第8章 网络安全
计算机网络安全基础_第08章_防火墙技术
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
1.试验网络
在大多数情况下,应该在内部防火墙中设置这样的
网络,并给每个试验网络配置一台路由器并连接到参数
网络。而主要的包过滤工作在连接参数网络与内部主网
的路由器上完成。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
2.低保密网络 试验网络比较危险,但它对整个内部网的安全构成
的威胁还不是最大的。而许多内部网组织结构里面的资 源本身就固有一些非安全因素。比如,校园网中那些包 含学生公寓网点的部分就被认为是不安全的,单位企业 网中的那些演示网部分、客户培训网部分和开放实验室 网部分都被认为是安全性比较差的。但这些网又比纯粹 的外部网与内部网其它部分的交互要多得多。这些网络 称为低保密网。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网 (外部网)和服务器。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
8.1.6 内部防火墙
但有时为了某些原因,我们还需要对内部网的部分 站点再加以保护以免受其它站点的侵袭。因此,有时我 们需要在同一结构的两个部分之间,或者在同一内部网 的两个不同组织结构之间再建立防火墙(也被称为内部 防火墙)。
网络安全与应用技术-第8章 网络监听与防御技术
软件嗅探器便宜易于使用,缺点是往往无 法抓取网络上所有的传输数据(比如碎片),也 就可能无法全面了解网络的故障和运行情况;
������ 硬件嗅探器的通常称为协议分析仪,它 的优点恰恰是软件嗅探器所欠缺的,但是价格 昂贵。
������ 目前主要使用的嗅探器是软件的。
2.Sniffer软件的主要工作机制及常用软件 需要一个直接与网卡驱动程序接口的驱动模
块,作为网卡驱动与上层应用的“中间人”,它 将网卡设置成混杂模式,并从上层Sniffer接收 下达的各种抓包请求,对来自网卡驱动程序的数 据帧进行过滤,最终将符合Sniffer要求的数据 返回给Sniffer。
链路层的网卡驱动程序上传的数据帧就有了
两个去处:一个是正常的协议栈,另一个就是分 组捕获即过滤模块,对于非本地的数据包,前者 会丢弃(通过比较目的IP地址),而后者则会根 据上层应用的要求来决定上传还是丢弃。
2.交换机 (1) 交换机的原理:
交换机是一种网络开关(Switch),也称交 换器,由于和电话交换机对出入线的选择有相似 的原理,因此被人称为交换机。
交换机在局域网的环境下,工作在比集线器
更高一层链路层上。交换机被定义成一个能接收 发来的信息帧,加以暂时存储,然后发到另一端 的网络部件,其本质上就是具有流量控制能力的 多端口网桥。
点到点网络传输技术:点到点网络由一对对 机器之间的多条连接构成,分组的传输是通 过这些连接直接发往目标机器,因此不存在 发送分组被多方接收的问题。
3.网卡的四种工作模式
(1)广播模式:该模式下的网卡能够接收网络中 的广播信息。
(2)组播模式:该模式下的网卡能够接受组播数 据。
(3)直接模式:在这种模式下,只有匹配目的 MAC地址的网卡才能接收该数据帧。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
计算机网络_自顶向下方法_(中文版课件)第八章_网络安全.TopDownV3-8
+ KB
网络安全 18
RSA: 加密,解密
0. 给定(n,e)和(n,d)如上面所计算 1. 为加密比特模式, m, 计算
c = m e mod n (即当 me被n相除时的余数)
(m mod n) d mod n = m edmod n = m
e
ed mod (p-1)(q-1)
1
(using number theory result above)
mod n
= m mod n
(因为我们选择ed(p-1)(q-1) 相除具有余数1 )
= m
网络安全 21
RSA: 另一个重要性质
Alice的 IP 地址
加密的 “I’m Alice” 口令
记录并重放 仍然有效!
