网络安全概述课件

网络安全基础,计算机科学学院网络工程教研室梁晓Email:Tel计算机专业人员必须掌握的专业知识,数学基础操作系统数据结构计算机网络程序设计及语言软件工程,计算机体系结构通信网原理信号与系统电路设计,什么是信息安全人才？,信息安全专业人才vs.计算机专业人才,首先，信息安全专业人才必须具备计算机专业人才的基本素质；其次，信息安全专业人才还应该具备以下特殊知识和技能：通信保密知识计算机网络安全防护知识和技能熟知安全各类安全设备和安全系统熟知国内外信息安全标准、法律、法规和发展动态,信息安全主要研究领域,从不同的角度看，信息安全研究领域不尽相同；信息安全是一个新型学科，它本身也处于发展时期；信息安全应该为视为一个交叉学科：计算机科学通信科学数学科学电子工程,信息安全主要研究领域,从信息安全学科领域来看，它包括通信网络的安全：侧重于数据保密通信计算机系统的安全,数据编码数据加密加密/解密算法、设备数据压缩数据安全传输,网络安全协议、设施主机安全操作系统安全应用安全数据库安全,信息安全主要研究领域,从信息安全理论和技术来看，它包括：密码理论与技术认证与识别理论与技术授权与访问控制理论与技术审计追踪技术网络隔离与访问代理技术安全管理与安全工程理论与技术反病毒技术,信息安全主要研究领域,从信息对抗角度来看，它包括：安全保障安全保障体系结构安全保障技术预警保护检测防御响应恢复安全保障系统,信息安全主要研究领域,从信息对抗角度来看，它包括安全攻击攻击机理技术攻击工具安全审计躲避技术,信息安全主要研究领域,从产品角度来看，信息安全包括：,课程内容,掌握网络与系统安全的基本原理和方法：了解网络安全体系结构、安全模型；理解对称加密原理和公钥加密原理，掌握加密算法的重要应用，数字签名，身份认证，数字摘要等；理解网络安全技术，防火墙、入侵检测基本原理；掌握重要网络安全应用的原理，包括认证协议原理、Web安全原理；掌握计算机系统安全技术，恶意代码及防御技术的基本原理；掌握网络攻击与防御技术基本原理；理论和应用并重；,教材与参考书,WilliamStallings著，王张宜等译.密码编码学与网络安全（第五版）.电子工业出版社，2012.1.MohammadS.Obaidat，NoureddineA.Boudriga著，毕红军等译.计算机网络安全导论.电子工业出版社，2009.6.Anonymous等著，王东霞，李蔚虹等译.最高安全机密（第4版）.机械工业出版社，2004.3.书籍之外,课程实施与考核方式,理论课时：40实验课时：24考核方式：平时成绩不定期点名；实验成绩期末考试：闭卷,第一章网络安全概述,计算机科学学院网络工程教研室梁晓Email:Tel目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全机制,高级持续威胁APT引领威胁大潮,高级持续性威胁（AdvancedPersistentThreat）:一种以商业和政治为目的的网络犯罪类别。使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽性等特点。,1983年电影战争游戏,2014年受到APT攻击事件的国家,高级持续威胁APT引领威胁大潮,2012年，震网病毒Stuxnet，致使伊朗核计划倒退2年2013年，韩国农协银行，电子邮件病毒停业3天，进行巨额赔偿,伊朗布什尔核电站,高级持续威胁APT引领威胁大潮,攻击特点：目标明确，持续性长，隐蔽性强，0day漏洞,数据和隐私非法泄露的持续泛化,2011年，“拖库门”事件CSDN官方证实600万个账户信息泄露；360，开心网、天涯社区、世纪佳缘等大批知名企业普遍存在数据泄露的风险近年重大数据泄露事件,用户的虚拟财产受到严重威胁，地下产业链的数据资源进一步丰富,数据和隐私非法泄露的持续泛化,2015，Xcode非官方供应链污染事件:Xcode:苹果公司开发的运行在操作系统MacOSX上的集成开发工具（IDE）病毒：XcodeGhost截止2015年9月20日，确认Applestore上共692种APP受到污染，其中包括微信、滴滴、网易云音乐等流行应用苹果有史以来所面临的最严重的安全危机,恶意代码的发展,恶意代码行为分类,恶意代码排行榜,PC端,移动端,恶意程序发展趋势,恶意行为分布,2014年,威胁将随“互联网+”向纵深领域扩散与泛化,智能家居可穿戴设备智能交通与汽车金融支付外设与固件,智能汽车漏洞,Fitbit运动手环安全威胁,支付宝指纹支付漏洞,安全人员的挑战,孙子谋攻篇中说：“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆”。未雨绸缪进行防范的危机预见能力。综合性技能：政策制定，程序管理，法律执行等；丰富的计算机技能。,目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全机制,网络安全,网络上的信息安全；概念：是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。包括：运行系统安全，即保证信息处理和传输系统的安全。网络上系统信息的安全。网络上信息传播的安全，即信息传播后果的安全。