计算机网络安全复习(简洁版).doc

此文档收集于网络，如有侵权，请联系网站删除网络安全主要复习点：1、 密码学2、 信息隐藏3、 网络安全防御4、 漏洞与攻击5、 隐藏与欺骗6、 恶意代码7、 取证分析8、 计算机网络的应急处理技术第一知识点 密码学密码学的主要应用1、密码学主要致力于信息加密、信息认证、数字签名和密钥管理等方面的研究。它所能提供的安全服务至少上有四种：- 机密性（Confidabiality）- 完整性（Integrety）- 真实性（Authenticity）- 不可抵赖性（Non-repudiation）。 2、机密性指的是：除了收发双方之外，任何其他截获这些信息的人无法从字面上解读、也无法凭借现阶段可获得的计算资源将原文还原，只有共享秘密的接收方才能够正确解密并阅读。3、完整性指的是：通过对原文进行的某种操作，得到原文的一个“忠实的”缩影。在现阶段可以获得的计算资源条件下，对原文的任何一点改动，都会导致相应缩影的改动，以此来保证接收方收到的信息恰恰就是发信方发出的原文，没有经过任何篡改和破坏。4、真实性指的是：通过对原文进行的某种操作，得到发信方在原文上的一个“签名”。一个在现阶段可以获得的计算资源条件下，这个签名很容易验证但很难模仿。以此来确认接收到的信息确实是发信方发的，不是别人仿冒的。5、不可抵赖性指的是：通过上述的“签名”，来确认发信方确实发了接收方收到的信息。他想否认都做不到：因为在现阶段可以获得的计算资源条件下，如果不是发信方发的，将无法解释接收方何以能够收到具有那样“签名”的信息。2、历史上的密码：滚筒密码、凯撒密码3、两个加密技巧：1、移位，或叫置换（Transposition cipher）：将字母顺序重新排列，例如help me变成ehpl em；2、替代，或叫代换（Substitution cipher）：有系统地将一组字母换成其他字母或符号，例如fly at once变成gmz bu podf（每个字母用下一个字母取代）。*对于加密解密技术，请自行参照课件（资料过多）*4、密码分析者攻击密码系统的方法主要有以下三种：1、穷举攻击：指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文；或者用一个确定的密钥对所有可能的明文进行加密，直至得到所获得的密文。 2、统计分析攻击：指密码分析者通过分析密文和明文的统计规律来破译密码。 3、数学分析攻击：指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。 5、蛮力搜索1、总是尽一切可能以简单的关键2、最基本的攻击，密钥大小成正比3、假定或者知道/承认明文6、狐狸尾巴：概率分布1、单个字母对单个字母，不管怎样变换，字母的出现概率在一个具体的语言里面是十分稳定的2、稳定的概率是破译这种经典密码体制的关键7、密码体制的安全性1、无条件安全性：如果密码分析者具有无限的计算能力，密码体制也不能被攻破，那么这个密码体制就是无条件安全的。 2、计算安全性：如果攻破一个密码体制的最好的算法用现在或将来可得到的资源都不能在足够长的时间内破译，这个密码体制被认为在计算上是安全的。 3、可证明安全性：可证明安全性只是说明密码体制的安全与一个问题是相关的，并没有证明密码体制是安全的，可证明安全性也有时候被称为归约安全性。 8、加密体制的分类1、流（序列）密码2、分组密码（无密钥体制、单密钥体制、公钥体制）9、流密码模型10、分组密码体制11、无密钥体制、单密钥体制、公钥体制特点比较1、无密钥体制特点1、不需要密钥（收发双方的共享秘密），因而不需要密钥管理，相对安全2、尚未找到相应的比较安全的数学算子（满足交换性）3、需要两次通信，代价和可靠性都有问题2、单密钥体制特点1、效率高，容易实现2、安全性还可以3、密钥的分发和管理是大问题- 安全性问题（需要另外的安全信道发送）- 管理复杂性问题（N个人两两通信需要多少个单钥？）O(N2)3、公钥体制1、效率较低，硬件实现难度稍大2、安全性好3、密钥管理相对容易第二知识点 信息隐藏3、信息隐藏（伪装）就是将秘密信息秘密地隐藏于另一非机密的文件内容之中。