第一章概述
1.1信息安全的目标
保证了信息通信的那些方面,和基本概念
1、什么是信息安全?
信息安全是指信息网络的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠的正常运行,使信息服务不中断。
目标重视动态的特性
也可以是指信息采集、存储、处理、传播和运用过程中,信息的*性、秘密性、完整性、共享性等都能得到良好保护的一种状态。
目标重视静态的特性
2、危机网络信息安全的因素?
①网络设计和网络管理方面存在纰漏的原因,无意间造成了机密数据的暴露
②攻击者采用不正当的手段通过网络获得数据。
信息安全的整体解决方案:PDRR模型+安全管理
信息安全的基本属性:
①机密性:确保信息不会暴露给未授权的实体或进程
②完整性:只有得到允许的人才能修改数据,并且能够辨别数据是否已被修改③可用性:得到授权的实体在需要时可以访问数据
④抗否认性:用户无法事后否认对信息所进行的生成、签发等行为
⑤可控性:可以控制授权范围内的信息流向及行为方式
⑥可审查性:对出现的网络安全问题提供依据和手段
信息安全的研究内容
了解几个技术即可
1、所关注的焦点方面:
①l密码理论与技术(数据加密,消息摘要,数字签名,密钥管理)
②安全协议理论与技术
③安全体系结构与技术
④信息对抗理论与技术(漏洞扫描技术,入侵检测技术,防病毒技术)
⑤网络安全与安全产品(防火墙、安全路由器、虚拟专用网、安全服务器、电子签证机构、用户认证产品、安全管理中心、入侵检测系统、安全数据库、安全操作系统)
安全模型:
掌握PDR和PDRR含义及功能,还有组件的作用
P2DR安全模型:(动态信息安全理论的主要模型)
安全=风险分析+执行策略+系统实施+漏洞检测+实时响应
其中主要包括四个主要部分:
Policy(安全策略):是该模型的核心,确定安全要达到的目标,各种措施的强度,对于一个安全策略体系的建立包括 :安全策略的制订、安全策略的评估、安全策略的执行
Protection(防护)安全第一步:包括制定安全细则,配置安全系统,采用安全措施。
通常采用一些传统的静态安全技术和方法来实现
Detection(检测)通过检测发现异常情况及可能的攻击
是强制落实安全策略的有力工具
Response(响应)发现异常或者攻击后自动采取的行动
紧急响应在安全系统中占有最重要的地位,是解决安全潜在性最有效的方法
PDRR安全模型:
主要由防护,检测,响应,恢复,四部分构成
防护:最重要的部分,是预先阻止可能发生攻击条件的产生,防护可以减少大多数的入侵事件
检测:第二安全屏障
响应:分成了紧急响应和其他事件处理
恢复:事件发生后,把系统恢复到原来的状态,或者比原理更安全的状态
恢复可以分成:系统恢复(修补该事件所利用的系统缺陷,不让黑客再次利用这样的缺陷入侵)和信息恢复(恢复丢失的数据)
系统恢复一个重要的工作是除去后门。
该模型中,安全的概念已从信息保护到信息保障,该模型强调的是自动故障恢复能力
安全体系结构
ISO的OSI三维安全空间五类服务和8层安全机制,在不同层提供的服务,提供的作用,三维图
5大类:
①鉴别:鉴别参与通信的对等实体和数据源(都是第N层对于第N+1层的)
数据源发鉴别对于:数据单元的重复和篡改不提供 保护作用
②访问控制:能够访问未经授权而利用通过OSI可访问的资源
③机密性:防止数据未经授权而泄露
包括连接机密性、无连接机密性、选择字段机密性、通信业务流机密性
④完整性:用于对付主动威胁方面
带恢复的连接完整性、不带恢复的完整性、选择字段的连接完整性、无连接的完整性、选择字段无连接完整性
⑤不可否认性/抗抵赖:
有数据原发证明的:为了数据的接收者提供数据的原发证据
有交付证明的抗抵赖:为数据发送者提供数据交付证据
8大类:
①加密:具有保密性、加密算法是可逆的,也可以是不可逆的
对称加密(秘密密钥加密)、非对称密钥加密(例如:公开密钥):有公钥和私钥
不可逆加密算法可以使用密钥也可以不使用。使用的话可以是公开的也可以是不公开的
②签名:有两个过程:签名,验证
③访问控制:确认访问控制权,使用多种访问控制的手段;可以在任何一端或任何位置
④完整性:有单个数据单元或字段的完整性以及数据单元流或字段流的完整性
⑤鉴别交换:通过信息交换确保实体的身份
可用于鉴别交换的技术
对等实体鉴别
确保安全
应用环境
⑥业务填充机制:
制造假的通信实例,产生欺骗性数据
该机制可以用于提供各种等级的保护,防止业务流量分析
只用在业务填充受到保密性服务时才有效
⑦路由控制:
路由选择------->路由连接----->安全策略
⑧公正:关于在实体间通信数据的性能,如完整性、来源、时间目的等可由公正机制保证
密码学概论
密码学基本概念
1、密码学包含两个分支:密码编码学和密码分析学
明文:被用来加密的消息
密文:明文经变化形成的隐蔽形式
