当前位置:文档之家 › 网络安全与保密(第二版)第11章

网络安全与保密(第二版)第11章

  • 格式:pptx
  • 大小:2.25 MB
  • 文档页数:278

下载文档原格式

  / 22

合集下载

第十一章 网络安全

第十一章 网络安全

安全警报
通过防火墙可以方便地监视网络的安全性,并产生报警信号。 通过防火墙可以方便地监视网络的安全性,并产生报警信号。
重新部署网络地址转换( 重新部署网络地址转换(NAT) )
接入Internet的机构,可以通过网络地址转换(NAT)来完成内部 的机构,可以通过网络地址转换( 接入 的机构 ) 私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。 的理想位置。 私有地址到外部注册地址的映射,而防火墙正是部署 的理想位置
Intranet
Internet
防火墙
图11-1 防火墙的位置与功能示意图
2. 防火墙的主要功能
集中的网络安全
防火墙允许网络管理员定义一个中心(阻塞点) 防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进 入内部网络,禁止存在不安全因素的访问进出网络, 入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种 线路的攻击。 线路的攻击。
代理服务软件要分析网络数据包并作出访问控制决定, 代理服务软件要分析网络数据包并作出访问控制决定,从而在一定 程度上影响了网络的性能, 程度上影响了网络的性能,且代理服务器需要为每个网络用户专门 设计,安装使用较复杂,成本也相对较高。 设计,安装使用较复杂,成本也相对较高。
5. 复合型防火墙(Compound Firewall) 复合型防火墙( )
防火墙并非万能,影响网络安全的因素很多, 防火墙并非万能,影响网络安全的因素很多,对于以下情况它 无能为力: 无能为力: 不能防范绕过防火墙产生的攻击
不能防范由于内部用户不注意所造成的威胁 不能防范由于内部用户不注意所造成的威胁 不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
11.2.2 防火墙的主要类型

第11章 无线网络安全PPT讲义

第11章 无线网络安全PPT讲义
UTRAN) 演进的分组核心网络(Evolved Packet Core,EPC) 应用网络域
LTE的安全性
LTE网络架构
用户设备(UE)
用户设备中类似于UMTS的终端设备包括终端ME和USIM卡两部分,除了普通的用户设备外,LTE 系统还支持多种机器类型设备(Machine Type Communication Device,MTCD)接入到EPC。
应用网络域
LTE系统引入两种新型的服务,包括机器类型通信MTC和IP多媒体子系统(IMS),因此应用网络 域主要用于处理两种应用场景:IP多媒体子系统(IMS)、机器类型通信(MTC)。
LTE的安全性
LET的安全性
接入网和核心网的双层安全模型:UE和基站之间的接入层(AS)安 全机制、UE到MME间的非接入层信令安全机制(NAS)
AP发送一个认证请求信息,请求STA提供身份 信息。
STA将自己的身份信息发送给AP。 AP将包含用户身份的信息转发给RADIUS服务
器。
RADIUS服务器通过查询用户身份信息数据库 或使用其他认证算法验证用户身份的合法性。
RADIUS服务器向AP发送接收或拒绝用户访问 的信息。
AP向STA发送认证成功或认证失败的消息。如 果RADIUS服务器告知AP可以允许用户接入, 则AP将为用户开放一个受控端口,用户STA将 就可用该端口传输数据。
第11章 无线网络安全
本章内容
11.1 • 无线网络面临的安全威胁 11.2 • 无线蜂窝网络的安全性 11.3 • 无线局域网络的安全性 11.4 • 移动Ad hoc网络的安全性
什么是安全威胁?
主动威胁 被动威胁
安全威胁是指某个人、物或事件对某一资源(如信 息)的保密性、可用性、完整性以及资源的合法使 用构成危险。

