2025年网络信息安全核心攻略黑客防护秘籍

4751计算机网络安全

第1章结论

一、识记

1、计算机网络系统面临的经典安全威胁

答:窃听、重传、伪造、篡改、非授权访问、拒绝服务袭击、行为否认、旁路控制、电磁/射频截获、人

员疏忽。

2、计算机网络安全的定义

答：计算机网络安全是指运用管理控制和技术措施，保证在一种网络环境里,信息数据的机密性、完整

性及可使用性受到保护。

3、计算机网络安全的目的

答：①保密性;②完整性;③可用性;④不可否认性；⑤可控性。

4、P2DR模型的构造

答：PPDR模型是一种常用的网络安全模型，包括四个重要部分：P。Iicy（安全方略）、Protec

tion（防护）、Detection（检测）和Response（响应）。

5、网络安全的重要技术

答：①物理安全措施：②数据传播安全技术：③内外网隔离技术：④入侵检测技术：⑤访问捽制技术：

⑥审计技术;⑦安全性检测技术；⑧防病毒技术;⑨备份技术。

二、领会

1、OSI安全体系构造P.28

答:0SI安全体系构造不是能实现的原则，而是有关怎样设计原则的原则。

（I）安全服务。0SI安全体系构造中定义了五大类安全服务，也称为安全防护措施。

①鉴别服务;②访问控制服务;③数据机密性服务；④数据完整性服务;⑤抗抵赖性服务。

（2）安全机制。其基本的机制有:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别互换

机制、通信业务流填充机制、路由控制和公证机制。

2、计算机网络安全管理的重要内容P.26

答:①网络安全体系构造；②网络袭击手段与防备措施;③网络安全设计;④网络安全原则、安全评测及

认证;⑤网络安全检测技术；⑥网络安全设备；⑦网络安全管理，安全审计；⑧网络犯罪侦查；⑨网络安全理

论与政策；Q0）网络安全教育；（11）网络安全法律。

概括起来，网络安全包括如下三个重要部分：

①先进的技术；②严格的管理;③威严的法律。

3、网络安全威胁的发展趋势P.35

答：网络安全威胁的发展趋势

（1）与Internct愈加紧密地结合,运用一切可以运用的方式进行传播。

（2）所有的病毒都具有混合型特性,集文献传染、蠕虫、木马和黑客程序的特点于一身,破坏性大大增

强。

（3其扩散极快,而愈加重视欺骗性。

（4）运用系统漏洞将成为病毒有力的传播方式。

（5）无线网络技术的发展，使远程网络袭击的也许性加大。

（6）多种境外情报、谍报人员将越来越多地通过信息网络渠道搜集情报和窃取资料。

（7）多种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁。

(8)多种袭击技术的隐秘性增强，常规防备手段难以识别。

(9)分布式计算机技术用于袭击的趋势增强,威胁高强度密码的安全性。

(10)某些政府部门的超级计算机资源将成为袭击者运用的跳板。

(11)网络管理安全问题日益突出。

4、网络安全技术的发展趋势(网络安全重要实用技术的发展)巴35

答:网络安全技术的发展是多维的、全方位的，重要有如下几种：

①物理隔离;②逻辑隔离；③防御来自网络的袭击；④防御网络上的病毒；⑤身份认证;⑥加密通信和虚

拟专用网;⑦入侵检测和积极防卫;⑧网管、审计和取证。

三、应用

分析给定网络也许存在的安全威胁

第2章物理安全

一、识记

1、物理安全包括的重要内容P.41

答:重要包括如下几种方面

①机房环境安全；②通信线路安全;③设备安全；④电源安全。

2、机房安全规定和措施P.42

答：

3、硬件设备的使用管理巴50

答:①要根据硬件设备的详细配置状况,制定切实可行的硬件设备的操作使用规程，并严格按操作规程进

行操作；②建立设备使用状况日志，并严格登记使用过程的状况；③建立硬件设备故障状况登记表，详细记

录故障性质和修复状况；④坚持对设备遂行例行维护和保养，并指定专人负责。

4、电源对用电设备安全的潜在威胁

答:①脉动与噪声。②电磁干扰。当电源的电磁干扰比较强时，产生的电磁场就会影响到硬盘等磁性存

储介质，久而久之就会使存储的数据受到损害。

二、领会

1、机房安全等级划分原则P.41

答：机房的安全等级分为A类、B类和C类三个基本类别。

A类：对计算机机房的安全有产格的规定，有完善的计算机机房安全措施。