网络上信息内容的安全，即我们讨论的狭义的“信息安全”。,20世纪60年代之前，信息安全=通信安全古典密码学古罗马帝国时期的Caesar密码1568年L.Battista发明了多表代替密码，并在美国南北战争期间由联军使用Vigenere密码和Beaufort密码（多表代替密码的典型例子）现代密码学1949年C.Shannon的文章保密系统的通信理论发表在贝尔系统技术杂志上。1974年IBM提出商用算法数据加密标准DES（NIST标准）。,信息安全的发展史,标志通信保密科学的诞生,公钥密码学革命,1976年Diffie、Hellman提出公开密钥密码思想1977年Rivest、Shamir、Adleman设计了一种公开密钥密码系统,公钥密码学诞生,理论价值一、突破Shannon理论，从计算复杂性上刻画密码算法的强度二、它把传统密码算法中两个密钥管理中的保密性要求，转换为保护其中一个的保密性及保护另一个的完整性的要求。三、它把传统密码算法中密钥归属从通信两方变为一个单独的用户，从而使密钥的管理复杂度有了较大下降。,对信息安全应用的意义一是密码学的研究已经逐步超越了数据的通信保密性范围，同时开展了对数据的完整性、数字签名技术的研究。随着计算机及其网络的发展，密码学已逐步成为计算机安全、网络安全的重要支柱，使得数据安全成为信息安全的核心内容，超越了以往物理安全占据计算机安全主导地位的状态,信息安全的发展史,20世纪，8090年代；信息安全的三个基本要素CIA:机密性Confidentiality保证信息为授权者享用而不泄漏给未经授权者。完整性Integrity信息完整性，未被未授权的篡改或者损坏系统完整性，系统未被非授权操纵，按既定的功能运行可用性Availability保证信息和系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况,信息安全的其他方面信息的不可否认性：要求无论发送方还是接收方都不能抵赖所进行的传输鉴别（Authentication）：确认实体是它所声明的。适用于用户、进程、系统、信息等审计（Accountability）确保实体的活动可被跟踪可靠性（Reliability）特定行为和结果的一致性,信息安全的发展史,安全需求的多样性,保密性一致性可用性可靠性可认证，真实性,责任定位，审计性高性能实用性占有权,信息安全的发展史,信息安全含义的发展,90年代后，网络环境下的信息安全的多样性需求：美国国防部提出信息保障（InformationAssurance，IA）概念：通过确保信息的可用性、完整性、可识别性、保密性和抗抵赖性来保护信息和信息系统，同时引入保护、检测及响应能力，为信息系统提供恢复功能。信息保障的PDRR模型：,信息安全的目标,进不来拿不走改不了看不懂跑不了可审查,目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全体制,OSI安全体系结构,OSI安全体系结构,OSI安全框架：一种系统的方法定义安全的需求，及满足安全需求所采用的措施；国际电信联盟（ITU）的推荐方案X.800；包括三方面内容：安全攻击：任何可能危及机构的信息安全的行为；（对应需求）安全服务：一种用来增强机构的数据处理系统安全性和信息传递安全性的服务。利用了一种或者多种安全机制；（对应功能）安全机制：用来检测、防范安全攻击并从中恢复系统的机制；（对应技术）,目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全机制,安全攻击,资源与脆弱性协议的脆弱性系统的脆弱性程序操作系统数据库攻击类型：被动攻击主动攻击,被动攻击,被动攻击：在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改；常见手段：搭线监听无线截获其他截获特点：不易被发现；重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等；,2020/6/6,主动攻击,主动攻击：涉及某些数据流的篡改或虚假流的产生分类：假冒重放篡改消息拒绝服务特点：容易被检测出来防御手段：不易有效地防止，具体措施包括自动审计、入侵检测和完整性恢复等,2020/6/6,SecurityThread-VulnerabilityandAttacks,攻击类型,攻击类型,SecurityThread-SecurityThreads,被动攻击示例-监听、流量分析,流量分析常用工具：ethereal、sniffer、wireshark,网络监听,网卡工作方式：单播：接受目的地址的本地的报文多播：接受类型为多播的组报文广播：接收特定的组报文混杂模式：对报文中的目的地址不进行检测，全部接收；监听方式：在广播网络监听在交换网络监听,网络监听工具,Libpcap/Winpcap：Libpcap是PacketCaptureLibrary（数据包捕获库函数）的缩写与重组。不是一个sniffer，提供了C语言函数接口可用于对经过的网络接口数据包的捕获，以支持sniffer产品的开发。Winpcap是Win32版本。