加密:从明文到密文的变换过程
解密:从密文恢复到明文的过程
密钥:变换函数所用的一个控制参数
加密密钥:与加密算法一起操作的密钥
解密密钥:与解密算法一起操作的密钥
加密和加密的过程:明文或者密文+密钥完成
密钥的分类:
①基本密钥:用于启动和控制某种算法结构的密钥,产生用于加密数据的密钥流
②会话密钥:两个用户在通话或者交换数据采用的密钥
③密钥加密密钥:对于密钥进行加密时采用的密钥
④主密钥:对于密钥加密密钥进行加密的密钥
密码分析:
唯密文攻击:密码分析者尽可能多的恢复出明文来
已知明文攻击:密码分析者根据明文和密文的对应关系来推出加密密钥或推导出算法
选择明文攻击:使算法可以对用于同一密钥加密得到的任何密文进行解密
选择密文攻击:能选择不同的密文,而且能得到与之对应的明文
上述四种攻击目的是为了推导出加解密所使用的密钥,强度一次递增。
复杂度的衡量:
数据复杂度:为了实施攻击所需输入的数据量
处理复杂度:处理这些数据所需的计算量
古典密码*:
凯撒加密法
维吉尼亚加密法
栅栏加密法
ENIGMA加密机
对称密码*
什么时候对称、对称的特点、原理、用途、DES加密的一般过程
加密密钥和解密密钥相同,也叫私钥*
流密码(序列密码):每次加密一位或者一字节明文
分组密码:将明文分成固定长度的组,用同一密钥和算法对每一块加密
1、简述对称密钥密码*的原理和特点?
对称密钥密码*,对于大多数的算法,解密算法是加密算法的逆运算,加密密钥和解密密钥相同,同属于一类加密*
特点:保密强度高但是开放性差,要求发送者和接收者在安全通信之前,有可靠的密钥信道传递密钥,此密钥也要妥善保管
算法特征:
- 加密方和解密方使用同一个密钥。
2. 加密解密的速度比较快,适合数据比较长时的使用。
3. 密钥传输的过程不安全,且容易被破解,密钥管理也比较麻烦。
DES实现加密
DES是一种对二进制数据进行加密的算法。数据分组长为64位,密钥长也为64位。使用64位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码。经过16轮的迭代、乘积变换、压缩变换等,输出密文也为 64位。
进行16轮的迭代运算时:每轮都经过5步:密钥变换、扩展置换、S盒替换、p盒替换、异或与交换
典型的对称密码算法有:Caesar密码、DES、3DES、AES等等
非对称密码*:
加密和解密需要不同的密钥完成
加密: X->Y: Y = EKU(X)
解密: Y->X: X = DKR(Y) = DKR(EKU(X))
知道加密算法,从加密密钥得到解密密钥在计算上是不可行的
两个密钥中任何一个都可以用作加密而另一个用作解密(不是必须的)
X = DKR(EKU(X)) = DKU(EKR(X))
加密和解密使用不同的密钥。公钥只能用来加密,而私钥只能用来解密。私钥由用户自己拥有。公钥公开配送,只要有需求即可获得。
特点:算法的安全性高,公钥公开私钥自己保存,加密和解密的时间长,速度慢,只适用于少量数据或要求保密性的文件进行加密
常见的非对称加密算法:RSA、DSA、ECC、Elgamal、背包算法
RSA密码*的实现步骤:
Alice 加密信息并发给Bob 的步骤:
(1) Alice从权威机构获得Bob的公钥(n,e);
(2) Alice 首先将消息表示为一整数m,使得m<n;
(3) 计算me mod n,计算结果c即为密文;
(4) Alice 将c通过网络发给Bob 。
解密过程:
Bob收到密文c后只需一步计算cd mod n就可以解密。
其中m,c分别为明文和密文,n和e公开,而p,q,d是保密的。解密的正确性证明略。
例题:
密钥管理
常用密钥,生成分发的方法有那些
1、密钥的生成大体分成了两类:密钥传送和密钥协商。
2、密钥传送
分成了:
点对点的模式:需要共享密钥的双方直接通信传递密钥
密钥服务器模式:①密钥服务器生成密钥,然后通过安全信道分别传送给通信的各方;②密钥服务器只负责密钥的传递,不负责密钥的生成。密钥的生成由通信各方中的一方生成。
3、密钥协商:最广泛使用的密钥协商协议是DH密钥交换协议
4、秘密分割
5、密钥控制
一次一密:
密钥是随机产生的,并且必须是真随机数,而不是伪随机数;密钥不能重复使用;密钥的有效长度不小于密文的长度。
密钥服务器负责密钥的生产和安全分发等工作
密钥托管:为保证对个人没有绝对的隐私和绝对的不可跟踪的匿名性,为加强加密中对突发事件的解密能力。
数字签名与身份证
考点:数字签名的含义,作用,用途,如何进行数字签名
消息认证和身份认证的方式,不同方式的区别,每种方式的含义,为什么能进行消息的认证,
身份认证的含义作用,如何进行身份认证
数字签名:
1、数字签名:数据电文以电子方式所含所附用于识别签名人身份并且表明签名人认可其中内容的数据