B类：对计算机机房的安全有较严格的规定,有较完善的计算机机房安全措施。

C类：对计算机机房的安全有基本的规定,有基本的计算机机房安全措施。

2、通信线路安全技术以49

答：

3、电磁辐射的防护措施P.51

防护措施重要有两类：

一类是对传导发射的防护,重要采用对电源线和信号线加装性能良好的滤波器,减小传播阻抗和导线间的

交叉耦合；

另一类是对辐射的防护，此类防护措施又可以分为两种：一种是采用多种电磁屏蔽措施，如对设备的金

属屏蔽和多种接插件的屏蔽，同步对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护

措施，即在计算机系统工作的同步,运用干扰装置产生一种与计算机系统辐射有关的伪噪声向空间辐射来掩盖

计算机系统的工作频率和信息特性。

为提高电了设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，重要的措施有屏蔽、隔离、渡

波、吸波及接地等，其中屏蔽是应用最多的措施。

4、机房供电的规定和方式P.53

答：对机房安全供电的方式分为三类：

一类供电：需建立不间断供电系统，

二类供电：需建立带备用的供电系统。

三类供电：按一般顾客供电考虑。

对机房安全供电的规定巴53

三、应用

根据所需建设的网络系统规定，分析机房安全、通信线路安全和供电的需求

第3章信息加密与PKI

一、识记

1、明文、密文、密钥、加密算法、解密算法等基本概念

答：明文(Plaintext)是作为加密输入的原始信息，即消息的原妗形式，一般用m或p表达。所有也许

明文的有限集称为明文空间,一般用M或P来表认「

密文(C1iphertext)是明文经加密变换后的成果,即消息被加密处理后的形式，一般用c表达。

密钥(Key)是参与空码变换的参数，一般用k表达。

加密算法(EncryptionA1gorithm)是将明文变换为密文的变换函)数,对应的变换过程称为加密，即

编码的过程，一般用E表达，即c=Ek(P)o

解密算法(DecryptionA1gorithm)是将密文恢复为明文的变换函数，对应的变换过程称为解

密，即解码的过程，一般用D表达，即p=D..(c)。

2、加密体制的分类P.61—63

答：密码体制从原理上可分为两大类：

①单钥或对称密码体制。最有影响的是DES算法，另有国际数据加密算法IDEAO

单铝密码算法的长处重要体目前其加密、解密处理速度快、保密度高等。

②双钥或非对称密码体制。最有名的是RSA密码体制,另有ElGamal算法。

双钥密码的长处是可以公开加密密钥，适应网络的开放性规定，且仅需保密解密密钥，因此密钥管理问

题比较简朴。缺陷是双钥密码算法一般比较复杂,加解密速度慢。

双钥密码体制的产生重要基于两个原因：一是为了处理常规密钥密码体制的密钥管理与分派的问题;二

是为了满足对数字签名的需求。

在双钥密码体制中，公开密钥是可以公开的信息,而私有密钥是需要保密的。

3、认证技术的分层模型P.77

答：认证技术分为三个层次：

①安全管理协议。重要任务是在安全体制的支持下,建立、强化和实行整个网络系统的安全方略。经典

的安全管理协议有公用管理信息协议(CMIP)、简朴网络管理协议(SNMP)和分布式安全管理协议(DSM)。

②认证体制。在安全管理协议的控制和密码体制的支持下,完毕多种认证功能。经典的认证体制有Korb

eros体制、X.509体制和LightKryptonight体制。

③密码体制。是认证技术的基础,它为认证体制提供数学措施支持。经典的密码体制有DES体制、RSA

体制。

4、常用的数据加密方式P.75

答:①链路加密；②节点加密；③端到端加密。

5、认证体制应满足的条件P.77

答：一种安全的认证体制应当至少满足如下规定

①意定的接受者可以检查和证明消息的合法性、真实性和完整性。

②消息的发送者对所发的消息不能抵赖,有时也规定消息的接受者不能否认收到的消息。

③除了合法的消息发送者外，其他人不能伪造发送消息。

6、PKI的基本概念和特点P.83

答:PKI是一种用公钥密码算法原理和技术来提供安全服务的通用型基础平台，顾客可运用PKI平台提供

的安全服务进行安全通信。

特点：透明性、一致性。

附：

1、密码学的发展经历了三个阶段:古代加密措施、古典密码和近代密码。