其形式可为任何一种数字媒体，如图象、声音、视频或一般的文档等等；4、密码隐藏了信息的内容信息伪装隐藏了信息的内容+信息的存在；5、信息安全和伪装式信息安全技术是互补的； 6、信息伪装技术研究的内容包括：信息隐藏和信息的版权认证，信息访问的合法身份认定等。其研究涉及密码学，图象处理，模式识别，数学和计算机科学等领域。7、信息隐藏的特性： 1）隐蔽性; 2）安全性; 3）对称性; 4）可纠错性。8、信息隐藏的应用- 信息隐藏 伪装式隐蔽通信- 数字水印- 数字版权管理DRM 数字产品的版权保护9、信息伪装技术（广义信息隐藏）- 为防止数据泄漏，在某种载体中嵌入数据- 古代的隐写术（Steganography）：隐蔽机密信息11、信息隐藏的必要性 信息隐藏- 加密：对秘密信息本身进行保护，但信息的传递过程是暴露的- 隐藏：掩盖秘密信息存在的事实 将密码学与信息隐藏相结合，就可以同时保证信息本身的安全和信息传递过程的安全 数字水印- 数字产品的无失真复制的特点，造成版权保护和管理方面的漏洞12、信息隐藏的技术分类：1、隐秘信道2、伪装术1、基于语义的伪装术2、基于技术的伪装术3、匿名通信4、版权标识1、稳健的版权标识：水印（不可见水印、可见水印）、指纹2、脆弱的数字水印第三知识点 网络安全防御（防火墙、入侵检测）*防火墙*1、防火墙部署在一个网络与其他网络相连接的必经要道上，把网络世界分割成内部和外部2、防火墙以静态的方式侦测进出网络内部的通信参数，符合条件的通信予以放行，不符合条件的通信予以截断3、防火墙的功能和局限性1、功能：1、定义了一个瓶颈点（单一阻塞点）2、提供用于监测安全事件的地点3、方便的平台，如NAT的，使用监控的IPSEC VPN的一些互联网功能2、限制：1、不能防范绕过防火墙的攻击2、可能没有充分保护，防止内部威胁3、不当的安全无线局域网4、笔记本电脑，掌上电脑，便携式存储设备的内部使用外，其余内部使用（laptop, PDA, portable storage device infected outside then used inside）4、防火墙的类型：1、包过滤路由器2、状态检查防火墙3、应用层网关4、电路层网关5、防火墙的体系结构（防火墙的配置）1、屏蔽路由器2、双宿主网关3、屏蔽主机网关4、被屏蔽子网6、防火墙规则配置的基本准则1、一切未被允许的就是禁止的2、一切未被禁止的就是允许的7、NAT（网络地址转换）1、做在防火墙里面的一个附带功能2、将内网地址转换为外网地址3、内转外：多对一，自然实现4、外传内：一对多，需要维护映射标记8、NAT的弱点1、可以伪装合法地址、信任主机、电话拨号、合法用户等方式绕过防火墙2、防外不防内3、对合法性的区分能力弱（仅仅局限于地址、端口等结构特征）4、本身可能有漏洞5、操作系统底座的安全性可能不够9、在遇到攻击时，防火墙可能有如下四种表现：1、未受伤害，能够继续正常工作2、关闭并重新启动，同时恢复到正常工作状态3、关闭并禁止所有的数据通行4、关闭并允许所有的数据通行前面两种比较理想、第三种说的过去，最后一种是最糟糕的10、防火墙面临的考验1、网络带宽越来越大2、防火墙所处的位置不能绕过，面临大流量的压力3、性能成为制约防火墙发展的瓶颈11、防火墙产业的特点1、用户群广大2、利润空间大3、竞争激烈1、软件防火墙，性能不能适应需要2、通用芯片+嵌入式操作系统+特制软件系统，大家处在几乎相同的档次，拉不开距离3、专用芯片，性能高，开发投入大，一旦成功较容易保持领先地位4、国产防火墙同国外先进产品存在明显差距5、政策壁垒相对小，国外/外资产品在个别领域受到限制*入侵检测*1、入侵检测（IDS）：部署在指定的网段上（一般在防火墙里面）及早发现具有入侵特征的网络通信行为，并启动有关的处置（比如切断连接等）的系统 2、入侵检测的类型：1、面向网络的：在共享的网络或者交换网络的监听端口上部署，从网络流量中识别攻击特征串（比如缓冲区溢出攻击中使用的攻击代码）2、面向主机的：从主机的系统调用拦截、审计日志分析等渠道获取数据、识别攻击特征3、入侵检测原理1、入侵行为有一定的规律，通过对网络流量和主机审计记录的分析可以判断2、判断有时间限制，只有赶在穿透成功之前实现识别和响应，才能达到拦截的效果3、公式：PtDt+Rt （入侵检测在公式成立时才有意义）Pt： 穿透时间Dt: 检测时间Rt:响应时间4、问题：问什么有了防火墙还需要入侵检测？