Alice的 IP地址
OK
Alice的 IP地址
加密的 “I’m Alice” 口令
网络安全
31
鉴别:另一种尝试
目标:避免重放攻击 不重数(Nonce): 数字(R)一生仅用 一次 ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密 “I am Alice” R KA-B(R) 实效,缺点?
网络安全 3
什么是网络安全?
机密性: 仅发送方,希望的接收方应当“理解” 报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输 或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用
第8章 局域网安全
Page 42/56
十二 五
• • • •
数据加密算法 1、DES加密算法(Data Encryption Standard数据加 密标准) 2、RSA算法 适用于数字签名和密钥交换
Page 33/56
十二 五
• • • • • •
VPN技术 1.隧道技术 (1)GRE (2)L2TP和PPTP 2. 加密技术 3.QoS技术
Page 34/56
十二 五
• • • • •
VPN技术的应用 VPN在局域网中的应用可以分为三种方式: 1、远程接入 2、网络互联 3、内部安全
Page 35/56
Page 18/56
十二 五
• 2. 应用代理防火墙 • 应用代理防火墙也叫应用代理网关防火墙。网关是指在两 个设备之间提供转发服务的系统。这种防火墙能彻底隔断 内外网络的直接通信,内网用户对外网的访问变成防火墙 对外网的访问。所有通信都必须经应用层代理软件转发, 所有访问者都不能与服务器建立直接的TCP连接,应用层 的协议会话过程必须符合代理的安全策略要求。
Cisco PIX 515E防火墙外观
Page 26/56
十二 五
• 防火墙的选购
• • • • • • • • • • • (1)安全性 (2)稳定性 (3)高效性 (4)可靠性 (5)灵活性 (6)配置方便性 (7)管理简便性 (8)抵抗拒绝服务攻击 (9)针对用户身份进行过滤 (10)可扩展性和升级性 ( 11)协同工作能力
• 1.基于主机的入侵检测系统
Page 31/56
十二 五
• 2.基于网络的入侵检测系统
Page 32/56
十二 五
8.4 虚拟专用网(VPN)技术
网络安全 第8章IDS
被动响应 记录事件和报警
8.2 IDS技术
1 IDS检测技术 2 主机和网络 3 协议分析 4 其他高级IDS技术 5 IDS与防火墙联动
1 IDS检测技术
IDS检测技术 异常检测模型:首先总结正常操作应该具有的特征 (用户轮廓),当用户活动与正常行为有重大偏离时 即被认为是入侵
Intrusion Signature Match System Audit No Signature Match Metrics Pattern Matcher Normal Activity
3.
4.
指标 错报低 漏报高
误用检测模型
优点:
算法简单、系统开销小、准确率高、效率高
缺点:
被动:只能检测出已知攻击 、新类型的攻击会对系统造
CPU
Process Size
Relatively high false positive rate anomalies can just be new normal activities.
误用检测(Misuse Detection)
思想:主要是通过某种方式预先定义入侵行为, 然后监视系统,从中找出符合预先定义规则的 入侵行为 误用信号需要对入侵的特征、环境、次序以及 完成入侵的事件相互间的关系进行描述
IDS的组成
2 IDS功能
监控、分析用户和系统活动
实现入侵检测任务的前提条件
发现入侵企图或异常现象
一是对进出网络或主机的数据流进行监控,看是否存在对系统
的入侵行为; 另一个是评估系统关键资源和数据文件的完整性,看系统是否 已经遭受了入侵。
记录、报警和响应
计算机网络第8章
c = m e mod n
2. 接收方为了对收到的密文报文c解密, 则需计算
m = c d Βιβλιοθήκη od nm = (m e mod n) d mod n
c
8: 网络安全 8-19
RSA 例子:
Bob选择
p=5, q=7 那么 n=35, z=24 e=5 (因为5和24没有公因数) d=29 (因为5*29-1可以被24整除)
8: 网络安全
8-7
第八章 内容大纲
8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 什么是网络安全? 密码学的原理 鉴别 完整性 密钥分发和认证 访问控制: 防火墙 攻击和对策 多个层次中的安全性
8: 网络安全 8-8
密码技术
Alice的 K 加密密钥 A 明文 加密 算法 密文 Bob的 K 解密密钥 B 解密 算法 明文