2、身份认证常用的方式重要有两种:通行字（口令）方式和持证方式。P.79

二、领会

1、单钥密码体制与双钥密码体制的区别P.61

答：①单钥密码体制的加密密钥和解密密钥相似，从一种可以推匕此外一种；双钥密码体制的原理是加

密密钥与解空空钥不一样，从一种难以推出另一种°②单铜密码体制基于替代和换侑措施：双钥密码算法基于

数学问题求解的困难性。③单钥密码体制是对称密码体制；双钥密码体制是非对称密码体制。

2、DES、IDEA、RSA加密算法的基本原理

答:DES即数据加密原则（DateEncryptionStandard）T11977年由美国国标局公布，是IBM

企业研制的一种对二元数据进行加密的分组密码，数据分组长度为64b",密文分组长度也是64bit,没有数据

扩展。密钥长度为64bit,其中有效密钥长度56bit,其他8bit为奇偶校验。DES的整个体制是公开

的，系统的安全性重要依赖于密钥的保密，其算法重要由初始置换IP、16轮迭代的乘积变换、逆初始转换

及16个子密钥产生器构成。P.66

IDEA是Internationa1DataEncryptionAlgorithm的缩写,即国际数据加密算法。它是根据

中国学者朱学嘉博，与著名密码学家Jd联sM”scy于1990年联合提出的提议原则算法PES改善而来

的。它的明文与密文块都是64bit,密钥长度为128biI,作为单钥体制的密码，其加密与解密过程雷同，

只是密钥存在差异JDEA无论是采用软件还是硬件实现都比较轻易，并且加解密的速度很快。P.69

RSA体制是由R.L.Rivest和L.Adleman设计的用数论构造双钥的措施，它既可用于加密，也可用

于数字签名。RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。P.72

3、认证的三个目的P.77

答:认证技术是防止不法分子对信息系统进行积极袭击的一种重要技术，其目的：

一是消息完整性认证,即验证信息在传送或存储过程中与否被篡改；

二是身份认证，即验证消息的收发者与否持有对的的身份认证符，如口令、密钥等；

三是消息的序号和操作时间（时间性）等的认证，其目的是防止消息重放或延迟等袭击。

4、手写签名与数字签名的区别P.78

答:手写签名与数字签名的重要区别在于：

一是手写签名是不变的，而数字签名对不一样的消息是不一样的,即手写签名因人而异，数字签名因消息

而异；

二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都轻易模仿，而数字签名是在密钥控制

下产生的,在没有密钥的状况下，模仿者;I乎无法模仿出数字签名。

5、数字签名与消息认证的区别P.82

答:数字签名与消息认证的区别是:消息认证可以协助接受方验证消息发送者的身份及消息与否被篡改。

当收发者之间没有利害冲突时，这种方式对于防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息

认证技术就无法处理纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。

6、PKI认证技术的构成P.84

答：公钥基础设施(Pub1icKeyInfrastructure,PKI),重要包括①CA认证机构。CA作为

数字证书签发机构，是PK1的关键，是FKI应用中权威的、可信任的，公正的第三方机构。②证书库。是CA

颁发证书和撤销证书的集中寄存在，是网上的一种公共信息库，供广大顾客进行开往式查询。③证书瞰销。

④密钥备份和恢复。⑤自动更新密钥。⑥密钥历史档案。⑦交叉认证。⑧不可否认性。⑨时间戳。⑩客户端

软件。

三、应用

将给定的明文按照给定的古典或单铜密码算法变换成密文巴64

答:教材中例子P.64

凯撒(Caesar)密码是对英文25个字母进行移位替代的密码，其q=26。这种密码之因此称为凯撒密

码，是由于凯撒使用过K=3(表达密文为该字理后第3个字母)的这种密码。使用凯撒密码，若明文为

M=Casesarcipherisashiftsubstitution

则空文为

C=Fdvhvduf1skhuIvdvk1iwvxevw1wxwlrq

教材中课后习题P.99第4题：

选择凯撒(Caesar)密码系统的密钥K=6。若明文为Caesar,密文是什么。

