计算机文档教材网络安全跟木马攻防论文.doc 9页

毕业论文 ----网络安全之木马攻防 绪论 第一章 计算机网络威胁 1.1计算机网络面临的主要威胁：①计算机网络实体面临威胁（实体为网络中的关键设备）②计算机网络系统面临威胁（典型安全威胁）③恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）④计算机网络威胁的潜在对手和动机（恶意攻击/非恶意） 1.2典型的网络安全威胁：①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽 1.2.1计算机网络的不安全主要因素： （1）偶发因素：如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。（2）自然灾害：各种自然灾害对计算机系统构成严重的威胁。 （3）人为因素：人为因素对计算机网络的破坏也称为人对计算机网络的攻击。可分为几个方面：①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击 1.2.2不安全的主要原因：①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题 1.3计算机网络安全的基本概念：计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。 1.3.1计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。 网络的安全问题包括两方面内容：一是网络的系统安全；二是网络的信息安全（最终目的）。 1.3.2计算机网络安全的目标：①保密性②完整性③可用性④不可否认性⑤可控性 1.3.3计算机网络安全的层次：①物理安全②逻辑安全③操作系统安全④联网安全 1.3.4网络安全包括三个重要部分：①先进的技术②严格的管理③威严的法律 1.4计算机网络安全体系结构 1.4.1网络安全基本模型 1.4.2 OSI安全体系结构：①术语②安全服务③安全机制 五大类安全服务，也称安全防护措施：①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务 1.4.3 PPDR模型通过一些典型的数学公式来表达安全的要求：①PtDt+Rt②Et=Dt+Rt，如果Pt＝0 1.4.4网络安全的典型技术：①物理安全措施②数据传输安全技术③内外网隔离技术④入侵检测技术⑤访问控制技术⑥审计技术⑦安全性检测技术⑧防病毒技术⑨备份技术⑩终端安全技术 1.5 网络安全威胁的发展趋势：①与Internet更加紧密结合，利用一切可以利用的方式进行传播；②所有病毒都有混合型特征，破坏性大大增强；③扩散极快，更加注重欺骗性；④利用系统漏洞将成为病毒有力的传播方式；⑤无线网络技术的发展，使远程网络攻击的可能性加大；⑥各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情况和窃取资料；⑦各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁；⑧各种攻击技术的隐秘性增强，常规防范手段难以识别；⑨分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性；⑩一些政府部门的超级计算机资源将成为攻击者利用的跳板；11）网络管理安全问题日益突出。 1.6网络安全主要实用技术的发展①物理隔离②逻辑隔离③防御来自网络的攻击④防御网络上的病毒⑤身份认证⑥加密通信和虚拟专用网⑦入侵检测和主动防卫⑧网管、审计和取证 第二章 网络安全技术防范与应用 2.1物理安全 物理安全主要包括：①机房环境安全②通信线路安全③设备安全④电源安全 2.1.1机房的安全等级分为三个基本类别： A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。 B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。 C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。 2.1.2 ①机房的场地，选址避免靠近公共区域，避免窗户直接邻街，机房布局应使工作区在内，生活辅助区在外；机房不要在底层或顶层。措施：保证所有进出计算机机房的人都必须在管理人员的监控之下，外来人员进入机房，要办理相关手续，并检查随身物品。 ② 机房的防盗要求，对重要的设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明了一种通过光纤电缆保护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统是一种更为可靠的防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。 ③机房的三度要求（温度（18-22度）、湿度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5μm））为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。 ④防静电措施：装修材料避免使用挂毯、地毯等易吸尘，易产生静电的材料，应采用乙烯材料，安装防静电地板并将设备接地。 ⑤ 接地与防雷要求：1.地线种类：A保护地B直流地C屏蔽地D静电地E雷击地2.