admin管理员组文章数量:1566612
目录
网络安全 第二章计算机网络安全概述笔记
网络安全 第二章 计算机网络安全概述题目
网络安全 第三章 消息认证技术笔记
网络安全 第三章 消息认证题目
网络安全 第四章 身份认证技术笔记
网络安全 第四章 身份认证技术题目
网络安全 第五章 系统漏洞与扫描技术笔记
网络安全 第五章 系统漏洞与扫描技术 题目
网络安全 第六章 黑客与网络攻击笔记
网络安全 第六章 黑客与网络攻击 题目
网络安全 第七章 计算机病毒笔记
网络安全 计算机病毒类型题目
网络安全 第八章 网络安全协议笔记
网络安全 第八章 网络安全协议题目
网络安全 第九章 防火墙技术笔记
网络安全 第九章 防火墙技术题目
网络安全 第十章 入侵检测技术
网络安全 第十章 入侵检测技术题目
网络安全 第二章计算机网络安全概述笔记
一、影响信息安全的隐患(脆弱性)有: 先天不足、天灾、人祸。
先天不足:开放性的网络环境、网络协议有缺陷、系统软件有缺陷。
开放性的网络: INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接。
网络协议有缺陷: (1)网络应用层的安全隐患(比如FTP,默认情况下是以明文发送数据的)、(2)IP层通信的欺骗性(假冒身份)、(3)局域网中以太网协议的数据传输机制是广播发送,使得系统和网络具有易被监视性(监听账号和密码)。
系统软件有缺陷:操作系统有漏洞、应用软件有陷门(陷门指的是一个程序模块的秘密未记入文档的入口)、数据库管理系统的脆弱性。
SQL Server数据库,超级管理员sa
MySQL数据库,信息数据库Information_Schema
天灾:自然环境。(要做好数据备份)
人祸:(1)操作失误:误删重要文件、密码口令使用不当、安全配置不合理、防范意识差、病毒泛滥。(2)恶意破坏:计算机犯罪、黑客攻击内部泄露、外部泄密、信息丢失、电子谍报、信息战。
解决方案:提高系统的自我保护功能,对人员的技术培训。
二、网络信息系统安全的目标
计算机安全——信息安全的静态定义
为数据处理系统建立和采用的技术上和管理上的安全保护,保护计算机硬件、软件数据不因偶然
和恶意的原因遭到破坏、更改和泄露。
网络安全——信息安全的动态定义
从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不因自然因素或人为因素而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
希望达到网络信息系统安全的目标主要有以下五个:
(1).保密性(Confidentiality) (2).完整性(Integrity)
(3).可用性(Availability) (4).抗否认性(Non-repudiation)
(5).可控性(Controllability)
保密性:信息不泄漏给非授权的用户、实体和过程,不被非法利用的特性(防泄密)。
静态保密性+动态保密性
实现:访问控制+加密技术
完整性:数据未经授权不能被改变的特性(防篡改)
实现:访问控制+消息认证技术
可用性:信息可被授权实体访问并按需求使用的特性(防中断)
攻击:拒绝服务攻击
实现:备份+冗余配置
抗否认性:能保证用户无法在事后否认曾对信息进行的生成、签发、接收等行为。
实现:数字签名+公证机制
可控性:对信息的传播及内容具有控制能力的特性。
实现:握手协议+认证+访问控制列表
三、信息安全的主要分支
(一)、大数据隐私
从正面来说,大数据挖掘是创造价值 例:订披萨
从负面来说,大数据挖掘是泄露隐私 例:人肉搜索
大数据时代的隐私保护 例:匿名、数据脱敏
(二)、恶意代码与病毒
指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
如果普通代码是佛,那么恶意代码就是魔
(三)、黑客 ( 网络空间中的“孙悟空”)
精通计算机技术,善于发现互联网漏洞并且侵入他人计算机系统进行查看,更改,窃取数据或者干扰计算机程序的人。
(四)、社会工程学
指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人来收集信息、行骗和入侵计算机系统的行为。
典型例子:电话诈骗术
(五)、密码
加密:把明白的东西(明文)变糊涂(密文) 解密:把糊涂的东西(密文)搞明白(明文)
(六)认证
指通过某种手段,完成对某种信息的确认,保证和其声称的一样。
身份认证的三种方式:基于某种知道的秘密,基于某种拥有的物件,基于某种行为或者生理
特征。
(七)信息隐藏
隐写术:将秘密信息隐藏到看上去普通的信息中进行传送
数字水印技术:将一些标识信息直接嵌入数字载体当中,但不影响原载体的使用价值,也不易被人知觉。
(八)区块链
区块链的本质是一个特殊的分布式数据库:
1. 任何人都可以架设服务器,加入区块链
2. 所有节点同步保持一致
3. 无中心,无管理员
4. 内容不可篡改
5. 历史可追溯 类比:基因链
(九)防火墙
架设在互联网与内网之间的治安系统,根据企业预定的策略来监控往来的传输。
(十)入侵检测
一种网络安全设备或应用软件,可以监控网络传输或者系统,检查是否有可疑活动或者违反企业的政策。侦测到时发出警报或者采取主动反应措施。
(十一)安全熵
对系统安全的一种度量
(十二)安全管理学为实现某种安全目标,运用管理职能进行的协调过程
举例:密码,是一种好的安全手段,但是实际中人们用得不够好,可用性比较差(三分技术,七分管理)
四、信息安全的主要内容:物理安全、运行安全、管理和策略
物理安全
指保护计算机设备、网络、以及其他设施免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。环境安全、设备安全、媒体(介质)安全。
运行安全
提供一套安全措施来保护信息处理过程的安全,其目的是保障系统功能的安全实现。
软件安全,涉及信息存储、传输、处理的各类操作系统、应用程序以及网络系统不被篡改或破坏,不被非法操作或误操作,功能不会失效、不被非法复制。
运行服务安全,网络中的各个信息系统能够正常运行并及时、有效、准确地提供信息服务
数据安全,保证数据在存储、处理、传输和使用过程中的安全。
运行安全:访问控制、加密鉴别、病毒防护、操作系统安全、数据库安全、网络安全备份与恢复、应急、风险分析、审计跟踪等
管理和策略:安全立法、安全管理、安全策略(保障信息安全的三个层次)。
安全策略 (是计算机网络安全的重要保证)
是指在一个特定的环境中,为保证提供一定级别的安全保护所必须遵循的规则。
正确的策略会对解决安全相关问题产生积极的推进作用。
策略的设计者总是制定两个假设:策略正确,并明确区分系统状态处于“安全”和“不安全”,
安全机制阻止系统进入一个“不安全”的状态。
机制是被正确执行的
P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系
的代表模型,也是动态安全模型的雏形。
包括以下四方面
策略(Policy) 保护(Protection) 检测(Detection)响应(Response)
总体描述:
P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
Policy
策略是模型的核心,所有的防护、检测和反应都是依据安全
策略实施的。网络安全策略一般包括总体安全策略和具体安
全策略两个部分。
Protection
根据系统可能出现的安全问题而采取的预防措施。这些措施通过传统的静态安全技术实现。
Detection
当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。检测是动态响应的依据。
Response
系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
P2DR2模型
在P2DR模型的基础上,将恢复(Recovery)系统从响应系统中分离出来。
五、信息安全的模型
什么是安全模型?
安全模型是用于精确地和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理
由。
安全目标:保密性、完整性、可用性
最早的安全模型是基于军事用途而提出的:1965年,失败的Multics操作系统
主体:引起信息流动或改变系统状态的主动实体。如用户、程序、进程等。
客体:蕴含或接收信息的被动实体,信息的载体。如DB、表、元组、视图等。
控制策略:指主体对客体的操作行为集和约束条件集
安全级:主体和客体的访问权限,一般主体安全级表示主体对客体敏感信息的操作能力,
客体安全级表示客体信息的敏感度。
访问控制的分类:
强制访问控制(MAC)
自主访问控制(DAC)
基于角色的访问控制技术(RBAC)
基于属性的访问控制(ABAC)
基于任务的访问控制(TBAC)
基于对象的访问控制(OBAC)
强制访问控制(MAC):
Mandatory Access Control
1.通过无法回避的存取限制来防止各种直接的或间接的攻击。
2.系统给主、客体分配了不同的安全级,并通过主体和客体的安全级的匹配比较决定是否允许访问继续进行。
3.为了保护系统确定的对象,用户不能改变他们的安全级别或对象的安全属性
4.需划分安全等级,常用于军事用途
自主访问控制(DAC)
Discretionary Access Control
1.是基于一种访问控制规则实现主体对客体的访问。这种控制规则是自主的。
2.自主是指某一主体能直接或间接的将访问权或访问权的某些子集授予其他主体。
3.通过访问控制列表控制,常用于商业系统
基于角色的访问控制(RBAC)
Role-Based Access Control
1.核心思想是将权限同角色关联起来,而用户的授权则通过赋予相应的角色来完成,用户所能访问权限就由该用户的所有角色的权限集合的并集决定
2.先将访问权限与角色相关联,然后再将角色与用户相关联,实现了用户与访问权限的逻辑分离
基于属性的访问控制(ABAC)
Attribute-Based Access Control
主要是针对面向服务的体系结构和开放式网络环境要能够基于访问的上下文建立访问控制策略,处理主体和客体的异构性和变化性
