信息安全技术与实践课件第6章第1-4节

第2章 第6章
1）分布式入侵检测 2）智能化 检测 3）应用层入侵检测 4）高速网络的入侵检测 5）入侵检测系统的标准化
6.3安全扫描技术
第2章 第6章
6.3安全扫描技术
安全扫描技 术是指手工地 或使用特定的 自动软件工具-安全扫描器， 对系统风险进 行评估，寻找 可能对系统造 成损害的安全 漏洞。
6.5.1防火墙概述 6.5.2常用防火墙技术 6.5.3防火墙的性能指标 6.5.4防火墙的发展与局限性
网络安全 概述
安全扫描 技术
防火墙技 术
第2章 第6章
网络安全技术
入侵检测
6.2.1入侵检测概述 6.2.2入侵检测技术的发展 6.2.3入侵检测方法 6.2.4入侵检测的发展趋势
隔离技术
6.4.1隔离技术概述 6.4.2隔离技术的发展 6.4.3网络隔离技术的原理 6.4.4网络隔离技术的分类
漏洞扫描技术是一类重要的网络安全技术。它 和防火墙、入侵检测系统互相配合，能够有效提 高网络的安全性。通过对网络的扫描，网络管理 员能了解网络的安全设置和运行的应用服务，及 时发现安全漏洞，客观评估网络风险等级。网络 管理员能根据扫描的结果更正网络安全漏洞和系 统中的错误设置，在黑客攻击前进行防范。如果 说防火墙和网络监视系统是被动的防御手段，那 么安全扫描就是一种主动的防范措施，能有效避 免黑客攻击行为，做到防患于未然。
虚拟专用 网
6.6.1虚拟专用网概述 6.6.2虚拟专用网的关键技术 6.6.3用虚拟专用网解决互联网的安全问题
6.7.1网络攻击概述 6.7.2网络攻击的目的与步骤 6.7.3常见网络攻击与防范
网络攻击
计算机病 毒
6.8.1计算机病毒概述 6.8.2计算机病毒原理 6.8.3反病毒技术 6.8.4邮件病毒及其防范
对一个成功的入侵检测系统来讲，它不但可使系 统管理员时刻了解网络系统（包括程序、文件和硬件 设备等）的任何变更，还能给网络安全策略的制订提 供指南。
6.2入侵检测
第2章 第6章
6.2.2入侵检测技 术的发展
从实验室原型研
究到推出商业化产 品、走向市场并获 得广泛认同，入侵 检测走过了20多年 的历程。
第2章 第6章
2）模型的发展 • 1984年-1986年，乔治敦大学的Dorothy Denning和
SRI/CSL（SRI公司计算机科学实验室）的 PeterNeumann研究出了一种实时入侵检测系统模型， 取名为IDES（入侵检测专家系统）。
• 1988年，SRI/CSL的Teresa Lunt等改进了Denning的入侵 检测模型，并研发出了实际的IDES。
第2章 第6章
6.3安全扫描技术
6.3.2端口扫描技术
端口扫描是指某些别有用心的人发送一组端口扫描 消息，试图以此侵入某台计算机，并了解其提供的计 算机网络服务类型（这些网络服务均与端口号相关）。
扫描器是一种自动检测远程或本地主机安全性弱点 的程序。
第2章 第6章
6.3安全扫描技术
6.3.2端口扫描技术
入侵检测（Intrusion Detection）是对入侵行为的 检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中 若干关键点的信息，检查网络或系统中是否存在违反 安全策略的行为和被攻击的迹象。
入侵检测是防火墙的合理补充，帮助系统对付网 络攻击，扩展了系统管理员的安全管理能力（包括安 全审计、监视、进攻识别和响应），提高了信息安全 基础结构的完整性。
6.2.2入侵检测技 术的发展
6.2入侵检测
第2章 第6章
3）技术的进步 • 从20世纪90年代到现在，入侵检测系统的研发呈现出
百家争鸣的繁荣局面，并在智能化和分布式两个方向 取得了长足的进展。SRI/CSL、普渡大学、加州戴维斯 分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新
墨西哥大学等机构在这些方面代表了当前的最高水平。
• 1）概念提出 1980年4月，JnamesP.Aderson为美
国 空军做了一份题为“Computer
Security ThreatMonitoring and Surveillance”（计算机安全威胁监控
与监视）的技术报告，第一次详细的 阐述了入侵检测的概念
6.2.2入侵检测技 术的发展
6.2入侵检测