第十一章 信息安全与法律法规

第十一章 信息安全与法律法规

D. 数据压缩
4:以下关于信息安全的叙述汇总,( )并不正确。 A. 信息安全已经上开到国家战略层面 B. 海陆空天网五大疆域体现国家主权 C. 信息安全体系要确保百分之百安全 D. 信息安全措施需三分技术七分管理
练习题
1:在使用计算机的过程中应增强的安全意识中不包括()。 A. 密码最好用随机的六位数字 B. 不要点击打开来历不明的链接 C. 重要的数据文件要及时备份 D. 不要访问吸引人的非法网站
练习题
4:以下设备中最可能成为传播计算机病毒的载体是()。 A. 显示器 B. 键盘 C. U盘 D. 扫描仪
5:面向社会服务的信息系统突发安全事件时所采取的技术措施中一般不包括( )。 A. 尽快定位安全风险点,努力进行系统修复 B. 将问题控制在局部范围内,不再向全系统扩散 C. 关闭系统,切断与外界的信息联系,逐人盘查 D. 全力挽回用户处理的信息,尽量减少损失
解析: A 计算机网络的主要功能就是数据通信和资源共享。还有提高计算机的可靠性和可用 性,分布式处理等。 2:信息系统的安全环节很多,其中最薄弱的环节是( ),最需要在这方面加强安全措施。 A.硬件 B. 软件 C. 数据 D. 人
3:( )不属于保护数据安全的技术措施。 A.数据加密 B. 数据备份 C. 数据隔离
(1)GB:强制性国家标准;(2)GB/T:推荐性国家标准;(3)CB/Z:指南类标
2:我国的信息安全法律法规包括国家法律、行政法规和部门规章及规范性文件等。( ) 属于部门规章及规范性文件。
A. 全国人民代表大会常务委员会通过的维护互联网安全的决定 B. 国务院发布的中华人民共和国计算机信息系统安全保护条例 C. 国务院发布的中华人民共和国计算机信息网络国际联网管理暂行规定 D. 公安部发布的计算机病毒防治管理办法 3:某机构准备发布中国互联网发展年度报告。报告分四个方面:全网概况、访问特征、渠道分析和行业视 角。用户24小时上网时间分布应属于( )方面的内容 A. 全网概况 B. 访问特征 C. 渠道分析 D. 行业视角

[网络与信息安全基础(第2版)][王颖,蔡毅][电子课件] (1)[28页]

[网络与信息安全基础(第2版)][王颖,蔡毅][电子课件] (1)[28页]
个人信息(如生日、名字、反向拼写的登录名、房间中可 见的东西)、年份、以及机器中的命令等。 不要将口令写下来。 不要将口令存于电脑文件中。 不要让别人知道。
1.4.1 关于口令安全性(续1)
不要在不同系统上,特别是不同级别的用户上使用同一口 令。
为防止眼明手快的人窃取口令,在输入口令时应确认无人 在身边。
1.1.2 加强青少年的网络安全意识
1.2 什么是攻击
1.2.1 1.2.2 1.2.3 1.2.4
收集信息的主要方式 攻击的主要手段 入侵仅发生在入侵行为完全完成,且入 侵者已进入目标网络内的行为称为攻击。但更为积极的观 点是:所有可能使一个网络受到破坏的行为都称为攻击。 即从一个入侵者开始在目标机上工作的那个时刻起,攻击 就开始了。
忽或者不配合,那么攻击者就有可能通过这台计算机,从 内部来攻击其他的计算机。
6. 保持简单(Simplicity) 尽量降低系统的复杂度,越复杂的系统越容易隐藏一些
安全问题,建议不要在一台服务器上配置超过两种以上的 应用。
1.5 安全操作系统简介
操作系统是信息系统安全的基础设施,在信息安全方面起 着决定性的作用。信息系统安全在硬件方面关键是芯片, 在软件方面关键是操作系统。本小节主要讨论操作系统方 面的安全问题。
1.2.4 攻击对象排名
主机运行没有必要的服务。 未打补丁的、过时的应用软件和硬件固件。 信息泄露,通过服务如Gopher、Finger、Telnet、SNMP、
SMTP、Netstat等。 盗用信任关系如Rsh、Rlogin、Rexec。 配置不当的防火墙或路由器ACL(Access Control List,访问
1.4.3 广域网安全
1.加密技术 2.VPN技术 3.身份认证技术

计算机网络安全和信息保密管理规定

计算机网络安全和信息保密管理规定

计算机网络安全和信息保密管理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。

2、凡使用公司计算机网络系统的员工都必须执行本规定。

3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密管理工作。

办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员专门负责各部门的信息安全维护工作。

4、对接入公司网络系统的计算机及设备,必须符合一下规定:1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络管理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。