2、数字签名在网络安全,提供身份认证和不可否认性方面有重要意义
3、使用数字签名的必要性:
①A可以否认发过该消息,B无法证明A确实发了该消息,
②B伪造了一个不同的消息,但声称是从A收到的
数字签名的特点:
发送方必须用自己独有的信息来签名以防止伪造和否认
签名很容易产生
接收方很容易验证签名的真伪
对于给定的x,找出y(y≠x)使得签名S(y)=S(x)在计算上是不可行的
找出任意两个不同的输入x,y,使得S(y)=S(x)在计算上是不可行的
数字签名必须保证:
可验证:签字是可以被确认的
防抵赖:发送者事后不承认发送报文并签名;
防假冒:攻击者冒充发送者向收方发送文件;
防篡改:收方对收到的文件进行篡改;
防伪造:收方伪造对报文的签名。
数字签名的过程:
①初始化过程:产生数字签名用到的参数,
②签名产生过程:
③签名验证过程:验证者利用公开检验方法对给定消息的签名进行验证
数字签名的分类:
①以方式分(直接数字签名,仲裁数字签名)
②以安全性分(无条件安全的数字签名、计算上安全的数字签名)
③以可签次数分(一次性、多次性)
多次数字签名、不可抵赖数字签名、盲签名、群签名
消息认证
消息认证:指接收方对收到的消息进行检验,检验的内容包括:消息的源地址,目的地址,消息的内容是否受到篡改以及消息的有效生存时间
消息认证可以是实时的,也可以是非实时的
消息认证离不开Hash函数
消息认证的方式:两种方式的区别在于是否需要密钥的参与
①采用Hash函数:此方式不需要密钥的参与,可检验消息传播过程中是否遭受篡改
②采用消息认证码:消息被一密钥控制的公开函数作用后产生固定长度的,用做认证符的数值
消息认证算法:
MD5算法和SHA算法
身份认证:是对网络中的主体进行验证的过程
目的是在不可信的网络上建立通信实体之间的信任关系
身份认证系统应该具有以下的特征:
验证者正确识别对方的概率极大。
攻击者伪装以骗取信任的成功率极小。
通过重放攻击进行欺骗和伪装的成功率极小。
实现身份认证的算法计算量足够小。
实现身份认证所需的通信量足够小。
秘密参数能够安全存储。
对可信第三方的无条件信任。
可证明安全性。
身份认证系统包含主要的组成元件:
①认证服务器:负责进行使用者身份认证的工作
②认证系统用户端软件:必须具备可以与认证服务器协同运作的认证协定
③认证设备:是使用者用来产生密码的软硬件设备
身份认证的主要方法:
口令认证:最常见的也是最简单的身份识别技术,有时由用户选择,有时由系统分配
优缺点:大多数口令以明文方式传送到验证服务器,容易让截获。口令维护的成本高。口令容易让攻击者偷窥,用户无法及时发现
加强口令认证的措施
禁止使用缺省口令。
定期更换口令。
保持口令历史记录,使用户不能循环使用旧口令。
用口令破解程序测试口令。
口令攻击的种类
字典攻击、穷极尝试、窥探、社交工程、垃圾搜索、重放攻击
智能卡认证:
认证过程:登录请求、询问、应答、验证、
基于生物特征的认证
双因素认证:
身份认证的三要素:所知道的内容、所拥有的物品、所具备的特征
身份认证协议
分类:
双向身份认证:通信双方互相验证身份
单向身份认证:发送方认证接收方,接受方认证发送方
协议:
双向认证协议:
①基于对称密码的:NSSK协议,Kerber协议
基于非对称密码的:NSIPK协议
单向认证协议
PKI技术
考点PKI提供的服务,PKI的体系结构。PKI组成部分及功能,有那些信任模型
PKI技术:以非对称密钥*为基础,以数字证书为媒介,
为了实现身份认证,保证信息的真实性完整性机密性不可否认性
PKI系统的内容:认证中心(PKI的核心)、证书库、密钥备份及恢复系统、证书撤销处理系统、PKI接口应用系统
PKI提供的服务:
安全登录:用户一次登录可使用多个设备等
用户透明:用户只需要通过特定的接口使用PKI提供的服务
全面安全性:各种应用以同一的方式使用PKI提供的服务
体系结构的组成方式:*批准机构——>*认证机构——>认证中心
COI方式:通信频繁的用户分在同一个CA或者PCA下
组织化方式:建立在*或者组织机构下,政策由每个组织制定
等级方式:给每个成员安全等级,按级别来进行组织
考虑的因素:系统可靠性,系统可扩展性,系统的灵活性和使用方便性,CA结构的可信性,与其他系统的互操作性,增加成员的开销,多系统模块的管理结构
PKI的组成及功能
PKI策略:包括了两种类型的策略,一是证书策略,用于管理证书的使用,二是CPS(证书操作声明)由第三方运营的PKI系统需要
软硬件系统:是PKI系统所运行的所需的所有软硬件的集合
认证中心:是PKI的信任基础,负责管理密钥和数字证书的整个生命周期
注册机构:是重要组成部分,是个人用户或者团体用户与认证中心的一个接口
证书签发系统:负责证书的发放
PKI应用:通信。电子邮件。电子数据交换
PKI应用接口系统:以安全一致可信的方式与PKI进行交互