加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并 且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
6）从认识论的高度看，人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问 题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不 安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。
6.3.1安全扫描概述
网络安全技术中，另一类重要技术为安全扫描技术。 安全扫描技术与防火墙、安全监控系统互相配合能够 提供很高安全性的网络。
基于网络的安全扫描主要扫描设定网络内的服务器、 路由器、网桥、变换机、访问服务器、防火墙等设备 的安全漏洞，并可设定模拟攻击，以测试系统的防御 能力。通常该类扫描器限制使用范围（IP地址或路由器 跳数）。
第2章 第6章
6.3安全扫描技术
6.3.3漏洞扫描技术
漏洞扫描的功能: 1.定期的网络安全自我检测、评估 2.安装新软件、启动新服务后的检查 3.网络建设和网络改造前后的安全规划评估和
• 1990年时入侵检测系统发展史上十分重要的一年。这 一年，加州大学戴维斯分校的L.T.Heberlein等开发出了 NSM(Network Security Monitor)。
• 1988年的莫里斯蠕虫事件发生后，开展对分布式入侵 检测系统（DIDS）的研究，将基于主机和基于网络的 检测方法集成到一起。
4)随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更 新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不 足。
5）计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的 应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、
2）随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大， 特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐 含的缺陷、失误都能造成巨大损失。
3）人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转，不可替代的，而计 算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等， 这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。
习题
第2章 第6章
6.1网络安全概述
6.1网络安全概述
21世纪全世界的计算机都将通过Internet联到一起，信息安全的 内涵也就发生了根本的变化.一个国家的信息安全体系实际上包括国 家的法规和政策，以及技术与市场的发展平台
网络安全产品有以下几大特点:第一，网络安全来源于安全策略 与技术的多样化，如果采用一种统一的技术和策略也就不安全了； 第二，网络的安全机制与技术要不断地变化；第三，随着网络在社 会各方面的延伸，进入网络的手段也越来越多。
主体的多层次全方位综合体。
第2章 第6章
6.2入侵检测
6.2入侵检测
入侵检（Intrusion Detection），顾名思 义，就是对入侵行为 的发觉。他通过对计 算机网络或计算机系 统中若干关键点收集 信息并对其进行分析， 从中发现网络或系统 中是否有违反安全策 略的行为和被攻击的 迹象。
6.2.1入侵检测概述
网络安全产品的自身安全的防护技术网络安全设备安全防护的 关键，一个自身不安全的设备不仅不能保护被保护的网络而且一旦 被入侵，反而会变为入侵者进一步入侵的平台。
信息安全是国家发展所面临的一个重要问题。对于这个问题， 我们还没有从系统的规划上去考虑它，从技术上，产业上，政策上 来发展它。
第2章 第6章
6.1.2 网络安全 面临的威胁
第2章 第6章
6.1网络安全概述
6.1.3网络安全 体系结构
第2章 第6章