不能直接在主体和客体之间定义授权,而是利用它们关联的属性作为授权决策的基础,并利用属性表达式描述访问策略
基于任务的访问控制(TBAC)
Task-Based Access Control
一种采用动态授权且以任务为中心的主动安全模型在授予用户访问权限时,不仅仅依赖主体、客体,还依赖于主体当前执行的任务和任务的状态从任务的角度,对权限进行动态管理,适合分布式环境和多点访问控制的信息处理控制
基于对象的访问控制(OBAC)
Object-Based Access Control
将访问控制列表与受控对象相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合允许策略和规则进行重用、继承和派生操作对信息量大、信息更新变化频繁的应用系统非常有用,可以减轻由于信息资源的派生、演化或重组带来的分配、设定角色权限等的工作量
多级安全模型 由David Bell 和 Leonard La Padula提出
1.将数据划分为多个安全级别与敏感度的系统,称为多级安全系统。
2.BLP保密性模型(第一个)基于强制访问控制系统五个安全等级(公开、受限,秘密,机密,高密)(从低到高)
两种规则(上读,下写)(上不可读,下不可写) (即高安全级别的人不可向 低安全级别的文件写入东西,低级别的不能读取高级别的)
3.BIBA完整性安全模型基于强制访问控制系统对数据提供了分级别的完整性保证五个安全等级(公开、受限,秘密,机密,高密)两种规则(下读,上写)(下不可读,上不可写)
(高安全级别的人不能读取低级别的,低级别的不能写入高级别的)
4.Clark-Wilson完整性模型(商用)
由计算机科学家David D. Clark和会计师David R.Wilson发表于1987年,并于1989年进行了修订数据的完整性:保证数据处于一个一致性状态数据操作的完整性:保证事务处理被正确执行
多边安全模型
Lattice安全模型
通过划分安全边界对BLP模型进行了扩充
在不同的安全集束(部门、组织等)间控制信息的流动
一个主体可以从属于多个安全集束,而一个客体仅能位
于一个安全集束
Chinese wall模型
由Brewer和Nash提出
一种同等考虑保密性和完整性的访问控制模型主要用于解决商业应用中的利益冲突问题设计思想是将一些可能会产生访问冲突的数据分成不同的数据集,并强制所有主体最多只能访问一个数据集,而选择访问哪个数据集并未受强制规则的
限制
访问数据受限于主体已经获得了对哪些数据的访问权限
网络安全 第二章 计算机网络安全概述题目
单选题
1.以下保证服务器可以及时响应用户的访问需求的特性是信息的()正确答案:C 可用性
A、保密性 B、完整性 C、可用性 D、抗否认性 E、可控性
2.数据未经授权不能被访问的特性指的是信息的( ) 正确答案:A 保密性
A、保密性 B、完整性 C、可用性 D、可控性
3.保证数据在存储、处理、传输和使用过程中的安全是属于() 正确答案:D 数据安全
A、硬件安全 B、软件安全 C、运行服务安全 D、数据安全
4.维基解密的创始之一是() 正确答案: B . 阿桑奇
A、斯诺登 B、阿桑奇 C、莫里斯 D、 希拉里
5.使服务器能有效地抵御黑客的DDOS攻击是属于(运行服务安全)
(多选题)以下属于多边安全模型的是 (DE)
A、BLP B、BIBA
C、Clark-Wilson D、Lattice E、Chinese-Wall
对Clark-Wilson模型的描述正确的是 (B C)
A、是一个确保商业数据保密性的访问控制模型 B 、偏重于满足商业应用的安全需求
C、主要是保证事务处理被正确执行 D、属于基于任务的访问控制
以下属于网络协议的缺陷的是(ABC)
A、黑客冒充合法用户的IP地址访问服务器,窃取信息
B、黑客利用监听软件截取在网络上传输的信息
C、通常,互联网上的信息都是以原文的形式进行传输的
D、有时网络上传输的数据会出现丢包的现象
互联网所带来的安全问题有哪些?(ABCD)
A、隐私泄露 B、信息丢失 C、经济损失 D、威胁国家安全
已知BIBA模型中对主、客体设置了由低到高的五个安全等级(公开、受限、秘密、机密、高密),假设主体kevin的安全级为机密,则Kevin对哪个安全级的客体具有的写的权限 (ABC)
BIBA是下不可读上不可写,所以选ABC
A、公开 B、秘密 C、机密 D、高密
以下对基于任务的访问控制描述正确的是(AC)
A、一种采用动态授权且以任务为中心的主动安全模型
B、能够基于访问的上下文建立访问控制策略,处理主体和客体的异构性和变化性
C、适合分布式环境和多点访问控制的信息处理控制
D、能够根据相关实体属性的变化,适时更新访问控制决策,从而提供一种更细粒度的、更加灵活的访问控制方法
假设用户User拥有(“石油业务-公司B”,“金融业务-公司A”)的客体信息,则此时User再请求下列哪些客体信息会被拒绝? (AD)
A.石油业务-公司A
B.石油业务-公司B
C.金融业务-公司A
D.金融业务-公司B
以下属于人为造成的信息安全隐患有(ABCD)
A.登录密码使用654321
B.收到中奖信息的链接,马上去点击链接领奖
C.将公司内部的保密文件发送给很要好的朋友去分享
D.作为数据库管理员,一般都是将数据库备份文件存储在服务器的E盘上
已知BLP模型中对主、客体设置了由低到高的五个安全等级(公开、受限、秘密、机密、高密),假设主体kevin的安全级为机密,客体1的安全级为秘密,客体2的安全级为高密,则Kevin对客体1和客体2具有的访问权限是(AD)
A.对客体1的读权限
B.对客体1的写权限
C.对客体2的读权限
D.对客体2的写权限
在教室借用管理系统中,学生通过系统查阅到可用的教室后,需首先在系统中填写借用教室的相关信息(教室、使用时间等),提交给教务处管理员,教务处管理员确认无误后,就可以在系统中审核通过,发送信息告知教室管理员,并给学生发送确认清单,学生需凭借该确认清单在教室管理员处领取教室钥匙。请问,在这个教室借用管理系统中,都使用了哪些访问控制?
(基于角色的访问控制&&基于任务的访问控制)
以下对震网病毒的描述正确的是(是一种蠕虫病毒&&第一个专门定向攻击真实世界中基础(能源)设施的病毒&&可能是新时期电子战争中的一种武器)
填空题
BLP是第一个基于强制访问控制系统设计实现的____模型(保密性)
判断题
1.Lattice模型属于多级安全模型,要求一个主体可以从属于多个安全集束,而一个客体仅能位于一个安全集束 (错)
2.所谓强制访问控制,就是指主体和客体的安全级是由系统确定的,而不能根据自己的喜好进行改变(对)
3.强制访问控制常用于商业用途,自主访问控制常用于军事用途(错)
网络安全 第三章 消息认证技术笔记
网络常见攻击方式
信息网络安全攻击类型
对信息网络安全的攻击有两种类型:
被动攻击: 通过侦听和截取手段获取数据 (加密技术)
主动攻击: 通过伪造、重放、篡改、乱序等手段改变数据 (认证技术)
认证(Authentication)
指通过某种手段,完成对某种信息的确认,保证和其声称的一样,通俗地说,就是验明正身,防止有人冒充。
认证是防止主动攻击的重要技术
认证技术概述
认证的种类
身份认证
是用户向系统出示自己身份证明的过程;
是系统查核用户身份证明的过程。
认证技术
基于秘密信息的身份认证
基于信任物体的身份认证
基于生物特征的身份认证
基于秘密信息的身份认证——根据用户独知的东西
来证明身份
依靠一段设定的密码
依靠某个问题的答案
依靠动态口令
容易泄露,截获,安全性不高
基于信任物体的身份认证——根据用户所拥
有的东西来证明身份
依靠某种智能卡
依靠身份证
依靠某种电子指环(交互信号)或者电子钥匙
(磁场和声音)
基于生物特征的身份认证——根据用户独特的体征
来证明身份
依靠生理特征
指纹,视网膜,虹膜、脸型… …
依靠签名、语音等
消息认证
又称为鉴别、确认,它是验证所收到的消息确实是来自真正的发送方且未被修改的消息,
它也可验证消息的顺序和及时性。
消息认证的内容
寄件人——消息来源(报文源)的鉴别
收件人——消息归宿(报文宿)的鉴别
寄出时间——消息的序号和操作时间(报文时间性)的鉴别
信件内容——消息内容(报文内容)的鉴别
行为认证
利用用户行为特征对其身份进行认证
经典故事:关宏峰V.S.关宏宇、行走步态
以用户行为认证为基础的风险防控机制
权限认证
一般指根据系统设置的安全规则或者安全策略,对用户身份进行认证,并且用户可以访问而且只能访问自己被授权的资源,不多不少。
权限认证的要素:角色、权限、用户
经典故事:兵符虎符
加密——加密整个报文,以报文的密文作为鉴别
报文鉴别码——依赖公开的函数对报文处理,生成定长的鉴别标签
报文摘要——将任意长度的报文变换为定长的报文摘要,并加以鉴别
数字签名——通信双方在网上用公钥密码交换信息,是防止伪造和欺骗的一种身份认证
加密消息认证
消息认证的内容
报文源 报文宿 报文时间 报文内容
对称密码与公钥密码的鉴别方法不同
报文源的鉴别方法
对称密码体制的鉴别方法
若B能用与A相同的密钥对密文正确解密,则可确认报文源条件:别人不知道该密钥
公钥密码体制的鉴别方法
若B能用A的公钥对密文正确解密,则可确认报文源 (此时只能认证不能保密)
报文宿的鉴别方法
对称密码体制的鉴别方法
若A在报文中加入B的识别码IDB,则可确认报文宿
公钥密码体制的鉴别方法
若B能用自己的私钥对密文正确解密,则可确认报文宿(此时只能保密不能认证)
报文鉴别实现消息认证
MAC函数
MAC函数是多对一函数
基于DES的报文鉴别码是使用最广泛的MAC算法之一采用CBC工作模式,只保留最后一个加密分组,作为DAC(数据认证码),也可以只取M位
若接收方计算的MAC与收到的MAC匹配
接收方可以相信消息未被修改
接收方可以相信消息来自真正的发送方
如果消息中含有序列号(如HDLC, X.25, TCP),那么接收方可以相信消息顺序是正确的
MAC的特点:
MAC函数与加密的区别之一是,MAC算法不要求可逆性
MAC不能提供数字签名
报文鉴别VS常规加密
保密性与真实性是两个不同的概念 根本上,报文加密提供的是保密性而非真实性
加密代价太大(公钥算法代价更大) 鉴别函数与保密函数分离能提供功能上的灵活性
某些报文只需要真实性,不需要保密性 广播的报文难以使用加密(信息量大)
SNMP网络管理报文等只需要真实性.