PKI的基本功能:
用户注册
证书申请
密钥产生
证书发放
密钥更新
密钥备份
密钥恢复
证书作废
证书归档
PKI的组成及功能
PKI策略:包括了两种类型的策略,一是证书策略,用于管理证书的使用,二是CPS(证书操作声明)由第三方运营的PKI系统需要
PKI的整体组成
软硬件系统:是PKI系统所运行的所需的所有软硬件的集合
认证中心:是PKI的信任基础,负责管理密钥和数字证书的整个生命周期是整个PKI的核心部分
注册机构:是重要组成部分,是个人用户或者团体用户与认证中心的一个接口
证书签发系统:负责证书的发放
PKI应用:通信。电子邮件。电子数据交换
PKI应用接口系统:以安全一致可信的方式与PKI进行交互(作用:提供加密数字签名等安全服务,确保可信性,降低管理维护成本)
PKI的三大组成:认证中心,证书签发,证书撤销
认证中心是PKI的核心。(采用数字证书机制,数字证书是身份的证明)
认证中心的功能有证书发放,证书更新,证书注销和证书验证,核心功能 发放和管理数字证书。
目的是解决电子商务活动中交易参与的各方的身份,资信的认定,维护交易活动的安全。
CA的组成:
①注册服务器:用户在网上注册并且申请证书
②证书申请受理和审核机构:接受客户的证书申请并且进行审核
③认证机构服务器:是数字证书生成,发放的运行实体
证书签发(分成了离线方式发放(应用于安全性需求高的,人工方式面对面的发放)和在线发放)
数字证书的认证过程;
证书的吊销
信任模型:
信任的特点:时差性、不确定性、与风险是相联系性、动态和非单调性、
信任是决策的重要因素,但不是唯一因素
常用的四种信任模型:严格层次模型、分布式模型、Web模型、用户中心的模型
严格层次:
分布式信任模型(星形和网状)
以用户为中心的信任模型:
SET协议:(支付工具:现金到信用卡)
五种实体:
持卡人:拥有信用卡的消费者;
商家:在Internet上提供商品或服务的商店;
支付网关:由金融机构或第三方控制,它处理持卡人购买和商家支付的请求;
收单行(Acquirer):负责将持卡人的帐户中资金转入商家帐户的金融机构;
发卡行:负责向持卡人发放信用卡的金融机构。
SET协议的流程:
1)用户向商家发订单和商家经过签名、加密的信托书。
信用卡号经过加密,商家无从得知;
2)收单银行收到商家发来的信托书,解密信用卡号,并通过认证验证签名;
3)收单银行向发卡银行查问,确认用户信用卡是否属实;
4)发卡银行认可并签证该笔交易;
5)收单银行认可商家并签证此交易;
6)商家向用户传送货物和收据;
7) 交易成功,商家向收单银行索款;
8) 收单银行按合同将货款划给商家;
9) 发卡银行向用户定期寄去信用卡消费账单。
第五章 防火墙:
考点:防火墙的概念,常用技术,体系结构
**防火墙的概念:**一种协助确保信息安全的设施,其会依照特定的规则,允许或是禁止传输的数据通过。通常位于一个可信任的内部网络与一个不可信任的外界网络之间,用于保护内部网络免受非法用户的入侵。
防火墙的三大特性:
①内部网络和外部网络之间所有的网络数据库都必须经过防火墙
②只用符合安全策略的数据库才能通过防火墙
③法国获取自身应具有非常强的抗攻击免疫力
防火墙的功能:(控制在计算机网络中不同的信任程度区域件传送的数据流)
①防火墙是网络安全的屏障
②防火墙可以强化网络安全策略
③防火墙可以对网络存取和访问进行监控和审计
④防火墙可以防范内部信息的外泄
防火墙的缺陷:
传统的防火墙不能防范来自内部网络的攻击;
防火墙不能防范不通过防火墙的攻击;
防火墙不能防范恶意代码的传输;
防火墙不能防范利用标准协议缺陷进行的攻击;
防火墙不能防范利用服务器系统漏洞进行的攻击;
防火墙不能防范未知的网络安全问题;
防火墙对已有的网络服务有一定的限制。
防火墙的性能指标:传输层性能指标、网络层性能指标、应用层性能指标
防火墙的功能指标:服务平台支持、LAN口支持、协议支持、VPN支持、加密支持、认证支持、访问控制、NAT支持、管理支持、日志支持、其他支持
防火墙的设计原则;拒绝访问一切未予特许的服务,允许访问一切未被特别拒绝的服务。
防火墙技术:
1、包过滤技术、应用网关技术(位于应用层)、状态检测技术
防火墙的分类
1、个人防火墙:
个人防火墙把用户的计算机和公共网络分隔开,它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行,是保护个人计算机接入互联网的安全有效措施。
2、分布式防火墙:
新的防火墙体系结构包含如下部分:网络防火墙、主机防火墙、中心管理
主要特点:主机驻留、嵌入操作系统内核、类似于个人防火墙、适用于服务器托管
优势:增强了系统安全性、提高了系统的性能、系统的扩展性、实施主机策略、应用更加广泛
防火墙的体系结构:
堡垒主机:堡垒主机是一种被强化的可以防御攻击的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
非军事区(隔离区):为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于内部网络和外部网络之间的一个特定的网络区域,
筛选路由器体系结构
单宿主堡垒主机体系结构
双宿主堡垒主机体系结构
蔽子网体系结构
第六章入侵检测技术
考点IDS概念,用途、分类方法————》结果,模型,体系结构、组件功能、常用的IBS
入侵检测:是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。
入侵检测系统:通过收集和分析网络行为,安全日志、审计数据、其他网络上可以获得信息以及计算机系统中若干关键点的信息,检查网络中或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测系统的分类
根据检测的数据来源分类:
1、HIDS基于主机的入侵检测:以主机数据作为分析对象,通过分析主机内部活动痕迹,如系统日志、系统调用、系统关键文件完整性等,判断主机上是否有入侵行为发生。
2、NIDS基于网络的入侵检测:一种或者多种网络数据作为分析对象,用一定的分析方法,判断在主机或网络中是否有入侵行为发生。
3、HDIDS混合分布式入侵检测:不同的主机系统、网络部件或者通过网络监听方式收集数据,这些系统可以利用网络数据也可收集分析来自主机系统的高层事件发现可疑行为,提供集成化的攻击签名、检测、报告和事件关联功能,而且部署和使用上也更加灵活方便。
按照使用入侵检测分析方法分类:
1、误用检测(基于特征的检测或者基于知识的检测):根据掌握的关于入侵或攻击的知识来组建入侵模式库。
缺陷:对入侵特征模式库依赖性太强,
2、异常检测:首先对正常状态下的系统行为建立模型(预期的正常活动行为模型),然后将所有观测到的和目标对象相关的活动与建立的系统正常行为模型进行比较,将与系统正常行为模型不相符的活动判定为可疑或入侵行为。
3、混合检测:同时使用以上两种方法:以模式发现为主,异常发现为辅
按照系统体系结构分类:
1、集中式IDS:由一个集中的入侵检测服务器和可能分布于不同主机上的多个审计程序组成,审计数据由分散的主机审计程序收集后传送到*检测服务器,由服务器对这些数据进行分析处理。
2、分布式IDS:由多个组件构成,各组件可以选用不同的检测方法,协同完成检测任务。其分布性主要体现在数据收集和数据分析上。
根据IDS的工作方式可分为在线IDS和离线IDS。
根据响应方式,IDS可以分为主动响应和被动响应系统。
根据系统检测的工作频率,IDS还可细分为连续IDS、周期性IDS。
系统模型和体系结构
Dening通用模型:
该模型由以下6个主要部分构成。
1、主体(Subjects):启动在目标系统上活动的实体,如用户;
2、对象(Objects):系统资源,如文件、设备、命令等;
3、审计记录(Audit records):由<Subject,Action,Object,Exception-Condition,Resource-Usage,Time-Stamp>构成的六元组,活动(Action)是主体对目标的操作,对操作系统而言,这些操作包括读、写、登录、退出等;异常条件(Exception-Condition)是指系统对主体的该活动的异常报告,如违反系统读写权限;资源使用状况(Resource-Usage)是系统的资源消耗情况,如CPU、内存使用率等;时戳(Time-Stamp)是活动发生时间;
4、活动简档(Activity Profile):用以保存主体正常活动的有关信息,具体实现依赖于检测方法,在统计方法中从事件数量、频度、资源消耗等方面度量,可以使用方差、马尔可夫模型等方法实现;
5、异常记录(Anomaly Record):由<Event,Time-stamp,Profile>组成,用以表示异常事件的发生情况;
6、活动规则:规则集是检查入侵是否发生的处理引擎,结合活动简档用专家系统或统计方法等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采取相应的措施。
公共入侵检测框架:为了解决不同入侵检测系统的互操作性和共存问题提出的入侵检测的框架
①事件产生器(Event generators):入侵检测系统需要分析的数据统称为事(Event)。可以是基于网络的入侵检测系统中网络中的数据,也可以是从系统日志或其它途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CIDF的GIDO格式传送给其他组件;
②事件分析器(Event analyzers):事件分析器分析从其它组件收到的GIDO,并将产生的新GIDO再传送给其它组件;