2)凡接入公司办公网络的计算机,禁止使用任何网络设备,将计算机与国际互联网联结。

3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片,由网络管理员在装有相应外设的计算机上进行数据传输。

4)在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。

4)非我公司的计算机及任何外设,不得接入我公司的网络系统。

5)严禁私自开启计算机机箱封条或机箱锁。

5、凡使用公司网络系统的员工,必须遵守以下规定;1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。

2)对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。

3)公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据(如地形图等),未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。

4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。

网络安全复习重点第二版_(1)

网络安全复习重点第二版_(1)

网络安全重点整理第二版1、(P2)弱点有四种类型,威胁型弱点来源于预测未来威胁的困难。

设计和规范型弱点来源于协议设计中的错误和疏忽或疏忽使其天生不安全。

实现型弱点是协议实现中的错误产生的弱点。

最后,运行和配置型弱点来源于实现时选项的错误使用或不恰当的部署政策。

2、(P2)一般而言,主要的威胁种类有以下10种:1)窃听和嗅探:在广播网络信息系统中个,每个节点都能读取网上传输的数据。

2)假冒:当一个实体假扮成另一个实体时,就发生了假冒。

3)重放:重放是重复一份报文或报文的一部分,以便产生一个被授权的效果4)流量分析:它能通过网上信息流的观察和分析推断出网上的数据信息。

因为网络信息系统的所有节点都能访问全网,所以流量的分析易于完成。

由于报头信息不能被加密,所以即使对数据进行了数据加密,也可以进行有效的流量分析。

5)破坏完整性:破坏完整性是指有意或无意地修改或破坏信息系统,或者在非授权和不能检测的方式下对数据进行修改。

6)拒绝服务:当一个授权实体不能获得应有的对网络资源的访问或当执行紧急操作被延迟时,就发生了拒绝服务。

7)资源的非授权使用:资源的非授权使用即与所定义的安全策略不一致的使用8)陷阱门/特洛伊木马:陷阱门/特洛伊木马是指非授权进程隐藏在一个合法程序里从而达到其特定目的。

9)病毒。

10)诽谤:诽谤是指利用网络信息的广泛互联性和匿名性,散步错误的消息以达到诋毁某人或某公司的形象和知名度的目的。

3、(P3)分清主动攻击和被动攻击。

(1)被动攻击,指未经用户同意或认可的情况下得到信息或使用信息,但不对数据信息做任何修改。

通常包括监听、流量分析、解密弱加密信息、获得认证信息等。

(2)主动攻击,指对数据的篡改或虚假数据流的产生。

这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。

4、(P4)一般黑客的攻击大体有三个步骤:信息收集、对系统的安全弱点探测与分析和实施攻击。

5、(P6)ITU-TX.800标准的主要内容包括以下三点:1)安全攻击(Security Attack):安全攻击是指损害机构安全信息系统安全的任何活动。

第2章计算机网络安全技术(第二版)

方法
防护通常采用传统的静态安全技术及方法如防火墙、加密、认证等来实现。 主要是在边界提高抵御能力。边界防护技术可分为物理实体的防护技术和 信息防护(防泄露、防破坏)技术。 物理实体的防护技术主要是对有形的信息载体实施保护,使之不被窃取、 复制或丢失。如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、 眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类 技术。 信息防护技术主要是对信息的处理过程和传输过程实施保护,使之不被非 法入侵、窃听、干扰、破坏、拷贝。 对信息处理的防护主要有如下二种技术:
P2DR安全模型(3)
2、防护
防护就是采用一切手段保护计算机网络系统的保密性、 完整性、可用性、可控性和不可否认性,预先阻止攻击 可以发生的条件产生,让攻击者无法顺利地入侵。所以 说,防护是网络安全策略中最重要的环节。防护可以分 为三大类:系统安全防护、网络安全防护和信息安全防 护。
系统安全防护指的是操作系统的安全防护,即各个操作系统的 安全配置、使用和打补丁等。不同操作系统有不同的防护措施 和相应的安全工具。 网络安全防护指的是网络管理的安全,以及网络传输的安全。 信息安全防护指的是数据本身的保密性、完整性和可用性。数 据加密就是信息安全防护的重要技术。
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型(2)
PDRR安全模型中安全策略的前三个环节与P2DR安全模 型中后三个环节的内涵基本相同,不再赘述。最后一 个环节“恢复”,是指在系统被入侵之后,把系统恢 复到原来的状态,或者比原来更安全的状态。系统的 恢复过程通常需要解决两个问题:一是对入侵所造成 的影响进行评估和系统的重建,二是采取恰当的技术 措施。系统的恢复主要有重建系统、通过软件和程序 恢复系统等方法。详见第十章10.4节。 PDRR安全模型阐述了下面一个结论:安全的目标实际 上就是尽可能地增大保护时间,尽量减少检测时间和 响应时间,在系统遭受到破坏后,应尽快恢复,以减 少系统暴露时间。也就是说:及时的检测和响应就是 安全。