报文摘要实现消息认证
Message Digest,MD
是报文鉴别码的一个变种。
将可变长度的报文M作为单向散列函数的输入,然后得出一个固定长度的散列值h,这个h就称为报文摘要。
h=H(M)
这个散列函数,又称哈希(Hash)函数也称为指纹函数、杂凑函数、压缩函数… …
特点
从一个报文生成一个MD代码是容易的,但反过来从一个代码
生成一个报文则实际上是不可能的;
消息中的任何一位或多位的变化都将导致该散列值的变化,即:保证不同的报文不会得出同样的MD代码。
散列函数(Hash)
没有正式的数学基础,而是依靠算法的复杂性产生随机的输出来满足对其功能的要求。
散列函数是公开的,一般不涉及保密密钥
用于完整性校验和提高数字签名的有效性
对Hash函数的要求
H(x)可应用于任意大小的消息
H(x)能产生定长的输出
对任何给定的x,计算H(x)比较容易
对任何给定的hash值h,找到满足H(x)=h的x在计算上是不可行的(单向性)
压缩函数的构造原理
专门设计的压缩函数
基于分组密码算法的压缩函数
基于公钥密码算法的压缩函数
基于数学基础的压缩函数
最常用的散列函数
MD5算法 生成的是128位的哈希值
SHA-1算法 生成的是160位的哈希值
散列函数VS 报文鉴别码
报文鉴别码需要使用对称密钥;散列函数不需要使用密钥
报文鉴别码是对全部数据进行加密,因此计算速度慢;散列函数是一种直接产生鉴别码的方法,因此计算速度快
报文鉴别码抵抗攻击的方法是,增加攻击者破解密钥的难度;散列函数抵抗攻击的方法是,增加攻击者找到碰撞的难度
小结
Hash函数把变长信息映射到定长信息
Hash函数不具备可逆性
Hash函数速度较快
Hash函数可用于消息认证
Hash函数可提高数字签名的有效性
数字签名体制
报文鉴别码和报文摘要的局限性,用于保护通信双方免受第三方攻击,无法防止通信双方的相互攻击
报文宿方伪造报文
报文源方否认已发送的报文
引入数字签名,是传统的笔迹签名的模拟 如:公钥密码实现数字签名体制
传统签名的基本特点:与被签的文件在物理上不可分割、签名者不能否认自己的签名、签名不能被伪造、容易被验证
数字签名的基本要求:能与所签文件“绑定”,签名者不能否认自己的签名,签名不能被伪造,容易被验证
数字签名需要满足的条件
收方条件:接收者能够核实和确认发送者对消息的签名,及其日期时间,并能认证签名时刻的内容,但不能伪造对消息者的签名
发方条件:发送者事后不能否认和抵赖对消息的签名
公证条件:公证方能确认收方的信息,做出仲裁,但不能伪造这一过程。
数字签名体制的安全性
在于从M和其签名s难以推出密钥k或伪造一个M',使M'和s可被证实是真。
签名密钥是秘密的,只有签名人掌握
验证算法是公开的
数字签名的分类
几种数字签名体制
RSA数字签名体制
用私钥签名,用公钥验证
缺点:分组长度太大,运算代价高,尤其速度较慢;产生密钥很麻烦
ELGamal数字签名体制
DSS数字签名体制
采用的算法是DSA (Schnorr和ELGamal的变种) 它只是一个签名系统,主要用于与美国政府做生意的公司
数字签名中的问题与改进
签字后的文件可能被接收方重复使用 改进:加入特有凭证(如时间戳)
安全的密钥越来越长 问题:①运算速度较慢;②密钥存储和管理问题 改进:设计新的算法(例如:ECC)
公钥算法不宜用于长文件的加密 改进:先哈希,再加密
数字签名作为电子商务的应用技术,越来越得到人们的重视
包括普通签名和特殊签名(盲签名、代理签名、群签名、
不可否认签名、门限签名等)
网络安全 第三章 消息认证题目
KR代表私钥,KU代表公钥
单选题
1.报文鉴别和加密算法的区别之一是(C)
A.使用的是公钥密码算法
B.可以实现对报文内容的鉴别
C.算法不要求可逆
D.使用的是对称密钥
2.在公钥密码中,A发送信息给B,要使B确信这是由A发出的信息,A该用什么密钥对信息进行安全变换?(D)
A.Kub B.Kua C.KRb D.KRa
3.已知A要给B发送一份合同,需要对这份文档执行数字签名操作,则应使用的密钥是(C)
A.Kub B.Kua C.KRa D.KRb
4.设A要对原文进行数字签名,并发送给B,则此时需要用哪个密钥对原文进行签名? (B)
A.Kub B.KRa C.KRb D.KUa
5.若B要校验A发来的对原文的数字签名,则必须拥有的信息是 (C)
A.A对原文的数字签名+KUa
B.A对原文的数字签名+KRa
C.A对原文的数字签名+原文+KUa
D.A对原文的数字签名+原文+KRa
多选题
1.数字签名体现的安全性体现在(AD)
2.按照签名方式不同,可分为(AC)
3.最常用的散列函数有(BC)
4.以下属于散列函数的有(ABC)
5.以下属于报文摘要函数的要求是(ABCD)
6.以下可以实现对消息内容进行认证的表达式有(AB
7.以下哪个功能是报文鉴别和报文摘要无法做到的?(AB)
填空题 1.散列函数设计的关键是 压缩函数。
判断题
1.所谓计算上安全的数字签名,指以目前计算机的计算能力,无法在承受的时间内进行破解。(对)
2.报文摘要函数必须是单向散列函数,即从一个报文生成一个MD代码是容易的,但反过来从一个代码生成一个报文则实际上是不可能的,且必须保证不同的报文不会得出同样的MD代码。(对)
3.报文鉴别函数的要求是多个原文生成的报文鉴别码应是相同的 (错)
网络安全 第四章 身份认证技术笔记
身份认证技术概述
身份认证是网络安全的第一道防线
是最基本的安全服务,其他的安全服务都依赖于它
在物联网应用系统中,身份认证也是整个物联网应用层信息安全体系的基础。
基本身份认证技术 双方认证是一种双方相互认证的方式
可信第三方认证 认证过程必须借助于一个双方都能信任的可信第三方 如:Kerberos认证协议
基本PKI/WPKI轻量级认证技术
PKI(公钥基础设施) 是一个用公钥技术来实施和提供安全服务的、具有普适性的安全基础设施
WPKI Wireless PKI 是为了满足无线通信的安全需求而发展起来的公钥基础设施
新型身份认证技术——零知识身份认证技术
不需要提供私密信息也能够识别用户身份
技术思想:有两方,认证方V和被认证方P,P掌握了某些私密信息,P想设法让V相信它确实掌握了那些信息,但又不想让V知道他掌握的那些信息具体内容是什么。
非对称密钥认证 通过请求认证者和认证者之间对一个随机数作为数字签名与验证数字签名的方法来实现
要求 用于实现数字签名和验证数字签名的密钥对必须与进行认证的一方唯一对应
Kerberos网络用户认证系统
20世纪80年代,由美国麻省理工学院(MIT)设计
是一种网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证
是一套完全用于对称加密体制的认证系统,保护Project Athena提供的网络服务器
可信的第三方鉴别协议,起着可信仲裁者的作用
可提供安全的网络鉴别,允许个人访问网络中不同的机器
基于对称密码学,与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该密钥便是身
份的证明
Kerberos系统要解决的问题
在一个开放的分布环境中,工作站的用户想获得分布在网络中的服务器上的服务;服务器应能够限制授权用户的访问,并能鉴别服务请求的种类。但在这种环境下,存在以下三种威胁:
攻击者可能假装成其他用户操作工作站。
攻击者可以变更工作站的网络地址,从而冒充另一台工作站发送请求。
攻击者可以监听信息交换并使用重播攻击,以获得服务或破坏正常操作。
Kerberos系统的功能
提供一个集中的认证服务器,其功能上实现服务器与用户之间的相互认证。
采用可信任的第3方密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘密密钥)
安全机制
首先对发出请求的用户进行身份验证,确认是否是合法的用户,如果是,再审核该用户是否有权对他所请求的服务或主机进行访问。
Kerberos系统的目的
安全:非法用户不能伪装成合法用户来窃听有关信息;
可靠:用户依靠Kerberos提供的服务来取得进行访问控制所需的服务;
透明:整个系统对用户来说应该是透明的。除了需要输入一个口令外,用户感觉不到认证服务的发生
可扩缩:系统应采用模块化、分布式结构,能支持大量客户和服务器
Kerberos系统的角色
认证服务器AS作为第三方对用户进行身份认证;
票据许可服务器TGS向已通过AS认证的用户发放用户获取业务服务器V所提供的服务的票据;
Kerberos系统中,发给用户的TGT是由AS创建的
Kerberos系统的优缺点
优点: 较高的安全性 用户透明性好 扩展性好
缺点:
服务器在回应用户的口令时,不验证用户的真实性
随着用户数的增加,密钥管理较复杂
AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全 也严重依赖于AS和TGS的性能和安全
Kerberos系统的安全性:
旧的鉴别码很有可能被存储和重用
票据的有效期可能很长,典型的为八小时
鉴别码基于这样一个事实,即网络中的所有时钟基本上是同步的
如果能够欺骗主机,使它的正确时间发生错误,那么旧鉴别码就能被重放
Kerberos对猜测口令攻击很脆弱
若能收集足够多的票据,则有很大机会找到口令恶意软件的攻击
公钥基础设施PKI
PKI(Public Key Infrastructure)
是一个包括硬件、软件、人员、策略和规程的集合,能够为所有网络应用提供基于公钥密码体制的加密和数字签名等密码服务,以及所必须的密钥和证书的产生、管理、存储、分发和撤销等功能。
PKI技术是电子商务的关键和基础。
PKI技术是信息安全技术的核心
PKI的动机
在开放的环境中为开放性业务提供加密和数字签名服务
公钥技术 如何提供数字签名功能? 如何实现不可否认服务?
公钥和身份如何建立联系(为什么要相信这是某个人的公钥)? 公钥如何管理?
方案
引入证书(certificate)
PKI的基本组成
公钥证书 认证机构(CA) 注册机构(RA) 数字证书库 密钥备份及恢复系统
证书注销系统 等等…
PKI的基本组成
公钥证书 是由可信实体签名的电子记录,记录将公钥和密钥所有者的身份捆绑在一起。
是PKI的基本部件
认证机构(CA,Certificate Authority) PKI的核心,主要任务是颁发和作废公钥证书
CA服务器的IP地址和子网掩码必项手工
注册机构(RA,Registration Authority)
多数用于在证书请求过程中核实证书申请者的身份
证书管理机构(CMA,Certificate Management Authority)
将CA和RA合起来
PKI管理标准
用于定义证书颁发、吊销、更新和续订等证书管理的细节
数字证书库
用于存储已签发的数字证书及公钥
密钥备份及恢复系统
提供备份与恢复密钥的机制(由可信的机构来完成)
只能备份解密密钥,不能备份签名私钥
证书注销系统
PKI中的证书(Certificate,简称cert)
PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一
证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性
一个证书中,最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途
PKI中的证书(Certificate,简称cert)
签名证书和加密证书分开 最常用的证书格式为X.509 v3
公钥的分配
公开发布 公开可访问目录 公钥授权 公钥证书
公开发布
任一通信方可以将他的公钥发送给
另一通信方或广播给通信各方
例如:PGP
缺点:任何人都可以伪造这种公钥的公开发布。
公开可访问目录
通过管理员,维护一个动态可访问的公钥目录,可以获得更大程度的安全性。
某可信的实体或组织负责这个公开目录的维护和分配。
缺点:目录管理员的私钥必须保密。
公钥授权
由管理员统一管理公钥,通信方要获得对方公钥必须向管理员提出申请
缺点:公钥管理员会成为系统的瓶颈。
公钥证书
通信各方使用证书来交换密钥而不是通过公钥管理员。
Diffie-Hellman密钥交换
目的:使两个用户能安全地交换密钥。
只限于进行密钥交换。
有效性建立在计算离散对数困难性的基础之上。
网络安全 第四章 身份认证技术题目
单选题
1. _____________技术电子商务的关键和基础 (C)
A、Kerberos B、公钥密码
C、PKI D、数字签名
2. 在PGP中,对公钥的分发存在的问题是 (B)
A、公钥管理员会成为系统的瓶颈
B、任何人都可以伪造这种公钥的公开发布
C、目录管理员的私钥必须保密
D、容易受到被动攻击
3.Kerberos系统是基于_______建立的网络用户身份认证系统 (B)
A、私钥密码学 B、对称密码学
C、公钥密码学 D、古典密码学
4.PKI是基于_______建立的认证系统 (C)
5.PKI的核心部分是_______ (A)
A.CA B.RA
C.CMA D.公钥证书
6.Kerberos系统中,发给用户的TGT是由谁创建的? (C)
A.KDC B.CA
C.AS D.TGS
多选题
1.Kerberos系统的目的包括 (ACD)
A.用户可以依靠Kerberos提供的服务来取得进行访问控制所需的服务
B.整个系统对用户来说应该是透明的。即用户可以很清楚地了解到认证服务发生的全过程。
C.系统应采用模块化、分布式结构,能支持大量客户和服务器
D.保证非法用户不能伪装成合法用户来窃听信息
2.以下属于Kerberos系统的缺点是 (ACD)
A.当用户数增多时,需要管理的密钥也随之增多
B.系统对用户是透明的,用户无法了解系统的发证过程
C.无法验证当前登录的是否就是用户本人
D.属于集中式管理,容易形成瓶颈
填空题
1.在Kerberos系统中,是采用________________来保存与所有密钥持有者通信的主密钥
答案:可信任的第3方密钥分配中心(KDC) ; 可信任的第3方密钥分配中心; KDC (任选一个都正确)
2.使用公开可访问目录分配公钥的缺点是目录管理员的_________必须保密。
答案:私钥
3._______________技术是网络安全的第一道防线
答案:身份认证
判断题
1.PKI中的公钥证书是指由密钥所有者签名的电子记录,记录将公钥和密钥所有者的身份捆绑在一起
(错) 解析:指的是由可信实体的签名的电子记录,不是密钥所有者。
2. PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一 (对)
3.PKI提供了一个集中的认证服务器,其功能上实现服务器与用户之间的相互认证
(错) 解析:提供集中的认证服务器是Kerberos系统
4. PKI中的证书包括签名证书和加密证书,有时也会合二为一。
(错) 解析:两者是分开的。
5.Diffie-Hellman密钥交换算法的有效性是建立在计算离散对数困难性的基础之上。 (对)
6.零知识身份认证技术是指不需要提供任何信息也能够识别用户身份的认证技术
(错) 解析:指的是不需要提供私密信息、而不是任何信息。
7.PKI中的密钥备份与恢复系统可以对用户的一对密钥进行备份,以便于用户丢失密钥时,可以重新恢复
(错) 解析:只能备份解密密钥,不能备份签名私钥。
8.CA服务器的IP地址和子网掩码必须手工设置 (对)
9.Kerberos网络用户身份认证系统就是在局域网中起着可信仲裁者的作用(对)
10.
