第九章 网络安全.ppt

第九章计算机网络安全 本章内容 9 1网络安全问题概述9 2计算机病毒知识9 3加密技术9 4防火墙技术9 5入侵检测技术 9 1网络安全问题概述 一 计算机网络安全1 网络安全的定义计算机网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不因偶然的或者恶意的原因而遭到破坏 更改 泄露 确保系统能连续 可靠 正常地运行 使网络服务不中断 网络安全从本质上讲就是网络上信息的安全 9 1网络安全问题概述 2 计算机网络安全的特征 1 保密性 2 完整性 3 可用性 4 可控性 二 网络所面临的安全威胁 1 计算机网络安全威胁的来源 1 天灾 2 人为因素 3 系统本身原因 2 威胁的具体表现形式 计算机网络上的通信面临以下的四种威胁 1 截获 从网络上窃听他人的通信内容 2 中断 有意中断他人在网络上的通信 3 篡改 故意篡改网络上传送的报文 4 伪造 伪造信息在网络上传送 截获信息的攻击称为被动攻击 而更改信息和拒绝用户使用资源的攻击称为主动攻击 对网络的被动攻击和主动攻击 被动攻击和主动攻击 在被动攻击中 攻击者只是观察和分析某一个数据单元而不干扰信息流 主动攻击是指攻击者对某个连接中通过的数据单元进行各种处理 更改报文流拒绝报文服务伪造连接初始化 9 2计算机病毒知识 一 计算机病毒1 计算机病毒的定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据 影响计算机使用 并且能够自我复制的一组计算机指令或者程序代码 20世纪60年代初 美国贝尔实验室三个年轻的程序员编写了一个名为 磁芯大战 的游戏 游戏中的一方通过复制自身来摆脱对方的控制 这就是所谓 计算机病毒第一个雏形 20世纪70年代 美国作家雷恩在其出版的 P1的青春 一书中构思了一种能够自我复制的计算机程序 并第一次称之为 计算机病毒 2 计算机病毒的发展过程 到了20世纪80年代后期 巴基斯坦有两个以编软件为生的兄弟 也就是现在的程序员 他们为了打击那些盗版软件的使用者 设计出了一个名为 巴基斯坦智囊 的病毒 该病毒只传染软盘引导区 这就是最早在世界上流行的第一个真正的病毒 1988年至1989年 我国也相继出现了能感染硬盘和软盘引导区的Stoned 石头 病毒 该病毒替代码中有明显的标志 YourPcisnowStoned 20世纪90年代以前病毒的弱点 被感染的文件大小明显增加病毒代码主体没有加密 访问文件的日期得到更新 很容易被debug工具跟踪这些病毒中 稍微有点对抗反病毒手段的只有YankeeDoole病毒 当它发现你用Debug工具跟踪它的时候 它会自动从文件中消失 接着 就出现了一些能对自身进行简单加密的病毒 譬如当内存有1741病毒 用DIR列目录表的时候 这个病毒就会掩盖被感染文件后增加的字节数 使人看起来文件的大小没有什么变化 1992年以后 出现了是一种叫做DIR2的病毒 这种病毒非常典型 并且其整个程序大小只有263个字节 20世纪内 绝大多数病毒是基于DOS系统的 有80 的病毒能在Windows中传染 宏病毒的出现 代表有美丽莎 台湾一号等病毒生产机现身 1996年下半年在国内终于发现了 G2 IVP VCL 三种 病毒生产机软件 1998年2月 台湾省的陈盈豪 编写出了破坏性极大的恶性病毒CIH 1 2版 并定于每年的4月26日发作破坏 CIH介绍 陈盈豪 当时台湾的一个大学生1998年2月 1 2版1998年4月26日 台湾少量发作1999年4月26日 全球发作破坏主板BIOS CIH特点 通过网络 软件下载 传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件的病毒全球直接经济损失超过10亿美元 1999年2月 美丽莎 病毒席卷了整个欧美大陆这是世界上最大的一次病毒浩劫 也是最大的一次网络蠕虫大泛滥 美丽莎 介绍 大卫 史密斯 美国新泽西州工程师在16小时内席卷全球互联网至少造成10亿美元的损失 通过email传播传播规模 50的n次方 n为传播的次数 2000年5月 在欧美又爆发了 