防火墙是非常好的访问控制点，但并不善于防止入侵。5、入侵检测的起源1980年，James Anderson最早提出计算机安全威胁监控与监视：入侵检测概念1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。6、入侵检测系统包括三个功能部件（也就是入侵检测分为三步：信息收集、信息分析、信息处理）1、信息收集1、收集内容包括：系统、网络、数据及用户活动的状态和行为2、入侵检测很大程度上依赖于收集信息的可靠性和正确性，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当的坚固性，防止被篡改而收集到错误的信息3、信息收集的来源1、系统或网络的日志文件2、网络流量3、系统目录和文件的异常变化4、程序执行中的异常行为2、信息分析（模式匹配、统计分析、完整性分析）1、模式匹配：就是将收集到的信息与已知的网络入侵和系统误用模式数据进行比较，从而发现违背安全策略的行为2、统计分析：首先给系统对象（用户、文件、目录和设备等）创建一个系统描述，统计正常使用时的一些测量属性（访问次数、操作失败次数和延时等）3、完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。在发现被更改的，被安装木马的应用程序方面特别有效。3、结果处理1、误报：系统错误地将异常活动定义为入侵2、漏报：系统未能检测出真正的入侵行为7、入侵检测分类：1、按照分析方法：异常检测、误用检测2、按照数据来源：基于主机、基于网络8、异常检测模型：首先总结正常操作应该具有的特征（用户轮廊），当用户活动与正常行为有重大偏离时即被认为是入侵1、异常检测：1、前提：入侵是异常活动的子集 2、用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围3、过程4、指标:漏报率低,误报率高2、异常检测的特点：1、异常检测系统的效率取决于用户轮廓的完备性和监控的频率2、因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵3、系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源9、误用检测模型：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵1、误用检测：1、前提：所有的入侵行为都有可被检测到的特征 2、攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 3、过程4、指标:误报低、漏报高 2、误用检测特点：1、采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。2、攻击特征的细微变化，会使得滥用检测无能为力10、基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机11、基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行12、入侵检测响应机制1、弹出窗口报警2、e-mail通知3、切断TCP连接4、执行自定义程序5、与其他安全产品交互：firewall、SNMP Trap13、蜜罐：1、一个高级的网络节点可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐。2、蜜罐的分类：1、交互性：攻击者在蜜罐中活动的交互性级别2、低交互型虚拟蜜罐3、高交互型物理蜜罐4、虚拟机蜜罐虚拟硬件、真实操作系统/网络服务3、蜜罐技术的优势：1、高度保真的小数据集1、低误报率2、低漏报率2、能够捕获新的攻击方法及技术3、并不是资源密集型4、原理简单，贴近实际4、蜜罐技术的发展历程：蜜罐蜜网蜜场5、蜜罐技术研究热点：虚拟蜜罐工具、蜜网体系框架、蜜场、客户端蜜罐捕获并分析针对客户端的安全威胁6、蜜网技术实质上就是一种研究型、高交互型的蜜罐技术，是一个体系框架7、蜜网技术的核心需求：1、数据控制机制2、数据捕获机制3、数据分析机制12、CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议13、CIDF的规格文档由四部分组成，分别为：1、体系结构：阐述了一个标准的IDS的通用模型2、规范语言：定义了一个用来描述各种检测信息的标准语言3、内部通讯：定义了IDS组件之间进行通信的标准协议4、程序接口：提供了一整套标准的应用程序接口第四知识点 漏洞与攻击1、漏洞是程序的一种客观存在的脆弱性，可以被利用来实施攻击2、攻击是对漏洞的最直观的验证方式，攻击在某些条件下也是最好的防御3、拥塞：1、因处理能力或某种必备资源不足而产生的失去服务能力的现象，也叫“拒绝服务”（Denial of service）2、人为造成目标主机或网络处于拥塞状态的行为，称为“拒绝服务攻击”3、拒绝服务攻击不可能对目标主机进行实质性的破坏，但可能造成因服务停顿而带来的损失（可能非常之巨大）4、主要的攻击方式：邮件炸弹攻击（垃圾邮件与邮件炸弹）、ping风暴攻击、同步风暴攻击、IP碎片攻击、分布式拒绝服务攻击5、同步风暴攻击：英文Syn flood，是利用TCP三次握手中的漏洞造成主机拥塞6、同步风暴攻击为什么能够得手1、目标系统有漏洞2、具体地说，握手机制的实现，顺序有问题申请开销过早3、如果先花费少量开销维持握手状态，等到对方的ACK来了之后再申请真正的开销，情况就会好得多7、同步风暴攻击应对1、目标系统更新版本，握手机制的实现采用新顺序，推迟申请开销的时机2、安装IDS3、发现可疑IP立即封锁4、各个ISP联防协查8、IP碎片攻击原理1、所有攻击，都是在报片偏移上做文章2、Jolt2（右界溢出）：在报片重组时造成溢出，一些未打补丁的windows系统会造成蓝屏、死机3、Teardrop（报片重叠0：在报片重组时造成重叠，一些老的linux版本在遇到重叠时会导致系统崩溃（重叠）8、分布式拒绝服务攻击：英文Distributed Denial of Service，简称DdoS。顾名思义，是多个攻击源同时攻击，造成目标系统拥塞。每个攻击源的攻击手法可以相同，也可以不同。攻击源受控于同一攻击者9、DDoS的步骤1、部署主攻节点2、控制僵尸，植入攻击程序3、向主攻节点发送攻击启动命令（很可能是非常隐蔽的，比如进行了加密）4、主攻节点向僵尸发送攻击启动命令5、各僵尸在同一时间对准同一目标发起DoS攻击（比如ping风暴、同步风暴、垃圾Web请求等），而且僵尸发出的攻击包可能伪造假的IP源地址10、对拥塞攻击的总体评价1、攻击深度不够，只能瘫痪系统，不能控制系统2、局部合法，整体非法3、小带宽具有天然劣势，可通过分布式等手段，放大杀伤力，化局部劣势为全局优势4、商店的比喻：纠集大批人群占据柜台，光问价不买东西11、访问权限的获取，是对目标系统进行控制的必由之路1、访问权限的获取有如下途径：1、获取口令1、通过“社会工程”获取口令2、通过窃听获取口令3、通过猜测获取口令4、通过计算（破译）获取口令2、利用隐通道1、利用缓冲区溢出制造隐通道2、利用后门制造隐通道12、什么是社会工程学方法1、窥探：看别人击键、隐蔽录像2、骗取：假冒可信任的人的名义3、利用管理漏洞和目标系统管理者的疏忽：纸条13、社会工程学方法的防范：好的文化、好的习惯、好的管理（最关键）14、什么是“弱口令”直观上说，容易猜测的口令就是弱口令严格地说，如果存在一个函数，任给一个特定的用户ID及其必要的相关信息作为自变量，那么这个函数只需要少量的计算代价就会得出包含该用户口令的一个范围很小的集合，那么就称这个用户使用的口令是一个弱口令15、绝对弱口令与相对弱口令猜测口令的代价与用户ID及其相关信息无关的，这种弱口令称为绝对弱口令，比如使用英文单词作为口令猜测口令的代价与用户ID及其相关信息有关的，这种弱口令称为相对弱口令，比如用户ID为zhangsan，用户口令为zhangsan或者zhangsan12316、绝对弱口令的猜测攻击1、绝对弱口令一般都属于一个公用的封闭集合，例如一部字典2、绝对弱口令攻击就是遍历这个封闭的集合，由于前述原因又被称为字典攻击3、遍历一个有几万个元素的封闭集合，对于现代计算机来说代价是非常小的17、对绝对弱口令攻击的防范1、设定最大不成功登录次数，防止多次口令试探2、避免使用现成的中英文单词作为口令18、相对弱口令的猜测攻击1、相对弱口令依据的变换：前后缀、重复、头声母组合2、信息+变换：一个并不大的空间3、有些工具把绝对弱口令和相对弱口令的猜测放在一起19、缓冲区溢出攻击1、现象：给函数传递超出预期大小的参数，使系统进入异常状态2、后果：取得对目标系统的部分或全部控制权20、什么是“缓冲区”？