③事件数据库(Event databases):用于存储GIDO。
④响应单元(Response units):处理收到的GIDO,并据此采取相应的措施。
CIDF由体系结构、通信机制、描述语言、应用编程接口组成、、
通信机制:
GIDO层:表示方法。
消息层负责把数据从发送方传递到接受方
协商传输层定义各组件间的传输机制
体系结构
集中式体系结构
所有的处理过程包括数据采集、分析都由单一的主机上的一个进程来完成。随后出现的一些IDS对其进行了改进,数据采集上使用了分布式的处理方式,但数据的分析、入侵行为的识别还是由单一的进行来完成。其本质上仍然属于集中式的体系结构,
优缺点:可全面掌握采集到的数据从而对于入侵的行为分析的更加精确,
缺点:可扩展性差、改变配置和加入新功能困难,存在单点失效的风险。
分布式体系结构:多个代理在网络的各部分分别执行入侵检测,并协作处理可能的入侵行为,
优缺点:较好地完成数据的采集和检测内外部的入侵行为,现有的网路普遍采用的是层次化的结构,纯分布式的入侵检测要求所有的代理处于同一层次上
分层体系机构:
①最底层的代理负责收集所有的基本信息,然后对这些信息进行简单处理,完成初步的分析。其特点是处理速度快,数据量大,但仅限于检测某些简单的入侵行为。
②中间层代理起连接上下层代理的作用,一方面接受并处理由下层代理处理后的数据,另一方面可以进行较高层次的关联性分析并输出结果;同时,还负责向高层次代理进行数据和处理结果通报。中间层代理的加入减轻了*控制台的负载压力,并提高了系统的可伸缩性。
③*控制台处于最高的层次,主要负责在整体上对各级代理进行协调和管理。此外,其还可以根据网络环境或应用需求的变化,动态调整代理之间的层次关系,实现系统的动态调配。
. 基于行为的
i. 概率统计方法
ii. 人工神经网络
iii. 人工免疫系统
基于知识的 i. 专家系统 ii. 模型推理 iii. 状态分析转换
第七章虚拟专用网技术:
考点:隧道技术的原理使用方法(在信道上的)
通信安全的三个要求:身份认证、数据保密性、数据完整性
隧道是指将一种协议的数据单元封装咋另一种协议的数据单元中传输。
建立隧道有两种主要的方式:客户启动或客户透明
客户启动:要求客户和隧道服务器都安装隧道软件,一旦隧道建立就可以进行安全通信,客户启动隧道不需要ISP的支持。
客户透明:要求ISP具备VPN隧道所需的设备。在实现过程中通常使用用户ID和口令进行鉴权认证。
第二层隧道协议:
①点对点的协议(PPTP):只提供一种传送PPP的机制,并增强PPP的认证压缩、加密等功能
②第二层转发协议(L2FP):建立多协议的安全VPN通信方式
③第二层隧道协议(L2TP):将链路层封装起来进行传输。
优缺点:2TP的优点在于提供了差错和流量控制。作为PPP的扩展,L2TP可以进行用户身份认证。L2TP还定义了控制包的加密传输,对于每个被建立的隧道,生成一个唯一的随机密钥,提高欺骗性的攻击,但是L2TP对传输中的数据并不加密,需要使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。L2TP协议的安全性依赖于PPP提供的认证和链路层加密以及IPSec的保护。
第三次隧道协议⚡️在网络层实现,主要包括通用路由封装协议和IP安全
①通用路由封装协议(GRE):主要规定如何用一种网络层协议去封装另一种网络层协议的方法,GRE的隧道由其两端的源IP地址和目的地址来进行定义。
GRE只提供了数据包的封装,没有加密功能来防止网络侦听和攻击,
②IP安全协议:支持IP网络上数据的安全传输。
主要特点:在于可以对所有IP级的通信进行加密和认证
高层隧道协议:位于网络层以上的安全协议也可用建立安全隧道,如安全套接字层(SSL),用于Web浏览器与服务器之间的身份认证个加密数据传输
SSL协议可以分成两层:
SSL记录协议:建立在可靠的传输协议之上,为高层协议提供数据封装、雅苏普、加密等基本功能的支持。
SSL握手协议:建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
虚拟专用网实例(应用场景):
Site-to-Site(站点到站点或者网关到网关):如一个机构的3个分支机构分布在互联网的3个不同的地方,各使用一个网关相互建立VPN隧道,机构内部网络之间的数据通过这些网关建立的IPSec隧道实现安全互联。
End-to-End(端到端或者主机到主机): 两台主机之间的通信由两台主机之间的IPSec会话保护,而不是网关。
End-to-Site(端到站点或者主机到网关):两台主机之间的通信由网关和异地主机之间的IPSec进行保护
IPSec的设计目标:
①可认证IP报文的来源
②可保证IP报文的完整性