网络安全 第五章 系统漏洞与扫描技术笔记
系统漏洞
什么是漏洞? 是一切攻击行为和事件的起源。
从广泛的意义上看,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,它可以使黑客能够在未经系统的许可者授权的情况下访问或破坏系统。
硬件:千年虫
软件:OS、Office等
协议:ARP、IP、TCP等
漏洞的分类
按形成原因分:
程序逻辑结构漏洞 程序设计错误漏洞
开放式协议造成的漏洞 人为因素造成的漏洞
按发现的先后顺序:
已知漏洞 未知漏洞 0day漏洞
程序逻辑结构漏洞
程序的逻辑设计不合理
典型:Windows 2000用户登录的中文输入法漏洞
合法的程序用途被利用
程序代码设计错误漏洞
编程人员在使用C和C++等语言编写程序时,在技术上的疏忽或程序员的代码安全意识不高造成的漏洞。
Elias Levy (笔名为Aleph One)的论文Smashing the Stack for Fun and Profit
典型:缓冲区溢出漏洞和内存越界漏洞
例子:红色代码、冲击波、Slammer蠕虫
开放式协议造成的漏洞
TCP/IP协议的最初设计者在设计该通信协议时只考虑到了协议的可行性和实用性,而没有考虑到协议的安全性。
嗅探网络数据包
拒绝服务攻击(DOS攻击)
修改HTTP数据包的载荷以上传一个网页木马
人为因素造成的漏洞
设置了过于简单的口令(弱口令) 无意行为丢失口令 资源访问控制不合理
管理员安全配置不当,允许不应进入网络的人进入网络
因对待工作消极,滞后了安装安全补丁
如何对漏洞进行防御?
程序逻辑结构漏洞的防御 纠正错误的版本 了解黑客的利用方法和步骤
缓冲区溢出漏洞的防御 及时打补丁 尽量不要开放没有必要的服务(135、139)
开放式协议造成的漏洞的防御
在协议栈的安全防护上采取一些措施 针对敏感和重要数据以及文件采取加密的保护措施
尽量不访问不安全的网站 人为因素造成的漏洞的预防
计算机网络用户要加强自身的计算机网络安全防范意识
已知漏洞
已经被人发现了(安全组织、黑客、白帽子、厂商) 已经知道它的危害程度
对高危漏洞已经知道它的利用方法 安全机构发布了相应的安全补救措施
软件提供商一般提供了安全补丁
未知漏洞
特点:还没有被发现,但是客观存在
可能造成的影响
一颗不知何时会引爆的定时炸弹
0day漏洞
特点:已经被发掘出来,只在小范围传播
可能造成的影响:
软件开发商:可能不会向外界公布或是只公布一个简单的信息,并有可能在不公开的情况下更新漏洞程序
盈利型黑客:不会向外界公布漏洞信息,用来谋求利益
安全组织或白帽子:会向外界公布漏洞和详细信息并提供临时
解决方案,使漏洞变成已知漏洞
几种已知的Windows漏洞
本地输入法漏洞 Telnet信息泄露漏洞
TCP/IP漏洞 Server服务远程缓冲区溢出漏洞
IIS重定向漏洞 Internet Explorer浏览器漏洞
PowerPoint远程执行任意代码漏洞
扫描技术
端口扫描工具
是入侵者分析将被入侵系统的必备工具
是系统管理员掌握系统安全状况的必备工具
是网络安全工程师修复系统漏洞的主要工具
在网络安全的家族中可以说是扮演着医生的角色
合法使用
检测自己服务器端口,以便给自己提供更好的服务
非法使用
查找服务器的端口,选取最快的攻击端口
端口扫描工具的基本工作原理
每种服务都有不同的TCP/UDP端口开放供系统间通信使用,因此从端口号上可以大致判断目标主机提供的服务
“扫描”的出发点——与目标端口建立TCP连接,探测目标主机提供了哪些服务
如果目标主机该端口有回应,则说明该端口开放,即为“活动端口”
服务识别的原理是根据端口上跑的服务程序特征来检测的
端口扫描工具的主要功能
扫描目标主机识别其工作状态(开/关机)
识别目标主机端口的状态(监听/关闭)
识别目标主机系统及服务程序的类型和版本
根据已知漏洞信息,分析系统脆弱点
生成扫描结果报告
扫描类型-全TCP连接
扫描主机尝试(使用三次握手)与目标主机指定端口建立正规的连接
连接由系统调用connect()开始。对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问
这种扫描方法很容易检测出来(在日志文件中会有大量密集的连接和错误记录)
半打开式扫描(SYN扫描)
扫描主机向目标主机的指定端口发送SYN数据段
如果目标主机回应TCP报文中SYN=1,ACK=1,说明该端口是活动的,接着扫描主机传送一个RST给目标主机拒绝建立TCP连接,从而导致三次握手过程失败
如果目标主机回应RST,则表示该端口是“死端口”,该情况扫描主机不做任何回应
由于扫描过程三次握手并未成功,大大降低了被目标计算机记录的可能,而且加快了扫描的速度
但是,在大部分操作系统下,扫描主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用
秘密扫描(FIN扫描)
秘密扫描是一种不被审计工具所检测的扫描技术,依靠发送FIN来判断目标主机的指定端口是否活动
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且会返回一个RST数据包
当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)
没有包含TCP3次握手协议的任何部分,所以无法被记录下来,比半连接扫描更为隐蔽
秘密扫描能躲避IDS、防火墙、包过滤器和日志审计
缺点是扫描结果的不可靠性会增加Xmas和NULL扫描是秘密扫描的两个变种。Xmas扫描打
开FIN,URG和PUSH标记,而Null扫描关闭所有标记。
这些组合的目的是为了通过所谓的FIN标记监测器的过滤
第三方扫描(代理扫描)
利用第三方主机来代替入侵者进行扫描,这个第三方主机一般是攻击者通过入侵其他计算机得到的,常被称为“肉机”
常用的端口扫描工具
X-Scan Zenmap
Fluxay ipscan
Nmap的工作原理
Nmap可以输出扫描目标的端口号、协议、服务名称和状态
端口状态
开放(open),应用程序正在该端口监听连接或分组
关闭(closed),没有应用程序在该端口监听
已过滤(filtered),防火墙或其他过滤器封锁了该端口,Nmap无法知道该端口的状态
未过滤(unfiltered),端口对Nmap探测有响应,但Nmap不能确定端口是开放还是关闭
Nmap的语法
nmap[Scan Type(s)][Options]<target specification>
常用扫描类型
-sT(TCP connect()端口扫描)
-sS(TCP SYN同步扫描)
-sU(UDP端口扫描)
-sN(Null扫描)
-sF(FIN扫描)
-sP(Ping扫描)
-sX(Xmas扫描)
网络协议分析工具
网卡的工作模式
普通方式
混杂模式(promiscuous):能够接收到一切通过它的数据
网络监听原理
把网卡置于混杂模式
捕获数据包
分析数据包
网络安全 第五章 系统漏洞与扫描技术 题目
单选题
1. 在以下的端口扫描技术中,最容易暴露攻击者身份的是 (C)
A、SYN扫描 B、FIN扫描
C、全TCP连接扫描 D、代理扫描
2.当目标机是Windows操作系统时,使用以下哪种扫描类型对目标机进行扫描,无法判断
目标机的指定端口是关闭还是打开状态?(C)
3.以下代码存在什么类型的漏洞 (B)
void function(char *in)
{ char buffer[128]
strcpy(buffer,in)
}
A.开放式协议造成的漏洞 B.程序设计错误漏洞
C.程序逻辑结构漏洞 D.人为因素造成的漏洞
多选题
1.端口扫描工具可以获取的目标主机的信息包括 (BCD)
A、主机系统的漏洞 B、端口的状态
C、主机系统的类型 D、主机的工作状态
2.按形成原因,漏洞可以分为:(ABCD)
A、程序逻辑结构漏洞 B、程序设计错误漏洞
C、开放式协议造成的漏洞 D、人为因素造成的漏洞
填空题
1.端口扫描工具主要是根据端口上跑的服务程序的_____来识别服务。 答案: 特征
2.一切攻击行为和事件的起源是_______。 答案:漏洞
3.
判断题
1.端口扫描工具可以从端口号上大致判断目标主机都提供了哪些服务 (对)
2.在确定网络是连通的状态下,如果由A发送PING命令到B,显示“请求超时”或是“目标机无法到达”,则说明B一定是关机状态。 (错)
3、一般情况下,网卡会将从网络中接收到的所有数据包都转发给主机进行处理。(错)
4.在20世纪时,千年虫问题使得在处理日期运算时,会出现错误的结果,进而引发各种各样的系统功能紊乱甚至崩溃 (错) 解析:20世纪没有千年虫问题。
5.Wireshark的功能是为win32应用程序提供访问网络底层的能力 (错) 解析:这是目的不是功能
网络安全 第六章 黑客与网络攻击笔记
黑客简介 -什么是黑客?