网络安全与保密工作

网络安全与保密工作随着信息技术的飞速发展和全球互联网的普及,网络安全问题变得越来越重要。

在商业、政治、社会等各个领域,网络安全与保密工作都显得至关重要。

本文将探讨网络安全与保密工作的意义、当前面临的挑战以及应对策略。

一、网络安全与保密工作的意义网络安全是指保护网络系统免受未经授权的入侵和破坏,确保网络数据的机密性、完整性、可用性和可控性。

保密工作则是保障国家安全、维护社会稳定、保护公民隐私的重要手段。

网络安全与保密工作的意义在于:1、保障国家安全:网络空间是国家安全的重要领域之一,网络安全与保密工作是维护国家安全的重要保障。

2、促进经济发展:随着电子商务、电子金融等网络应用的普及,网络安全与保密工作对于保护企业和个人的财产安全、维护市场秩序具有重要意义。

3、维护社会稳定:网络谣言、网络犯罪等不良行为会对社会稳定产生负面影响,网络安全与保密工作有助于遏制这些行为的发生。

4、保护公民隐私:网络空间已经成为公民个人信息的重要存储地,网络安全与保密工作能够保护公民的个人隐私不受侵犯。

二、网络安全与保密工作面临的挑战当前,网络安全与保密工作面临着诸多挑战:5、技术发展迅速:随着信息技术的飞速发展,网络攻击手段日益复杂,防范难度逐渐增大。

6、跨国网络犯罪:全球化背景下,跨国网络犯罪呈现出日益增长的趋势,对国家安全和社会稳定构成了严重威胁。

7、网络谣言传播:网络谣言具有传播速度快、影响范围广的特点,给社会稳定和个人权益带来严重损害。

8、内部泄露风险:企业内部员工可能存在泄露敏感信息的风险,给企业带来重大损失。

三、应对策略为了应对上述挑战,我们需要采取以下策略:9、加强技术研发:加大对网络安全技术的研发力度,提高网络安全防范能力。

10、完善法律法规:制定和完善网络安全法律法规,加强对网络犯罪的打击力度。

11、提高公众意识:加强网络安全教育,提高公众对网络安全的认识和意识。

12、加强内部管理:建立健全企业内部信息管理制度,加强对员工的信息安全培训和监管。

《网络安全与管理(第二版)》网络安全试题

网络安全试题三一.判断题(每题1分,共25分)1.在网络建设初期可以不考虑自然和人为灾害。

2.计算机病毒具有破坏性和传染性。

3.确认数据是由合法实体发出的是一种抗抵赖性的形式。

4.EDS和IDEA是非对称密钥技术。

5.在非对称密钥密码体制中,发信方与收信方使用相同的密钥。

6.数据加密只能采用软件方式加密。

7.数字签名与传统的手写签名是一样的。

8.识别数据是否被篡改是通过数据完整性来检验的。

9.PGP是基于RSA算法和IDEA算法的。

10.在PGP信任网中用户之间的信任关系不是无限制的。

11.在Internet 中,每一台主机都有一个唯一的XXX,但IPXXX不是唯一的。

12.通过设置防火墙和对路由器的安全配置无法限制用户的访问资源范围。

13.系统管理员可以使用防火墙对主机和网络的活动、状态进行全面的了解和监视。

14.网络服务对系统的安全没有影响,因此可以随意的增加网络服务。

15.在系统中,不同的用户可以使用同一个帐户和口令,不会到系统安全有影响。

16.在Windows NT操作系统中,用户不能定义自已拥有资源的访问权限。

17.在Windows NT操作系统中,文件系统的安全性能可以通过控制用户的访问权限来实现。

18.在NetWare操作系统中,访问权限可以继承。

19.口令机制是一种简单的身份认证方法。

20.用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。

21.数据原发鉴别服务对数据单元的重复或篡改提供保护。

22.防火墙是万能的,可以用来解决各种安全问题。

23.在防火墙产品中,不可能应用多种防火墙技术。

24.入侵检测系统可以收集网络信息对数据进行完整性分析,从而发现可疑的攻击特征。

25.依靠网络与信息安全技术就可以保障网络安全,而不需要安全管理制度。

二.单项选择题(每题1分,共25分)1.按TCSEC安全级别的划分,D级安全具有的保护功能有:A 对硬件有某种程度的保护措施B 是操作系统不易收到损害C 具有系统和数据访问限制D 需要帐户才能进入系统E 以上都不是2.网络与信息安全的主要目的是为了保证信息的:A. 完整性、保密性和可用性B. 完整性、可用性和安全性C. 完整性、安全性和保密性D. ? 可用性、传播性和整体性3."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?"A 56位B 64位C 112位D 128位4.下列哪种完整性控制方法使用单向散列函数计算信息的“摘要”,连同信息发送给接收方,接收方重新计算“摘要”,并进行比较验证信息在传输过程中的完整性。

