Network Security（网络安全）.ppt

yn@ yn@ 网络工程系 电子科大通信学院 Chapter 15 Network Security Cryptology IPSec and TLS Intrusion Detection Situation Awareness 15.1 Cryptology 密码学 基本概念 对称密码学与公钥密码学 电子签名 实体鉴别 用对称密码学进行实体鉴别 用公钥密码学进行实体鉴别 密钥管理 对称密钥分配 公钥认证 密码学的基本概念 密码学 “秘密书写” 为使报文变得安全和免于受到攻击而进行转换的一种科学和艺术。 明文和密文、加密与解密 转换前的原始报文称为明文；转换后的报文称为密文。 密码 加密/解密算法都称为密码。 密钥是密码算法要运算的一个数（值）。 对称密码学 数据加密标准（DES） 公钥密码学 保密 保密 电子签名 电子签名 电子签名 15.2 IPSec and TLS IP层的安全：IPSec 安全关联 IPSec的两种工作方式 两个安全协议 运输层的安全：TLS TLS记录协议 TLS握手协议 IP层的安全：IPSec IPSec 是IETF设计的一组协议，用来对因特网上传送的分组提供安全特性。 安全关联 使用一个称为安全关联（SA）的信令协议，IPSec在两个主机间建立一个逻辑连接。 定义SA连接的三个要素：索引、安全协议类型、源IP地址。 两种工作方式 运输方式 IP层的安全：IPSec 运输方式 隧道方式 IP层的安全：IPSec 两个安全协议 鉴别首部协议（AH） 用来鉴别源主机，确保IP分组所携带有效负荷的完整性。 使用散列函数和对称密钥计算报文摘要，然后将报文摘要插入鉴别首部中，认证算法由SA指定。 不提供保密。 封装安全有效载荷（ESP） ESP将需要保护的用户数据进行加密后在封装到IP分组中，支持数据项的机密性。 加密算法和认证算法由SA指定。 运输层的安全：TLS TLS协议概述 基本设计目标：为两个通信实体之间提供数据的机密性和完整性。 分为两个层次：TLS记录协议和TLS握手协议 TLS记录协议：提供连接的安全性 该连接是保密的。 该连接是可靠的。 TLS握手协议：使客户和服务器之间相互认证，协商加密算法和密钥。 对等实体可以采用公钥密码算法进行认证。 共享秘密的协商式安全的。 协商是可靠的 运输层的安全：TLS 15.3 Network Intrusion Detection 相关概念 混合型入侵检测技术 入侵检测步骤 入侵检测系统性能评估 先进入侵检测方法 入侵检测产品 入侵检测系统的优点和局限性 入侵与入侵检测 入侵：是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 外部入侵者 内部入侵者 违法者 恶意程序的威胁 探测和扫描系统配置信息和安全漏洞 入侵检测 是对企图入侵、正在进行入侵或者已经发生的入侵进行识别的过程。 入侵与入侵检测 入侵与入侵检测 混合型入侵检测实现方式 设计目标 同时完成检测主机和网络安全状态的任务，系统采用网络数据和主机审计数据两种数据来源。 系统构成 主机监控器 网络监控器 中央控制台 混合型入侵检测技术 混合型入侵检测技术 入侵检测步骤 Step1 信息收集 Step2 数据分析 Step3 响 应 入侵检测步骤 Step1 信息收集 收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。 入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保系统采集、报告这些信息的可靠性。 可分为：分布式和集中式数据收集机制 入侵检测步骤 Step2 数据分析 该步骤是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。 入侵检测步骤 入侵检测技术可分为三类： 基于特征的检测技术 （misuse /signature based detection) 基于异常的检测技术 (anomaly based detection ) 误用与异常检测混合的技术 入侵检测步骤 基于特征的检测技术 首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。 入侵检测步骤 基于特征的技术难点： 是根据攻击签名来判断