定义一:精通计算机技术,善于发现互联网漏洞并且侵入他人计算机系统进行查看,更改,窃取数据或者干扰计算机程序的人。 --《新华字典》
定义二:是指对计算机科学,编辑和设计方面有高度理解的人。 --《百度百科》
黑客的产生
任何系统都不可能绝对安全
银行卡:广西17岁黑客叶某获取了160万条个人信息和银行卡号,涉案金额15亿元
ATM机:2010年美国黑客大会上,黑客现场演示如何破解ATM机并让其不断吐钞票
国家层面:黑客攻击别国计算机网络系统 电影:《碟中谍4》潜入克里姆林宫
人类的好奇心 证明自己的能力
Kevin Mitnick 15岁时入侵北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。
Gary McKinnon英国黑客,被控在2001年和2002年非法侵入了美军五角大楼和NASA的计算机网络,这位自称技术并不高超的黑客辩解是为了寻找小绿人和UFO方面的信息。
经济利益驱使 黑客产业链
各个角色分工明确:老板、病毒编写者,流量商,盗号者,贩卖商等
电信诈骗、钓鱼网站(社会工程学)
黑客的特点: 情商低 性格孤僻 讨厌被约束 典型代表:孙悟空大闹天宫
亦正亦邪 年龄范围广 全球最小的黑客,汪正扬 胆大包天、做事不计后果
典型代表1:阿桑奇 维基解密:关塔那摩丑闻,驻阿美军丑闻,希拉里邮件门
典型代表2:斯诺登 揭露美国政府棱镜项目
网络攻击的步骤
1.隐藏位置 2.网络探测和资料收集,寻找攻击目标(踩点)
3.弱点挖掘(寻找漏洞) 4.掌握控制权
5.隐藏行踪 6.实施攻击
7.开辟后门
隐藏位置
黑客与网络攻击
利用网络协议的网络攻击
ARP协议
Address Resolution Protocol,地址解析协议
一组协议 帮助主机把网络层地址(IP)解析为链路层地址(MAC)
ARP协议在Internet的通信子网层和网络层之间起到一个桥梁的作用
ARP缓存区命令
arp–a显示高速缓存区中的ARP表
arp–s添加静态ARP表项 例:arp-s 157.55.86.212 00-aa-00-62-c6-09
arp–d删除高速缓存区中的ARP表项
ARP攻击原理——冒充网关
攻击原理
攻击者以间断循环的方式不停地向整个局域网里所有的计算机发送ARP请求包,欺骗局域网中所有的计算机把攻击者的机器当成网关,从而让局域网中所有的机器都把数据包发给它,然后再由它来转发到Internet上。
注:ARP不能通过IP路由器发送广播,所以不能用来确定远程网络设备的硬件地址。
ARP欺骗的预防
把正确的网关的IP-MAC对应关系写入自己的计算机的静态ARP缓存中,就能很大程度上缓解ARP欺骗造成的威胁。 ARP –s 192.169.0.254 AA-AA-AA-AA-AA-AA
缺点:网关的MAC地址不能及时更新
在网关处采取防范措施。
IP欺骗
IP协议
Internet Protocol,网际网协议 是用于报文交换网络的一种面向数据的协议 不保证数据能准确的传输
攻击原理1
攻击者伪造的IP地址不可达或者根本不存在。
主要用于迷惑目标主机上的入侵检测系统,或者是对目标主机进行DOS攻击
攻击原理2
攻击者伪造他人的源IP地址。 利用主机之间的正常信任关系。基于“三次握手”
实现过程
使被信任的主机(Y)瘫痪 猜出目标主机(X)的序列号ISN 发送ACK,建立连接
常见工具
Mendax是一种非常容易使用的TCP序列号预测以及rshd欺骗工具。
IPSpoof 用于TCP及IP欺骗。
Hunt 是一个网络嗅探器,但它也同时提供很多欺骗功能
常见工具
Dsniff是一个网络审计及攻击工具集。其中的arpspoof,dnsspoof以及macof工具可以在网络中拦截普通攻击者通常无法获得的数据,并对这些数据进行修改,从而达到欺骗以及劫持会话的目的。
ISNPrint
一个用于查看目标主机当前连接的ISN的工具,但是它并不提供ISN预测功能。可以在它的基础上添加适当的算法得到ISN的估计值。
IP欺骗的预防
采取配置边界路由器的方法,即禁止从外网进入却申明自己具有内部网络IP地址的数据包通过路由器存在缺陷如果系统要向外部主机提供信任关系,则对路由器的配置就会失去作用
如果欺骗入侵是源于网络内部的话,配置路由器根本无济于事
IP欺骗的预防
目标主机 --尽量不采用使用源地址认证的服务系统,实现基于密码的认证
信任主机 --能够阻止SYN湮没的情况发生 最终的解决办法是密码认证机制
TCP协议
Transport Controlled Protocol,传输控制协议是一种面向连接的,可靠的传输层协议
建立连接,需要“三次握手”
TCP协议的包结构
TCP协议中的标志位
URG:紧急标志 ACK:确认标志
PSH:推标志 RST:复位标志
SYN:建立连接标志 FIN:结束标志
SYN Flood攻击原理
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利
用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
SYN Flood攻击的防御
缩短SYN Timeout时间
设置SYN Cookie,如果短时间内连续收到某个IP的重复SYN报文,就认为受到了攻击,以后从这个IP地址来的包会被一概丢弃
DDoS(分布式拒绝服务攻击)攻击原理
攻击准备 --攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性
攻击者进入其已经发现的最弱的客户主机之内(“肉机”),并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)
发起攻击
攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统
包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃
网络安全 第六章 黑客与网络攻击 题目
(单选题)1.在本讲中的介绍中,黑客实施网络攻击的第一步是 (C)
A、收集信息 B、掌握控制权 C、隐藏位置 D、寻找漏洞
2【单选题】ARP欺骗的实现原理是(C)
A、第三方代理 B、虚假IP C、冒充网关 D、三次握手
3.拒绝服务攻击的实现原理是 (C)
A、虚假IP B、第三方代理 C、三次握手 D、冒充网关
4. IP欺骗的实现原理是(A)
A、虚假IP B、三次握手 C、第三方代理 D、冒充网关
5. IP欺骗中,利用主机间的信任关系实施的攻击,第一步要做的是(B)
A、使目标主机瘫痪 B、使被信任的主机瘫痪
C、冒充被信任主机向目标主机发送连接请求 D、猜出目标主机的序列号ISN
6.预防IP欺骗的最终的解决办法是 (C)
A.保护被信任主机不被宕机 B.设置边界路由器
C.密码认证机制 D.绑定IP地址和MAC地址
多选题
1.以下属于黑客利用社会工程学实施的攻击行为有 (BC)
A、拒绝服务攻击 B、Q币中奖网站
C、电信诈骗 D、IP欺骗
2.以下可以隐藏攻击者身份或位置的方法是(ABCD)
A、盗用他人账号登录系统 B、发送数据包的源IP地址用别人的IP地址
C、申请邮箱时使用虚假的身份信息 D、使用多层代理访问目标服务器
3.以下属于IP欺骗的攻击原理是 (BC)
A、利用主机间的信任关系,伪造他人的目的IP地址
B、利用主机间的信任关系,伪造他人的源IP地址
C、伪造虚假的源IP地址
D、伪造虚假的目的IP地址
填空题
1.DoS拒绝服务攻击的实现原理是利用了TCP的____存在的缺陷 答案:三次握手
判断题
1.假设HOSTA要给IP地址为1.1.1.2的HOSTB发送消息,则HOSTA第一步是向网络发送一个ARP请求广播包,询问HOSTB的MAC地址 。 (错)
网络安全 第七章 计算机病毒笔记
计算机病毒的简介 -首个破坏硬件的病毒:CIH
冲击波病毒 2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金利用RPC缓冲区漏洞攻击Windows 2000或XP系统一旦成功,会使操作系统异常、不停重新启动、甚至导致系统崩溃该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统
熊猫烧香病毒 2007年1月初肆虐网络,该病毒会删除扩展名为gho的文件,防止用户恢复系统,并可盗取用户游戏账号、QQ账号是一种蠕虫病毒的变种,而且是经过多次变种而来的该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
永恒之蓝病毒 2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机是一种“蠕虫式”的勒索病毒软件,勒索病毒是自熊猫烧香以来影响力最大的病毒之一2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0。这个变种取消了Kill Switch
名称的由来
由生物医学上的“病毒”一词借用而来与生物医学上“病毒”的异同 同:都具有传染性、流行性、针对性等
异:不是天生的,而是人为编制的具有特殊功能的程序
病毒的起源
病毒之父:冯ꞏ诺依曼
1949年,《复杂自动装置的理论及组织的进行》(或《自我繁衍的自动机理论》)
20世纪60年代初,贝尔实验室,“磁芯大战”
70年代,科幻小说,《Shock Wave Rider》和《The Adolescence of P-1》
1983年11月3日,弗雷德•科恩博士,第一个病毒实验成功
1986年初,巴基斯坦,C-BRAIN,被认为是真正具备完整特征的计算机病毒的始祖。
磁芯大战
爬行者(Creeper) 每一次执行都会自动生成一个副本
侏儒(Dwarf) 每到第五个“地址”(address)便把那里所储存的东西变为零
印普(Imp) MOV 0,1 不成文的规定:不对大众公开这些程序的内容。
但是,... ...,“潘多拉之盒”被打开了 Ken Thompson A.K.Dewdney
病毒的定义
广义的定义
-凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒(Computer Virus)
法律性、权威性的定义
-指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能够自我复制的一组计算机指令或者程序代码
计算机病毒的特征
寄生性 依附于合法的程序之中 病毒所寄生的合法程序被称为病毒的载体,也称为病毒的宿主程序
传染性 通过各种渠道从已被感染的计算机扩散到未被感染的计算机是病毒的基本特征,是判别一个程序是否是计算机病毒的首要条件
隐蔽性 短小精悍,发作前不易被用户察觉和发现 存在的隐蔽性和传染的隐蔽性
潜伏性 侵入系统后,不会立即进行活动 潜伏期越长,病毒的传染性越大
可触发性 因某个特征或数值的出现,诱使病毒实施感染或进行攻击的 特性称为可触发性
破坏性或表现性 降低系统的工作效率,占用系统资源
针对性 只破坏某些特定的物理设备或系统
新特点 主动通过网络和邮件系统传播 传播速度极快 变种多 具有病毒、蠕虫和黑客程序的功能
计算机病毒的传播途径
通过不可移动的计算机硬件设备进行传播 通过硬盘感染传播
通过移动存储设备传播 软盘、移动硬盘、优盘、光盘等,特别是盗版光盘
通过计算机网络传播 文件共享、电子邮件、网页浏览、文件下载
系统漏洞 通过点对点通信系统和无线信道传播
计算机病毒的分类
按照感染或者寄生的对象分类
引导型病毒 -藏匿在磁盘片或硬盘的第一个扇区 先于操作系统加载到内存中,获得完全的控制权
文件型病毒 -通常寄生在可执行文件中,如*.BAT,*.COM,*.EXE等
混合型病毒 -既传染磁盘引导扇区又传染可执行文件的病毒
按照计算机病毒的破坏情况分类
良性病毒 -不会对计算机系统直接进行破坏,只是具有一定表现症状的病毒
恶性病毒 -会对系统产生直接的破坏的作用
中性病毒 -只是疯狂复制自身的病毒,也就是常说的蠕虫型病毒
按链接方式分类
