网络安全的基本概念和技术 信息安全概论课件与复习提纲.pptVIP

* 入侵检测系统部署位置图 * Snort系统 Snort系统的功能 实时通信分析和信息包记录 包装有效载荷检查 协议分析和内容查询匹配 探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试 * Snort资源 / / * 国内部分安全厂商 * 国外部分安全厂商 * 绿盟冰之眼入侵检测系统 冰之眼产品架构 网络探测器 系统动作 入侵检测 特征 异常 统计 协议解码 状态跟踪 IP碎片重组 报文捕获 零拷贝 DMA传输 POLL方式 实时告警日志显示 绿盟科技中央升级站点 报表系统 日志维护 二次分析 拨号探测 IP-MAC对应检测 内网探测器 行为分析 主机在线 日志分析 中央控制台 探测器管理 规则管理 网络流量监控 SQL日志数据库 SSL传输通道 防火墙阻断 RST切断 控制台实时显示 E-Mail通知 直接打印机输出 记录到数据库 HTTP * 7 病毒监测技术 网络病毒具有传播速度快、传染范围大、破坏性强等特点。 网络管理人员和操作人员要在思想上有防病毒意识，以预防为主。防范病毒主要从管理措施和技术措施两方面入手。 * 病毒新特点： 新病毒数量成爆炸式增长； “流氓推广”、“流氓软件”问题严重； 病毒“偷、骗、抢”愈演愈烈，勒索木马开始流行； 病毒传播手段多元化，网站、U盘等渠道； 应用软件漏洞受黑客亲睐； 概念型病毒呈现跨平台趋势。 * * * * 黑色产业侵蚀电子商务的逻辑示意图 * 黑客主要盈利方式示例 * * * 灰鸽子比起冰河、黑洞，是国内后门的集大成者。 具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。 灰鸽子可穿过某些防火墙。 远程攻击者连接成功后可监控服务端屏幕，截获感染主机的oicq、icq, 网络游戏，邮箱，上网账号等敏感信息，同时还可在服务端开启Socks5 及 FTP服务，并且具有修改文件、注册表功能，是一种危险性较高的木马。 灰鸽子 * * ??? 根据瑞星公司的统计分析，2007上半年全国约有3500多万台电脑曾经被病毒感染，占到上网电脑数量的一半以上，中国大陆地区已经成为全球电脑病毒危害最严重的地区。 ??? 其中，以U盘为主要传播途径的“帕虫”病毒成为新的毒王，“威金”病毒和“熊猫烧香”分列第二、第三位。在各省疫情方面，广东省以368余万台次的数量领先，山东、北京等省市紧随其后。本次统计的前五个省市，染毒计算机都超过了200万台次。 十大病毒排名 1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫）2、威金蠕虫（Worm.Viking）3、熊猫烧香（Worm.Nimaya；又称尼姆亚）4、网络游戏木马（Trojan.PSW.OnlineGames）5、QQ通行证（Trojan.PSW.QQPass）6、ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒）7、征途木马（Trojan.PSW.ZhengTu）8、MSN相片（Worm.Mail.Photocheat.A）9、梅勒斯（Trojan.DL.Mnless）10、灰鸽子（Backdoor.Gpigeon） * 病毒的检查方法 被检测对象与原始备份的比较法 利用病毒特征代码串的扫描法 病毒体内特定位置的特征字识别法 运用反汇编技术对被检测对象的分析法和检验和法 * 比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 可发现异常，如文件长度的变化，或程序代码的变化等。 该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 * 扫描法 每一种病毒体含有的特定字符串，对被检测的对象进行扫描。 扫描程序由两部分组成：病毒代码库和对该代码进行扫描的程序。 病毒扫描程序可识别的病毒数目取决于病毒代码库中所含病毒的种类。 * 特征字识别法 计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。它是基于特征串扫描法发展起来的一种新方法。 该方法由于要处理的字节很少，所以工作起来速度更快、误报警更少。 * 分析法 本方法是运用相应技术分析被检测对象，确认是否为病毒的。 被观察的磁盘引导区和程序中是否含有病毒； 病毒的类型和种类，是否新病毒； 弄清病毒体的大致结构，提取字节串或特征字，用于增添到病毒代码库； 详细分析病毒代码，为制定相应的反病毒措施制定方案。 * 校验和法 对正常文件的内容，计算其校验和，将该校验和写入此文件或在其它文件中保存。 在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否被感染。 * ■ 隔离 立即切断该节点与网