1、缓冲区:内存中一块连续的区域,用于储存相同类型的数据实例;2、缓冲区定义类型:1、静态分配内存：装载时分配的数据段load time,data segment;2、动态分配内存：运行时分配的堆栈run time,stack.21、缓冲区溢出攻击控制目标系统的条件1、被攻击的具有缓冲区溢出漏洞的程序以超级用户（Root）身份运行2、嵌入越界数据的攻击代码是一段Shell Code，通过Root的执行，达到控制系统的目的22、制造远程缓冲区溢出的途径1、通过服务程序（ftpd, sendmail等）2、通过Web请求携带的CGI参数或ASP/PHP脚本3、通过打包拆包编码工具23、缓冲区溢出的预防1、程序指针完整性检查2、堆栈保护方法和非执行缓冲区方法3、兼容性和性能的考虑24、缓冲区溢出攻击的应对1、注意跟踪最新的安全事件报告和漏洞报告，及时升级、打补丁2、安装IDS，很多缓冲区溢出漏洞有明确的攻击特征串3、一般不容易发现，发现时要及时切断网络连接，更换超级用户口令4、缓冲区溢出只是引子，它引导执行的那段攻击代码却可以千差万别，各自造成的损失（比如网页被黑，文件被盗被破坏等）有各自的应对办法第五知识点 隐藏与欺骗1、IP欺骗1、Unix主机间可以定义一些信任关系，有了这些信任关系，就可以在一个小圈子里弱化安全策略，简化访问控制的手续2、IP欺骗攻击就是利用了这种信任关系，采用技术欺骗手段达到攻击的目的3、概括来说，IP攻击可以归纳为以下五点：1、找出B与C的信任关系2、封死你要冒充的主机C，以免它对你攻击B造成干扰3、连接到B主机的某个端口（比如25）来猜测ISN的变化规律4、与B主机建立虚假连接并骗取B的信任关系5、其它后续手段2、TCP劫持攻击1、我们可以首先控制一台已经和目标主机建立起连接的机器，模仿它的序列号但把源地址替换成一个子虚乌有的IP地址，然后无缝地切换到自己的机器上，同时继续保持刚才的假地址和序列号，做更多的事情。这种攻击叫做“TCP劫持攻击”或“会话劫持攻击”3、域名欺骗攻击1、你是否遇到这样的情况：本来想登录网站甲，结果却走进了网站乙。你以为网站甲被黑了，其实网站甲的数据完好无损，只不过你接收到的数据并不来自网站甲而是来自网站乙。都是域名惹的祸在域名解析这个环节，你被欺骗了，有人向你伪造了关于这个域名的IP地址的信息2、域名欺骗的实现路径1、通过伪造的电子邮件注册域名修改信息2、通过请求重定向3、通过伪造DNS应答包4、通过控制DNS服务器4、隔离 != 隔绝5、安全策略上具有共性的网络互联而成的整体，叫做一个安全域。不同的安全域之间，在安全策略上有所不同，需要一种技术措施来加以维持。这种维持不同安全域之间不同安全策略“压差”的技术措施，称为广义的“隔离”。6、隔离的等级与狭义隔离1、（不设防连接）网络之间存在不受控的即时连接2、（设防连接）网络之间存在受控的即时连接3、（逻辑隔离）网络之间存在受控的延时数据交换4、（物理隔离）网络之间不存在任何数据交换7、隔离等级与安全域等级1、隔离等级标记：ABCD2、把网络视为节点，把网络之间的可能施加了某种隔离措施的连接视为边，则构成一个图（无向）G，边上的权值为隔离等级标记3、一个具有隔离等级X的安全域是G的一个子图G，满足1、G的节点与非G的节点之间的边的隔离等级均不小于X2、G的节点之间的边的隔离等级均不大于X8、狭义隔离1、定义：在同一个物理办公环境中，容纳两个（或以上）安全域，以尽可能小的成本保证它们之间不发生数据交换（等级D）或只发生受控的延时数据交换（等级C）2、手段：切断或接管控制网间数据交换的一切可能的隐蔽通道9、狭义隔离的典型应用1、一般政务网（政务外网）办公环境：逻辑隔离（C级）1、内部网获取外部网的指定信息2、内部网与外部网交换指定信息2、核心涉密网（政务内网）办公环境：物理隔离（D级）1、一个桌面容纳两个网的办公环境，确保二者不发生数据交换10、狭义隔离的分类1、严格（物理）隔离系统：双机系统、单机双网卡双硬盘系统单机单隔离卡双硬盘系统、单机单线单硬盘系统（内网为远程终端）2、延迟（逻辑）隔离系统（网闸系统）：转播（安全镜像）系统、延迟代理系统、内外网互斥开关11、什么叫“受控”？