《网络空间安全导论》全套教学课件

网络空间安全导论第一章

网络空间安全发展史网络空间安全发展史网络空间安全概述恶意代码与防范技术黑客攻防剖析网络攻击技术防火墙技术入侵检测技术虚拟专用网技术密码技术应用安全技术网络舆情分析技术信息隐藏与数字水印网络安全检测与评估数字版权管理全套可编辑PPT课件

目录CONTENTS01网络空间安全的发展阶段02网络空间安全学科03网络空间安全学科相关专业体系04本章总结01网络空间安全的发展阶段PRAT01“信息安全”“网络安全”“网络空间安全”是近年来国内外非传统安全领域出现频度较高的词汇。在各国和地区的安全战略和政策文件中，在相应的国家管理机构名称中，在新闻媒体的文字报道中，在学术理论研究的名词术语中，以及在各类相关的活动用语中，这几个概念交叉出现，交替或并行使用。网络空间安全（CyberspaceSecurity或简称CyberSecurity）在一定程度上继承了通信保密的思想和技术原理，可以说是继信息安全和网络安全之后的又一次升华。它主要研究网络空间中的安全威胁和防护问题，即在有敌手（Adversary）的对抗环境下，研究信息在产生、传输、存储、处理、销毁等环节中所面临的安全威胁和应采取的防护措施，以及网络和系统本身存在的安全漏洞和应采取的防护机制。网络空间安全的发展阶段01网络空间安全概念阐述20世纪80年代，随着计算机普及和网络发展，病毒肆虐与软件盗版问题日益严重，推动社会对网络安全和系统防护的迫切需求，促使信息安全范畴从通信保密向网络与系统安全扩展。通信保密阶段信息安全阶段网络空间安全阶段网络空间安全的发展阶段01从远古至20世纪中，通信保密史即密码技术发展史。我国革命战争时期便已应用密码技术，相关工作长期秘密进行，直至1984年首届密码学术会议推动研究走向开放。20世纪80年代中后期，随着计算机与网络技术的普及，病毒等恶意代码传播与软件盗版问题日益突出，社会对网络安全、系统防护和软件保护的需求日益迫切，推动了信息安全技术从通信保密向网络与系统安全领域扩展。02网络空间安全学科PRAT02网络空间安全学科0201网络空间安全学科的主要研究方向和研究内容网络空间安全学科的定义网络空间安全学科的相关专业0302传统的信息安全强调信息本身的安全属性，认为信息安全主要包含以下3个属性网络空间安全学科的定义2.101信息的机密性：信息不能被未授权者知晓。02信息的完整性：信息是正确的、真实的、未被篡改的、完整无缺的。03信息的可用性：信息是随时可以使用的。网络空间安全学科的定义2.1设备的稳定性设备的可靠性设备的可用性设备安全PART01数据安全PART02内容安全PART03行为安全PART04网络空间安全学科是研究信息和数据在获取、存储、传输和处理领域中安全保障问题的一门新兴学科。将信息系统安全划分为4个层次，分别是设备安全、数据安全、内容安全和行为安全，其中数据安全就是传统的信息安全。数据的机密性数据的完整性数据的可用性内容安全是信息系统安全在政治、法律、道德层面上的要求行为的机密性行为的完整性行为的可控性网络空间安全学科的主要研究方向和研究内容2.2A密码学由密码编码学和密码分析学组成，其中，密码编码学主要研究对信息进行编码以实现信息隐蔽，而密码分析学主要研究通过密文获取对应的明文信息。密码学及应用密码学的主要研究内容如下：（1）对称密码，包括序列密码和分组密码。（2）公钥密码，又称非对称密码。（3）密码杂凑函数，又称密码哈希（Hash）函数。（4）密码协议，包括数字签名、密钥协商、秘密分享等。（5）新型密码，包括后量子密码或抗量子密码、生物密码、量子密码等。（6）密钥管理。（7）密码应用。网络空间安全学科的主要研究方向和研究内容2.2B网络安全的基本思想是：在网络的各个层次和范围内采取防护措施，以便检测和发现各种网络安全威胁，并采取相应的响应措施，确保网络环境下的信息和数据安全。其中，防护、检测和响应都需要基于一定的安全策略和安全机制。网络安全网络安全的主要研究内容如下：（1）网络安全威胁。（2）通信安全。（3）协议安全。（4）网络防护。（5）入侵检测。（6）入侵响应。（7）可信网络。网络空间安全学科的主要研究方向和研究内容2.2C信息系统作为信息的载体，是直接面对用户的服务系统，用户通过信息系统获取信息。信息系统安全的特点是从系统级的整体上考虑信息安全威胁与防护。信息系统安全信息系统安全的主要研究内容如下：（1）信息系统的安全威胁。（2）信息系统的硬件安全。（3）信息系统的软件安全。（4）访问控制。（5）可信计算。（6）信息系统安全等级保护。（7）信息系统安全测评认证。（8）应用信息系统安全。网络空间安全学科的主要研究方向和研究内容2.2D如前所述，信息内容安全是信息系统安全在政治、法律、道德层面上的要求。信息内容安全信息内容安全的主要研究内容如下：（1）信息内容的获取。（2）信息内容的分析与识别。（3）信息内容的管理和控制。（4）信息隐藏与数字水印。（5）信息内容安全的法律保障。（6）信息内容的保密。网络空间安全学科的主要研究方向和研究内容2.2E信息对抗是为削弱、破坏对方电子信息设备和信息的使用效能，保障己方电子信息设备和信息正常发挥效能而采取的综合技术措施，其实质是斗争双方利用电磁波和信息的作用来争夺电磁频谱和信息的有效使用及控制权。信息对抗信息对抗的主要研究内容如下：（1）通信对抗。（2）雷达对抗。（3）光电对抗。（4）计算机网络对抗。网络空间安全学科的相关专业2.3密码学及应用依托网络空间安全学科设置的本科专业如表1所示。门类专业类专业代码专业名称学位授予门类修业年限工学计算机类080911TK网络空间安全工学4年工学计算机类080904K信息安全工学4年工学计算机类080914TK保密技术工学4年工学计算机类080918TK密码科学与技术工学4年表1依托网络空间安全学科设置的本科专业16303网络空间安全学科相关专业体系PRAT03基本素质能力要求3.1A（1）思想品德素质（2）身心素质（3）文化素质（4）专业素质B素质要求（1）自然科学知识（2）人文科学知识（3）信息科学知识知识要求C（1）学习能力（2）分析和解决问题的能力（3）创新能力能力要求基本素质能力要求包括素质要求、知识要求和能力要求3个方面。知识体系3.1网络空间安全学科专业的整体知识体系由人文科学知识体系、自然科学知识体系和专业知识体系三部分组成。其中，人文科学知识体系和自然科学知识体系是基础，专业知识体系建立在人文科学知识体系和自然科学知识体系的基础之上，如图1所示。图1网络空间安全学科相关专业的整体知识体系结构知识体系3.2在一般情况下，知识体系由知识领域、知识单元和知识点3个层次组成。在个别情况下，知识体系由知识领域、子知识领域、知识单元、知识点4个层次组成。如图2所示。图2知识体系的层次结构知识体系3.2专业知识体系由信息科学基础知识领域、网络空间安全基础知识领域、密码学知识领域、网络安全知识领域、信息系统安全知识领域和信息内容安全知识领域组成，如图3所示。图3专业知识体系的结构实践能力体系3.3网络空间安全学科专业实践能力体系是毕业生应当具备的实践能力的结构与集合。实践能力体系通过实践教学体系来覆盖，实践教学体系又由多个实践教学环节组成。与知识体系对应，实践能力体系由实践能力领域、实践能力单元和实践能力点3个层次组成。一个实践能力领域由若干个实践能力单元组成，一个实践能力单元又由若干个实践能力点组成。图4展示了实践能力体系的层次结构。图4实践能力体系的层次结构实践能力体系3.3实践能力体系由软件系统实践能力领域、硬件系统实践能力领域、密码学实践能力领域、网络安全实践能力领域、信息系统安全实践能力领域、信息内容安全实践能力领域和创新实践能力领域组成，如图5所示。图5实践能力体系的结构一课程体系3.4课程体系的设置需要遵循以下原则：知识体系通过课程体系来覆盖，每个必修知识点都通过一门课程来覆盖。二重要知识点允许有一定程度的重复，一般重复度可为3个左右。三课程体系对知识体系的覆盖可以有多种方法，因而可以有不同的课程设置方案。四依据知识点的关联原则，在组成课程体系时，尽量将密切相关的知识点放在一门课程中。五在组成课程体系时，要注意知识点之间的前驱与后继关系，并以此来安排课程的先后顺序。04本章总结PRAT04本章总结04从学术的角度来讲，网络空间安全是国家新增设的“工学”门类下的一级学科，这一学科的增设彰显了信息安全领域的日新月异。本章主要介绍了网络空间安全的发展阶段、网络空间安全学科的定义、网络空间安全学科的主要研究方向和研究内容、依托网络空间安全学科设置的本科专业，以及相关专业的知识体系、实践能力体系和课程体系。本章结束！网络空间安全导论第二章

