计算机网络技术基础 工业和信息化普通高等教育“十二五”规划教材 作者 周舸 第十二章 网络安全.pptVIP

一个单向散列函数h=H(M)可以将任意长度的输入串（消息M）映射为固定长度值h（这里h称为散列值，或信息摘要MD），其最大的特点是具有单向性。 向这个散列函数输入任意大小的信息，输出的都是固定长度的信息摘要。其中，MD5生成128位信息摘要，SHA生成160位信息摘要。这些信息摘要实际上可以看作输入信息的数字指纹。 3. 数字签名的原理 图12-10 数字签名的原理 具体实例请参照教材P230学习。 4. 数字签名和数字加密的区别 数字签名和数字加密的过程虽然都使用公开密钥体系，但实现的过程正好相反，使用的密钥对也不同。 数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密，这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。 数字加密则使用的是接收方的密钥对，这是多对一的关系，任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。 返回本节首页 返回本章首页 12.5.1 入侵检测的基本概念 入侵检测（ID）是指识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。入侵检测的全过程包括监控在计算机系统或网络中发生的事件、分析处理这些事件、检测出入侵事件。 入侵检测系统（IDS）是指使整个监控和分析过程自动化的独立系统，它既可以是一种安全软件，也可以是硬件。 入侵检测和防火墙最大的区别在于防火墙只是一种被动防御性的网络安全工具，而入侵检测作为一种积极主动的安全防护技术能够在网络系统受到危害之前拦截和响应入侵，很好地弥补了防火墙的不足。 12.5 入侵检测技术 12.5.2 入侵检测的分类 1. 根据信息源的不同进行分类 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 基于主机的IDS可监测Windows 下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于网络的IDS以数据包作为分析的数据源，它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。一旦检测到了攻击行为，IDS的响应模块就会做出报警、切断相关用户的网络连接等适当的响应。 2. 根据检测所用分析方法的不同进行分类 误用检测（Misuse Detection） 异常检测（Anomaly detection） 大部分现有的入侵检测工具都使用该方法，它应用了系统缺陷和特殊入侵的累计知识。只要是不符合正常规则的所有行为都会被认为是不合法的，并且系统就会立即报警。误用检测的准确度很高，但它对入侵信息的收集和更新比较困难，且难以检测到本地入侵。 异常检测假设入侵者活动异常于正常的活动，当主体的活动违反其统计规律时，便会被认为是“入侵”。其最大的优点是能检测出新的入侵或者从未发生过的入侵。但异常检测是一种“事后”的检测，当检测到入侵行为时，破坏早已发生了，并且它的查准率也不高。 3. 统计方法 统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大偏差的活动标识为异常活动。 统计方法的优点是可以“学习”用户的使用习惯，从而具有较强的实用性。但它的“学习”能力也给入侵者提供了通过逐步“训练”使入侵事件符合正常操作统计规律的机会，从而使入侵事件透过入侵检测系统。 返回本节首页 返回本章首页 12.6 网络防病毒技术 随着计算机和Internet的日益普及，计算机病毒已经成为了当今信息社会的一大顽症。由于计算机病毒极强的破坏作用，因而它严重地干扰了人们的正常工作，企业的正常生产，甚至对国家的安全都造成了巨大的影响。网络防病毒技术已成为计算机网络安全研究的一个重要课题。 12.6.1 计算机病毒 1. 计算机病毒的定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2. 计算机病毒的特点 计算机病毒都是人为制造的、具有一定破坏性的程序，它不同于日常生活中所说的传染病毒。计算机病毒具有以下一些基本特征： 传染性 隐蔽性 计算机病毒能通过各种渠道从已被感染的计算机扩散到未被感染的计算机，而计算机中被感染的文件又会成为新的传染源，再与其他机器进行数据交换或通过网络接触，使病毒传播范围越来越广。 计算机病毒往往是短小精悍的程序，若不经过代码分析，病毒程序和普通程序是不容易区分开的。正因为如此，才使得