接地系统：A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D 直流地、保护地共用地线系统E建筑物内共地系统3、接地体：A地桩B水平栅网C金属接地板D建筑物基础钢筋4.防雷措施，使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地线，机房本身有避雷设备和装置。 ⑥机房的防火、防水措施：为避免火灾、水灾，应采取的措施为：隔离、火灾报警系统、灭火设施（灭火器，灭火工具及辅助设备）、管理措施 2.1.3 硬件设备的使用管理：①要根据硬件设备的具体配置情况，制定切实可靠的硬件设备的操作使用规程，并严格按操作规程进行操作；②建立设备使用情况日志，并严格登记使用过程的情况；③建立硬件设备故障情况登记表，详细记录故障性质和修复情况；④ 2.1.4电磁辐射防护的措施：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。 为提高电子设备的抗干扰能力，主要措施有①屏蔽②滤波③隔离④接地，其中屏蔽是应用最多的方法。 2.1.5.电源对电设备安全的潜在威胁：①脉动与噪声②电磁干扰 2.1.6供电要求，供电方式分为三类：①一类供电：需建立不间断供电系统②二类供电：需建立带备用的供电系统③ 2.2信息加密与PKI 信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。 2.2.1密码学的发展历程大致经历了三个阶段：古代加密方法、古典密码和近代密码。 2.2.2密码学的基本概念：密码学作为数学的一个分支，是研究信息系统安全保密的科学，是密码编码学和密码分析学的统称。 在密码学中，有一个五元组：明文，密文，密钥，加密算法，解密算法，对应的加密方案称为密码体制。 明文（Plaintext）：是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集称为明文空间，通常用M或P来表示。 密文（Ciphertext）:是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。所有可能密文的有限集称为密文空间，通常用C表示。 密钥（Key）：是参与密码变换的参数，通常用K表示。一切可能的密钥构成的有限集称为密钥空间，通常用K表示。 加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示，即c=Ek（p） 解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D表示，即p=Dk（c） 对于有实用意义的密码体制而言，总是要求它满足： p=Dk（Ek（p）），即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。 2.2.3加密体制的分类：从原理上可分为两大类：即单钥或对称密码体制和双钥或非对称密码体制 单钥密码体制与双钥密码体制的区别： 单钥密码体制的本质特征是所用的加密密钥和解密密钥相同，或实质上等同，从一个可以推出另一个。单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。按照加密模式的差异，单钥密码体制有序列密码和分组密码两种方式，它不仅可用于数据加密，还可用于消息认证。单钥密码的优点是：安全保密度高，加密解密速度快。缺点是：1）密钥分发过程十分复杂，所花代价高；2）多人通信时密钥组合的数量会出现爆炸性膨胀，使分发更加复杂化；3）通信双方必须统一密钥，才能发送保密的信息；4）数字签名困难。 双钥密码体制的原理是，加密密钥与解密密钥不同，而且从一个难以推出另一个。两个密钥形成一个密钥对，其中一个密钥加密的结果，可以用另一个密钥来解密。双钥密码是：1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。优点：由于双钥密码体制的加密和解密不同，可以公开加密密钥，且仅需保密解密密钥，所以密钥管理问题比较简单。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密码体制。双钥密码的缺点是：双钥密码算法一般比较复杂，加解密速度慢。加密算法就其发展而言，共经历了古典密码、对称密钥密码（单钥密码体制）和公开密钥密码（双钥密码体制）三个发展阶段。 2.2.4古典密码算法：①简单代替密码或单字母密码②多名或同音代替③多表代替④多字母或多码代替。现代密码按照使用密钥方式不同，分为单钥密码体制和双钥密码体制两类。 2.2.5 DES、IDEA、RSA加密算法的基本原理；常见的网络数据加密方式有：链路加密、节点加密和端到端加密。 2.2.6认证技术的分层模型认证技术可以分为三个层次：安全管理协议、认证体制和密码体制。 认证的三个目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符；三是消息的序号和操作时间等的认证，其目的是防止消息重放或延迟等攻击。认证体制应满足的条件（要求）：①意定的接收者能够检验和证实消息的合法性、真实性和完整性；②消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息；③除了合法的消息发送者外，其他人不能伪造发送消息。手写签名与数字签名的区别：一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异；二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。 