网络空间安全概述目录CONTENTS01网络空间安全的基本概念02网络空间安全环境及现状03网络空间安全体系结构04网络空间安全保障体系05网络空间安全系统的设计原则06本章小结01网络空间安全的基本概念PRAT01网络空间安全既是传统通信保密的延续和发展，又是网络互联时代出现的新概念。网络空间安全是一个包括网络空间安全行为主体、保护对象、防护手段、任务目的等内容的综合性概念。概念演变：从通信保密，扩展到信息系统安全，再到网络空间的全面保护。内涵深化：保护目标从机密性，增加到完整性、真实性、可控性、可用性和不可否认性。国情差异：各国对网络空间安全的定义因国情和信息化水平而异。中国内涵：是政府社会共同参与，运用综合手段应对威胁，以保护国家发展、社会稳定和公众权益的活动。网络空间安全的基本概念01网络空间安全的内涵：网络空间安全的重要性：网络空间安全的基本概念01对网络空间安全重要性的认识可分为三个递进层面：运行安全层面：这是最基础的层面，关注网络空间各组成部分受到的直接威胁，例如内容被篡改、系统被入侵、网络被中断、基础设施被破坏等具体安全事件。战略威慑层面：这是更高的认识层面，将网络攻击武器比作大规模杀伤性武器。其破坏力体现在能瘫痪一国关键系统（如金融），导致经济停滞和社会混乱，其破坏范围、深度和持久性甚至可能超过传统武器，是实现战略威慑的有效手段。国家主权层面：这是最高层面，将网络空间视为继领陆、领海、领空、太空之

后的“第五疆域”。因此，维护网络空间安全就是捍卫不容侵犯的“网络主权”，是国家主权在数字时代的新延伸。网络空间安全的作用和地位：网络空间安全的基本概念01信息化程度越高，网络空间安全的基础性、战略性地位就越突出。它已深度融入国家发展的各个层面，其重要性具体体现在四个关键领域：经济发展：金融、能源、交通等关键行业高度依赖信息系统，网络安全是防止经济命脉遭受破坏、避免国民经济运行陷入停滞或崩溃的重要保障。社会稳定：网络已成为意识形态交锋和犯罪活动的新场域，必须打击网络犯罪、抵御有害信息传播，以维护社会公共秩序和政权的稳定。国家安全：网络空间是国家主权新疆域，网络安全是应对境外网络攻击、政治渗透和文化入侵，确保政治、国防和文化安全的核心支柱。公众权益：随着社会生活深度融入网络，保障个人信息安全与合法权益已成为满足社会公众基本需求、维护社会公平正义的必然要求。02网络空间安全环境及现状PRAT02网络空间安全威胁是指某些元素（比如人、物、事件、方法等）对信息系统的安全使用可能构成的危害。网络空间安全环境及现状02网络空间安全环境及现状02威胁类型4大类攻击类型安全属性信息泄露暴露被动攻击机密性篡改欺骗主动攻击真实性、完整性重放欺骗主动攻击真实性、可控性假冒欺骗主动攻击真实性、可控性否认欺骗主动攻击非否认性非授权使用占用主动攻击真实性、可控性网络与系统攻击打扰主动攻击可用性恶意代码暴露、欺骗、打扰、占用主动攻击可用性、机密性、可控性、网络空间安全环境及现状02系统后门：开发者有意设置的隐蔽入口，若被黑客利用，会导致严重的信息泄露。安全漏洞：软硬件中的固有缺陷，可被攻击者利用来未授权访问系统，例如曾引发广泛关注的英特尔CPU“熔断”与“幽灵”漏洞。协议缺陷：以TCP/IP协议为代表的网络协议因其开放性设计，存在先天安全缺陷，常引发DDoS攻击、数据篡改与拦截等风险。人为因素：内部失误：用户因安全意识不足或操作不当（如弱口令、共享账户）引入风险。外部攻击：黑客主动扫描并利用漏洞植入木马，以夺取系统控制权。网络空间不安全的原因：网络空间安全环境及现状02一、核心安全三要素（CIA）这是网络空间安全最基本、最经典的目标，旨在确保信息本身的安全：机密性：信息只能被授权用户访问，防止未授权者（如黑客）获取并理解信息内容。完整性：信息在传输和存储过程中不被未授权用户篡改或破坏，确保其真实、准确。可用性：授权用户可以随时、顺利地访问信息和使用服务。保障网络空间安全的目标：网络空间安全环境及现状02网络空间安全技术正朝着多元化、深度化和实用化的方向演进，主要呈现出以下六大发展趋势：后量子密码：研发能抵御量子计算攻击的新一代密码算法，已成为全球标准化工作重点。新技术架构：涌现出可信计算、智能安全等新型安全思想和架构。集成化工具：防火墙与入侵检测等技术的融合，形成功能更强的综合解决方案。专业化防护：针对DDoS、身份认证等特定威胁开发专用防护工具。集中化管理：通过安全管理平台等工具实现统一威胁管理和日志分析。专业化服务：安全外包服务模式日益普及，为企业提供风险评估、系统加固等专业服务。网络空间安全技术的发展趋势：03网络空间安全体系结构PRAT03OSI安全体系结构3.1OSI模型将网络通信划分为7层，并在各层中提供不同的安全服务。OSI安全体系结构明确了安全服务类型、实现机制及适用层次，对后续网络安全技术发展具有积极影响。主要安全服务包括认证、访问控制、机密性、完整性、不可否认性等。不同安全服务可在多个网络层次中实现，但原则上优先在较低层次实现以降低成本和提升通用性。OSI安全体系结构3.1安全服务实现机制所处的网络层次对等实体认证认证、数字签名、加密网络层、传输层、应用层数据起源认证数字签名、加密网络层、传输层、应用层访问控制认证授权与访问控制网络层、传输层、应用层连接机密性路由控制、加密物理层、数据链路层、网络层、传输层、表示层、应用层无连接机密性路由控制、加密数据链路层、网络层、传输层、表示层、应用层选择字段机密性加密表示层、应用层连接完整性完整性验证、加密传输层、应用层无连接完整性完整性验证、数字签名、加密网络层、传输层、应用层选择字段连接完整性完整性验证、加密应用层选择字段无连接完整性完整性验证、数字签名、加密应用层数据源非否认第三方公正、完整性验证、数字签名应用层传递过程非否认第三方公正、完整性验证、数字签名应用层OSI安全体系结构中的安全服务OSI安全体系结构3.1OSI安全体系结构提供四类不同层次的安全性OSI安全体系结构中的安全性OSI安全体系结构3.1OSI安全体系结构提供四类不同层次的安全性：应用级安全：基于应用语义和中继机制实现，适用于仅保护部分数据或需在应用层保障安全的场景。端系统级安全：满足端系统之间的通信安全需求，适用于网络不可信、不便改造或内部存在威胁的场景。网络级安全：保障不同子网之间的通信安全，部署范围广、成本低，适用于内部网络安全可信条件下。链路级安全：在数据链路层透明保护高层协议通信，适用于点到点通信，但在因特网中难以部署。TCP/IP安全体系结构3.2为弥补TCP/IP协议族设计时缺乏安全考虑的问题，IETF制定了多种安全通信协议，为不同层次提供安全保障：数据链路层：PPTP、L2TP，效率高但通用性差。网络层：IPSec，透明于高层协议，难以提供不可否认服务。传输层：SSL、TLS，实现端到端安全传输，但需修改应用程序。应用层：S/MIME、PGP、SET、SNMP、HTTPS，可提供针对应用的个性化安全服务，但适用范围受限。网络空间安全保障体系3.3网络空间安全保障体系包含四个动态子过程，即PDRR，四个子过程共同构成动态保障体系，对应攻击不同阶段提供防护TCP/IP安全体系结构网络空间安全保障体系3.3保护（Protect）：通过预先防范手段阻止攻击条件形成，属于被动防御。技术包括加密、物理安全、访问控制、病毒防护等。检测（Detect）：依据安全策略实时检查系统脆弱部分，形成检测报告。技术包括入侵检测、恶意代码检测、脆弱性扫描等。反应（React）：对攻击行为进行响应，降低损害。措施包括报警、跟踪、阻断、隔离、反击（含取证与打击）。恢复（Restore）：将系统恢复到原状态或更安全状态。技术包括异常恢复、应急处理、漏洞修补、备份、入侵容忍。网络空间安全系统的设计原则3.3木桶原则：安全性取决于最薄弱环节，需均衡保障。整体性原则：包括防护、检测、恢复机制，确保完整安全体系。安全性评价与平衡原则：处理用户需求、网络风险、成本之间的关系，兼顾可用性。标准化与一致性原则：遵循统一标准，保障互联互通和信息共享。技术与管理相结合原则：涉及人员、制度、培训等多要素共同构成安全。统筹规划、分步实施原则：制定长远规划，随网络发展逐步完善建设。等级性原则：根据保密程度、权限级别等划分安全等级，匹配相应机制。动态发展原则：安全措施需持续升级以适应不断变化的威胁环境。易操作性原则：系统设计应简洁，避免误操作并不影响正常运行。04本章总结PRAT04本章总结04本章主要介绍了网络空间安全的基本概念，包括网络空间安全的内涵、重要性、作用和地位；网络空间安全环境及现状，包括网络空间安全威胁、网络空间不安全的原因、保障网络空间安全的目标、网络空间安全技术的发展趋势；网络空间安全体系结构，包括OSI安全体系结构和TCP/IP安全体系结构；网络空间安全保障体系和网络空间安全系统的设计原则。本章结束！网络空间安全导论第三章