源码型病毒 在高级语言所编写的程序编译前插入到源程序中
入侵型病毒/嵌入型病毒 将自身嵌入到宿主程序中
外壳型病毒 寄生在宿主程序的前面或后面,并修改程序的第一个执行指令
操作系统型病毒 用自己的逻辑模块取代操作系统的部分合法程序模块
从广义病毒定义的角度
逻辑炸弹 修改计算机程序,使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序员插入其它程序代码中间的,但并不进行自我复制。
特洛伊木马 计算机蠕虫 宏病毒
特洛伊木马 由来:希腊神话
定义:泛指那些内部包含有为完成特殊任务而编制的程序,一种潜伏执行非授权功能的技术。它原本属于一类基于远程控制的工具。
原理:C/S模式,服务器提供服务,客户机接受服务。
作为服务器的主机一般会打开一个默认的端口进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序被称为守护进程。
特征和行为
木马本身不进行自我复制
被感染的计算机系统会表现出不寻常的行为或运行变慢。比如:有一个或多个不寻常的任务在运行;注册表和其他配置文件被修改;电子邮件会在用户不知情的情况下被发送等
攻击步骤
设定好服务器程序 骗取对方执行服务器程序
寻找对方的IP地址 用客户端程序来控制对方的计算机
传播途径
电子邮件的附件(木马非自我复制) 隐藏在用户与其他用户进行交流的文档和其他文件中
被其他恶意代码所携带,如蠕虫 会隐藏在从互联网上下载的捆绑的免费软件中
特洛伊木马
预防 不要执行任何来历不明的软件或程序(无论是邮件中还是Internet上下载的)
上网的计算机要必备防毒软件(切记及时升级)
计算机蠕虫
通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络服务中断的病毒
主要特点:利用网络中软件系统的缺陷,进行自我复制和主动传播
与病毒在文件之间的传播不同,它们是从一台计算机传播到另一台计算机,从而感染整个系统
组成 主程序 引导程序
宏病毒
宏 是一系列组合在一起的命令和指令,它们形成一个命令,以实现任务执行的自动化
宏病毒 是一种存储于文档、模板(pot)或加载宏程序中的计算机病毒
特点只感染微软数据(文档)文件
机制 用VB高级语言编写的病毒代码,直接混杂在文件中并加以传播。
手机病毒
以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式,对手机进行攻击,从而造成手机异常的一种新型病毒。
攻击方式
直接攻击手机本身,使手机无法提供服务。 攻击WAP服务器,使手机无法接收正常信息。
攻击和控制网关,向手机发送垃圾信息。
手机病毒
事例:全国爆发超级手机病毒 时间:2014年8月 作者:19岁,大一学生
传播:若点开下载,则手机就会自动群发该短信让更多的用户上当加入群发短信的队伍中。
危害:损失话费50万 破获:9个小时
计算机病毒防范技术
检测技术 清除技术 免疫技术 预防技术
检测技术
是指通过一定的技术手段判定出病毒的技术
在特征分类的基础上建立的病毒识别技术
通过病毒行为或文件校验和的病毒判定技术
比较法---将原始的或正常的特征与被检测对象的特征比较
由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现异常,从而判断病毒的有无
优点:简单、方便,不需专用软件
缺点:无法确认计算机病毒的种类和名称
病毒校验和法
计算出正常文件的程序代码的校验和,并保存起来,可供被检测对象对照比较,以判断是否感染了病毒
优点:可侦测到各式的计算机病毒,包括未知病毒
缺点:误判率高,无法确认病毒种类分析法
该方法的使用人员主要是反计算机病毒技术的专业人员
搜索法 --最普遍的计算机检测方法
用每一种计算机病毒体含有的特定字符串对被检测对象进行扫描
特征串选择的好坏,对于病毒的发现具有决定作用
如何提取特征串,则需要足够的相关知识
缺点:被扫描的文件很长时,扫描所花时间也越多;不容易选出合适的特征串;计算机病毒代码库未及时更新时,无法识别新型计算机病毒;不易识别变形计算机病毒等
行为监测法 ---通过检测病毒在感染及破坏时表现出来的行为来判断病毒是否存在
优点:不仅可检测已知病毒,而且可预报未知病毒 缺点:有可能误报
病毒行为软件模拟法 --专门用来对付多态病毒
感染实验法 ---利用病毒最重要的基本特性——传染性。
检测时,先运行可疑系统中的程序,再运行一些确切知道不带毒的正常程序,然后观察这些正常程序的长度和校验和,如果发现有变化,可断言系统中有病毒
各种方法进行有机的结合,各取所长
清除技术
根据不同类型病毒的感染机制确定相应的消除方法,
进而从被感染的对象中摘除该病毒代码,并恢复被感染程序的原有结构信息
可用专用软件杀毒或手工进行杀毒
文件覆盖
免疫技术
原理
根据病毒签名来实现。由于有些病毒在感染其他程序时要先判断是否已被感染过,即欲攻击的宿主程序是否已有相应病毒签名,如有则不再感染
因此,可人为地在“健康程序”中进行病毒签名,起到免疫效果。(打疫苗)
预防技术
通过对病毒分类和采取监控措施,阻止病毒进入系统,以达到保护系统的目的
对已知病毒的预防采用特征判定技术
对未知病毒的预防采用行为监控技术
经常进行数据备份
对新机、软、硬件,先查毒再使用
尽量避免在无防毒软件的机器上用可移动磁盘
严格限制计算机的使用权限,禁止来历不明的人和软件
进入系统
安装公认最好的病毒查杀软件
网络安全 计算机病毒类型题目
单选题
1.计算机每次启动时被运行的计算机病毒称为_________病毒 (D)
A、良性 B、恶性 C、定时发作型 D、引导型
2.最普遍的计算机病毒检测技术是 (A)
A、搜索法 B、比较法 C、行为监测法 D、分析法
3.文件型病毒主要感染的是______类文件 (B)
A、DBF B、EXE和COM C、DOC D、PDF
4.特洛伊木马的实现原理是 (B)
A、W/S模式 B、C/S模式 C、S/C模式 D、B/S模式
5.以下关于网络病毒描述错误的是_______。 (B)
A、传播媒介是网络 B、不会对网络传输造成影响
C、与单机病毒相比,病毒的传播速度更快 D、可通过电子邮件传播
6.计算机病毒程序通常都比较短小精悍,发作前不易被用户察觉和发现,是指的计算机病毒的_____特征(D)
A、寄生性 B、潜伏性 C、表现性 D、隐蔽性
7.通常情况下,用来判别一个程序是否是计算机病毒的首要条件是 (C)
A、寄生性 B、潜伏性 C、传染性 D、隐蔽性
8.首个破坏硬件的病毒是(B)
A、熊猫烧香 B、CIH C、宏病毒 D、蠕虫王
9.只感染微软数据(文档)文件的病毒是(A)
A宏病毒 B.蠕虫王 C.熊猫烧香 D.CIH
10.下面关于计算机病毒描述正确的是 (B)
A.只要计算机系统能够正常使用,就说明没有被病毒感染
B.将U盘写保护后,使用时一般就不会被感染病毒了
C.计算机病毒是程序,计算机感染病毒后,只要找出病毒程序删除它就可以了
D.若计算机系统运行缓慢,则一定是被病毒感染
11.计算机病毒的免疫技术是根据__________来实现的 (A)
A.病毒标签 B.病毒特征
C.病毒代码 D.宿主程序
多选题
1.不会进行自我复制和主动传播的恶意代码有 (AD)
A、逻辑炸弹 B、计算机蠕虫
C、宏病毒 D、特洛伊木马
2.以下对特洛伊木马的描述错误的是(BC)
A.原本属于一类基于远程控制的工具
B.它会利用网络中软件系统的缺陷,进行自我复制和主动传播
C.特洛伊木马是一种C/S模式的程序,即被攻击机是客户端,攻击机是服务器端
D.预防木马病毒,不要执行任何来历不明的软件或程序
3.通常用来防范计算机病毒的技术包括(ABCD)
A.检测技术 B.清除技术
C.免疫技术 D.预防技术
判断题
1.计算机病毒与生物病毒的相同点在于若被感染了,将会对该病毒具有免疫性,也就是不会再被感染了。 (错)
2.早期的DOS操作系统中的文件型病毒是无法感染现在的Win10操作系统的 (对)
3.根据刑法第286条规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的依照以上的规定处罚。” (对)
4.良性的计算机病毒知识具有一定表现症状的病毒,不会对计算机系统直接进行破坏,所以设计一些这样的小程序恶搞一下朋友是没关系的。(错)
5.在计算机上安装了防病毒软件后,就可以保护系统不被感染计算机病毒了(错)
6.平时运行正常的计算机,若突然经常性死机或自动重启,则一定是中病毒了 (错)
7.木马程序是一个独立的程序,通常不会传染计算机中的其他文件 (错)
8.无线网络通道不会传染计算机病毒 (错)
9.对重要的程序或数据要经常备份,以便感染病毒后能够得到恢复。(对)
网络安全 第八章 网络安全协议笔记
协议 是指两个或多个以上参与者为完成某项特定的任务而采取的一系列步骤。
网络协议
是指计算机网络中通信各方关于如何进行数据交换所达成的一致性规则、标准或约定的集合,即由参与通信的各方按确定的步骤做出一系列通信动作,是定义通信实体之间交换信息的格式及意义的一组规则。
早期的TCP/IP协议是建立在可信用户的基础上
电子商务的出现,对Web服务提出了安全要求
网络安全协议
是指通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则
有时也称作密码协议,是以密码学为基础的消息交换协议 其目标是在网络环境中提供各种安全服务
传输层协议的安全隐患
TCP协议的安全隐患
服务器端维持大量的半连接列表而耗费一定的资源。 序列号可计算
UDP协议的安全隐患
不确认报文是否到达
不进行流量控制
不作纠错和重传
应用层协议的安全隐患
大部分协议以超级管理员的权限运行,一旦这些程序存在安全漏洞且被攻击者利用,极有可能取得整个系统的控制权。
许多协议采用简单的身份认证方式,并且在网络中以明文方式传输。
安全协议的种类
网络级安全:IPSec
传输级安全:SSL、TLS
应用级安全:Kerberos、S/MIME、PGP、SET
SSL协议 Security Socket Layer
由Netscape公司开发,专门用于保护Web通讯
网络交易中最通用的一种安全机制
已成为一种工业标准协议的设计目标
使用TCP连接提供一个可靠地端到端的安全服务,为两个通讯个体之间提供保密性和可靠性(身份认证)
优势:它与应用层协议独立无关,高层的应用层协议能透明的建立于SSL协议之上
版本
1.0,不成熟 2.0,基本解决了Web通讯的安全问题 1996年,微软发布PCT协议,引入IE
3.0,增加了一些算法,修改了一些缺陷 微软放弃PCT,支持SSL3.1 TLS 1.0
SSL的体系结构(协议栈)
底层:记录协议 上层:握手协议、告警协议、修改密文规约协议
SSL握手协议的流程
协议版本、会话ID、密文族、压缩方法、交换随机数等
服务器发送证书
客户端发送证书
修改密文族
SSL记录协议中的操作
第一步,fragmentation 上层消息的数据被分片成214字节大小的块,或更小
第二步,compression(可选) 必须是无损压缩,如果数据增加的话,则增加部分的长度不超过1024字节
第三步,计算消息认证码(MAC)使用共享的密钥
第四步,encryption采用CBC,算法由服务器端指定
两个重要概念
SSL连接(connection)连接是提供合适服务类型的一种传输(OSI模型)
SSL的连接是端对端的关系
SSL连接是暂时的,每一个SSL连接和一个SSL会话关联
SSL会话(session)
一个客户端和服务器间的关联。
SSL会话由握手协议创建,SSL会话定义了一组可供多个SSL连接共享的密码安全参数。
SSL会话用以避免为每一个SSL连接提供新的安全参数,从而减少了昂贵的协商代价
修改密文规约协议 目的:为了表示密码策略的变化告警协议
当握手过程或数据加密等操作出错或发生异常情况时,向对方发出警告或中止当前连接。
IPSec协议
Internet Protocol Security
IETF提出,一个用于保证通过IP网络进行安全的秘密通信的开放式标准框架。
IPSec架构它是提供网络层通信安全的一个协议簇