答:密文为Tgkygx

第4章防火墙技术

一、识记

1、防火墙的基本概念P.103

答：防火墙是位于被保护网络和外部网络之间执行访问控制方略的一种或一组系统，包括硬件和软件,它

构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。

2、防火墙的体系构造类型P.106

答：防火墙的体系构造一般有如下几种

①双重宿主主机体系构造；②屏蔽主机体系构造；③屏蔽子网体系构造。

3、个人防火墙的特点

答:个人防火墙的长处：

①增长了保护级别，不需要额外的硬件资源。

②个人防火墙除了可以抵挡外来袭击的同步，还可以抵挡内部的袭击。

③个人防火墙是对公共网络中的单个系统提供了保护，可认为顾客隐蔽暴露在网络上的信息，如IP地址

之类的信息等。

个人防火墙的缺陷：

①个人防火墙对公共网络只有一种物理接口，导致个人防火墙自身轻易受到威胁。

②个人防火墙在运行时需要战用个人计算机的内存、CPU时间等资源。

③个人防火墙只能对单机提供保护,不能保护网络系统。

4、防火墙的发展趋势

答：①优良的性能；②可扩展的构造和功能:③筒化的安装与管理;④积极过滤:⑤防病毒与防黑客;⑥发

展联动技术。

二、领会

1、防火墙的重要功能P.104

答:无论何种类型的防火墙都应具有五大基本功能：

(1)过滤进、出网络的数据

(2)管理进、出网络的访I、可行为

(3)封堵某些严禁的业务

(4)记录通过防火墙的信息内容和活动

(5)对网络袭击检测和告警

2、防火墙的局限性P.105

答:重要体目前如下几种方面

(1)网络的安全性一般是以网络服务的开放性和灵活性为代价

防火墙一般会使网络系统的部分功能被减弱。

①由于防火墙的隔离作用，在保护内部网络的同步使它与外部网络的信息交流受到阻碍；

②由于在防火墙上附加多种信息服务的代理软件,增大了网络管理开销,减慢了信息传播速率，在大

量使用分布式应用的状况下,使用防火墙是不切实际的。

(2)防火墙只是整个网络安全防护体系的一部分,并日防火墙并非万万一失

①只能防备通过其自身的非法访问和袭击,对绕过防火墙的访问和袭击无能为力；

②不能处理来自内部网络的袭击和安全问题；

③不能防止受病毒感染的文献的传播；

④不能防止方略配置不妥或错误配置引起的安全威胁；

⑤不能防止自然或人为的故意破坏；

⑥不能防止自身安全漏洞的威胁。

3、各类防火墙的特点

4、数据包过滤技术的工作原理P.110

答：包过滤防火墙工作在网络层，一般基于IP数据包的源地址、目的地址、源端口和目的端口迸行过

滤。它的长处是效率比较高，对顾客来说是透明的。缺陷是对于大多数服务和协议不能提供安全保障，无法有

效地辨别同一IP地址的不一样顾客，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报

警。

数据包过滤技术是在网络层对数据包进行选择，选择的根据是系统内设置的过滤逻辑，被称为访问控制

列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等原因或它们的组合，来

确定与否容许该数据包通过。

数据包过滤防火墙逻辑简朴，价格廉价，易于安装和使用，网络性能和透明性好，这一般安装在路由器

上。

数据包过滤防火墙的缺陷有两个：

一是非法访问一且突破防火墙,即可对主机上的软件和配置漏洞进行袭击；

二是数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有也许被窃听或假冒。

5、代理服务技术的工作原理P.116

答:代理服务器(Proxy)技术是一种较新型的防火墙技术,它分为应用层网关和电路层网关。

所谓代理服务器，是指代表客户处理连接祈求的程序。现代理服务器得到一种客户的连接意图时，它将

核算客户祈求，并用特定的安全化的Proxy应用程序来处理连接祈求，将处理后的祈求传递到真实的服务器

上，然后接受服务器应答，并深入处理后，将答复交给发出祈求的最终客户。代理服务器在外部网络向内部网

络申请服务时发挥了中间转接和隔离内、外部网络的作用，因此又叫代理防火墙。

代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清顾客应用层的流量.