2.2.7数字签名与消息认证的区别：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证。 2.2.8 特点：①节省费用②互操作性③开放性④一致的解决方案⑤可验证性⑥可选择性 2.2.9 PKI认证技术的组成：主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳 2.3 防火墙技术 2.3.1防火墙的基本概念：是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。2.3.2防火墙的主要功能：①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些禁止的业务④记录通过防火墙的信息和内容⑤对网络攻击检测和告警2.3.3防火墙的局限性：①网络的安全性通常是以网络服务的开放性和灵活性为代价②防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有骗子滤技术、代理服务技术、状态检测技术和NAT技术等。2.3.4 骗子滤技术的工作原理：工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。骗子滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。2.3.5骗子滤技术的缺陷：①不能彻底防止地址欺骗②无法执行某些安全策略③安全性较差④一些应用协议不适合于数据骗子滤⑤管理功能弱代理服务技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。代理服务技术的工作原理：所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。2.3.6代理技术的优点：①代理易于配置②代理能生成各项记录③代理能灵活、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其它安全手段集成。2.3.7代理技术的缺点：①代理速度较路由器慢②代理对用户不透明③对每项服务代理可能要求不同的服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层协议的安全性。2.3.8状态检测技术的工作原理：也称为动态骗子滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性，检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。状态检测技术的特点：①高安全性②高效性③可伸缩性和易扩展性④应用范围广NAT 技术的工作原理：网络地址转换，是一个internet工程任务组的标准，允许一个整体机构以一个公用IP地址出现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT有三种类型：静态NAT、动态NAT和网络地址端口转换NAPT。2.3.9个人防火墙的主要功能：①IP数据骗子滤功能②安全规则的修订功能③对特定网络攻击数据包的拦截功能④应用程序网络访问控制功能⑤网络快速切断、恢复功能⑥日志记录功能⑦网络攻击的报警功能⑧产品自身安全功能个人防火墙的特点：优点：①增加了保护级别，不需要额外的硬件资源；②除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；③是对公共网络中的单位系统提供了保护，能够为用户陷隐蔽暴露在网络上的信息，比如IP地址之类的信息等。缺点：①对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁；②在运行时需要战胜个人计算机的内存、CPU时间等资源；③只能对单机提供保护，不能保护网络系统。防火墙的发展趋势：①优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤⑤防病毒与防黑客⑥发展联动技术 2.4 入侵检测技术 2.4.1入侵检测的原理：通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 2.4. 2.4.3入侵检测系统的分类：①基于数据源的分类：按数据源所处的位置，把入侵检测系统分为五类：即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统；②基于检测理论分类，可分为异常检测和误用检测；③基于检测时效的分类，可分为离线检测方式（采取批处理方式）和在线检测方式（实时检测）。 2.4.4入侵检测分析模型：分析是入侵检测的核心功能，一般的，入侵检测分析处理过程可分为三个阶段：构建分析器，对实际现场数据进行分析，反馈和提炼过程。其中，前两个阶段都包含三个功能，即数据处理、数据分类（数据可分为入侵指示、非入侵指示或不确定）和后处理。 2.4.5 误用检测：误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户活动记录和分析事件的方法。分为①条件概率预测法②产生式/专家系统③状态转换方法④用于批模式分析的信息检索技术⑤Keystroke Monitor和基于模型的方法。 2.4.6异常检测：异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加，异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由试题集来描述的。