恶意代码与防范技术目录CONTENTS02计算机病毒03蠕虫病毒04木马病毒05恶意代码的防治对策06手机病毒及其防治对策01恶意代码概述01恶意代码的概述PRAT01恶意代码概述1恶意代码（MaliciousCode）：定义：故意编制或设置的、对网络或系统产生威胁或潜在威胁的计算机程序。常见类型：计算机病毒、蠕虫病毒、木马病毒、后门、逻辑炸弹、恶意软件（MaliciousSoftware）等。02计算机病毒PRAT02计算机病毒2计算机病毒：定义：计算机病毒是指附着在其他程序上的能够实现自我复制的程序代码。计算机病毒也是一个程序，或者说是一段可执行代码。而这个程序或可执行代码对计算机功能或存储在计算机中的数据具有破坏性，并且具有传播性、隐蔽性、偷窃性等特性。计算机病毒的起源与发展2.1一、早期理论基础1949年，冯·诺依曼提出计算机病毒的理论基础，指出复杂机器可以实现自我复制，为后续病毒的出现奠定了理论基础。二、首次实验验证1983年，弗雷德·科恩成功演示了第一个计算机病毒，证实了计算机病毒的存在，开启了病毒与反病毒技术的对抗时代。三、病毒全球化传播从1986年的大脑（Brain）病毒到2022年的蜂巢（Hive）恶意代码，病毒的传播范围不断扩大，影响范围从局部地区扩展到全球，威胁程度日益加剧。计算机病毒的特征2.2计算机病毒具有六大特征：传染性：修改/附着到其他程序并扩散。隐蔽性：体量小、伪装强，难以被发现。潜伏性：满足触发条件才发作（如“黑色星期五”“CIH”等）。破坏性：删改文件/格式化/占用资源致性能下降。多态性和不可预见性：形态变化、变种多样，检测难度高。这些特征使病毒能够在用户不知情的情况下传播和潜伏，待条件满足时发动攻击，给计算机系统带来严重破坏。计算机病毒的分类2.3计算机病毒可以分为以下几种类型:文件型病毒:附着于.exe/.dll等可执行文件。引导型病毒:感染磁盘主引导区/Boot区。宏病毒:借助Office宏语言传播（Word/Excel/Access）。恶作剧电子邮件:恐吓/误导用户的“假病毒”信息。变形病毒:变形引擎改变代码形态以逃避签名检测。计算机病毒的结构和工作原理2.4计算机病毒一般由3个模块构成：引导模块：引导模块是计算机病毒的控制中心。负责将病毒从外存引入内存，监视系统运行，在满足触发条件时发动攻击。感染模块：感染模块负责完成计算机病毒的扩散功能。寻找未感染的目标文件或程序，并将其感染，使病毒能够在系统中不断传播和扩散。破坏模块：破坏模块是计算机病毒的核心部分。当满足触发条件时，执行删除文件、格式化磁盘等破坏操作，对计算机系统造成严重损害。计算机病毒的结构和工作原理2.4以文件型病毒为例：文件型病毒是目前数量最多的一类计算机病毒，它主要感染.exe和.dll文件。文件型病毒会将病毒代码植入可执行宿主程序中，并修改宿主程序的入口地址，使之分别指向病毒的感染模块和破坏模块。当宿主程序运行时，病毒代码会先执行感染功能和破坏功能，执行完成后，再将程序的执行权交给宿主程序。文件型病毒的工作原理如图所示。03蠕虫病毒PRAT03蠕虫病毒3.1蠕虫病毒的特征3.2蠕虫病毒主要具有以下几个特征:独立性较强。寻找系统漏洞实施主动攻击。传播范围更广，传播速度更快。采用高明的方法进行伪装和隐藏。使用先进的技术。蠕虫病毒的工作流程3.3蠕虫病毒的工作流程：蠕虫病毒的工作流程一般可以分为扫描系统漏洞、主动攻击、现场处理和复制4个阶段，如图所示。当蠕虫病毒扫描到有漏洞的计算机系统后，会先将蠕虫主体迁移到目标主机，然后进入被感染的计算机系统，对目标主机进行现场处理。蠕虫病毒的工作方式、行为特征、传播方式3.4工作方式：蠕虫病毒先随机产生一个网络地址，再判断对应此网络地址的计算机系统是否具备感染条件。如果具备感染条件则感染该计算机系统，否则持续循环扫描检测。行为特征：主动攻击；行踪隐蔽；利用系统、网络应用服务漏洞；造成网络拥塞；降低系统性能；产生安全隐患；具有反复性和破坏性。传播方式：电子邮件设备、远程执行功能和远程登录功能。典型蠕虫病毒实例3.5莫里斯蠕虫：早期UNIX环境广泛传播。冲击波：利用MS03-026漏洞，强传播性，致系统重启/服务异常。红色代码：IIS漏洞，DoS攻击政府站点并建立后门。尼姆达：多途径传播（邮件/共享/已感染Web/IIS漏洞等）。Downad与WannaCry：暴力破解/勒索加密。04木马病毒PRAT04木马病毒4.1木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码。当用户计算机运行正常程序时，木马病毒便伺机窃取用户信息、破坏用户系统或实施DoS攻击等。木马病毒种类繁多，有代表性的有破坏型木马、口令盗取型木马、键盘记录木马、远程访问型木马、DoS攻击木马、FTP木马、代理木马等。木马病毒经常隐藏在游戏或图形软件中，表面上是无害的，甚至对没有警戒的用户颇有吸引力，但这些看似友善的程序运行后，就会做出一些非法行为，如删除文件、格式化硬盘等。木马病毒的特征4.2木马病毒具有以下6个特征：有效性隐蔽性自动运行性欺骗性顽固性易植入性木马病毒具有非常强的隐蔽能力和感染能力，它已经融合了蠕虫病毒技术。木马病毒的工作原理4.3木马病毒本质上是一种基于客户机/服务器模式构建的网络程序，一般由两部分组成，分别为客户端和服务器端。其工作原理是一台计算机提供服务作为服务器端，另一台计算机接受服务作为客户端。服务器端程序通常会开启一个预设的连接端口进行监听，当客户端向服务器端的这一连接端口提出连接请求时，服务器端的相应程序就会自动执行，回复客户端的请求，并提供其请求的服务。木马病毒的表现形式4.4木马病毒的常见表现形式：修改图标：在电子邮件附件中，HTML、TXT、ZIP等文件的图标有可能就是伪装的木马病毒。捆绑文件：将木马病毒捆绑到一个安装程序上。出错显示：当服务器端用户打开一个带有木马病毒的程序时，会显示“文件已破坏，无法打开”之类的信息。自我销毁：当系统感染木马病毒后，木马病毒会自我复制到Windows系统文件夹并销毁原木马病毒文件。木马病毒更名：不少木马病毒允许控制器端用户自定义安装后的木马病毒文件名。05恶意代码的防治对策PRAT05恶意代码的检测5.1常见的恶意代码检测方法：基于特征的恶意代码检测方法：恶意代码的本质是一个二进制字符串基于校验和的恶意代码检测方法：主要基于数据完整性检测的思想基于行为特征的恶意代码检测方法：具有一定的通用性、不依赖软件的升级，是未来的发展趋势计算机病毒的防治对策5.2普通计算机用户可以通过以下几个方面来有效地防范计算机病毒：在本地计算机上安装正版的反病毒软件。利用安全监视软件监视浏览器的运行。开启防火墙。培养使用文件前先检测病毒的好习惯。谨慎使用盗版软件。专盘专用。......蠕虫病毒的防治对策5.3对于蠕虫病毒的防治，计算机用户可以采取以下几项措施：在计算机系统中安装并运行正版软件，定期进行系统安全漏洞扫描，及时打好补丁并升级系统。设置防火墙，禁用除服务端口外的其他端口，切断蠕虫病毒的传输通道和通信通道。对电子邮件进行监控，防止带毒电子邮件传播。培养使用文件前先检测病毒的好习惯。不浏览非法网站。......木马病毒的防治对策5.4要预防木马病毒，计算机用户可以从以下几个方面入手：主动检测木马病毒隐藏的位置。防范端口风险。拒绝执行来历不明的软件。谨慎处理电子邮件附件。尽量少用或不用共享文件夹。清理可疑程序。安装防火墙进行实时监控。06手机病毒及其防治对策PRAT06手机病毒的概念6.1手机病毒是以手机为攻击目标的一种恶意代码，是一种具有传染性、破坏性的手机程序。它可以利用发送微信、短信、彩信、电子邮件及浏览网站、下载铃声、连接蓝牙等方式进行传播，导致用户手机异常关机、个人资料被删、向外发送垃圾邮件、泄露个人信息、自动拨打电话、自动发送信息等。手机病毒的危害6.2手机病毒的危害涉及多个方面，具体可分为以下5种类型：玩笑性影响：并不会造成手机实体或操作上的破坏。困扰性破坏：造成手机使用上的困扰，甚至进一步阻止手机软件的更新。实体或操作上的破坏：使用者无法继续正常使用手机，而且有可能损毁手机中的重要信息。金钱损失：轻则增加通信费用，重则造成网络交易的重大损失机密性伤害：机密性资料外露。手机病毒的工作原理6.3手机病毒的常见的工作原理：通过蓝牙设备在手机之间直接传播，攻击手机本身。通过短消息传播并攻击手机本身。通过攻击、控制网关设备或