Wireshark（前称Ethereal）：是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。全球最流行的网络协议分析工具。,网络监听工具,Snifferpro：NAI公司开发的图形界面嗅探器。功能强大，能够全面的监视所有网络信息流量，识别和解决网络问题。,主动攻击（1）：假冒,攻击示例：ARP欺骗IP欺骗网络钓鱼,交换机的工作方式,47,端口管理,端口1,端口2,缓存,交换机,CAM,存储转发实现了无碰撞地传输数据,ContentAddressableMemory，内容可寻址存储器,(一)交换网络监听：交换机+集线器,48,交换机,内网,外网,A:,B:,C:,路由器R,(二)交换网络监听：端口镜像,49,端口镜像（PortMirroring）：是把交换机一个或多个端口的数据镜像到某个端口的方法。,管理员为了部署网络分析仪等设备，通过配置交换机端口镜像功能来实现对网络的监听。,(三)交换网络监听：MAC洪泛,攻击思路：在局域网中发送带有欺骗性MAC地址源的数据；CAM表中将会填充伪造的MAC地址记录，随着记录增多，与CAM表相关的交换机内存将被耗尽，这时交换机以类似于集线器的模式工作，向其它所有的物理端口转发数据。,50,(四)交换网络监听：ARP欺骗,51,步骤1：攻击者向主机A和B发送ARP欺骗报文,交换机,内网,外网,A:,B:,C:,路由器R:,11:22:33:44:55:AA,11:22:33:44:55:CC,11:22:33:44:55:BB,11:22:33:44:55:CC,(四)交换网络监听：ARP欺骗,52,交换机,内网,外网,A:,B:,C:,路由器R:,步骤2：攻击者从网络接口上嗅探受害主机发过来的数据帧,(四)交换网络监听：ARP欺骗,53,交换机,内网,外网,A:,B:,C:,路由器R:,步骤3：攻击者将嗅探到的数据发送回原本应该接收的主机,(四)交换网络监听：ARP欺骗,54,需要监听的通信双方主机不在一个局域网内？需要监听主机与外界网络之间的通信？,(四)交换网络监听：ARP欺骗,55,交换机,内网,外网,A:,B:,C:,路由器R:,路由器或网关是内网与外网之间报文转发的必经节点,(五)交换网络监听：端口盗用,56,交换机,内网,外网,A:,B:,C:,路由器R:,步骤1：发送伪造以太网帧：源MAC为受害者的MAC；目的MAC为攻击者的MAC。,1,2,3,4,11:22:33:44:55:AA1,11:22:33:44:55:AA3,(五)交换网络监听：端口盗用,57,交换机,内网,外网,A:,B:,C:,路由器R:,步骤2：受害主机将数据帧发送给攻击者，攻击者从网络接口嗅探数据。,1,2,3,4,问题：攻击者怎么把嗅探数据发还给受害主机？,步骤3：攻击者将数据缓存，让网络正常后，再将数据转交。然后再开始新一轮的攻击。,IP欺骗,利用了主机之间基于IP的信任关系；,网络钓鱼,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息获取个人敏感信息：用户名、口令、帐号ID、ATMPIN码或信用卡信息利用社会工程学原理手段：钓鱼架设钓鱼网站：知名金融机构及商务网站发送大量欺骗性垃圾邮件滥用个人敏感信息资金转账经济利益冒用身份犯罪目的,网络钓鱼流程图,钓鱼者发送来源看似合法的邮件；单击链接后将会弹出一个网页，要求用户登录或是注册；将获取到的个人信息传送回钓鱼者；仅仅打开网页或附件就可能感染恶意软件；恶意软件也能使用户计算机自动发送更多的钓鱼邮件，或者将它纳入“僵尸网络”;钓鱼者利用获取到的个人信息，窃取身份凭证和钱财，或政府与公司机密,网银大盗案例,张经理Foxmail收到一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”这是一封内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。,网银大盗案例,网银大盗案例,这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：,主动攻击（2）：重放攻击,攻击方式：攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。防御方法示例：基于零知识证明的挑战应答方式；它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。,主动攻击（3）：纂改,改写消息内容,主动攻击（4）：拒绝服务攻击,服务系统提供从而为用户服务的功能拒绝服务任何对服务的干扰使其可用性降低，甚至失去可用性成因：TCP/IP协议栈漏洞，系统漏洞，程序漏洞等或合法利用服务请求耗尽服务资源分布式拒绝服务攻击一个或多个攻击者控制不同位置的多台机器同时实施攻击行为,拒绝服务攻击,僵尸网络：采用一种或者多种传播手段，讲大量主机感染bot程序（僵尸病毒），从而在控制着和被感染主机之间形成一对多的控制网络。