明文: bob. i love you. alice 密文: nkn. s gktc wky. mgsbc
Q: 破解这种简单密码方案的难易程度: 穷举法 其它方法
8: 网络安全 8-10
对称密钥密码学
KA-B
明文 报文, m
KA-B
密文 K
A-B
加密 算法
(m)
解密 算法
明文
m=K
A-B
( KA-B(m) )
对称密钥技术: 发送方和接收方的密钥是相同的 公钥技术: 加密密钥双方均知, 解密密钥仅一方知道
8: 网络安全
8-9
对称密钥密码学
置换密码: 用一种东西替换另一种东西
单码代替密码: 用一个字母替换另一个字母 明文: abcdefghijklmnopqrstuvwxyz 密文: mnbvcxzasdfghjklpoiuytrewq 例如:
网络安全技术习题第8章习题
第8章1判断题1-1 目前防火墙技术仅应用在防火墙产品中。
(×)1-2 一般来说,防火墙在OSI参考模型中的位置越高,所需要检查的内容就越多,同时CPU 和RAM的要求也就越高。
(√)1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则,其中前者的安全性要比后者高。
(√)1-4 采用防火墙的网络一定是安全的。
(×)1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层,主要对IP分组和TCP/UDP 端口进行检测和过滤操作。
(√)1-6 当硬件配置相同时,代理防火墙对网络运行性能的影响要比包过滤防火墙小。
(×)1-7 在传统的包过滤、代理和状态检测3类防火墙中,只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。
(√)1-8 分布式防火墙由于采用了计算机网络的分布式通信特点,所以在实施时只能采用纯软件方式。
(×)1-9 有些个人防火墙是是一款独立的软件,而有些个人防火墙则整合在防病毒软件中使用。
(√)2 填空题2-1 防火墙将网络分割为两部分,即将网络分成两个不同的安全域。
对于接入Internet的局域网,其中局域网属于可信赖的安全域,而Internet属于不可信赖的非安全域。
2-2 为了使管理人员便于对防火墙的工作状态进行了解,一般防火墙都需要提供完善的日志功能。
2-3 防火墙一般分为路由模式和透明模式两类。
当用防火墙连接同一网段的不同设备时,可采用透明模式防火墙;而用防火墙连接两个完全不同的网络时,则需要使用路由模式防火墙。
2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的,所以将传统的包过滤防火墙称为静态包过滤防火墙,而将状态检测防火墙称为动态包过滤防火墙。
3 选择题3-1 以下设备和系统中,不可能集成防火墙功能的是( A )A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统3-2 对“防火墙本身是免疫的”这句话的正确理解是(B )A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力3-3 在以下各项功能中,不可能集成在防火墙上的是(D )A. 网络地址转换(NAT)B. 虚拟专用网(VPN)C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时,该服务器一般要置于防火墙的(C )A. 内部B. 外部C. DMZ区D. 都可以3-5 以下关于状态检测防火墙的描述,不正确的是(D )A. 所检查的数据包称为状态包,多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中,必须首先检测规则表,然后再检测连接状态表3-6 以下关于传统防火墙的描述,不正确的是( A )A. 即可防内,也可防外B. 存在结构限制,无法适应当前有线和无线并存的需要C. 工作效率较低,如果硬件配置较低或参数配置不当,防火墙将成形成网络瓶颈D. 容易出现单点故障3-7 在分布式防火墙系统组成中不包括( D )A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙3-8 下面对于个人防火墙的描述,不正确的是( C )A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似,而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用,个人防火墙的配置方法相对简单3-9 下面对于个人防火墙未来的发展方向,描述不准确的是( D )A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成,并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成。
