第6章互联网安全技术研究.pptVIP

依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。 缺点： （1）主机的审计信息弱点，如通过使用某些系统特 权或调用比审计本身更低级的操作可逃避审计。 （2）不能通过分析主机审计记录来检测网络攻击。 （3）检测系统运行会影响服务器性能。 （4）只能对服务器的特定用户、应用程序执行动作、日志进行检测，能检测到的攻击类型有限。 6.3 入侵检测系统 基于网络的入侵检测系统 网络接口 探测器 探测器 安全配置构造器 网络安全数据库 分析引擎 分析结果 6.3 入侵检测系统 基于网络的IDS的优点是： （1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。 （2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。 （3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。 6.3 入侵检测系统 混合入侵检测系统（分布式） 操作员提供反馈 训练模块 网络原语层 原始网络层（DLPI） 受训练的代理 6.3 入侵检测系统 由多个协同工作的部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。 优点：可以应对复杂和大型的网络结构，对尽可能多的系统弱点和漏洞而导致的入侵行为予以检测。 6.3 入侵检测系统 虚拟专用网络(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。 整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。 6.4 虚拟专用网 优点：通信安全、降低成本、简化网络管理、可扩展性好。 分类： 按应用分：远程接入VPN、内联网VPN和外联网VPN 按接入方式分：拨号VPN和专线VPN 按协议分：PPTP，L2TP和IPSec 按隧道建立方式分：自愿隧道和强制隧道 6.4 虚拟专用网 6.4 虚拟专用网 隧道技术：一种逻辑概念，在逻辑链路层上建立的全程封闭，只在两端有出入口的安全链路连接。 组成：隧道协议、隧道开通器和隧道终端器。 分类：点到点隧道和端到端隧道。 隧道协议：规定如何在网络的不同层次实现数据封装 协议分类：PPTP、L2TP、IPSec等 6.5 虚拟专用网 6.4 虚拟专用网 6.5 病毒与防护 6.5.1 计算机病毒的历史 1977年科幻小说《The Adolescence of P-1》构思了一种能够自我复制、利用通信进行传播的计算机程序。 1983年Fred Adleman首次在VAX 11/750上试验病毒； 1987年Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元； 八十年代末，病毒开始传入我国(小球病毒)； 1991年,病毒第一次用于战争实战; 1998年,CIH病毒出现,第一例破坏硬件的病毒; 6.5.2 计算机病毒及类型 病毒的概念 计算机病毒是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 “计算机病毒（Computer Virus）是指编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码。” 6.5 病毒与防护 病毒的定义借用了生物学病毒的概念, 计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络, 危害正常工作的“病原体”。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。 与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的, 有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单的纯计算机学术问题, 而是一个严重的社会问题了。 6.5 病毒与防护 病毒的特征： 传染性：能自我复制，感染更多的目标 破坏性：病毒对计算机软硬件及数据产生破坏 隐藏性：用户感觉不到病毒的存在 潜伏性：病毒会在计算机中隐藏一段时间后发作 可激活性：病毒因某个事件而被激发 针对性：病毒一般有特定的破坏目的 6.5 病毒与防护 计算机病毒类型： 蠕虫：不断自我复制，消耗计算机系统资源和网络资源，如熊猫烧香。 木马：具有极高隐蔽性，无传染性，可远程控制。 后门程序：绕过安全性控制获取对程序和系统访问权的程序，也称“陷门”。 流氓软件：广告软