,拒绝服务攻击,拒绝服务攻击的基本模式：资源消耗型消耗网络带宽消耗磁盘空间消耗CPU和内存资源配置修改型基于系统缺陷型物理实体破坏型,攻击示例-SYNFlood,正常的三次握手建立通讯的过程,攻击示例-SYNFlood,攻击示例-SYNFlood,伪造地址进行SYN请求，产生半开连接服务器消耗大量的资源（内存为主）维护半开连接表服务器表现为netstatan看到大量的SYN_RECV（500或总连接数的10）大多数的服务器在20Mbps/4wpps情况下基本瘫痪,“拒绝服务”的例子:,攻击者,目标2,欺骗性的IP包源地址2Port139目的地址2Port139TCPOpen,G.MarkHardy,攻击示例-LAND攻击原理,“拒绝服务”的例子:LAND攻击,攻击者,目标2,IP包欺骗源地址2Port139目的地址2Port139包被送回它自己,G.MarkHardy,LAND攻击原理,HTTPGet攻击,HTTPGet攻击,利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求,76,DDOS攻击过程（1）,ScanningProgram,Hacker,Internet,handler,僵尸(Bot),端口扫描：扫描目标机上端口（即服务）的开放情况。例如：nmap,77,ScanningProgram,不安全的计算机,Hacker,Internet,handler,DDOS攻击过程（2）,78,Hacker,被控制的计算机(代理端),黑客设法通过handler入侵有安全漏洞的主机并获取控制权。,3,Internet,handler,僵尸网络(Botnet),DDOS攻击过程（3）,79,Hacker,黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机作为代理端。,4,被控制计算机（代理端）,Internet,handler,DDOS攻击过程（4）,80,Hacker,黑客利用控制端，在攻击代理主机上安装已编译好的守护程序。,5,被控制计算机（代理端）,handler,Internet,DDOS攻击过程（5）,81,TargetSystem,目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDoS攻击成功。,6,handler,Internet,被控制计算机（代理端）,Hacker,为什么黑客不直接去控制攻击代理端，而要通过主控进行中转呢？,DDOS攻击过程（6）,DDOS的检测与防御,异常现象1：出现明显超出正常工作时的极限通信流量。异常现象2:netstatna，观察到大量的SYN_RECEIVED的连接状态。Snnifer抓包发现存在大量的SYN-ACK数据包。,DDOS的检测与防御,异常现象3：网络中出现特大型的ICMP和UDP数据包。,DDOS的检测与防御,异常现象4：服务器负载很高；链接数据库失败；通过“Netstates”查看，服务器的建立连接数超过正常水平。连接状态(netstatan)出现较多的TIME_WAIT。,DDOS的检测与防御,异常现象5：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。TFN2K发送的控制信息数据包就是这种类型的数据包。,DDOS的检测与防御,异常现象6：检测到大量的ICMP不可达消息，这是因为攻击者利用伪造的数据包对你的网络进行攻击，而你的系统响应这些伪造数据包后，哪些作为相应的数据包无法送达目的。（可能是攻击者伪造了没有主机或者主机没有活动的IP地址）,思考,安全的系统需要提供保密性、完整性、可用性，不可抵赖性等，被动攻击和4种主动攻击分别对应了哪部分的攻击场景？,目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全机制,安全服务,安全服务（SecurityService）是指提供数据处理和数据传输安全性的方法；安全服务的目的是对抗安全攻击；问题：安全服务如何实现呢？安全服务需借助于一定的安全机制（SecurityMechanism）X.800定义了5类14种服务，具体见参考资料：网络安全基础：应用与标准p9,X.800规定的安全服务,认证（Authentication）认证是为通信过程中的实体和数据来源提供鉴别服务访问控制（AccessControl）访问控制是保护受保护的资源不被非授权使用机密性（DataConfidentiality）数据机密性是保护数据不被非授权泄漏防止例如流量分析等被动攻击包括：连接机密性流量机密性等,X.800规定的安全服务,完整性（DataIntegrity）数据完整性是指确保接收方接收到的数据是发送方所发送的数据，即不被纂改涉及到主动攻击不可抵赖性（Non-Repudiation，非否认）非否认是指防止通信中的任一实体否认它过去执行的某个操作或者行为,X.800规定的安全服务,安全服务和攻击之间的关系,目录,网络威胁现状网络安全的基本概念OSI安全体系结构安全攻击安全服务安全机制,两类安全机制,特殊安全机制：在特定协议层实现，8种普遍安全机制：不属于任何协议层或安全服务，5种,（1）加密机制,加密技术既能为数据提供机密性，也能为通信业务流信息提供机密性，并且还成为其他安全机制中的一部分起补充作用；相关算法：RSADESRC2/RC4/RC5VPN,