1、外来病毒、木马的过滤2、外来攻击的过滤3、内部涉密信息外泄的过滤4、内外网之间的安全通信协议12、来自管理的挑战1、网线对调、软盘拷贝、笔记本电脑的控制13、安全信息发布技术：1、服务与信息分离2、分布式入侵检测13、安全信息镜像技术的基本功能：1、信息采集2、互斥开关3、信息镜像4、信息检索5、信息推送第六知识点 恶意代码1、通过未经用户授权的渠道传播并执行的、具有恶意执行效果的计算机程序，称为恶意代码（Malware）2、计算机病毒（Virus）是恶意代码的典型代表，具有通过操作系统或网络自我复制的能力3、后门（Backdoor）、特洛伊木马（Trojan Horse）、逻辑炸弹（Logical Bomb）不具备自我复制的能力，但也属于恶意代码的范畴4、计算机病毒：1、广义定义：能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。2、狭义定义：病毒程序通过修改(操作)而传染其他程序,即修改其他程序使之含有病毒自身的精确版本或可能演化的版本、变种或其他病毒繁衍体。3、可见，计算机病毒的广义定义差不多就相当于恶意代码5、我国的计算机病毒定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。6、计算机病毒的特征1、非授权可执行性2、隐蔽性3、传染性4、潜伏性5、表现性或破坏性6、可触发性8、恶意代码的分类1、计算机病毒：通过自我复制传播，带有不同程度的破坏性2、后门：通过特殊手段植入或预留，用以绕开正常的访问控制机制进入系统3、特洛伊木马：通过特殊手段植入，用以进行远程控制4、逻辑炸弹：通过特殊手段植入，用以耗尽目标系统资源9、病毒的分类按传染方式1、引导型病毒：小球病毒、大麻病毒、Anti-CMOS病毒2、文件型病毒：1575/1591病毒、CIH病毒、WM/Concept病毒3、网络病毒1、即时传播类：红色代码、Nimda2、延时传播类：爱虫、SirCam、求职信、欢乐时光等10、病毒的分类按破坏性1、良性病毒：小球病毒、WM/Concept病毒2、恶性病毒：CIH病毒、爱虫病毒11、制作恶意代码的目的：自我表现、版权保护、发泄报复、特殊目的12、恶意代码的危害：消耗资源、干扰输出、干扰输入、破坏信息、泄漏信息、破坏系统、心理影响13、即时网络病毒的传播原理1、利用网络漏洞向远程主机植入并运行病毒代码2、运行病毒代码的同时向另外一台远程主机植入并运行病毒代码3、分三个阶段1、请求探测2、代码植入3、发作（代码运行）14、延时网络病毒的传播机理1、利用合法途径通过网络将携带病毒的宿主对象（邮件或网页）送至第三方平台（如邮件服务器、网站）2、在目标系统使用者不知情的情况下将携带病毒代码的宿主对象下载到本地3、利用本地网络软件（邮件客户端或浏览器）的漏洞，激活宿主所携带的病毒运行，运行结果是携带病毒的新的宿主对象被发送到网上4、分四个阶段：代码加载、代码发送、代码接收、代码激活5、延时网络病毒的特点1、蔓延速度低于即时网络病毒2、影响面广（差不多所有的客户端）3、隐蔽性好（有些病毒附件并不是可执行的类型，但是隐含地具有执行属性）4、防不胜防（客户端漏洞知多少）15、远程控制1、目的：植入特洛伊木马，一般不是为了让木马自行其是，而是让木马作为目标主机里的一个服务例程，随时准备接受远程指令，通过这种办法实现从远程对目标主机的控制和操作2、著名例子：BO（ Back Orifice ），冰河16、在一个信息系统中，不为正当用户所知晓、但却为少数未经正当用户授权的非法特权人物所掌握的访问途径，被称为这个信息系统的“后门”。可以被第三者“植入”，也可以是开发者“预留”17、后门与木马的区别1、特洛伊木马是一个未经授权而驻留的程序，而后门则是一个本来有着正当用途的合法系统的未经正当用户授权的访问途径。