并能在领客层和应用协议层间提供访问控制；并且，还可用来保持一种所有应用程序使用的记录。记录和控制

所有进出流量的能力是应用层网关的重要长处之一。

代理服务器(ProxyServer)作为内部网络客户端的服务器,拦截住所有祈求,也向客户端转发响应。

代理客户机(ProxyClienl)负责代表内部客户端向外部服务器发出祈求，当然也向代理服务器转发响应。

6、状态检测技术的工作原理P.119

答:基于状态检测技术的防火墙是由CheckPoint软件技术有限企业率先提出的，也称为动态包过滤防

火墙。基于状态检测技术的防火墙通过一种在网关处执行网络安全方略的检测引擎而获得非常好的安全特

性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的措施对网络通信的各层实行检测，它将

抽取的状态信息动态地保留起来作为后来执行安全方略的参照。检测引擎维护一种动态的状态信息表并对后

续的数据包进行检查，一旦发现某个连接的参数故意外变化,则立即将其终止。

状态检测防火墙监视和跟踪每一种有效连接的状态，并根据这些信息决定与否容许网络数据包通过防火

墙。它在协议栈底层截取数据包，然后分析这些数据包的目前状态，并将其与前一时刻对应的状态信息进行对

比，从而得到对该数据包的控制信息。

检测引擎支持多种协议和应用程序，并可以以便地实现应用和服务的扩充。当顾客访问祈求抵达网关操

作系统前，检测引擎通过状态监视器要搜集有关状态信息，结合网络配置和安全规则做出接纳、拒绝、身份认

证及报警等处理动作。一旦有某个访问造反了安全规则,该访问就会被拒绝,记录并汇报有关状态信息。

7、NAT技术的T作原理P.121

答:网络地址转换(NetworkAddressTranslation,NA?),这是一种Internet工程任务组

(1ntornctEngincoringTaskForee,IETF)的原则，容许一种整体机构以一种公用1P地址出目前

互联网上，这是一种把内部私有TP地址翻降成合法网络IP地址的技术。

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内

部地址替代成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享互联网连接，这一功能很好

地处理了公共IP地址紧缺的问题。通厘这种措施，可以只申请一种合六IP地址，就把整个局域网中的计算

机接入互联网中。这时,NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网

络计算机顾客一般不会意识到NAT的存在。

NAT功能一般被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

8、个人防火墙的重要功能P.135

答:①IP数据包过滤功能

②安全规划的修订功能

③对特定网络袭击数据包的拦截功能

④应用程序网络访问控制功能

⑤网络迅速切断/恢复功能

⑥日志记录功能

⑦网络袭击的报警功能

⑧产品自身安全功能

三、应用

防火墙的经典应用P.128

附：

从工作原理角度看,防火墙重要可以分为网络层防火墙和应用层防火墙。这两类防火墙的详细实现技术

重要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。

第5章入侵检测技术

一、识记

1、入侵检测的原理P.148

答：入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。

它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，

为防备入侵行为提供有效的手段。所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。

入侵检测提供了用于发现入侵袭击与合法顾客滥用特权的一种措施,其应用前提是：入侵行为和合法行为

是可辨别的，也即可以通过提取行为的模式特性来判断该行为的性质。

入侵检测系统需要处理两个问题:一是怎样充足并可靠地提取描述行为特性的数据,二是怎样根据特性数

据,高效并精确地鉴定行为的性质。

2、入侵检测的系统构造构成P.149

答：根据任务属性的不一样，入侵检测系统的功能构造可分为两个部分：中心检测平台和代理服务器。

3、入侵检测系统的分类P.149

答：(1)基于数据源的分类:基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文献完整

性检查系统。

(2)基于检测理论的分类：异常检测和误用检测。

(3)基于检测时效的分类:在线检测和离线检测。

4、分布式入侵检测的优势和技术难点P.163

答：分布式入侵检测的优势

①检测大范围的袭击行为；②提高检测的精确度；③提高检测效率;④协调响应措施。

分布式入侵检测的技术难点

①事件产生及存储；②状态空间管理及规则复杂度；③知识库管理；④推理技术。

5、入侵检测系统的重要原则的名称

答:①1ETF/IDWG。1DWG提出了三项提议草案：入侵检测消息互换格式(IDMEF)、入侵检测互换

协议(IDXP)及隧道轮廓(TunnelProfile);