爱虫 网络蠕虫病毒 造成了比 美丽莎 病毒破坏性更大的经济损失 这个病毒属于vbs脚本病毒 可以通过html irc email进行大量的传播 爱虫病毒介绍 菲律宾 AMA 电脑大学计算机系的学生一个星期内就传遍5大洲微软 Intel等在内的大型企业网络系统瘫痪全球经济损失达几十亿美元 爱虫病毒特点 通过电子邮件传播 向地址本中所有用户发带毒邮件通过聊天通道IRC VBS 网页传播能删除计算机内的部分文件制造大量新的电子邮件 使用户文件泄密 网络负荷剧增 一年后出现的爱虫变种VBS LoveLetter CM它还会在Windows目录下驻留一个染有CIH病毒的文件 并将其激活 再后来就出现有更多的网络蠕虫 譬如 红色代码 蓝色代码 求职者病毒 尼姆达 Nimda FUN LOVE 最近还在流行的新欢乐时光等等 7月18日午夜 红色代码大面积暴发 被攻击的电脑数量达到35 9万台 被攻击的电脑中44 位于美国 11 在韩国 5 在中国 其余分散在世界各地 7月19日 红色代码 病毒开始疯狂攻击美国白宫网站 白宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址 才幸免于难 该病毒通过微软公司IIS系统漏洞进行感染 它使IIS服务程序处理请求数据包时溢出 导致把此 数据包 当作代码运行 病毒驻留后再次通过此漏洞感染其它服务器 它只存在于内存 传染时借助这个服务器的网络连接攻击其它的服务器 直接从一台电脑内存传到另一台电脑内存 它所造成的破坏主要是涂改网页 对网络上的其它服务器进行攻击 被攻击的服务器又可以继续攻击其它服务器 在每月的20 27日 向美国白宫网站发动攻击 将WWW英文站点改写为 Hello Welcometowww W HackedbyChinese 7月31日 格林尼治时间午夜整点 红色代码II 爆发 在全球大面积蔓延 据统计 红色代码发作的行业集中在计算机信息行业和网站 约占70 80 其次就是企事业单位 包括学校 政府机构等 约占20 30 其中北京地区发作最为严重 约占80 红色代码II特点 可以攻击任何语言的系统 在遭到攻击的机器上植入 特洛伊木马 拥有极强的可扩充性 未感染则注册Atom并创建300个病毒线程 当判断到系统默认的语言ID是中华人民共和国或中国台湾时 线程数猛增到600个 IP随机数发生器产生用于病毒感染的目标电脑IP地址 40万 天 当病毒在判断日期大于2002年10月时 会立刻强行重启计算机 红色代码造成的危害 网络性能急剧下降 路由器 交换机等网络设备负载加重 甚至崩溃等 硬盘数据能够被远程读写直接经济损失 26亿美元 2001年9月18日出现的尼姆达病毒2001年最为凶猛的恶意蠕虫病毒 岂今为止已给全球带来不可估量的经济损失 该病毒不仅传播速度快 危害性强 而且自我繁殖能力更是位居各大病毒之首 已有五种新变种相继粉墨登场 作恶不可谓不大 利用unicode漏洞 与黑客技术相结合 尼姆达病毒的传播过程 2001年9月18日 首先在美国出现 当天下午 有超过130 000台服务器和个人电脑受到感染 北美洲 2001年9月18日晚上 在日本 香港 南韩 新加坡和中国都收到了受到感染的报告 亚洲 2001年9月19日 有超过150000个公司被感染 西门子在他的网络受到渗透之后 被迫关掉服务器 欧洲 尼姆达的四种传播方式 文件感染EmailWWW局域网 尼姆达的四种传播方式 文件感染 尼姆达在本地机器上寻找系统中的EXE文件 并将病毒代码置入原文件体内 从而达到对文件的感染 当用户执行像游戏一类的受感染的程序文件时 病毒就开始传播 邮件感染 尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地址 然后将病毒发送给这些地址 这些邮件都包含一个名为README EXE的附件 在某些系统中该附件能够自动执行 从而感染整个系统 网络蠕虫 它还会通过扫描internet 来试图寻找www服务器 一旦找到WEB服务器 该病毒便会利用已知的安全漏洞来感染该服务器 若感染成功 就会任意修改该站点的WEB页 当在WEB上冲浪的用户浏览该站点时 