课件：信息安全导论（5-2 网络安全－防火墙、入侵检测、反病毒）.ppt

* * * * * * * * * * * * * * * 4 反病毒技术 病毒与反病毒是互相对抗发展的，任何一种检测方法都不可能是万能的 反病毒技术需要根据病毒的最新特点不断改进或发现新的方法 * 检测计算机病毒的基本方法 1. 外观检测法 病毒侵入计算机系统后，会使计算机系统的某些部分发生变化，引起一些异常现象，如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。可以根据这些异常现象来判断病毒的存在，尽早地发现病毒，并作适当处理 * 检测计算机病毒的基本方法 2. 特征代码法 将各种已知病毒的特征代码串组成病毒特征代码数据库。用特征代码数据库中的病毒特征代码逐一比较，就可确定被检计算机系统感染了何种病毒。 很多著名的病毒检测工具中广泛使用特征代码法。 特征代码法是检测已知病毒的最简单、开销最小的方法。 * 检测计算机病毒的基本方法 3. 虚拟机技术 多态性病毒或多型性病毒即俗称的变形病毒。多态性病毒每次感染后都改变其病毒密码。多态和变形病毒的出现让传统的特征值查毒技术无能为力。 使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动“虚拟机”模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。 其实质是让病毒在虚拟的环境中执行，从而原形毕露，无处藏身。 * 检测计算机病毒的基本方法 4. 启发式扫描技术 病毒和正常程序在指令特点上有很大区别。 一个运用启发式扫描技术的病毒检测软件，就是通过对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机。 * 防范计算机病毒的基本方法 不要轻易上一些不正规的网站。一些病毒、木马制造者正是利用人们的猎奇心理，引诱大家浏览他的网页，甚至下载文件，这样很容易使机器染上病毒。 提防电子邮件病毒的传播。在收到陌生可疑邮件时尽量不要打开，特别是对于带有附件的电子邮件更要小心。甚至有的是从你的好友发送的邮件中传到你机器上的。 对于渠道不明的光盘、软盘、U盘等便携存储器，使用之前应该查毒。对于从网络上下载的文件同样如此。 经常关注病毒报告，这样可以在未感染病毒的时候做到预先防范。 对于重要文件、数据做到定期备份。 不能因为担心病毒而不敢使用网络，时刻具有防范意识 * 小结 了解网络安全的相关技术 所涉及的后续课程 * 作业（第七次） 调研电信网的安全问题，完成一个调查报告 包括存在的安全威胁、可能的解决对策 后面内容直接删除就行 资料可以编辑修改使用 资料可以编辑修改使用 主要经营：网络软件设计、图文设计制作、发布广告等 公司秉着以优质的服务对待每一位客户，做到让客户满意！ 致力于数据挖掘，合同简历、论文写作、PPT设计、计划书、策划案、学习课件、各类模板等方方面面，打造全网一站式需求 * * * * * * * * * * * * * * * * * * * * * 2.1 基于网络的IDS 使用原始的网络数据包作为数据源，主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。 * 2.1 基于网络的IDS 使用四种常用技术来识别攻击标志： 模式、表达式或字节匹配 频率或穿越阈值 次要事件的相关性 统计学意义上的非常规现象检测 * 基于网络检测的优点 实施成本低 隐蔽性好 监测速度快 视野更宽 操作系统无关性 攻击者不易转移证据 * 基于网络检测的缺点 只能监视本网段的活动，精确度不高； 在交换网络环境下无能为力； 对加密数据无能为力； 防入侵欺骗的能力也比较差； 难以定位入侵者。 * 2.2 基于主机的IDS 通过监视与分析主机的审计记录和日志文件来检测入侵。 通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 主要用于保护运行关键应用的服务器。 * 基于主机IDS的优点 能够检测到基于网络的系统检测不到的攻击 安装、配置灵活 监控粒度更细 监视特定的系统活动 适用于交换及加密环境 不要求额外的硬件 * 基于主机入侵检测的缺点 占用主机的资源，在服务器上产生额外的负载 缺乏平台支持，可移植性差，应用范围受到严重限制； 例如，在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整个网络是入侵活动. 例如“旋转门柄”攻击，入侵者企图登录到网络主机，他对每台主机只试用一次用户ID和口令，并不进行暴力口令猜测，如果不成功，便转向其它主机. 对于这种攻击方式，各主机上的入侵检测系统显然无法检测到。这就需要建立面向网络的入侵检测系统. * 3 IDS基本技术 3.1 误用检测 3.2 异常检测 * 3.1 误用检测 适用于已知使用模式的可靠检测，这种方法的前提是入侵行为能按照某种方式进行特征编码。 如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入侵者即被检