②CIDF。CIDF的工作集中体目前四个方面：IDS的体系构造、通信机制、描述语言和应用编理接口

AP1O

二、领会

1、入侵检测系统的分析模型P.152

答：分析是入侵检测的关键功能。入侵检测分析处理过程可分为三个阶段：

①第一阶段重要进行分析引擎的构造，分析引擎是执行预处理、分类和后处理的关键功能；

②第二阶段，入侵分析重要进行现场实际事件流的分析,在这个阶段分析器通过度析现场的实际数据，

识别出入侵及其他重要的活动；

⑤第三阶段,与反馈和提炼过程相联络的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测

在这个阶段的活动重要体目前基于新袭击信息对特性数据库进行更新,与此同步,某些误用检测引擎还对系统

迸行优化工作,如定期删除无用记录等。对于异常检测，历史记录特性轮廓的定期更新是反馈和提炼阶段的重

要工作。

2、误用检测和异常检测的基本原理P.I53~156

3、CIDF体系构造构成P.169

答:CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一种通用模型，将入侵检测

系统分为四个基本组件,事件产生器、事件分析器、响应单元和事件数据库。

在该模型中，事件产生器、事件分析器和响应单元一般以应用程序的形式出现，而事件数据库则是以文

献或数据流的形式。C1DF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统口

志或其他途径得到的信息。

以上四个组件只是逻辑实体，一种组件也许是某台计算机上的一种进程甚至线程，也也许是多种计算机

上的多种进程，它们以G1DO（统一入侵检测对象）格式进行数据互换。

第6章网络安全检测技术

一、识记

U安全威胁的概念P.181

答:安全威胁是指所有可以对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产

生阻碍、破坏或中断的多种原因。

2、安全漏洞的概念P.182

答：安全漏洞是在硬件、软件和协议的详细实现或系统安全方略上存在的缺陷，从而可以使袭击者可以

在未授权的状况下访问或破坏系统。

3、端口扫描的基本原理P.184

答:端口扫描的原理是向目的主机的TCP/IP端口发送探测数据包，并记录目的主机的响应。通过度析

响应来判断端门是打开还是关闭等状态信息°根据所使用通信协议的不一样.网络通信端口可以分为TCP端

口和UDP端口两大类,因此端口扫描技大也可以对应地分为TCP端口花描技术和UDP端口扫描技术。

二、领会

1、网络安全漏洞威胁等级的划分措施P.181

2、网络安全漏洞的分类措施P.182

答：漏洞的分类措施重要有①按漏洞也许对系统导致的直接威胁分类；②按漏洞的成因分类两大类。

3、操作系统类型探测的重要措施匕185

答：由于操作系统的漏洞信息总是与操作系统的类型和版本相联络的，因此操作系统类型信息是网络安

全检测的一种重要内容。

操作系统探测技术重要包括：

①获取标识信息探测技术；

②基于TCP/IP协议栈的操作系统指纹探测技术；

OICMP响应分析探测技术。

4、信息型漏洞探测和袭击型漏洞探测技术的原理P.186

答：（1）信息型漏洞探测原理：大部分的网络安全漏洞都与特定的目的状态直接有关，因此只要对目的的

此类信息进行精确探测就可以在很大程度上确定目的存在的安全漏洞。该技术具有实现以便、对目的不产生

破坏性影响的特点，广泛应用于各类网络安全漏词扫描软件中。其局限性之处是对于详细某个漏洞存在与

否，难以做出确定性的结论。这重要是由于该技术在本质上是一种间接探测技术，探测过程中某些不确定原

因的影响无法完全消除。

为提高漏洞探测的精确率和效率，引进如下两种改善措施：

次序扫描技术，可以将搜集到的漏洞和信息用于另一种扫描过程以进行更深层次的扫描一一即以并行方

式搜集漏洞信息,然后在多种组件之间共享这些信息。

多重服务检测技术，即不按照RFC所指定的端口号来辨别目的主机所运行的服务，而是按照服务自身的

真实响应来识别服务类型。

(2)袭击型漏河探测原理:模拟袭击是最直接的漏洞探测技术,其探测成果的精确率也是最高的。该探测

技术的重要思想是模拟网络入侵的般过程，对目的系统进行无恶意袭击尝试，若袭击成功则表明对应安全漏

洞必然存在。

模拟袭击技术也有其局限性，首先，模拟袭击行为难以做到面面俱到，因此就有也许存在某些漏洞无法