不知不觉中便会被自动感染 通过局域网 查找 doc文件 找到就会把自身复制到目录中命名为riched20 dll word notepad打开时会调用文件riched20 dll 2002年6月6日 中国黑客 病毒出现 它发明了全球首创的 三线程 技术 主线程 往硬盘写入病毒文件或感染其他执行文件 分线程1 监视主线程并保证主线程的运行 一旦主线程被清除 这个监视器就将主病毒体再次调入 分线程2 不断监视注册表的某个值 run项 一旦被人工或反病毒软件修改 他立即重新写入这个值 保证自己下次启动时拿到控制权 中国黑客 病毒的特点 很多反病毒软件一般都是直接修改会引起病毒自动加载的注册表选项 但是它没有注意到这个病毒马上又将这个值改回去了 在传播方式上 中国黑客 寻找用户邮件地址薄来向外发病毒邮件传播 或通过局域网传播 这一点与求职信病毒非常相似 另外 在Windows95 98 Me系统下 中国黑客 病毒学习了CIH病毒 它取得了系统的最高权限 此外 中国黑客 病毒还预留了接口 只要作者愿意的话很多破坏功能与传播方式很快就可以加上 还有 病毒体内的感染开关没有打开 所以目前此病毒还不能感染文件 但实际上病毒体内的感染代码已经比较完整 加上几行代码就可以实现感染Windows下的 EXE DLL SCR等文件 从以上病毒的发展过程我们可以看出病毒有如下的发展趋势 病毒向有智能和有目的的方向发展未来凡能造成重大危害的 一定是 蠕虫 蠕虫 的特征是快速地不断复制自身 以求在最短的时间内传播到最大范围 病毒开始与黑客技术结合 他们的结合将会为世界带来无可估量的损失 病毒的大面积传播与网络的发展密不可分基于分布式通信的病毒很可能在不久即将出现未来病毒与反病毒之间比的就是速度 而增强对新病毒的反应和处理速度 将成为反病毒厂商的核心竞争力之一 二 计算机病毒的特征 计算机病毒是一种特殊的程序 所以它除了具有与其他正常程序一样的特性外 还具有与众不同的基本特征 通过对计算机病毒的研究 可以总结出它的几个特征 1 传染性2 潜伏性3 破坏性4 可触发性5 针对性6 衍生性 三 计算机网络病毒 1 计算机网络病毒的特点 1 入侵计算机网络的病毒形式多样 2 不需要寄主 3 电子邮件成为新的载体 4 利用操作系统安全漏洞主动攻击 2 计算机网络病毒的传播方式 计算机应用的普及使信息交换日益频繁 信息共享也成为一种发展趋势 所以病毒入侵计算机系统的途径也成倍增长 通常把病毒入侵途径划分为两大类 传统方式Internet方式如图所示 3 计算机网络病毒的危害性 破坏磁盘文件分配表 FAT表 2 删除软盘或硬盘上的可执行文件或数据文件 3 修改或破坏文件中的数据 4 产生垃圾文件 5 破坏硬盘的主引导扇区 6 对整个磁盘或磁盘的特定扇区进行格式化 7 对CMOS进行写入操作 8 非法使用及破坏网络中的资源 9 占用CPU运行时间 10 破坏外设的正常工作 11 破坏系统设置或对系统信息加密 四 计算机病毒检测方法 检测计算机上是否被病毒感染 通常可以分两种方法 手工检测和自动检测 手工检测 是指通过一些工具软件 如D Pctools exe N和Sysinfo exe等进行病毒的检测 自动检测 是指通过一些诊断软件和杀毒软件 来判断一个系统或磁盘是否有毒 如使用瑞星 金山毒霸等 该方法可以方便地检测大量病毒 且操作简单 一般用户都可以进行 五 计算机病毒的防范 1 在思想和制度方面 1 加强立法 健全管理制度 2 加强教育和宣传 打击盗版 2 在技术措施方面 1 系统安全 2 软件过滤 3 软件加密 4 备份恢复 5 建立严密的病毒监视体系 6 在内部网络出口进行访问控制 8 3加密技术 数据加密技术是最基本的网络安全技术 对称加密算法 私钥密码体系 非对称加密算法 公钥密码体系 一般的数据加密模型 一些重要概念 密码编码学 cryptography 是密码体制的设计学密码分析学 cryptanalysis 则是在未知密钥的情况下从密文推演出明文或密钥的技术 密码编码学与密码分析学合起来即为密码学 cryptology 一些重要概念 如果不论截取者获得了多少密文 但在密文中都没有足够的信息来唯一地确定出对应的明文 