③可保护IP报文内容的私密性
④可防止认证报文被重放
IPsec的体系结构: IPSec 不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头(Authentication Header,AH)协议、封装安全负载(EncapsulatingSecurity Payload,ESP)协议、密钥管理协议(Internet Key Exchange,IKE)和用于网络认证及加密的一些算法等
SA的建立方式:手工方式,IKE自动协商方式。
传输模式与隧道模式的区别:
1、传输模式在IPSec处理前后IP头部保持不变,主要用于End-to-End的应用场景。
2、隧道模式则在IPSec处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。
第八章访问控制:
概念,目的,措施
访问控制概述:是指针对越权使用资源的防御措施,规定客体对主体的访问的限制
三要素:主体、客体、控制策略、
目的:防止对任何资源进行未授权的访问,从而使计算机系统在合法范围内使用。
访问控制的主要任务是:保证网络资源不被非法使用
访问控制的内容
主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。
客体(Object):规定需要保护的资源,又称作目标(target)。
授权(Authorization):规定可对资源执行的动作(例如读、写、执行或拒绝访问)。
访问控制的结构
授权:资源的所有者或者控制者准许其他人访问这种资源
目标:访问控制的资源对象
权威机构:目标的拥有者或者控制者
用户:访问目标的负责人的人
发起者:积极访问目标的用户或者用户行为的代理
访问控制模型的组成:
访问控制与其他安全机制的关系:
访问控制的基本原则
1、最小特权原则
2、多人负责原则
3、职责分离原则
4、最小泄露原则
5、多级安全策略
访问控制的种类
1、入网访问控制
2、网络权限控制
3、目录级安全控制
4、属性安全控制
5】网络服务器安全控制
6、网络监测和锁定控制
7、网络端口和节点的安全控制
8、防火墙控制
**访问控制的策略:**是对访问如何控制,如何做出访问决定的高层指南
访问控制机制:是访问控制策略的软硬件底层实现
实现机制和方法;
一般实现机制:
基于访问控制属性
——〉访问控制表/矩阵
基于用户和资源分级(“安全标签”)
——〉多级访问控制
常见实现方法:
访问控制表ACLs(Access Control Lists)
访问能力表(Capabilities)
授权关系表
访问控制表和访问能力表的比较
三种访问策略:
①自主访问控制DAC;基于身份的访问控制(不能有效的抵抗计算机病毒的攻击)
②强访问控制MAC:基于规则的访问控制
③基于角色的访问控制(RBAC)
自主访问或者强制访问的问题:
自主访问控制:
配置的粒度小
配置的工作量大,效率低
强制访问控制:
配置的粒度大
缺乏灵活性
基于角色的访问控制与传统访问控制的区别:增加了一层间接性 带来了灵活性
有约束的RBAC:增加了责任分离,用于解决冲突,防止用户超越权限
分成了:静态责任分离和动态责任分离
授权管理:
强制访问控制的授权管理,只有安全管理员能够改变主体和客体的安全级别。
自主访问控制的授权管理:
集中式管理:单个的管理者或组对用户进行访问控制授权和授权撤消。
分级式管理:一个中心管理者把管理责任分配给其它管理员,这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。
所属权管理:如果一个用户是一个客体的所有者,则该用户可以对其它用户访问该客体进行授权访问和授权撤消。
协作式管理:对于特定系统资源的访问不能有单个用户授权决定,而必须要其它用户的协作授权决定。
分散式管理:在分散管理中,客体所有者可以把管理权限授权给其他用户。
角色访问控制的授权管理:管理权限的委托代理是角色访问控制管理的重要特点,
第九章 网络安全技术
网络攻击
是指攻击者利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。
1、主动攻击:指攻击者访问他所需信息必须要实施其主观上的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
2、被动攻击:主要是收集信息而不是进行访问,数据的合法用户很难觉察到这种攻击行为。被动攻击包括嗅探、信息收集等攻击方法。
网络探测
分层三个基本步骤:(探测是攻击前必须的情报工作)
踩点:攻击者收集攻击目标相关信息的方法和收点
扫描、获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术