探测到;另一方面,模拟袭击过程不也许做到完全没有破坏性,对目的系统不可防止地会带来一定的负面影响。

模拟袭击重要通过专用袭击脚本语言、通用程序设计语言和成形的袭击工具来进行。

附:按照网络安全漏洞的可运用方式来划分，漏洞探测技术可以分为信息型漏洞探测和袭击型漏洞探

测。P.186

按解漏洞探测的技术特性，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目的的探测

技术和基于网络的探测技术等。P.186

第7堂计算机病毒与恶意代码

一、识记

U计算机病毒的定义P.199

答:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，

并能自我复制的一组计算机指令或者程序代码。

2、计算机病毒的重要危害P.202

答：①直接破坏计算机数据信息;②占用磁盘空间和对信息的破坏；③抢占系统资源;④影响计算机运行

速度；⑤计算机病毒错误与不可预见的危害；⑥计算机病毒的兼容性对系统运行的影响；⑦给顾客导致严重的

心理压力。

3、计算机病毒的防备手段巴216

答：①特性代码法；②检查和法;0亍为监测法;④软件模拟法。

4、恶意代码的特性与分类P.222

答:①恶意的目的；②自身是程序;③通过执行发生作用。

5、恶意代码的防备措施P.228

答:①及时更新系统，修补安全漏河；②设置安全方略，限制脚本程序的运行;③启用防火墙，过滤不必要

的服务和系统信息；④养成良好的上网习惯。

二、领会

1、计算机病毒的特性P.201

答：根据计算机病毒的产生、传染和破坏行为的分析，计算机病毒一般具有如下特性：

①丰授权可执行性；②隐蔽性；③传染性；④潜伏性;⑤体现性或破坏性；⑥可触发性。

2、计算机病毒的分类P.208

答:计算机病毒的分类有：

(1)按照病毒袭击的系统分类

①袭击DOS系统的病毒；②袭击Windows系统的病毒；③袭击UNIX系统的病毒；④袭击CS/2系

统的病毒。

(2)按照病毒的袭击机型分类

①袭击微型计算机的病毒；②袭击小型机的计算机病毒；③袭击工作站的计算机病毒。

(3)按照病毒的链接方式分类

①源码型病毒；②嵌入型病毒;③外壳型病毒;④操作系统型病毒。

(4)按照病毒的破坏状况分类

①良性计算机病毒；②恶性计算机病毒。

(E)按照病毒的寄生方式分类

①引导型病毒；②文献型病毒；③复合型病毒。

(6)按照病毒的传播媒介分类

①单机病毒；②网络病毒。

3、常用计算机病毒检测手段的基本原理P.216

答：(1)特性代码法。实现环节：①采集已知病毒样本;②在病毒样本中，抽取特性代码。③打开被检

测文献，在文献中搜索，检查文献中与否有病毒数据库中的病毒特性代码。

特性代码法的特点:①速度慢；②误报警率低；③不能检查多形性病毒；④不能对付隐蔽性病毒C

(2)检查和法。将正常文献的内容，计算其校验和，将该检查和写入文献中或写入别的文献中保留。在

文献使用过程中,定期地或每次使用前,检查文献目前内容算出的校验和与本来保留的校验和与否一致,因而可

以发现文献与否感染,这种措施称为校验和法，这既可以发现已知病毒，又可以发现未知病毒。

(3)行为监测法。运用病毒特有行为特性来监测病毒的措施，称为行为监测法。通过对病毒数年的观

测、研究，有某些行为是病毒的共同行为，并且比较特殊。在正常程序中，这些行为比较罕见。当程序运行

时，监视其行为，假如发现了病毒行为，立即报警c

(4)软件模拟法。多态性病毒每次感染都变化其病毒密码，对付这种病毒，特性代码法失效。由于多

态性病毒代码实行密码化,并且每次所用密钥不一样,把染毒的病毒代码互相比较，也无法找出相似的也许用为

特性的稳定代码。虽然行为检测法可以检测多态性病毒，不过在检测出病毒后，由于不懂得病毒的种类，难于

讲行消毒处理C

软件模拟法可以检测多态性病毒,这是一种软件分析器，用软件措施来模拟和分析程序的运行。新型检

测工具纳入了软件模拟法，该类工具开始运行时，使用特性代码法检测病毒，假如发现隐蔽病毒或多态性病毒

嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码后，再运行特性代码法来识别病毒的种

类。

4、恶意代码的关键技术P.222

答:恶意代码的重要关键技术有：

①生存技术。重要包括4个方面：反跟踪技术、加密技术、模糊变换技术和自动生产技术。

②袭击技术。常见袭击技