第8章__网络协议的安全-ipsec
19
SPD(Security Policy ( Database,安全策略数据库) ,安全策略数据库)
SPD也不是通常意义上的“数据库”,而是将所有的 SP以某种数据结构集中存储的列表。 (包处理过程中,SPD和SAD两个数据库要联合使用) 当接收或将要发出IP包时,首先要查找SPD来决定如 何进行处理。存在3种可能的处理方式:丢弃、不用 IPSec和使用IPSec。
10
安全联盟& 安全联盟&安全联盟数据库
SA(Security Association,安全联盟)
是两个IPSec实体(主机、安全网关)之间经过协商建立起 来的一种协定,内容包括采用何种IPSec协议(AH还是 ESP)、运行模式(传输模式还是隧道模式)、验证算法、 加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等, 从而决定了保护什么、如何保护以及谁来保护。可以说SA 是构成IPSec的基础。 AH和ESP两个协议都使用SA来保护通信,而IKE的主要功能 就是在通信双方协商SA。 SA是单向的,进入(inbound)SA负责处理接收到的数据包, 外出(outbound)SA负责处理要发送的数据包。因此每个 通信方必须要有两种SA,一个进入SA,一个外出SA,这两 个SA构成了一个SA束(SA Bundle)。 11
15
SAD中每个SA除了上述三元组之外,还包括:
1. 序列号(Sequence Number):32位,用于产生AH 或ESP头的序号字段,仅用于外出数据包。SA刚建立 时,该字段值设置为0,每次用SA保护完一个数据包时, 就把序列号的值递增1,对方利用这个字段来检测重放 攻击。通常在这个字段溢出之前,SA会重新进行协商。 2. 序列号溢出(Sequence Number Overflow):标识 序号计数器是否溢出。用于外出数据包,在序列号溢出 时加以设置。安全策略决定一个SA是否仍可用来处理 其余的包。 3. 抗重放窗口: 32位,用于决定进入的AH或ESP数据 包是否为重发的。仅用于进入数据包,如接收方不选择 抗重放服务(如手工设置SA时),则不用抗重放窗口。
网络工程师学习笔记第8章 网络安全与信息安全
网络工程师学习笔记第8章网络安全与信息安全第8章网络安全与信息安全主要内容:1、密码学、鉴别2、访问控制、计算机病毒3、网络安全技术4、安全服务与安全机制5、信息系统安全体系结构框架6、信息系统安全评估准则一、密码学1、密码学是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。
2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。
常见的算法有:DES、IDEA3、加密模式分类:(1)序列密码:通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流逐位加密得到密文。
(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。
4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。
实现的过程:每个通信双方有两个密钥,K和K’,在进行保密通信时通常将加密密钥K 公开(称为公钥),而保留解密密钥K’(称为私钥),常见的算法有:RSA二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。
1、口令技术身份认证标记:PIN保护记忆卡和挑战响应卡分类:共享密钥认证、公钥认证和零知识认证(1)共享密钥认证的思想是从通过口令认证用户发展来了。
(2)公开密钥算法的出现为2、会话密钥:是指在一次会话过程中使用的密钥,一般都是由机器随机生成的,会话密钥在实际使用时往往是在一定时间内都有效,并不真正限制在一次会话过程中。
签名:利用私钥对明文信息进行的变换称为签名封装:利用公钥对明文信息进行的变换称为封装3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。
客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC 专门为客户和服务器方在某一阶段内通信而生成的。
第八章 信息安全基础知识
2. 应用级网关(Application Level Gateway)
应用级网关主要控制对应用程序的访问,它能够对进出的数据包进 行分析、统计,防止在受信任的服务器与不受信任的主机间直接建 立联系。而且它还提供一种监督控制机制,使得网络内3所示。
图8-4 代理服务防火墙功能模型