则这一密码体制称为无条件安全的 或称为理论上是不可破的 如果密码体制中的密码不能被可使用的计算资源破译 则这一密码体制称为在计算上是安全的 8 3 1对称密钥系统 对称密钥系统 即加密密钥与解密密钥是相同的密码体制 这种加密系统又称为常规密钥密码体制 我们先介绍在常规密钥密码体制中的两种最基本的密码 替代密码 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文c变成了密文F 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文a变成了密文D 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文e变成了密文H CIPHER145326attackbeginsatfour 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 密钥顺序明文 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密文的得出 密钥顺序明文 先读顺序为1的明文列 即aba CIPHER145326attackbeginsatfour 密钥顺序明文 再读顺序为2的明文列 即cnu CIPHER145326attackbeginsatfour 密钥顺序明文 再读顺序为3的明文列 即aio CIPHER145326attackbeginsatfour 密钥顺序明文 再读顺序为4的明文列 即tet CIPHER145326attackbeginsatfour 密钥顺序明文 再读顺序为5的明文列 即tgf CIPHER145326attackbeginsatfour 密钥顺序明文 最后读顺序为6的明文列 即ksr 因此密文就是 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 接收端收到密文后按列写下 密钥顺序明文 先写下第1列密文aba 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 再写下第2列密文cnu 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 再写下第3列密文aio 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 再写下第4列密文tet 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 再写下第5列密文tgf 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 最后写下第6列密文ksr 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 接收端从密文解出明文 密钥顺序明文 最后按行读出明文 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 最后按行读出明文 收到的密文 abacnuaiotettgfksr CIPHER145326attackbeginsatfour 密钥顺序明文 最后按行读出明文 收到的密文 abacnuaiotettgfksr 得出明文 attackbeginsatfour 9 3 2公开密钥密码体制 公开密钥密码体制使用不同的加密密钥与解密密钥 是一种 由已知加密密钥推导出解密密钥在计算上是不可行的 密码体制 9 3 2公开密钥密码体制 公开密钥密码体制的产生主要是因为两个方面的原因 一 是由于常规密钥密码体制的密钥分配问题二 是由于对数字签名的需求 9 3 2公开密钥密码体制 现有三种公开密钥密码体制 其中最著名的是RSA体制 它基于数论中大数分解问题的体制 由美国三位科学家Rivest Shamir和Adleman于1976年提出并在1978年正式发表的 加密密钥与解密密钥 在公开密钥密码体制中 加密密钥 即公开密钥 PK是公开信息