6.1网络安全概述
图6-1 网络各层安全结构
6.1.4网络安全技 术发展趋势
第2章 第6章
6.1网络安全概述
图6-2 网络安全威胁比较图
6.1.4网络安全技 术发展趋势
第2章 第6章
6.1网络安全概述
能够进行端口扫描的软件称为端口扫描器，不同的扫描器， 扫描采用的技术、扫描算法、扫描效果各不相同。根据扫描 过程和结果不同，可以把端口扫描器分成几个类别：
1、扫描软件运行环境可以分为Unix/Linux系列扫描 器、Windows系列扫描器、其它操作系统下扫描器。
2、 根据扫描端口的数量可以分为多端口扫描器和 专一端口扫描器。
6.1网络安全概述
6.1.1网络安全的概念及重要性
1、
是指网络系统的硬件、软件及其系统中的数据受到
保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，
系统连续可靠正常地运行，网络服务不中断。
包含网络设备安全、网络信息安全、网络软件安全。
从广义来说，凡是涉及网络信息的保密性、完整性、可用性、 真实性和可控性的相关技术和理论，都是网络安全的研究领域。
是一门涉及计算机科学、网络技术、通信技术、密码 技术、信息安全技术、应用数学、数论、信息论等的综合性学 科。
6.1网络安全概述
第2章 第6章
6.1.1网络安全的概念及重要性
计算机网络安全的重要性：
1）计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组 织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。
6.2.3入侵 检测方法
第2章 第6章
6.2入侵检测
2）基于网络 通过被动地监听网络上传输的原始流量，对获取的网
络数据进行处理，从中提取有用的信息，再通过与已知攻 击特征相匹配或与正常网络行为原型相比较来识别攻击事 件。此类检测系统不依赖操作系统作为检测资源，可应用 于不同的操作系统平台；配置简单，不需要任何特殊的审 计和登录机制；可检测协议攻击、特定环境的攻击等多种 攻击。但它只能监视经过本网段的活动，无法得到主机系 统的实时状态，精确度较差。大部分入侵检测工具都是基 于网络的入侵检测系统.
6.2.3入侵 检测方法
6.2入侵检测
第2章 第6章
3）分布式 这种入侵检测系统一般为分布式结构，由多个部件组成， 在关键主机上采用主机入侵检测，在网络关键节点上采 用网络入侵检测，同时分析来自主机系统的审计日志和 来自网络的数据流，判断被保护系统是否受到攻击。
6.2.4入侵检测 的发展趋势
6.2入侵检测
3、根据向用户提供的扫描结果可以分为只扫开关 状态和扫描漏洞两种扫描器。
4、根据所采用的技术可以分为一Fra Baidu bibliotek扫描器和特殊 扫描器。
第2章 第6章
6.3安全扫描技术
6.3.3漏洞扫描技术
漏洞扫描是指 基于漏洞数据库， 通过扫描等手段 对指定的远程或 者本地计算机系 统的安全脆弱性 进行检测，发现 可利用漏洞的一 种安全检测（渗 透攻击）行为。
网络安全技术的发展是随着 网络技术的进步而进步的， 网络发展对安全防护水平提 出更高的要求，从而促进网
络安全技术的发展
我国面临的网络安全风险并 没有很大程度地降低，依旧 面临传统和非传统的安全威 胁，受到的网络攻击也呈上
升趋势。
网络安全技术如同网络的大门和墙壁， 是以对访问进行排查、对系统进行清 理和搜检及对网络权限的部分限制为
信息安全技术与实践
6 P A R T
-------------网络安全技术
6.1.1网络安全的概念及重要性 6.1.2网络安全面临的威胁 6.1.3网络安全体系结构 6.1.4网络安全技术发展趋势
6.3.1安全扫描概述 6.3.2端口扫描技术 6.3.3漏洞扫描技术 6.3.4安全扫描技术的发展趋势
我国也有多家企业通过最初的技术引进，逐渐发展成 自主研发。
6.2入侵检测
第2章 第6章
6.2.3入侵检测 方法
1）基于主机 一般主要使用操作系统的审计、跟踪日志作为 数据源，某些也会主动与主机系统进行交互以 获得不存在于系统日志中的信息以检测入侵。 这种类型的检测系统不需要额外的硬件．对网 络流量不敏感，效率高，能准确定位入侵并及 时进行反应，但是占用主机资源，依赖于主机 的可靠性，所能检测的攻击类型受限。不能检 测网络攻击。