分为①Denning的原始模型②量化分析③统计度量④非参数统计度量⑤基于规则的方法 2.4.7分布式入侵检测的优势：分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优势：①检测大范围的攻击行为②提高检测的准确度③提高检测效率④协调响应措施分布式入侵检测的技术难点：①事件产生及存储②状态空间管理及规则复杂度③知识库管理④推理技术 2.4.8 入侵检测系统的标准：①IETF/IDWG。IDWG定义了用于入侵检测与响应系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）及隧道轮廓（Tunnel Profile）②CIDF。CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和应用编程接口API。 2.4.9 CIDF的体系结构组成：分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现，而事件数据库则是以文件或数据流的形式。 2.5 网络安全检测技术 2.5.1安全威胁的概念：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用笥和完整性产生阻碍、破坏或中断的各种因素。可分为人为安全威胁和非人为安全威胁两大类。 2.5.2网络安全漏洞威胁等级的划分方法：可按风险等级进行归类。 2.5.3网络安全漏洞的分类：漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类两大类。 2.5.4漏洞的概念：漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 2.5.5端口扫描的基本原理：端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为 TCP端口UDP端口两大类，因此端口扫描技术也可相应地分为TCP端口扫描技术和UDP端口扫描技术。 2.5.6操作系统类型探测的主要方法：操作系统探测技术主要包括：获取标识信息探测技术、基于TCP/IP协议栈的操作系统指纹探测技术和ICMP响应分析探测技术。 2.5.7信息型漏洞探测和攻击型漏洞探测技术的原理。 信息型漏洞探测的原理：大部分的网络安全漏洞都与特定的目标状态直接相关，因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。 攻击型漏洞探测的原理：模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。 2.6 计算机病毒与恶意代码防范技术 2.6.1计算机病毒的定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 2.6.2 计算机病毒的特征：①非授权可执行性②隐蔽性③传染性④潜伏性⑤破坏性⑥触发性 2.6.3计算机病毒的主要危害：①直接破坏计算机数据信息②占用磁盘空间和对信息的破坏③抢占系统资源④影响计算机运行速度⑤计算机病毒错误与不可预见的危害⑥计算机病毒的兼容性对系统运行的影响⑦给用户造成严重的心理压力 2.6.4 计算机病毒的分类：按病毒攻击的系统分类：①攻击DOS系统的病毒②攻击windows系统的病毒③攻击UNIX系统的病毒④攻击OS/2系统的病毒。按病毒的攻击机型分类：①攻击微型计算机的病毒②攻击小型机的计算机病毒③攻击工作部的计算机病毒。按病毒的链接方式分类：①源码型病毒②嵌入型病毒③外壳型病毒④操作系统型病毒。按病毒的破坏情况分类：①良性计算机病毒②恶性计算机病毒。按病毒的寄生方式分类：①引导型病毒②文件型病毒③复合型病毒。按病毒的传播媒介分类：①单机病毒②网络病毒。 2.6.5常用计算机病毒检测手段的基本原理①特征代码法②校验和法③行为监测法④软件模拟法 2.6.6 计算机病毒的防范手段： 防范计算机病毒主要从管理和技术两方面着手：①严格的管理。制定相应的管理制度，避免蓄意制造、传播病毒的事件发生。②有效的技术。1）将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒。2）检测一些病毒经常要改变的系统信息，以确定是否存在病毒行为；3）监测写盘操作，对引导区或主引导区的写操作报警。4）对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。5）智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区别正常程序与病毒程序的行为。6）智能监察型：设计病毒特征库，病毒行为知识库，受保护程序存取行为知识库等多个知识库及相应的可变推理机。 2.6.7恶意代码的特征与分类：特征：①恶意的目的②本身是程序③通过执行发生作用。分类：按恶意代码的工作原理和传输方式区分，恶意代码可分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。 2.6.8恶意代码的关键技术：恶意代码主要关键技术有生存技术、攻击技术和隐藏技术。 2.6.9恶意代码的防范措施：①及时更新系统，修补安全漏洞②设置安全策略，限制脚本程序的运行③开启防火墙，关闭不必要的服务和系统信息；④养成良好的上网习惯。 第3章 网络安全解决方案 3.1保护、检测、响应、恢复的含义： 保护：保护包括传统安全概念的继续，用加解密技术、访问控制技术、数字签名技术，从信息动态流动、数据静态存储和经授权方可以使用，以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。检