IPSec只是一个开放的结构,通过在主IP报头后面接续扩展报头,为目前流行的数据加密或认证算法的实现提供统一的数据结构
需求:身份认证、数据完整性和保密性 IPSec在IPv6中是强制的,在IPv4中是可选的
IPv4的缺陷
缺乏对通信双方身份真实性的鉴别能力
缺乏对传输数据的完整性和机密性保护的机制
由于IP地址可以软件配置以及数据广播的特点,IP层存在:
业务流被监听和捕获 IP地址欺骗
信息泄漏 数据项篡改… …
IPSec的应用方式
端到端(end-end):主机到主机的安全通信
端到路由(end-router):主机到路由之间的安全通信
路由到路由(router-router):路由到路由之间的安全通信,常用于在两个网络之间建立虚拟专用网(VPN)
IPSec的优点:对应用、对最终用户透明
在防火墙和路由器中实现时:可以对所有穿越边界的流量实施强安全性,而公司内部或工作组不必承担与安全相关处理的负担。
可以防止IP旁路 需要时IPSec可以提供个人安全性 弥补IPv4在协议设计时缺乏安全性考虑的不足
IPSec的内容
协议部分AH(认证头,Authentication Header):提供完整性保护和抗
重放攻击ESP(封装安全载荷,Encapsulating Security Payload):提供机密性、完整性保护和抗重放攻击
密钥管理(Key Management)
SA(Security Association)
ISAKMP定义了密钥管理框架
IKE是目前正式确定用于IPSec的密钥交换协议
IPSec的工作模式: 传输模式 隧道模式
ESP协议
机制 ---通过将整个IP分组或上层协议部分(即传输层协议数据)封装到一个ESP载荷之中,然后对此载荷进行相应的安全处理,实现对通信的机密性或/和完整性保护
加密算法和认证算法由SA指定
根据ESP封装的载荷内容不同
传输模式:将上层协议部分封装
隧道模式:将整个IP分组封装
ESP协议传输模式
优点:
内网的其他用户也不能理解通信主机之间的通信内容
分担了IPSec处理负荷(与隧道传输相比)
缺点:
不具备对端用户的透明性,用户为获得ESP提供的安全服务,
必须付出内存、处理时间等代价。 不能使用私有IP地址 暴露了子网的内部拓扑
ESP协议隧道模式
优点:
保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护
子网内部可以使用私有IP地址
子网内部的拓扑结构受到保护
缺点:
增大了安全网关的处理负荷,容易形成通信瓶颈
对内部的诸多安全问题将不可控
AH协议
为IP包提供数据完整性、数据源身份认证和抗重放攻击服务
利用MAC码实现认证,双方必须共享一个密钥
认证算法由SA指定
认证范围:整个包
两种工作模式: 传输模式 隧道模式
IPSec密钥管理
完成安全参数的协商和管理 通过安全关联描述IPSec数据封装的安全参数 IKE协议
使用两个交换阶段 阶段一,建立IKE SA
阶段二,利用已建立的IKE SA为IPSec协商具体的一个或多个安全关联,即建立IPSecSA
SET协议
安全电子交易协议(Secure Electronic Transaction, SET)
它是为了在Internet上进行在线交易时保证信用卡支付的安全而设计的一个开放的规范。
具有保证交易数据的完整性,交易的不可抵赖性等种种优点
双向签名
目的:将两个接收者的不同消息连接起来,以解决一些可能发生的纠纷。
网络安全 第八章 网络安全协议题目
单选题
1.IPSec协议中可以提供机密性保护的协议是(B)
A、AH B、ESP C、SA D、IKE
2.以下不属于IPSec协议隧道模式的优点是 (C)
A、保护子网中的所有用户都可以透明地享受安全网关提供的安全保护
B、子网内部可以使用私有IP地址
C、控制了子网内部的诸多安全问题
D、子网内部的拓扑结构受到保护
3.在SSL协议中,负责封装高层协议数据 (A)的协议是
A.记录协议 B.握手协议 C.告警协议 D.修改密文规约
4.SET协议中使用来保证交易数据的完整性和交易不可抵赖性 (D)
A.报文摘要 B.数字签名 C.双密钥 D.双向签名
5.在SSL协议中,负责协商加密算法和会话密钥的协议是(B)
A.记录协议 B.握手协议 C.告警协议 D.修改密文规约
多选题
1.以下属于应用层安全协议的有(AD)
A、Kerberos B、TLS C、IPSec D、SET
2.以下属于IPSec所包含和使用的协议是(BCD)
A、SA B、AH C、IKE D、ESP
3.以下可以实现对通信数据保密传输的协议有 (AC)
A、ESP协议 B、AH协议 C、记录协议 D、SET协议
填空题
1.网络安全协议是以______为基础的消息交换协议。 答案:密码学
判断题
- SSL协议是有微软公司开发的,专门用于保护Web通讯的一种安全协议 (错)
- 在SSL协议中,每一个SSL会话是和一个SSL连接相关联的 (错)
3.IPSec是提供网络层通信安全的一个协议簇,它可以满足身份认证、数据完整性和保密性的需求,在IPv6中是强制实施的 (对)
4.若两台主机间采用IPSec协议端到端的应用方式,则其他主机用户是不能理解它们之间的通信内容的 (对)
5.IPSec对应用层透明,是指IPSec如何对数据进行加密的,应用层的应用是非常清楚的 (错)
6.AH协议传输模式是对原有的IP数据包的所有域进行认证,然后将相关的认证信息放置在原IP头和原TCP头之间 (错)
网络安全 第九章 防火墙技术笔记
防火墙的概述
定义
防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。
核心思想
在不安全的网际网环境中构造一个相对安全的子网环境(硬件、软件皆可)
防火墙需要满足的条件
内部和外部之间的所有网络数据流必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙自身应对渗透(peneration)免疫(不受各种攻击的影响)
防火墙的功能
“阻止” 就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)
“允许” 功能与“阻止”恰好相反
防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”
网络安全的屏障(可定制)
过滤不安全的服务:(两层含义) 内部提供的不安全服务 内部访问外部的不安全服务
集中式安全保护(非军事化区)
阻断特定的网络攻击(联动技术的产生)
是监视局域网安全和预警的方便端点
提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。
加密支持功能
认证支持功能
管理功能
记录和报表功能
防火墙的发展历史
1986年,美国digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念。
防火墙的发展大致可划分为4个阶段
*第一代防火墙 (只能作为应急措施)基于路由器的防火墙
网络访问控制功能通过路由控制来实现
特点:-以访问控制表(ACL)方式实现对分组的过滤 -过滤判决的依据可以是地址、端口号、IP标志等
只有分组过滤功能
缺点:路由协议本身就具有安全漏洞,外部网络要探测内部网络十分容易
路由器上分组过滤规则的设置和配置存在安全隐患
最大的隐患:攻击者可以“假冒”IP地址
*第二代防火墙
用户化防火墙工具套
特点:将分组过滤功能从路由器中独立出来,并加上审计和告警功能
针对用户需求,提供模块化的软件包
软件可通过网络发送,用户可自己动手构造防火墙
存在的问题: 配置和维护过程复杂、费时 对用户的技术要求高
全软件实现,安全性和处理速度均有局限 实践表明,使用中出现差错的情况很多
*第三代防火墙
建立在通用操作系统上的商用防火墙产品
特点:批量上市的专用防火墙 包括分组过滤或者借用路由器的分组过滤功能
装有专用的代理系统,监控所有协议的数据和指令
保护用户编程空间和用户配置内核参数的设置 安全性和速度大为提高
存在的问题:作为基础的操作系统及其内核往往不为防火墙管理者所知。由于源码的保密,其安全性无从保证
由于大多数防火墙厂商并非是通用操作系统的厂商,通用操作系统厂商不会对防火墙中使用的操作系统的安全性负责
用户必须依赖两方面的安全支持;一是防火墙厂商;二是操作系统厂商
*第四代防火墙
具有安全操作系统的防火墙
特点:防火墙厂商具有操作系统的源代码,并可实现安全内核
对安全内核实现加固定处理。即去掉不必要的系统特性,加上内核特性,强化安全保护
对每个服务器、子系统都作安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁
在功能上包括分组过滤、应用网关、电路级网关,且具有加密与认证功能
透明性好,易使用
常见的防火墙产品
个人防火墙:天网、瑞星、Norton、NOD32 软件防火Check Point Firewall-1 Microsoft ISA Server
硬件防火墙 思科IOS防火墙,适用于中小型企业
NetScreen公司高端防火墙,采用专用集成电路(ASIC)芯片
国内,安氏、华为、清华等,采用网络处理器(NP)芯片
防火墙的几种常见类型
分组过滤防火墙 双宿主主机防火墙
屏蔽主机防火墙 屏蔽子网防火墙
分组过滤防火墙
又称包过滤防火墙或屏蔽路由器
首先检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数,再由策略决定是否允许该数据包通过,并对其进行路由选择转发。
特点:屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。
实现IP层的安全
缺点:是网络中的“单失效点” 不支持有效的用户认证,不提供有用的日志 安全性低
双宿主主机防火墙 (不适合于一些高灵活性要求)
就是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与内部网和外部网相连。
堡垒主机上运行着防火墙软件,采用代理服务的方法,转发报文和提供服务等
堡垒主机的作用
阻止IP层通信 实现应用层安全 中间转接作用
优缺点
堡垒主机的系统软件可用于身份认证和维护系统日志,有利于进行安全审计
仍然是“单失效点”
隔离了一切内部网与Internet的直接连接
代表产品:ISA防火墙
Microsoft® Internet Security and Acceleration Server (简称为ISA)
屏蔽主机防火墙
分组过滤路由器连接外部网络 运行网关软件的堡垒主机安装在内部网络
提供了较高的安全等级 过滤路由器是否正确配置,是防火墙安全与否的关键
路由表应受到严格保护
屏蔽子网防火墙——最安全的防火墙系统 (解决了单一失效点的问题)
在内部网络和外部网络之间建立一个被隔离的子网(非军事区,Demilitarized Zone,DMZ)也称为屏蔽子网
在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过屏蔽子网进行通信
通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中
堡垒主机通常是黑客集中攻击的目标,如果没有DMZ,入侵者将可以监听整个内部网络;有了
DMZ,堡垒主机不再是“单一失效点”
防火墙的几种常用技术
数据包过滤技术
一种简单、高效的安全控制技术。
系统在网络层检查数据包,与应用层无关
工作原理
依据在系统内设置的过滤规则(通常称为访问控制表ACL——AccessControlList)对数据流中每个数据包包头中的参数或它们的组合进行检查,以确定是否允许该数据包进出内部网络。
包过滤一般要检查(网络层的IP头和传输层的头):
IP源地址 IP目的地址
协议类型(TCP包/UDP包/ICMP包) TCP或UDP的源端口
TCP或UDP的目的端口 ICMP消息类型
TCP报头中的ACK位
举例:
某条过滤规则为:禁止地址1的任意端口到地址2的80端口的TCP包
含义?