常见的扫描有:TCP连接扫描、TCPSYN扫描、TCPFIN扫描、TCP ACK 扫描、TCP 窗口扫描、TCP RPC 扫描、UDP 扫描、ICMP协议扫描
查点:攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术
手段:通过视频文件寻找目标主机、根据漏洞公告寻找目标主机、利用社会心理学、社会工程学获取目标主机信息
网络监听
攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息的技术手段。
工作原理: 由于以太网等许多网络(例如以共享HUB连接的内部网络)是基于总线方式,即多台主机连接在一条共享的总线上,其通信方式在物理上采用广播的方式。所以,在使用共享总线的同一网段中,所有主机的网卡都能接收到所有被发送的数据包。而对于使用交换机连接的内部网络,交换机只会把数据包转发到相应的端口(根据MAC地址),因此网卡只能收到发往本地主机的数据和广播数据。
网卡收到传输来的数据,网卡的驱动程序先接收数据头的目标MAC地址,根据主机上的网卡驱动程序配置的接收模式判断是否接收。在默认状态下网卡只把发给本机的数据包(包括广播数据包)传递给上层程序,其它的数据包一律丢弃。但是网卡可以设置为一种特殊的工作方式——混杂模式(Promiscuous Mode),在这种状态下,网卡将把接收到的所有数据包都传递给上层程序,这时,上层应用程序就能够获取本网段内发往其他主机的数据包,从而实现了对网络数据的监听。能实现网络监听的软件通常被称为嗅探(Sniffer)工具。
网络欺骗
IP源地址欺骗:伪造某台主机的IP地址的技术。通过IP地址的伪造使得某台主机能够伪装成另外一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。
实现的步骤:
1)选定目标主机A;
2)发现信任模式及受信任主机B;
3)使主机B丧失工作能力;
4)伪装成主机B向主机A发送建立TCP连接请求,并猜测主机A希望的确认序列号;
5)用猜测的确认序列号发送确认信息,建立连接。
DNS欺骗:在DNS报文中只使用一个序列号来进行有效性鉴别,未提供其它的认证和保护手段,这使得攻击者可以很容易地监听到查询请求,并伪造DNS应答包给请求DNS服务的客户端,从而进行DNS欺骗攻击。
防范方法:采用异常检测
源路由选择欺骗:某些路由器对源路由包的反应是使用其指定的路由,并使用其反向路由来传送应答数据
拒绝服务攻击:攻击者设法使目标主机停止提供服务
原理:利用网络协议的缺陷、采用耗尽目标主机的通信、存储或者计算资源的方式来迫使目标主机暂停服务甚至导致系统崩溃。
拒绝服务攻击:分成了拒绝服务攻击和分布式拒绝服务攻击
常见的DOS攻击包括:SYN泛洪、 UDP泛洪、 Ping泛洪、泪滴攻击、 Land攻击和Smurf攻击。
缓冲区溢出攻击;
**原理:**攻击者通过向目标程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因
SQL注入攻击
**原理:**SQL注入攻击主要是通过构建特殊的输入,这些输入往往是SQL语法中的一些组合,这些输入将作为参数传入Web应用程序,通过执行SQL语句而执行入侵者的想要的操作。
实现步骤寻找SQL注入点、获取和验证SQL注入点、获取信息、实施直接控制和间接进行控制阶段。
木马攻击:
概念:一种特殊的后门程序,是攻击者用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。
特点:
一个完整的木马程序含了两部分:服务端和客户端。植入目标主机的是服务端,攻击者可利用客户端对安装了服务端的主机进行远程控制。
木马程序与病毒的主要区别是,其实质上是一种基于客户/服务器模式的远程管理工具,一般不具备自我传播能力,而是被作为一种实施攻击的手段被病毒植入到目标系统的主机中。
木马的类型和攻击方法:
(1)破坏型木马
此类木马的唯一的功能就是潜伏在系统内部,并在接受到远程指令时实施对系统的破坏,如执行删除系统文件、格式化系统硬盘等。
(2)密码窃取型木马
此类木马的主要功能是窃取用户的密码并把它们发送到指定的目的地(如攻击者设定的电子邮件地址)。主要窃取密码的手段包括:记录操作者的键盘操作,从记录用户密码的系统文件中寻找密码等。
3)远程访问型木马
这是一类应用最广泛的木马,只需要在目标主机上植入并运行木马的服务端程序,攻击者便可以根据目标主机的IP地址和特定的端口号连接服务端程序,实现对目标主机远程控制。为了绕过防火墙,部分木马软件使用了“反弹”的连接方式,即由木马服务端程序主动连接客户端的端口,使得连接从受防火墙保护的内部网络中发起,而避免防火墙对通信过程的过滤。
木马攻击的防范主要包括三个方面:木马检测、清除、预防