WAP

（WirelessApplicationProtocol，无线应用协议）服务器，向手机用户发送大量垃圾短信。手机病毒的防治对策6.4针对手机病毒，可采取以下防治对策：删除乱码短信、彩信。不要接受陌生请求。保证下载的安全性。不要浏览危险网站。安装手机安全软件。......本章小结恶意代码是指故意编制或设置的、对网络或系统产生威胁或潜在威胁的计算机程序，有时也被简称为计算机病毒。本章针对恶意代码与防范技术进行讲解，主要介绍了计算机病毒，包括计算机病毒的起源与发展、特征、分类、破坏行为、结构和工作原理；蠕虫病毒，包括蠕虫病毒与一般计算机病毒的异同，以及蠕虫病毒的特征、工作原理和典型实例；木马病毒，包括木马病毒的特征、工作原理和表现形式；恶意代码的防治对策；手机病毒及其防治对策。本章结束！网络空间安全导论第四章

黑客攻防剖析目录CONTENTS02黑客攻击的分类03黑客攻击的手段和方法04黑客攻击软件05黑客攻击防范01黑客攻防概述01黑客攻防概述PRAT01黑客与骇客1.1黑客起源于20世纪50年代美国著名高校的技术社群，这些社群成员智力非凡、技术高超、精力充沛，热衷于解决一道道棘手的计算机网络难题。但并非所有人都能恪守黑客文化的信条，专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者层出不穷，人们把这部分主观上有恶意企图的人称为“骇客（Cracker）”或“破坏者”，试图区别于黑客，同时诞生了诸多的黑客分类方法。黑客的分类1.2在一般情况下，可以将黑客分成3类：白帽、灰帽和黑帽。白帽：创新者，力求设计新系统，具有打破常规、精研技术和勇于创新的精神，追求“没有最好，只有更好”。灰帽：破解者，致力于破解已有系统，发现已有系统的问题和漏洞，突破极限的禁制，能够展现自我，追求自由，并为人民服务。黑帽：入侵者，追求随意使用资源，进行恶意破坏，散播蠕虫、木马等病毒，开展商业间谍活动，信仰“人不为己，天诛地灭”。黑客实施攻击的目的1.3黑客实施攻击的目的概括起来有两种：其一是为了得到物质利益；其二是为了满足精神需求，具体表现形式如下：好奇心：只是对计算机及因特网感到好奇，想探究其工作原理。个人声誉：破坏具有高价值的目标提高自己在黑客群体中的可信度及知名度。智力挑战：为了挑战自己的智力极限或向他人证明自己的能力。窃取情报：在网络上监视个人、企业及竞争对手的活动信息及数据文件。政治目的：敌对国之间利用网络开展破坏活动、个人或组织因对政府不满而开展破坏活动等。黑客行为的发展趋势1.4黑客行为主要有3个方面的发展趋势：手段高明化：黑客界已经意识到单靠一个人的力量远远不够，逐步形成了一个团体，利用网络进行交流和团体攻击，还会分享经验和自己编写的工具。活动频繁化：做一名黑客已经不再需要掌握大量的计算机和网络知识，学会使用几种黑客工具，就可以在互联网上开展攻击活动。黑客工具大众化是黑客活动频繁化的主要原因。动机复杂化：黑客的动机已经不再局限于追求金钱和刺激，开始和国际的政治变化、经济变化紧密地联系在一起。黑客精神1.5要成为一名优秀的黑客，需要具备4种基本素质：自由精神（又称免费精神）：要有一种奉献精神，将自己的心得和编写的工具与其他黑客共享。探索与创新精神：探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。反传统精神：找出系统漏洞，并策划如何利用该漏洞实施攻击，这是黑客永恒的工作主题。而所有系统在没有被发现漏洞之前，都号称是安全的。合作精神：一次成功的入侵和攻击单靠个人的力量已经没有办法完成了互联网为不同国家和地区的黑客提供了交流合作的平台。02黑客攻击的分类PRAT02基于攻击方式进行分类2.1基于攻击方式，可将黑客攻击分为两类：主动攻击：主动攻击意在篡改或伪造信息，或者改变系统的状态和操作。主动攻击主要威胁信息的完整性、可用性和真实性，包含攻击者访问其所需信息的故意行为。常见的主动攻击包括DoS攻击、信息篡改、资源盗用、欺骗等被动攻击：被动攻击意在获取传输的信息，主要攻击行为是收集信息而不是访问，不会对信息做任何改动。被动攻击主要威胁信息的机密性，合法用户丝毫不会觉察到这种攻击行为。被动攻击的特征是对传输过程进行窃听和监测。常见的被动攻击包括信息内容的泄露和流量分析等。按照TCP/IP层次进行分类2.2按照TCP/IP层次，可以将黑客攻击4类：针对数据链路层的攻击：ARP欺骗和伪装属于该层次上的攻击行为。针对网络层的攻击：Smurf攻击、IP碎片攻击、ICMP路由欺骗等属于该层次上的攻击行为。针对传输层的攻击：Teardrop攻击、Land攻击、SYN洪攻击、TCP序列号欺骗和攻击、会话劫持和中间人攻击等属于该层次上的攻击行为。针对应用层的攻击：DNS欺骗和窃取属于该层次上的攻击行为。03黑客攻击的手段和方法PRAT03黑客攻击的手段3.1一些常见的黑客攻击手段如下。窃取信息：黑客会利用各种可能的合法或不合法手段窃取系统中的信息资源和敏感信息。篡改：指对合法用户的通信信息进行修改或改变信息的顺序。伪装：指一个实体冒充另一个实体。重放：指将获得的信息再次发送，以期望获得合法用户的权益拒绝服务：指阻止对信息或其他资源的合法访问。流量分析。流量分析是指先对系统进行长期监听，利用统计分析的方法判断通信的性质。黑客攻击的方法3.2黑客的攻击思路与策略分为3个阶段：预攻击阶段、攻击阶段和后攻击阶段，如图所示。其中，预攻击阶段主要进行信息收集，包括一些常规的信息获取方式，如端口扫描、漏洞扫描、搜索引擎、社会工程学等；攻击阶段主要采用缓冲区溢出、口令猜测、应用攻击技术等手段；后攻击阶段主要完成释放木马、破解密码、隐身、清除痕迹等工作。