代理服务器收到用户对某站点的访问请求后,便立即检查该请求是 否符合规则。若规则允许用户访问该站点,代理服务器便会以客户 身份登录目的站点,取回所需的信息再发回给客户。 代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能 看到该代理服务器而无法获知任何内部资料,如IP地址,从而起到 了隔离防火墙内、外计算机系统的作用。
8.2.3 计算机病毒的分类
目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也 存在多种,常见的分类有以下几种:
(1)按病毒存在的媒体分类
引导型病毒 文件型病毒
混合型病毒
(2)按病毒的破坏能力分类
良性病毒
恶性病毒
(3)按病毒传染的方法分类
驻留型病毒
非驻留型病毒
(4)按照计算机病毒的链接方式分类
不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
8.3.2 防火墙的基本类型
典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火 墙的技术包括以下四大类:
1. 包过滤防火墙(Packet Filtering Firewall)
包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当 路由器的计算机组成,如图8-2所示。
破坏性
计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影 响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式 化,造成整个系统的崩溃。
04741计算机网络原理2018版PPT课件_第8章_网络安全基础
换位密码可分为列置换密码和周期置换密码。
6
第二节 数据加密
三、典型对称密钥密码算法[领会] 现代密码可以分为对称密钥密码和非对称密钥密码两大类。对称密钥加密系
三、数字签名方法[领会]
数字签名在信息安全,包括身份认证,数据完整性,不可否认性以及匿名性等方面有重 要应用,特别是在大型安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数 字签名是实现认证的重要工具。
数字签名与消息认证的区别:消息认证使接收方能验证发送方以及所发消息内容是否被篡 改过,当收发者之间没有利害冲突时,这对于防止第三着的破坏来说是足够了。但当接收者 和发送者之间有利害冲突时,就无法解决他们之间间的纠纷,此时须借助数字签名技术。
3
第一节 网络安全概述
一、网络安全的基本概念及属性[识记] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者 恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中 断。 网络安全通信所需要的基本属性有:机密性、消息完整性、可访问与可用性、身份 认证。 二、网络安全威胁[领会] 网络主要面临的安全威胁有以下几个方面: (1)报文传输方面主要包括窃听、插人、假冒、劫持等安全威胁。 (2)常见的网络攻击包括拒绝服务DoS以及分布式拒绝服务DDoS等。 (3)映射。 (4)分组“嗅探”。 (5)IP欺骗。
IDEA加密算法广泛应用在安全电子邮件PGP中。 IDEA加密算法是一个分组长度为64位的分组密码算法,密钥长度为128位, 同一个算法既可用于加密,也可用于解密。算法运用硬件与软件实现都很容易,而 且比DES算法在实现上快得多。
《计算机网络技术基础》课件第八章
8.2 网络加密技术
16
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
8.1 网络安全基础
6
概括起来,一个安全的计算机网络应具有以下特征。
(1)完整性
(2)保密性
(3)可用性
• 指网络中的信息 安全、精确和有 效,不因种种不 安全因素而改变 信息原有的内容、 形式和流向,确 保信息在存储或 传输过程中不被 修改、破坏或丢 失。
• 指网络上的保密 信息只供经过允 许的人员,以经 过允许的方式使 用,信息不泄露 给未授权的用户、 实体或过程,或 供其利用。
在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃 听到。而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自 己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出 现的安全问题。
非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括 电子商务在内的一大批网络应用的不断深入和发展。非对称加密算法的典型代表是RSA算法。
