：引导模块、感染模块、表现（破坏）模块

传播途径：不可移动的计算机硬件设备、移动存储设备、有线网络系统、无线通信系统

传播机制：目的是实现病毒自身的复制和隐藏。

木马

木马程序一般由客户端和服务端组成：服务端是黑客植入到目标机器的独立的木马模块，等待接受客户端的各种命令操作。客户端是控制端，被使用木马的黑客操控，享有服务端各种操作的最大权限。

双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键；必须支持很多用户的访问（中转站），其性能非常重要。
缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。

屏蔽主机体系结构：由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。典型构成：包过滤路由器＋堡垒主机。

包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。
堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。

优点：入侵者需突破3个不同的设备才能入侵内部网络；只对外通告DMZ区的网络，保证内部网络不可见；内部网络用户通过堡垒主机或代理服务器访问外部网络。
入侵检测技术

入侵检测概述

动态安全模型P2DR：策略、防护、检测、响应

入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性。

网络攻击工作流程：目标探测和信息收集、自身隐藏、利用漏洞侵入主机、稳固和扩大战果、清除日志

入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。

入侵检测功能：监控、分析用户和系统活动；发现入侵企图或异常现象；记录、报警和响应；审计系统的配置和弱点、评估关键系统和数据文件的完整性等。

入侵检测的优点：提高信息安全构造的其他部分的完整性；监控系统及用户行为及事件；检测系统配置安全状态，发现错误并纠正；从入口点到出口点跟踪用户的活动；识别和汇报数据文件的变化；识别入侵行为，并向管理人员发出警报。

入侵检测的分类：
根据原始数据的来源：
基于主机的入侵检测系统：监控粒度更细、配置灵活、可用于加密的以及交换的环境
基于网络的入侵检测系统：视野更宽、隐蔽性好、攻击者不易转移证据
根据检测原理：
异常入侵检测：根据异常行为和使用计算机资源的情况检测出来的入侵
误用入侵检测：利用已知系统和应用软件的弱点攻击模式来检测入侵

基于主机系统结构（HIDS）：检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。

NIDS优点：
- 服务器平台独立性：监视通信流量而不影响服务器的平台的变化和更新；
- 配置简单：只需要一个普通的网络访问接口即可；
- 众多的攻击标识：探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击。
  NIDS缺点：
- 不能检测不同网段的网络包；
- 很难检测复杂的需要大量计算的攻击；
- 协同工作能力弱；
- 难以处理加密的会话。
入侵检测结构

Denning模型：1987年提出的一个通用入侵检测模型
主体(Subjects)：在目标系统上活动的实体，如用户。
对象(Objects)：指系统资源，如文件、设备、命令等。
审计记录：由主体、活动(主体对目标的操作)、异常条件(系统对主体的该活动的异常情况的报告)、资源使用状况(系统的资源消耗情况)和时间戳(Time-Stamp)等组成。
活动档案：即系统正常行为模型，保存系统正常活动的有关信息。
异常记录：由事件、时间戳和审计记录组成，表示异常事件的发生情况。
活动规则：判断是否为入侵的准则及相应要采取的行动。
入侵检测技术

异常检测技术：任何正常人的行为有一定的规律，而入侵会引起用户或系统行为的异常

需要考虑的问题：选择哪些数据来表现用户的行为；通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同；考虑学习过程的时间长短、用户行为的时效性等问题。

典型算法：统计分析（均值、偏差、Markov过程）

异常检测模型：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

检测原理：正常行为的特征轮廓；检查系统的运行情况；是否偏离预设的门限

举例：多次错误登录、午夜登录

优点：可以检测到未知的入侵；可以检测冒用他人帐号的行为；具有自适应，自学习功能；不需要系统先验知识

缺点：漏报、误报率高：入侵者可以逐渐改变自己的行为模式来逃避检测；合法用户正常行为的突然改变也会造成误警；统计算法的计算量庞大，效率很低；统计点的选取和参考库的建立比较困难。