黑客攻击的方法3.2尽管黑客攻击系统的技能有高低之分，手法也多种多样，但他们对目标系统实施攻击的流程大致相同，具体可归纳为9步：踩点、扫描、查点、获取访问权限、提升权限、窃取、掩盖踪迹、创建后门，如表所示：04黑客攻击软件PRAT04黑客攻击软件的分类4.1按用途可分为以下几类：信息收集类木马与蠕虫类洪水类密码破解类伪装类防范工具类按性质可分为以下几类：扫描类远程监控类病毒和蠕虫系统攻击和口令破解类监听类常用的黑客攻击软件4.2一些常用的黑客攻击软件UNIX漏洞扫描工具Nessus网络嗅探工具Wireshark开源IDS工具Snort网络瑞士军刀Netcat网络探测工具Hping2无线嗅探器KismetWindows平台上的端口扫描器SuperScanLinux核心数据包过滤器/防火墙Netfilter......05黑客攻击防范PRAT05黑客攻击防范技术5.1网络访问控制技术:网络访问控制技术是网络安全防范和保护的核心，它的主要任务是保证网络资源不被非法访问和使用。访问控制规定了主体对客体的访问限制，并在身份识别的基础上，根据用户身份对提出资源访问的请求加以控制。网络访问控制技术是对网络资源进行保护的重要措施，也是计算机系统中最重要和最基础的安全机制。黑客攻击防范技术5.1防火墙技术：防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域之间通信的必经之路。它能根据企业或组织制定的有关安全策略，对进出网络的访问行为进行严格控制，具体控制方式包括允许、拒绝、监视、记录等。黑客攻击防范技术5.1数据加密技术：数据加密技术要求只有在指定的用户或网络环境下才能解密而获得原来的数据，这就需要给数据发送方和接收方一些特殊的信息用于加/解密，这就是所谓的密钥。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换受密钥控制。常用的数据加密技术有对称加密技术和非对称加密技术。黑客攻击防范技术5.1入侵检测技术：入侵检测技术是对传统安全产品的合理补充，不仅能够帮助系统应对黑客攻击，还能够扩展系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，有助于提高信息安全基础结构的完整性。黑客攻击防范技术5.1网络安全审计：网络安全审计是对企业网络安全的脆弱性进行测试、评估、分析的过程。它是在特定的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵和破坏，运用各种技术手段实时收集和监控网络环境各组成部分的系统状态与安全事件，以便集中报警、分析、处理的一种技术手段。它属于一种积极、主动的安全防御技术，旨在最大限度地保障网络与信息安全。黑客攻击防范技术5.1网络安全管理：网络安全管理是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整等全控制流程。不论多么先进的安全技术，都只是实现网络安全管理的手段而已。要使先进的安全技术发挥较好的效果，就必须统一网络安全管理平台，整体配置、调控网络多层面、分布式的安全系统，实现对各种网络资源的集中监控、统一管理、智能审计，促进各安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性，降低用户的整体安全管理开销。黑客攻击防范技术5.1发现黑客入侵行为后采取的措施：禁止相关进程，切断黑客与系统的连接。利用工具询问黑客的意图。跟踪连接，找出黑客的来源和身份。使用Snoop、PS、Lastcomm、Ttywatch等工具来监视黑客活动。借助PS、W和Who命令查看用户终端使用情况。使用Who和Netstat定位入侵者主机，使用Finger命令查看哪些用户登录了远程系统。修复安全漏洞并恢复系统，不给黑客留有可乘之机。黑客攻击目标的发展趋势5.2当今世界进入了万物互联时代，网络安全风险和威胁也随之延伸到各个领域，工业控制系统、物联网、移动互联网、车联网、云计算等都成为黑客的攻击目标。以对物联网的攻击为例：2017年3月，维基解密曝光的一份美国中央情报局绝密文件中披露了一款针对三星电视的恶意软件，能让电视在关机状态下录音并回传到美国中央情报局服务器，把电视变成了一个巨大的“窃听器”。黑客攻击防范措施5.3在现实网络环境中，要想防范黑客攻击，主要从两个方面入手：建设具有安全防护能力的网络和改善已有网络环境的安全状况；强化网络专业管理人员和计算机用户的安全防范意识，提高其防范黑客攻击的技术水平和应急处理能力。黑客攻击防范措施5.3为了有效地防范黑客攻击，我们需要从黑客攻击的几个阶段入手，采取有针对性的措施：信息收集阶段防范：我们需要在保证网络服务正常运行的前提下关闭不必要的IP地址和网络服务，仅在官方或权威机构注册相关服务，本着最小原则提供相关信息漏洞关联阶段防范：网络运营者需要对网络及服务进行定期的漏洞扫描，有能力的可以建设网络安全监测系统，及时发现网络中存在的安全漏洞并进行修补，不给攻击者留有可乘之机。入侵攻击阶段防范：我们需要在网络关键部位部署安全防护设备，及时阻断攻击者的非法操作，同时对非法操作进行记录本章小结在网络空间日益成为人们工作和生活中的重要工具时，网络空间安全引起了公众的高度重视。网络空间安全威胁来自诸多方面，黑客攻击便是重要的威胁来源之一。本章主要介绍了黑客攻防概述，包括黑客与骇客、黑客的分类、黑客实施攻击的目的、黑客行为的发展趋势及黑客精神；黑客攻击的分类，包括基于攻击方式进行分类和按照TCP/IP层次进行分类；黑客攻击的手段和方法；黑客攻击软件；黑客攻击防范，包括黑客攻击防范技术、黑客攻击目标的发展趋势和黑客攻击防范措施。。感谢您的聆听！网络空间安全导论第四章