网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更 改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问 题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论,都是网络安全的研究领域。
网络安全第八章测试
网络安全第八章1、不属于IDS体系结构的组件是()A、事件产生器B、自我防护单元(正确答案)C、事件分析器D、事件数据库2、下面()不属于误用检测技术的特点A、发现一些未知的入侵行为(正确答案)B、误报率低,准确率高C、对系统依赖性较强D、漏报率高3、入侵检测系统按数据来源可以分为基于()和基于()两种A、主机网络(正确答案)B、主机服务器C、网络服务器D、服务器客户机4、在 IDS 中,将收集到的信息与数据库中已有的记录进行比较,从而发现违背安全策略的行为,这类操作方法称为()A、模式匹配(正确答案)B、统计分析C、完整性分析D、不确定5、以下哪一种方式是入侵检测系统所通常采用的是()。
A、基于网络的入侵检测(正确答案)B、基于IP的入侵检测C、基于服务的入侵检测D、基于域名的入侵检测6、以下哪一项属于基于主机的入侵检测方式的优势:()A、监视整个网段的通信B、不要求在大量的主机上安装和管理软件C、适应交换和加密(正确答案)D、具有更好的实时性7、入侵检测利用的信息包括()A、系统和网络日志文件B、目录和文件中的不期望的改变和程序执行中的不期望的行为C、物理形式的入侵信息D、以上所有信息(正确答案)8、入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段()A、模式匹配B、统计分析C、完整性分析D、密文分析(正确答案)9、以下哪一项不属于入侵检测系统的功能:()A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包(正确答案)10、关于入侵检测技术,下列哪一项描述是错误的()A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流11、按照检测数据的来源可将入侵检测系统(IDS)分为()?A、基于主机的IDS和基于网络的IDS(正确答案)B、基于主机的IDS和基于域控制器的IDSC、基于服务器的IDS和基于域控制器的IDSD、基于浏览器的IDS和基于网络的IDS12、入侵检测系统的第一步是:()A、信号分析B、信息收集(正确答案)C、数据包过滤D、数据包检查13、关于入侵检测技术,下列哪一项描述是错误的是()?A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流14、入侵检测系统(IDS,Intrusion Detection System)是对()的合理补充,帮助系统对付网络攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.4 网络安全机制与措施
1. 安全机制 网络安全机制(security mechanisms)可分为两类:一 类与安全服务有关,另一类与管理功能有关。 ISO7498-2建议 (1)加密机制 (2)数字签名机制 (3)访问控制机制 (4)数据完整性机制 (5)认证机制 (6)信息流填充机制 (7)路由控制机制 (8)公证机制
私钥好比数字指纹,同时具有解密和加密功能。个人保管,不公 开。 公钥好比安全性极高的挂号信箱地址,公开。
公开密钥密码体制,是由Whitfield Diffie 和Martin Hellman 1976年在国际计算机会议上首次提出来的,并进 一步阐述了非对称密钥的思路:加密使用专门的加密密钥, 解密使用专门的解密密钥;从其中一个密钥不可能导出另 外一个密钥;使用选择明文攻击不能破解出加密密钥。
(1)公私钥生成 ① 随机选定两个大素数p, q ② 计算公钥和私钥的公共模数 n = pq . ③ 计算模数n的欧拉函数 φ(n) . ④ 选定一个正整数e, 使1 < e < φ(n) , 且e与φ(n)互质. ⑤ 计算d, 满足 de ≡ 1 (mod φ(n) ), (k为某个正整数). ⑥ n与e决定公钥, n与d决定私钥. (2)加解密 该过程为小张给小李发消息,公钥为小李的公钥(n & e), 私钥为小 李的私钥(n & d). 小张欲给小李发一个消息M, 他先把M转换为一个大数m < n, 然后用 小李的公钥(n & e)把m加密为另一个大数: c = me mod n 小李收到小张发来的大数c, 着手解密. 通过自己的私钥(n & d), 得到 原来的大数m: m = cd mod n 再把m转换为M, 小李即得到小张的原始消息.