地址2的计算机有可能是个WWW服务器
表示禁止地址1的计算机连接地址2的计算机的WWW服务
优点:逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好
主要缺点:安全控制的力度只限于源地址、目的地址和端口号等,不能保存与传输或与应用相关的状态信息,因而只能进行较为初步的安全控制,安全性较低;
数据包的源地址、目的地址以及端口号等都在数据包的头部,很有可能被窃听或假冒
注意: 创建规则比较困难,且易产生冲突;
规则过于复杂并难以测试,必须要用手工或用仪器才能彻底检测规则的正确性;
对特定协议包的过滤
FTP协议:使用两个端口,因此要作特殊的考虑
UDP协议:要对UDP数据包进行过滤,防火墙应有动态数据包过滤的特点
动态包过滤技术
当配置了动态控制列表,可以实现指定用户的IP数据流临时通过防火墙时,进行会话连接。当动态控制列表被触发后,动态访问控制列表重新配置接口上的已有的访问控制列表,允许指定的用户访问指定的IP地址。在会话结束后,将接口配置恢复到原来的状态一般结合身份认证机制进行实现
用户打开发起一个到防火墙的Telnet会话防火墙收到Telnet数据包后,打开Telenet会话,提示用户输入认证信息,并对用户身份进行认证
通过身份认证后,用户退出Telnet,防火墙访问控制列表创建一个临时访问控制列表规则
用户能通过防火墙访问内部网络超过预设定时间后,防火墙删除这个临时访问控制列表规则
代理服务器技术
代理服务技术
是运行于连接内部网络与外部网络的主机(堡垒主机)上的一种应用,是一种比较高级的防火墙技术。
工作过程
1. 从工作站到Web服务器的Web页请求
2. 验证请求是否符合安全规则
3. 从代理服务器重新发送到Web服务器的Web请求
4. Web服务器响应代理服务器的Web请求
5. Web页响应从代理服务器送到请求它的工作站
主要优点
内部网络拓扑结构等重要信息不易外泄,从而减少了黑客攻击时所必需的必要信息
可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤。同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹,安全性较高。
主要缺点
针对不同的应用层协议必须有单独的应用代理,也不能自动支持新的网络应用
有些代理还需要相应的支持代理的客户和服务器软件
用户需专门学习程序的使用方法才能通过代理访问Internet性能下降
状态检测技术
动态状态表
跟踪每一个网络会话的状态,对每一个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态
检测模块(检测引擎)
状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。
在不影响网络正常工作的前提下,可抽取OSI各层的相关数据,实施监测,并动态地保存起来作为以后制定安全策略的参考
特点 既能够提供代理服务的控制灵活性,又能够提供包过滤的高效性,是二者的结合
工作过程
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接;请求数据包通过,并记录下该连接的相关信息,生成状态表,对该连接的后续的大量数据包,只要符合状态表,就可以通过,不需检查规则表。
主要优点
高安全性(工作在数据链路层和网络层之间;“状态感知”能力)
高效性(对连接的后续数据包直接进行状态检查)
应用范围广(支持基于无连接协议的应用)
主要缺点
状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题(如实现应用层内容过滤)等方面显得力不从心
网络地址转换技术
NAT (Network Address Translation) 就是将一个IP地址用另一个IP地址代替
主要作用: 隐藏内部网络的IP地址 解决地址紧缺问题
注意:NAT本身并不是一种有安全保证的方案,它仅仅在包的最外层改变IP地址,所以通常要把NAT集成在防火墙系统中
SNAT & DNAT
静态(Static)网络地址转换和动态(Dynamic)网络地址转换
源(Source)网络地址转换和目标(Destination)网络地址转换
NAT的三种方式
M-1:多个内部地址翻译到一个IP地址
1-1:一个内部地址翻译到一个IP地址
M-N:多个内部地址翻译到N个IP地址
静态网络地址转换
内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
特点:性能好,不需维护地址的转换状态表
动态网络地址转换
可用的合法IP地址是一个范围,而内部网络地址的范围大于合法IP的范围,在做地址转换时,如果合法IP都被占用,此时从内部网络的新的请求会由于没有合法地址可以分配而失败
解决:PAT(端口地址转换/翻译)
特点:功能强大,但需要维护转换状态表
源网络地址转换
修改数据包中IP头部中的数据源地址(通常发生在使用私有地址的用户访问Internet的情况下,把私有地址翻译成合法的因特网地址)
目标网络地址转换
修改数据包中IP头部中的数据目的地址(通常发生在防火墙之后的服务器上
防火墙的局限性
网络的安全性通常是以网络服务的开放性和灵活性为代价的
防火墙的使用也会削弱网络的功能:
由于防火墙的隔离作用,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;
由于在防火墙上附加各种信息服务的代理软件,增大了网络管理开销,还减慢了信息传输速率,在大量使用分布式应用的情况下,使用防火墙是不切实际的。
防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失:
只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
不能解决来自内部网络的攻击和安全问题;
不能防止受病毒感染的文件的传输;
不能防止策略配置不当或错误配置引起的安全威胁;
不能防止自然或人为的故意破坏; 不能防止本身安全漏洞的威胁。
网络安全 第九章 防火墙技术题目
单选题
1.解决了“单一失效点”问题的防火墙是 (C)
A、屏蔽主机防火墙 B、分组过滤防火墙
C、屏蔽子网防火墙 D、双宿主机防火墙
2.下列不属于防火墙的局限性的是_______。 (A)
A、不能转发内网向外网的数据请求
B、不能解决来自内部网络的攻击和安全问题
C、阻碍了内部网络与外部网络的信息交流
D、只能防范经过其本身的非法访问和攻击
3.第一代防火墙是基于建立的防火墙 (A)
A.路由器 B.专用操作系统 C.通用操作系统 D.软件
4.屏蔽主机防火墙中,应受到严格保护的应该是 (A)
A.过滤路由器的路由表 B.内部网络 C.外部网络 D.堡垒主机
5.只在网络层检查数据包的防火墙属于 (C)
A.双宿主机防火墙 B.屏蔽子网防火墙 C.分组过滤防火墙 D.屏蔽主机防火墙
多选题
1.防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它需满足的条件有:(BD)
A.过滤所有不安全的数据流 B.内部和外部之间的所有网络数据流必须经过防火墙
C.放置在非军事化区中 D.只有符合安全策略的数据流才能通过防火墙
2.防火墙需要满足的条件 (ABC)
A.防火墙自身应对渗透(peneration)免疫 B.内部和外部之间的所有网络数据流必须经过防火墙
C.只有符合安全策略的数据流才能通过防火墙 D.能够防止受病毒感染的文件的传输
填空题
第三代防火墙与第四代防火墙的区别在于使用的____________不同 答案: 操作系统
判断题
1.第一代防火墙只具有分组过滤的功能,因此它只是一种应急措施 (对)
2.因为第二代防火墙是全软件实现的,所以安装方便,且配置和维护过程比较简单 (错)
3.数据包过滤技术是在网络层检查数据包,与应用层无关 (对)
4.数据包过滤技术的工作流程是对每个数据包都按照访问控制表中的所有规则检查一遍。(错)
5.动态包过滤技术比数据包过滤技术更灵活一些,因为可以根据需要临时配置访问规则(对)
6.WAF可以用来解决传统防火墙设备束手无策的Web应用安全问题,因此完全可以用WAF代替传统防火墙 (错) 解析:传统防火墙是第一道防线
7.一般情况下,内网中的一台客户机要访问外网的服务器时,则防火墙只需要检查一个请求数据包就可以判断是否允许该客户机访问服务器。(错)
8.防火墙的发展大致可分为四个阶段,目前使用的都是第四代防火墙(错)
9.堡垒主机的作用是隔离了一切内部网与Internet的直接连接 (对)
10.在屏蔽子网防火墙中,放置在DMZ区中的堡垒主机通常是黑客集中攻击的目标,所以,为了保护内部网络的安全性,必须将堡垒主机的功能设置得多一些,使其足够强大。 (错)
11.防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。(对)
网络安全 第十章 入侵检测技术
入侵检测概念
入侵(Intrusion)
是指系统发生的任何违反安全策略的事件,包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络系统造成危害的各种行为。
入侵检测(Intrusion Detection)
是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术。
入侵检测系统(IDS) 用于进行入侵检测的自动化工具,是入侵检测的软件与硬件的组合。
入侵检测的起源
从审计技术发展而来
1980年,James P. Anderson的《计算机安全威胁监控与监视》第一次详细阐述了入侵检测的概念
计算机系统威胁分类:外部渗透、内部渗透和不法行为,提出了利用审计跟踪数据监视入侵活动的思想
这份报告被公认为是入侵检测的开山之作。
1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统)
1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。两大阵营正式形成:基于网络的IDS和基于主机的IDS
1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。 DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
IDS的通用模型
事件产生器 事件分析器
事件数据库
响应单元
事件产生器
负责收集、采集各种原始数据,且将其转换为事件,向系统的其他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行为。
不同关键点的信息:系统或网络的日志文件、网络流量、系统目录和文件的异常变化、程序执行中的异常行为
事件分析器
接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。
分析方法
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
事件数据库
存放各种中间和最终数据的地方
从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存,以便于今后的关联分
析等。
响应单元
根据告警信息作出反应,是IDS中的主动武器可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
入侵检测技术的分类
检测IDS性能的两个关键参数
误报率(False Positive) 实际无害的事件却被IDS检测为攻击事件
漏报率(False Negative) 一个攻击事件未被IDS检测到或被分析人员认为是无害的
入侵检测系统分类 根据其采用的分析方法(检测原理)
根据数据来源 根据体系结构 根据系统的工作方式
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection)
前提:假设入侵行为与正常行为不同,即入侵是异常活动的子集
对正常行为用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
利用统计的分析方法
误用检测(Misuse Detection)
前提:假设所有入侵行为和手段都能表达为一种模式或特征,又称特征检测,即所有的入侵行为都有可以被检测到的特征
利用特征匹配的方法
异常检测
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用于描述正常行为范围
指标
漏报率低,误报率高
特点
异常检测系统的效率取决于用户轮廓的完备性和监控的频率
不需要对每种入侵行为进行定义,因此能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
误用检测
攻击特征库
当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵指标
误报率低、漏报率高
特点
采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加,攻击特征的细微变化,会使得误用检测无能为力。
根据数据来源可分为
基于主机的IDS(HIDS)
系统获取数据的依据是系统运行所在的主机
保护的目标也是系统运行所在的主机
基于网络的IDS(NIDS)
系统获取的数据是网络传输的数据包保护的目标是网络的正常运行
根据体系结构可分为
集中式IDS
有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。
可伸缩性、可配置性差
分布式IDS
将中央检测服务器的任务分配给多个HIDS,他们不分等级,负责监控当地主机的可疑活动。
可伸缩性、安全性高;但维护成本高,监控主机的工作负荷重。
根据系统的工作方式可分为
离线检测系统
非实时工作,在行为发生后,对产生的数据进行分析(事后分析)
成本低,可分析大量事件,分析长期情况;但无法提供及时保护
在线检测系统
实时工作,在数据产生的同时或者发生改变时进行分析
反应迅速,及时保护系统;但系统规模较大时,实时性难以得到实际保证
入侵检测相关技术
异常检测技术 误用/滥用检测技术
高级检测技术 入侵诱骗技术 入侵响应技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统
设计的目的
从现存的各种威胁中提取有用的信息,以发现新型的攻击工具,确定攻击的模式并研究攻击者的攻击动机
入侵诱骗技术
蜜罐技术(Honepot)
诱饵:留有安全后门或是有用的信息
记录:攻击者的所有操作。
地位:本身并不是一种安全解决方案,它只是一种工具,而且只有Honeypot受到攻击,它的作用才能发挥出来。
蜜网技术(Honeynet)
蜜网的概念由蜜罐发展而来,是由真实计算机组成的网络系统,部署有入侵检测系统,系统和网络的安全防护级别设置较低,诱导入侵者进入系统,并监控和记录入侵者的行为
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响,进而改变攻击的进程
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS均应以日志的形式记录下检测结果。
网络安全 第十章 入侵检测技术题目
单选题
1.以下哪本书中,第一次详细阐述了入侵检测的概念 (C)
A、《复杂自动装置的理论及组织的进行》 B、《Smashing the Stack for Fun and Profit》
C、《计算机安全威胁监控与监视》 D、《Shock Wave Rider》
2.入侵检测是指通过从计算机网络或计算机系统中的___________收集信息并对其进行分析,从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术 (A)
A、若干关键点 B、若干审计记录
C、若干系统日志 D、若干数据包
3.在IDS中,负责收集、采集各种原始数据,且将其转换为事件,向系统的其他部分提供此事件的模块是 (B)
A、事件数据库 B、事件产生器
C、事件分析器 D、响应单元
4.滥用检测技术中运用最多的一种技术是__________。 (D)
A、模型推理滥用检测 B、状态转换分析滥用检测
C、条件概率滥用检测 D、专家系统滥用检测
5.异常检测技术中应用最早也是最多的一种方法是___________。(D)
A、特征选择异常检测 B、贝叶斯推理异常检测
C、数据挖掘异常检测 D、概率统计异常检测
6.以下的入侵检测技术中,本身并不是一种安全解决方案的技术是 (D)
A、滥用检测技术
B、异常检测技术
C、入侵响应技术
D、入侵诱骗技术
7.在IDS中,负责接收事件信息,并对其进行分析,判断是否为入侵行为或异常现象的模
块是 (D)
A.响应单元 B.事件产生器
C.事件数据库 D.事件分析器
多选题
8.按照检测输的来源可将IDS分为_____________。 (AC)
A、基于主机的IDS
B、基于浏览器的IDS
C、基于网络的IDS
D、基于服务器的IDS
9.根据其采用的检测原理不同,IDS可分为 (CD)
A、专家检测 B、模式检测
C、特征检测 D、异常检测
10.基于主机的IDS检测的内容包括 (ABC)
A.系统调用 B.系统日志
C.审计记录 D.网络数据
填空题
1.检测IDS性能有两个关键参数,其中将某个攻击事件判定为是无害的概率称为_____________。
答案: 漏报率
2.入侵检测技术是从________技术发展而来的
答案:审计
3.异常检测技术是通过定义的用户轮廓来判定入侵行为,因此它的误报率______、漏报率________。
答案:高;低
判断题
1.离线检测系统是在攻击行为发生后,对产生的数据进行分析,属于事后分析,所以不如在线检测系统的作用大。(错)
版权声明:本文标题:土豆烤肉_网安 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1724875881a995445.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论