网络攻击技术目录CONTENTS01网络攻击概述02信息收集技术03常用的网络攻击手段04网络后门技术05本章小结01网络攻击概述PRAT01网络攻击的目标1.101数据攻击的特点系统攻击的特点02攻击发生在网络层，破坏系统的可用性，使系统不能正常工作，可能留下明显的攻击痕迹。网络攻击的目标主要有两类，分别为系统和数据，其对应的安全性也涉及系统安全和数据安全两个方面。攻击发生在应用层，面向信息，主要目的是窃取和篡改信息，不会留下明显的攻击痕迹。网络攻击的手段1.2当前，网络攻击的主要手段涵盖以下几个方面：利用网络系统及各类网络软件的漏洞，比如基于TCP/IP协议自身的不完善、操作系统存在的种种缺陷等防火墙配置不合理实施电子欺诈发起拒绝服务攻击（包括DDoS攻击）传播网络病毒使用专门的攻击软件利用用户网络安全意识薄弱的特点，比如口令设置不当，或者直接将口令文件存放在系统中网络攻击的危害1.3网络攻击所使用的方法不同，造成的危害程度也不同，一般分为以下7个层次。（1）简单拒绝服务。（2）本地用户获得非授权读权限。（3）本地用户获得非授权写权限。（4）远程用户获得非授权账号信息。（5）远程用户获得特权文件的读权限。（6）远程用户获得特权文件的写权限。（7）远程用户拥有了系统管理员权限。在这7个层次中，随着层号的增加，造成的危害程度逐渐加重。网络攻击的分类1.4网络攻击可以分为以下6种类型。（1）阻塞类攻击。阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽而无法继续对外提供服务。（2）探测类攻击。探测类攻击主要收集目标系统与网络安全有关的各种信息，为下一步入侵做铺垫。（3）控制类攻击。控制类攻击是一类试图获得对目标主机控制权的攻击。（4）欺骗类攻击。欺骗类攻击包括IP欺骗和伪造消息攻击，前一种攻击主要通过冒充合法网络主机骗取敏感信息，后一种攻击主要通过配置或设置一些虚假信息来实施欺骗攻击。（5）漏洞类攻击。如果系统硬件或软件存在安全层面的脆弱性，则会导非法用户未经授权获得访问权限或提升自身访问权限。（6）破坏类攻击。破坏类攻击是指对目标主机上的各种数据与软件造成破坏性后果的一类攻击。网络攻击的一般模型1.5在一般情况下，网络攻击通常遵循一种行为模型，都要经过收集信息、获取权限、清除痕迹、深入攻击等阶段，如图1所示。然而，一些高明的入侵者会把自己隐藏得更好，利用“傀儡机”来实施攻击。入侵成功后，他们还会彻底清除入侵痕迹并留下后门，为日后实施攻击提供便利。图1网络攻击的一般模型02信息收集技术PRAT02信息收集技术2.0在对特定的网络资源进行攻击之前，攻击者需要了解将要攻击的环境，这就需要收集与目标系统相关的各种信息，包括主机数目、操作系统类型等。攻击者收集信息一般经过以下7个步骤，每一步均有可利用的工具。（1）找到初始信息。（2）找到网络的IP地址范围。（3）找到活动主机。（4）找到开放的端口和入口点。（5）弄清操作系统。（6）弄清每个端口上运行的是哪种服务。（7）画出网络图。信息收集技术2.0隐藏地址PART01确定目标主机PART02了解目标主机所在的网络结构PART03收集系统信息PART04收集信息的主要方法和步骤如下。信息收集技术2.0在对特定的网络资源进行攻击之前，攻击者需要了解将要攻击的环境，这就需要收集与目标系统相关的各种信息，包括主机数目、操作系统类型等。攻击者收集信息一般经过以下7个步骤，每一步均有可利用的工具。（1）找到初始信息。（2）找到网络的IP地址范围。（3）找到活动主机。（4）找到开放的端口和入口点。（5）弄清操作系统。（6）弄清每个端口上运行的是哪种服务。（7）画出网络图。网络踩点2.1网络踩点就是通过各种途径对所要攻击的目标进行多方面的了解，包括任何可得到的蛛丝马迹，但要确保信息的准确性，以便确定攻击的时间和地点。常见的网络踩点方法有以下几种：（1）查询域名及其注册机构。（2）了解公司性质。（3）对主页进行分析。（4）搜索电子邮件地址。（5）查询目标IP地址范围。常见的信息收集工具有以下几种：（1）ping、fping、pingsweep。（2）ARP探测。（3）Finger。（4）Whois。（5）DNS/nslookup。（6）Telnet。网络扫描2.2网络扫描方式有两种，分别是主动方式和被动方式。主动方式基于网络，通过执行一些脚本文件模拟对系统的攻击并记录系统的反应，从而发现其中的漏洞。被动方式基于主机，对系统中不合适的设置、脆弱的口令及其他与安全规则相抵触的对象进行检查。在一般情况下，被动方式扫描不会对系统造成破坏；而主动方式扫描会对系统进行模拟攻击，可能会对系统造成破坏。1．网络扫描方式网络扫描2.2主动方式扫描一般可以分为以下几种类型：（1）活动主机探测。（2）ICMP查询。（3）网络ping扫描。（4）端口扫描。（5）标识UDP和TCP服务。（6）指定漏洞扫描。（7）综合扫描。1．网络扫描方式网络扫描2.2网络扫描方式也可以分为慢速扫描和乱序扫描两大类。慢速扫描是指对非连续端口进行的源地址不一致、时间间隔较长且没有规律的扫描。由于一般扫描侦测器的实现逻辑是通过监视某个时间段内一台特定主机发起连接的次数（如每秒10次）来判断该主机是否正在被扫描，因而可以使用扫描速度慢一些的扫描软件进行扫描。乱序扫描是指对连续端口进行的源地址一致、时间间隔较短的扫描。1．网络扫描方式网络扫描2.2定义：网络扫描工具是一种能够自动检测远程或本地主机安全弱点的程序，通过它可以获得远程主机的端口分配情况、提供的服务及其版本信息。原理：网络扫描工具的工作原理是通过选用远程TCP/IP不同端口提供的服务，并记录目标主机给予的应答，收集关于目标主机的各种有用信息。2．网络扫描工具网络扫描2.2常用的网络扫描工具2．网络扫描工具（1）netenum和fping：用来查看哪些主机在线，以及进行IP地址段扫描（2）Nmap：用于检测操作系统的版本号（3）Superscan：用于检测目标主机是否在线，支持IP地址和域名相互转换（4）X-Scan：采用多线程方式对指定的IP地址或IP地址范围进行漏洞扫描（5）ARPing：ARPing用于探测MAC地址（6）netdiscover：netdiscover用于探测内网信息（7）Dmitry：用于获取目标主机的详细信息（8）WAF：用于检测网络服务器是否处于Web应用防火墙的保护状态网络监听2.3定义：网络监听是指通过截获他人网络通信中的数据流，从中非法提取重要信息的一种技术。作用：网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁，监听者可能会在两端进行监听。限制：网络监听的目的是截获通信的内容，监听的手段是利用现有网络协议的一些漏洞，不直接对受害主机系统的整体性进行任何操作或造成任何破坏。几种工具：（1）SnifferPro （2）嗅探经典Iris（3）密码监听工具WinSniffer （4）非交换环境局域网的fsiffere03常用的网络攻击手段PRAT03社会工程学攻击3.1定义：社会工程学是使用计谋和假情报去获得系统登录口令和其他敏感信息的科学。研究一个组织的策略之一就是尽可能多地了解这个组织，以及这个组织中的每个个体。攻击手段：社会工程学攻击通常利用大众疏于防范的心理，让受害者落入陷阱，主要以交谈、欺骗、假冒等方式从语言中套取敏感信息。攻击方式：1．打电话请求系统登录口令2．伪造电子邮件口令攻击3.2定义：口令认证是身份认证的一种手段，既可用于用户与主机之间的认证，也可用于主机与主机之间的认证。攻击方式：口令攻击是指使用某些合法用户的账户和口令登录目标主机实施攻击。这种攻击得以实施的前提是必须得到目标主机某个合法用户的账户。目标：攻击者的目标是破译用户口令。获得用户账户方法：（1）利用目标主机的Finger功能（2）利用目标主机的X.500服务（3）从电子邮件地址中收集（4）查看主机是否有习惯性账户口令攻击3.2一、口令攻击方法：1.通过网络监听非法得到用户口令2.在知道了用户账户（如电子邮件@前面的部分）后，利用一些专门的软件强行破解用户口令3.利用系统管理员的失误二、口令攻击技术1）暴力攻击 2）字典攻击3）组合攻击 4）针对口令存储的攻击5）针对Windows系统账户口令的攻击口令攻击3.2三、口令破解工具（1）L0phtCrack：是一个WindowsNT口令审计工具（2）NTSweep：利用微软允许用户改变口令的机制进行口令破解（3）NTCrack：NTCrack与UNIX中的破解类似（4）PWDump2：从SAM数据库中提取密码杂凑函数值（5）Crack：旨在快速定位UNIX口令弱点的口令破解程序（6）JohntheRipper：一个UNIX口令破解程序（7）XIT：执行字典攻击的UNIX口令破解程序（8）Slurpie：执行字典攻击和定制的暴力攻击漏洞攻击3.31．漏洞的基本概念漏洞是指硬件、软件或策略上的缺陷，可使攻击者在未经授权的情况下访问系统。2．产生漏洞的原因（1）人为因素，为了实现不可告人的目的（2）能力、经验不足，受编程人员能力、经验和当时的安全技术所限（3）客观因素，编程人员无法弥补硬件的漏洞3．漏洞涉及的范围漏洞涉及的范围很广，包括路由器、防火墙、操作系统本身及其支撑软件等。漏洞攻击3.34．漏洞的时间效应一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来。5．漏洞与网络攻击之间的关系网络攻击者往往是漏洞的发现者和使用者。如果不能发现和使用系统中存在的安全漏洞，那么攻击是不可能成功的。6．漏洞的类型（1）管理漏洞