误用检测技术：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为。

误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述。

重要问题：如何全面的描述攻击的特征；如何排除干扰，减小误报；解决问题的方式

典型算法：专家系统、模型推理、完整性分析

优点：算法简单；系统开销小；准确率高；效率高

缺点：被动：只能检测出已知攻击、新类型的攻击会对系统造成很大的威胁；模式库的建立和维护难：模式库要不断更新，知识依赖于硬件平台、操作系统和系统中运行的应用程序等。

入侵检测部署

检测器部署位置
放在边界防火墙之内
放在边界防火墙之外
放在主要的网络中枢
监控大量的网络数据，可提高检测黑客攻击的可能性
放在一些安全级别需求高的子网
对非常重要的系统和资源的入侵检测

入侵检测实例

Snort：基于攻击特征匹配的原理，准确度高，误报率低，无法检测未知攻击，典型的误用检测技术。
典型的误用检测技术
需要准确理解攻击模式并撰写检测规则
无法应对未知攻击，造成漏报
检测效率高、准确率高
攻击规则更新要求高，好在攻击方式变化不剧烈

Snort的主要功能：
截取网络数据报文，进行网络数据实时分析、报警、以及日志的能力。
Snort还能够记录网络数据，其日志文件可以是 tcpdump格式，也可以是解码的ASCII格式。
Snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、套接字或者使用WinPopup消息。
能够进行协议分析，内容搜索、匹配，能够用来检测各种攻击和探测，例如：缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。
Snort使用一种灵活的规则语言来描述网络数据报文，因此，可以对新的攻击作出快速地解析。

Snort的组成：

VPN要解决的问题：在端到端的数据通路上随处都有可能发生数据的泄漏，包括拨入段链路上、ISP接入设备上、在因特网上、在安全网关上、在企业内部网上。
VPN的构成：

VPN分类：
业务类型划分：
Intranet VPN（内部公文流转）
Access VPN（远程拨号VPN）
Extranet VPN（各分支机构互联）
按VPN发起主体划分：
客户发起，也称基于客户的VPN
服务器发起，也称客户透明方式或基于网络的VPN
VPN功能：数据机密性保护、数据完整性保护、数据源身份认证、重放攻击保护

IPSec传输模式

数据包输出处理：数据包被从网络设备发送出去之前，截取到IP包，然后从中提取选择符信息，依据之搜索SPD，产生如下可能结果：
SP决定丢弃此包，于是直接丢弃，或者还可以向源主机发送 ICMP信息；
SP决定通过此包，直接将数据包投放到网络设备的发送队列；
SP决定应用IPSec，此时SP要么指向一个SA,可以根据它进行安全处理，要么需要的SA不存在，则触发IKE模块协商建立SA，协商周期内数据包进入等待队列等待协商完成，若协商超时，也会丢弃该包。
数据包输入处理：系统收到IP包后，判断如果是IPSec包，则从头部取到<src_ip,protocol,SPI>，搜索SADB。
若找不到SA，丢弃包；
若找到，根据其进行解封装，得到去通道化后的原始IP包，再从原始IP包中提取选择符，搜索到SPD中某一条目，检查收到包的安全处理是否符合描述规则，不符合则丢弃包，符合则转入系统IP协议栈进行后继处理。

IKE阶段一工作原理：

传输层安全

SSL协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证) ；互操作性、可扩展性、相对效率；为上层协议提供安全性、保密性、身份认证和数据完整性。

底层：SSL记录协议
上层：SSL握手协议、SSL密码变化协议、SSL警告协议

SSL记录协议提供连接安全性，有两个特点：保密性、完整性
上层消息的数据被分片成214字节大小的块，或者更小
无损压缩，如果数据增加的话，则增加部分的长度不超过1024字节
计算消息认证码
加密：采用CBC，算法由cipher spec指定

SSL连接：一个连接是一个提供一种合适类型服务的传输；SSL的连接是点对点的关系；连接是暂时的，每一个连接和一个会话关联。

SSL会话：一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数；会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。

本帖仅用于学习交流，内容取自郑康锋、武斌老师《网络安全》课程

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树跨区域网络的通信学习网络层的作用22224 人正在系统学习中

来源：Saikiit

声明：本站部分文章及图片转载于互联网，内容版权归原作者所有，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！