8.5.2 数字认证技术
1. 一次性口令身份认证技术 OTP:在登录过程中加入不确定因素,使每次登录过程中传 送的信息都不相同,以提高登录过程的安全性
2. 数字签名技术 是公开密钥加密技术的一种应用,是指用发送方的私有密钥加 密报文摘要,然后将其与原始的信息附加在一起,合称为数字 签名。这种数据或变换允许数据单元的接收者用以确认数据 单元的来源和数据单元的完整性并保护数据,防止被人进行伪 造。 为使数字签名能代替传统的签名,必须满足下面三个条 件: (1)接收者能够核实发送者对报文的签名; (2)发送者事后不能抵赖对其报文的签名; (3)接收者无法伪造对报文的签名。
发送方通过使用自己的私有密钥对消息加密,实现签名; 接收方通过使用发送方的公共密钥对消息解密,完成验
证
A:
hashing hashing 加 密 器 加 密 器 解 密 器
B:
比 较
摘要
消息正文 摘要
签名 公钥B
解 密 器
私钥A
私钥B 公钥A
数据加密和数字签名的区别 数据加密的作用
保证信息的机密性
2. 公开密钥(非对称)加密技术
特点:
• 公共密钥加密系统的密钥分配和管理比较简单。
对于有n个用户的网络,就只需要n个私有密钥和n个公共密钥
• 安全性更高 • 公共密钥加密系统计算非常复杂,它的速度远赶不上对称密钥加
密系统 实际应用: 公共密钥加密系统通常被用来加密关键性的、核心的机密数据, 而对称密钥加密系统通常被用来加密大量的数据
8.1.2 网络安全的概念与特征 网络安全是指网络系统的硬件、软件及其系统中的数据受到 保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄 露,系统可以连续地、可靠地、正常地运行,并提供相应 的网络服务 网络安全的特征 (1)可靠性 (2)完整性 (3)可用性 (4)保密性
8.1.3 威胁网络安全的原因
1. 包过滤防火墙 数据包过滤用在内部主机和外部主机之间, 过滤系统是 一台路由器或是一台主机。过滤系统根据过滤规则来决定是 否让数据包通过。 通过屏蔽特定的端口可以禁止特定的服务。包过滤系统 可以阻塞内部主机和外部主机或另外一个网络之间的连接, 例如,可以阻塞一些被视为是有敌意的或不可信的主机或网 络连接到内部网络中。
“我们下午5点老地方见!”
“我们下午5点老地方见!”
“???…”
数据加密
•
将明文转换成一种加密的密文,如果没有通信双方共 享的密钥,则无法理解密文。 通过对不知道密钥的人隐藏信息达到保密的目的。
第 18 /45页
•
1. 对称密钥加密技术 美国数据加密标准DES AES(高级加密标准) 欧洲数据加密标准IDEA。
网络安全威胁
恶意程序 攻击 被动攻击
计算机病毒 计算机蠕虫 特洛伊木马 逻辑炸弹
截获
2. 网络系统的脆弱性 (1)操作系统的脆弱性 (2)计算机系统本身的脆弱性 (3)电磁泄漏 (4)数据的可访问性 (5)通信系统和通信协议的弱点 (6)数据库系统的脆弱性 (7)网络存储介质的脆弱
8.3 网络安全策略
(Decryption)
举例
为什么要进行数据加密?
窃听:
“我们下午5点老地方见!”
“嘿嘿嘿…”
篡改:
“我们下午5点老地方见!”
“我们下午三点老地方见 !”
重放:
“我们今天下午三点钟见面!”
一天以后: “我们今天下午三点钟见面!”