2、一个系统的后门可以是这个系统的设计阶段就预先埋伏下的，也可能是这个系统付诸使用以后因为有人更改了系统的配置而导致的。3、后一种情况是典型的攻击行为4、前一种情况十分复杂，在个人失误与组织犯罪之间走钢丝，往往被一些政治势力利用18、逻辑炸弹的目的：1、恶意消耗系统资源2、导致系统崩溃3、一般在敌对、对抗环境中使用，如果用来威胁普通用户，是严重的违法行为19、逻辑炸弹的类型1、从外部：Ping炸弹、OICQ炸弹、邮件炸弹（黑客工具）2、从内部：1、Fork炸弹：由一个进程派生出越来越多的进程，最后资源耗尽导致死机2、内存炸弹：不断占用越来越多的内存空间，最后内存耗尽而崩溃3、网页炸弹：不断弹出越来越多的窗口，让你一一确认，最后用户不胜其烦或系统不堪重负而不得不重启动4、等等20、逻辑炸弹的用法1、可作为病毒代码中的效果部分2、有人用于保护知识产权（法律上受到指责），某病毒公司的例子3、用于信息战4、原理、实现都很简单，使用要谨慎21、其他恶意代码1、强制修改默认网页2、强制进入收藏夹3、强制占用CPU资源（云计算不得不防的一点）22、恶意代码的侦测手段：1、代码特征检测2、宿主特征检测3、虚拟机检测23、恶意代码的清杀步骤1、用干净的系统盘启动系统2、把恶意代码从宿主程序中剪除出去，恢复正常的宿主程序 3、把本身就是恶意代码的文件删除掉4、把与恶意代码相关的项目从注册表中删除掉5、重新启动系统 6、CIH病毒的清杀涉及到BIOS，特殊处理24、恶意代码的预防1、打补丁2、从严配置3、管理与习惯第七知识点 取证分析1、取证分析：搜集、分析数据，在此基础上重构一个计算机系统在过去一段时间里所发生的事件再现历史2、取证分析面临的问题1、数据可能遗失，或者被有意破坏2、数据的可信任程度不等3、数据来源多样化，需要综合分析和融合3、取证来源1、内存映像2、MAC时间3、网络状态4、物理磁记录5、MD5散列（消息文摘）6、配置文件与日志文件4、时间证据1、数据或者动作总是发生在一定的时间段之中的2、时间总是通过一定的痕迹反映出来A 通过元数据，比如MAC TimeB 通过内容，比如日志记录5、MAC时间1、Mtime：最近修改时间（Time of last modification）例如：写/截断，创建/删除目录项2、Atime：最近访问时间（Time of last access）读/执行文件，查看目录项3、Ctime：最近状态变更时间（Time of last status change）属主、权限、参照计数等6、空间证据1、发生过的事情，可能在意想不到的地方留下痕迹2、即使你以为你删除了它，可它还顽强地存活在系统中3、追溯这些痕迹，你会成为一个取证的高手7、硬盘上的信息存储何时发生？1、在你明确选择“保存”或者“另存为”时操作系统显式地把文件存入文件系统2、在你下载文件时操作系统隐式地把临时文件存入文件系统的缓存目录下3、在你编辑文件时系统将根据调度策略将某些内容“预写”(pre-write)到硬盘4、在你执行程序时系统将会把部分硬盘空间作为“虚存”,随着程序的执行频繁写入8、文件被破坏/被删除时硬盘上发生了什么？1、仅仅是文件的物理存储与操作系统的联系被切断2、代表文件物理存储的磁记录大部分没有改变（一遍低级格式化都未必能清楚干净）9、硬盘数据的总特点1、“产生易、销毁难”2、成为取证的一个重要的途径3、双刃剑优点：可以取到不容易销毁的证据，可以部分恢复丢失的或被覆盖的信息缺点：真正为了安全需要彻底销毁硬盘数据的时候，需要比较专业的处理10、硬盘上的信息存储特点1、计算机系统的活动或多或少有固定模式和规律可循2、每个子系统的活动伴随的对文件系统的访问都有稳定的分布模式3、即使是存储空间非常有限的情况下，所存储的大多数信息也很少变化，变化频繁的文件只是少数4、信息的销毁是一个渐变的过程，无论数据还是元数据都是如此11、日志证据类型1、操作系统日志2、应用系统日志3、LAN网络设备日志4、沿途ISP日志5、公共网络服务日志12、诱骗取证1、所谓有骗取证，就是营造一个虚假的环境，骗取攻击者留下证据2、虚假的主机环境，叫做一个“蜜罐”（honey pot）3、虚假的网络环境，叫做一个“蜜网”（honey net）13、取证总结1、取证是维持网络正常运营秩序所必须的一种基本手段2、证据的易挥发性给取证带来困难3、取证须综合利用多种证据采集手段，对来自多方面的证据进行分析和融合4、取证技术的研究不仅对取证本身，而且对网络对抗的演练有重要帮助作用第八知识点 计算机应急处理技术1、什么是应急响应？