（2）软件漏洞（3）结构漏洞

（4）信任漏洞漏洞攻击3.37．漏洞的分类（1）从用户群体的角度进行分类①大众类软件的漏洞，如Windows漏洞、IE漏洞等。②专用软件的漏洞，如Oracle漏洞、Apache漏洞等。（2）从作用范围的角度进行分类①远程漏洞②本地漏洞漏洞攻击3.37．漏洞的分类（3）从触发条件的角度进行分类①主动触发漏洞②被动触发漏洞（4）从时序的角度进行分类①已发现很久的漏洞②刚发现的漏洞③0day漏洞漏洞攻击3.38．已发布的漏洞早在2002年，SANS就发布了20个最危险的安全漏洞，并将其分为三大类，分别为影响所有操作系统的7个漏洞（G1～G7）、影响Windows操作系统的6个漏洞（W1～W6）和影响UNIX操作系统的7个漏洞（U1～U7）欺骗攻击3.4基本概念：欺骗攻击是利用TCP/IP协议本身的缺陷对网络实施攻击的一种复杂的攻击技术，主要有IP地址、ARP、DNS、Web、E-mail、Cookie、路由等欺骗攻击，也有一些非技术类欺骗攻击。几种常见的欺骗攻击：1．IP地址欺骗攻击2．IP源路由欺骗攻击3．E-mail欺骗攻击4．Web欺骗攻击5．DNS欺骗攻击DoS攻击3.5基本概念：DoS（DenialofService，拒绝服务）已经不是较早时候的DOS（DiskOperatingSystem，磁盘操作系统）了。DoS攻击是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。几种常见的DoS攻击：1．TCPSYN拒绝服务攻击TCPSYN（TransmissionControlProtocolSynchronizeSequenceNumbers）拒绝服务攻击利用了TCP/IP协议的固有漏洞，面向连接的TCP三次握手是TCPSYN拒绝服务攻击存在的基础DoS攻击3.51．TCPSYN拒绝服务攻击在一般情况下，一个TCP连接的建立需要经过三次握手的过程，如图2所示。如果目标服务器接收到大量TCPSYN报文，而没有接收到发起者的第三次ACK回应，就会一直等待，会把目标服务器有限的TCB资源耗尽，而不能响应正常的TCP连接请求，如图3所示。图2TCP三次握手协议图3TCPSYN拒绝服务攻击DoS攻击3.52．ICMP洪水和UDP洪水ICMP是TCP/IP协议簇中的一个子协议，用于在主机、路由器之间传递控制消息。如果攻击者向目标主机发送大量的ICMPECHO，产生ICMP洪水，则目标主机会忙于处理这些ECHO，而无法继续处理其他的网络数据报文，这也是一种拒绝服务攻击。UDP洪水的原理与ICMP洪水的原理类似，攻击者通过向目标主机发送大量UDP报文，导致目标主机忙于处理这些UDP报文而无法继续处理正常报文。04网络后门技术PRAT04网络后门4.1基本概念：简单地说，只要攻击者不通过正常登录流程就进入系统的途径都被称为网络后门。也可以认为网络后门是攻击者进入网络或系统而不被发现的隐蔽通道。作用：网络后门是保持对目标主机长久控制的关键策略，通常可以通过建立服务端口和克隆管理员账户来实现。攻击：如果攻击者获得了系统存取权限，则建立后门是相当容易的。如果攻击者没有完全获得系统存取权限，则可以借助木马来实现。常见的简单木马：（1）有NetBus远程控制软件