采用数据加密技术以后
fojfejk;lad fjj093i2j3kj 0gjklacma. /
访问控制限制某些用户对某些资源的操作。防火墙是基于网络的访问控 制技术,工作在网络层、传输层和应用层,完成不同粒度的访问控 制。
(3)防病毒软件与个人防火墙
个人防火墙是防火墙和防病毒的结合。它运行在用户的系统中,并控制 其他机器对这台机器的访问。个人防火墙除了具有访问控制功能外, 还有病毒检测,甚至有入侵检测的功能
优点:
• • • •
当前加密算法非常强大,仅凭密文不掌握密钥几乎不可能解密。
加密方法的安全性依赖于密钥的保密性,而不是算法的保密性。 加密解密速度快
标准:美国数据加密标准(AES)和欧洲数据加密标准(IDEA)
缺点:
• 密钥的分发和管理非常复杂、代价高昂
如果有n个用户的网络,需要n(n-1)/2个密钥,对于用户数目很 大的大型网络,密钥的分配和保存就成了很大的问题。
(4)数据加密
加密技术保护数据在存储和传输中的保密性安全。
(5)鉴别技术
2. 检测 安全策略的第二个安全屏障是检测,即如果入侵发生就 检测出来,这个工具是入侵检测系统(IDS)。 防护主要修补系统和网络的缺陷,增加系统的安全性能, 从而消除攻击和入侵的条件。检测并不是根据网络和系 统的缺陷,而是根据入侵事件的特征去检测的。 入侵检测系统(IDS)是一个硬件系统和软件程序,它的功 能是检测出正在发生或已经发生的入侵事件。这些入侵 已经成功地穿过防护战线。一个入侵检测系统有很多特 征,其主要特征为:检测环境和检测算法。
对称加密,双方具有共享的密钥,只有在双方都知道密钥 的情况下才能使用,通常应用于孤立的环境之中,比如在 使用自动取款机(ATM)时,用户需要输入用户识别号码 (PIN),银行确认这个号码后,双方在获得密码的基础 上进行交易,如果用户数目过多,超过了可以管理的范围 时,这种机制并不可靠。 非对称加密,也称为公开密钥加密,密钥是由公开密钥 和私有密钥组成的密钥对,用私有密钥进行加密,利用公 开密钥可以进行解密,但是由于公开密钥无法推算出私有 密钥,所以公开的密钥并不会损害私有密钥的安全,公开 密钥无须保密,可以公开传播,而私有密钥必须保密,丢 失时需要报告鉴定中心及数据库。
3. 响应 响应就是已知一个攻击(入侵)事件发生之后,进行处 理。 入侵事件的报警可以是入侵检测系统的报警,也可以是通过 其他方式的汇报。响应的主要工作也可以分为两种。第 一种是紧急响应;第二种是其他事件处理。紧急响应就 是当安全事件发生时采取应对措施,其他事件主要包括 咨询、培训和技术支持。
4. 恢复 恢复是事件发生后,把系统恢复到原来的状态,或者比原 来更安全的状态。恢复也可以分为两个方面: 系统恢复:指修补该事件所利用的系统缺陷,不让黑客再 次利用这样的缺陷入侵。系统恢复的另一个重要工作是除 去后门。 系统恢复都是根据检测和响应环节提供有关事件的资料进行 的。 信息恢复:包括系统升级、软件升级和打补丁等。
数字签名的作用
保证信息的完整性 保证信息的真实性 保证信息的不可否认性
8.6 防火墙
8.6.1 防火墙的基本概念 防火墙(firewall)是设置在被保护网络和外部网络之间的 一道屏障,以防止发生不可预测的、潜在破坏性的侵入。在 逻辑上,防火墙是一个分离器,一个限制器,也是一个分析 器,它有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。
RSA简介
RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和 LenAdleman在MIT(美国麻省理工学院)开发的,1978年 首次公布。RSA是目前最有影响的公钥加密算法,它能够 抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公 钥数据加密标准。 RSA算法中,每个通信主体都有两个钥匙,一个公钥一个私 钥。 权威数字认证机构(CA)给所有通信主体(个人或组织) 颁发公钥和私钥,彼此配对,分别唯一。
第8章 网络安全与网络管理
8.1 网络安全基础
8.1.1 网络安全事例
案例1: 美国NASDAQ事故 1994年8月1日,由于一只松鼠通过 位于康涅狄格网络主计算机附近的一条电话线挖洞,造成电源紧 急控制系统损坏,NASDAQ电子交易系统日均超过3亿股的股票 市场暂停营业近34分钟。 案例2:美国纽约银行EFT损失 1985年11月21日,由于计算机软 件的错误,造成纽约银行与美联储电子结算系统收支失衡,发生 了超额支付,而这个问题一直到晚上才被发现,纽约银行当日帐务 出现230亿短款。 案例3:江苏扬州金融盗窃案 1998年9月,郝景龙、郝景文两兄弟 通过在工行储蓄所安装遥控发射装置,侵入银行电脑系统,非法 取走26万元。这是被我国法学界称为全国首例利用计算机网络 盗窃银行巨款的案件。