应急响应是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施和行为，其目的是避免、降低危害和损失，以及从危害和损失中恢复。2、应急响应的目标：积极预防、及时发现、快速响应、确保恢复3、应急响应处理全过程第一阶段：准备 让我们严阵以待1、 分析主要威胁，建立一组合理的防御/控制措施2、 制定事件响应的程序3、 获得资源4、 创造支持事件响应的基础条件5、 典型的准备工作第二阶段：确认 对情况综合判断 1、 检测2、 初步的动作和响应3、 估计事件的范围4、 报告给相关的人第三阶段：抑制 防止事态的扩大1、 可能的抑制策略2、 其他的行动第四阶段：根除 彻底的补救措施1、 针对不同操作系统的特性采取不同的根除方法2、 根除务必全面，忽略任何一个细节都可能导致另一个突发的事件，极端方法：格式化并重装系统3、 做好记录第五阶段：恢复 备份，顶上去!1、目标是把所有被攻破的系统和网络设备彻底地还原到它们正常的任务状态2、利用已有的备份，听起来很好，但执行起来并不容易3、服务重新上线4、持续监控5、最后，恢复后千万别忘了做一个新的备份第六阶段：跟踪 还会有下一次吗1、目标是回顾发生事件的相关信息，避免类似事件再次发生2、要关注系统恢复以后的安全状况，特别是曾经出现问题的地方3、建立跟踪文档，规范记录跟踪结果4、对响应效果给出评估5、重要性在于： 吃一堑长一智 该阶段所提供的信息有助于评判和管理一个组织机构的事件响应能力 所吸取的教训和所获得的经验可以作为新成员的最好培训教材 产生在法律行动中有用的信息4、为什么要组建应急处理小组？1、具有更大的协调能力2、具有更广阔的专业知识3、提高处理效率4、更好地做到事先防御5、满足机构自身的要求6、比个人更易于对外联络7、有助于处理制度方面的障碍6、安全上网措施：防护、备份、明察、投诉、慎行缓冲区溢出程序打印缓冲区溢出程序Fork炸弹void function(char *str) char buffer16; strcpy(buffer,str); void main() char large_string256; int i; for( i = 0; i 255; i+) large_stringi = A; function(large_string); #include#includevoid function(char *str) char buffer16; strcpy(buffer,str); void main() char large_string256; int i; char *s = #include #include void function(char *str) char buffer16; strcpy(buffer,str); void main()char large_string256; int i;char *s = %c%s%c; for( i = 0; i 255; i+ )large_stringi = A; printf(s, 34,s,34); function(large_string); ;for( i = 0; i 255; i+) large_stringi = A; printf(s, 34,s,34);function(large_string); #include #include #include #include #include void endlessFork()pid_t pid;printf(fork onen);if(!(pid = fork()endlessFork();int main(void)printf(fork boom!);endlessFork();补充老师最后一节课提点：* 2009年6月23日：美国成立网络战司令部* CAI指什么？C机密性、I完整性、A