（2）“冰河”木马（3）PCAnyWhere远程控制软件网络代理跳板4.2当通过本地主机入侵其他主机的时候，本地主机的IP地址会暴露给对方。如果将某台主机设置为代理，通过该主机入侵其他主机，就会留下代理的IP地址，从而有效地保护本地主机的安全。虽然攻击者可以选择更多的代理级别，但是考虑到网络带宽的问题，一般选择2～3级代理比较合适。二级代理的基本结构如图4所示。图4二级代理的基本结构清除日志4.3在大多数情况下，攻击者入侵一个系统后，往往还想在适当的时候再次进入该系统。当攻击者成功获得了系统存取权限且达成了自己的预定目标后，还有最后一项关键工作，就是隐藏攻击痕迹，把所有能够证明他曾经来过的证据都掩盖起来。清除日志就是攻击者入侵的最后一步。清除日志4.31．清除IIS日志IIS服务器都会记录访问者的IP地址及访问时间等信息。这些信息位于Windows\System32\LogFiles目录下，如图5所示。图5IIS日志信息清除日志4.31．清除IIS日志打开任意文件夹下的任意文件，可以看到IIS日志的基本格式，里面记录了用户访问的服务器文件、用户登录时间、用户IP地址、用户使用的浏览器、操作系统版本号等信息，如图6所示。图6IIS日志信息要想清除IIS日志，最简单的方法是直接到该目录下删除这些文件。但是，全部删除文件一定会引起管理员的怀疑。一般入侵的过程是短暂的，相关信息只会被保存到一个Log文件中，只要在该Log文件中删除自己的所有记录就可以了。清除日志4.32．清除主机日志主机日志包括3类日志：应用程序日志、安全日志和系统日志。可以通过控制面板里面的事件查看器查看日志信息，如图7所示。图7包含日志信息的事件查看器清除日志4.32．清除主机日志使用clearel.exe工具可以方便地清除主机日志。首先将该工具上传到对方主机，然后执行如下命令，即可清除主机日志。ClearelSystemClearelSecurityClearelApplicationClearelAll清除日志4.32．清除主机日志上述4条命令分别用于清除系统日志、安全日志、应用程序日志和全部日志。命令执行完成后，再次打开事件查看器，可以发现里面已经清空了，如图8所示。图8清除日志后的事件查看器05本章小结PRAT04清除日志4.3网络攻击的目标主要是系统和数据。本章首先介绍了网络攻击的目标、手段、危害、分类和一般模型；其次介绍了信息收集技术，详细解释了网络踩点、网络扫描和网络监听；接着介绍了常用的网络攻击手段，包括社会工程学攻击、口令攻击、漏洞攻击、欺骗攻击、DoS攻击等；最后介绍了网络后门技术，包括网络后门的概念，以及如何设置网络代理跳板、清除日志等。感谢您的聆听！网络空间安全导论第六章

防火墙技术目录CONTENTS01防火墙的基本概念02防火墙的分类03防火墙的具体实现04防火墙的体系结构05防火墙的部署防火墙的体系结构本章小结0601防火墙的基本概念PRAT01防火墙是一种由软件程序或硬件设备组合而成的安全装置，通常位于企业内部局域网与互联网之间，其作用类似于古时候防止火灾蔓延的砖墙。它作为安全屏障，能够阻断来自外部网络对局域网未经授权的访问、威胁和入侵，同时管理内部局域网用户访问外界的权限，是介于安全可信的内部网络与不安全不可信的外部网络之间的封锁工具。防火墙的定义1.1防火墙的基本概念防火墙的定义1.1防火墙本质上是一种部署在不同网络区域（如内部网络和外部互联网）之间的安全屏障。它的核心职能是充当一个依据安全策略进行判断的检查点，对所有流经它的网络通信进行监控、过滤和控制。从功能上看，防火墙作为网络间的唯一通道，通过预先设定的安全规则，来决定允许或拒绝特定的数据通行。其根本目的是保护内部网络资源，只让被授权和可信的数据流入，同时将未经授权的访问、恶意攻击及可疑数据拦截在外，从而有效防止信息泄露和网络威胁，实现对网络安全的集中管理。简而言之，防火墙就像一个智能的网络“门卫”，它确保只有“同意”的人员和信息才能进入受保护的网络，而将“不同意”的访问者阻挡在外，是构建网络安全防线不可或缺的关键组件。防火墙的特性1.2防火墙作为保护网络安全的重要系统，主要具备以下三个基本特性：1.网络数据流必经特性：内部网络和外部网络之间的所有数据流必须经过防火墙。2.安全策略过滤特性：只有符合预设安全策略的数据流才能通过防火墙。3.强抗攻击能力特性：防火墙自身应具有非常强的抗攻击能力，这是它能够担当企业内部网络安全防护重任的先决条件。防火墙之所以具有非常强的抗攻击能力，首先归因于防火墙操作系统本身，只有自身具有完整信任关系的操作系统才可以保证系统的安全性；其次归因于防火墙自身非常低的服务层次，除了专门的防火墙嵌入系统，没有其他应用程序在防火墙上运行。防火墙的功能1.3功能类别功能描述阻止攻击性服务作为阻塞点和控制点，过滤不安全的服务（如禁止NFS协议），保护内部网络免受基于路由的攻击（如源路由攻击、ICMP重定向攻击）。集中安全管理作为安全策略中心，可集中配置各种安全机制（如口令、加密、身份认证、审计），比分散到各主机更经济、高效。监控与审计记录所有访问并生成日志，提供网络使用统计数据。当发现可疑动作时能发出预警，并提供受攻击的详细信息。检测扫描企图当检测到对内部计算机的扫描行为时，会发出警报，并可阻止该连接或跟踪攻击者的IP地址。防范特洛伊木马通过设定合法的应用程序列表，阻止列表外的程序建立外部连接，从而防止木马通信。防病毒功能支持扫描邮件附件、FTP下载文件中的病毒，并能从网页中检测并剥离危险的JavaApplet、ActiveX控件或脚本代码。支持VPN支持虚拟专用网技术，将分布在不同地域的网络安全地连接成一个整体，保障信息共享。防火墙的功能1.3缺点描述可能被绕过入侵者可以伪造数据绕过防火墙，或利用防火墙中可能存在的后门。无法防御内部攻击无法阻止来自网络内部的攻击（如内部员工泄露机密），据统计近一半的攻击来自内部。性能限制由于性能限制，通常不具备实时监控入侵行为的能力。无法防御所有新威胁作为一种被动防护手段，主要防御已知威胁，难以检测和防御最新的攻击（如新型DoS攻击、蠕虫病毒）。结论与补充入侵检测系统(IDS)

可以弥补防火墙的不足，为网络提供实时监控，是防火墙必要的补充。02防火墙的分类PRAT02按防火墙的发展史进行分类2.101第二代

电路层防火墙第一代

包过滤防火墙第四代

应用代理防火墙墙030204第四代

动态包过滤防火墙05第五代

自适应代理防火墙按防火墙的软、硬件形式进行分类2.2类型核心特点主要优缺点适用场景软件防火墙・运行于普通计算机・依赖操作系统・配置灵活优点：成本低、易升级缺点：依赖OS安全、占用资源个人用户、家庭网络、小型办公室硬件防火墙・基于PC架构・预装简化OS・即插即用优点：部署方便、性能较好缺点：仍依赖OS、成本较高中小型企业、部门级网络芯片级防火墙・专用硬件平台・无通用OS・ASIC芯片加速优点：速度极快、安全性最高缺点：价格昂贵、升级成本高大型企业、数据中心、高安全需求环境按防火墙技术进行分类2.3分类包过滤防火墙应用代理防火墙工作层次OSI参考模型的网络层和传输层OSI参考模型的应用层工作原理检查数据包的源/目标地址、端口号、协议类型等头部信息，并根据预设规则决定是否允许数据包通过。完全阻隔直接通信，为每种应用服务编制专用代理程序，作为中介来监视和控制所有应用层通信流。技术特点1.

通用：不针对特定服务，适用于所有网络服务。

2.

廉价：多由路由器集成，无需额外设备。

3.

有效：能满足绝大多数基本安全需求。1.

高安全性：能隐藏内部网络结构，对应用层内容进行深度检查。

2.

全面控制：能参与一个TCP连接的全过程，有效防御包过滤无法应对的应用层攻击（如SYN攻击、ICMP洪水）。核心优势速度快、效率高、对用户透明。安全性高，能提供更全面的内容过滤和攻击防护。03防火墙的具体实现PRAT033防火墙的具体实现1（1）工作效率高（2）逻辑简单（3）价格便宜（4）易于安装和使用2包过滤技术（1）新型防火