计算机网络安全第二版课后答案

计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。

2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。

3. 信息安全的目标cia指的是机密性,完整性,可用性。

4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。

二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。

2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。

3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。

4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。

5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。

三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。

2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。

(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第11章 入侵检测系统
11.1 引言 11.2 入侵检测基本原理 11.3 入侵检测系统分类 11.4 入侵检测系统模型 11.5 分布式入侵检测系统 11.6 小结 参考文献
传统的安全防御技术是静态的安全策略,相对于网络环 境下日新月异的攻击手段缺乏主动的反应能力。为此,一种 新型的安全理念——动态安全防御技术应运而生。而入侵检 测作为动态安全防御技术的核心技术之一,是防火墙的合理 补充,被誉为防火墙之后的最后一道安全防线。
入侵检测作为动态安全技术的核心技术之一,是防火墙 的合理补充,帮助系统对付网络攻击,扩展了系统管理员的 安全管理能力(包括安全审计、监视、进攻识别和响应),提 高了信息安全基础结构的完整性,是安全防御体系的一个重 要组成部分。
入侵检测的诞生是网络安全需求发展的必然,它的出现 给计算机安全领域研究注入了新的活力。关于入侵检测的发 展历史最早可追溯到1980年,当时James P. Anderson在一份 技术报告中提出审计记录可用于检测计算机误用行为的思想, 这可谓是入侵检测的开创性的先河。而另一位对入侵检测同 样起着开创作用的人就是Dorothy E.Denning,他在1987年的 一篇论文[3]中提出了实时入侵检测系统模型,它成为后来的 入侵检测研究和系统原型的基础。早期的入侵检测系统是基 于主机的系统,它是通过监视和分析主机的审计记录来检测 入侵的。
11.2.2 入侵检测系统 入侵检测系统(Intrusion Detection System,简称IDS)是
实现入侵检测功能的一系列的软件、硬件的组合。它是入侵 检测的具体实现。作为一种安全管理工具,它从不同的系统 资源收集信息,分析反映误用或异常行为模式的信息,对检 测的行为做出自动的反应,并报告检测过(Intrusion Detection)就是通过从计算机网络或 计算机系统中若干关键点收集信息并对其进行分析,从中发 现网络或系统中是否有违反安全策略的行为和遭到攻击的迹 象,同时做出响应。
从上述的定义可以看出,入侵检测的一般过程是:信息 收集、信息(数据)预处理、数据的检测分析、根据安全策略 做出响应,如图11-2所示。
本章将对入侵检测的相关理论进行系统的介绍和阐述, 为深入进行这方面的研究提供必要的理论支持。
11.1 引言
计算机网络的迅猛发展给当今社会所带来的各种便利是 毋庸置疑的,它把人们的工作、生活、学习紧密地联系在了 一起,也使得人们对计算机网络的依赖性在不断增强,所以 我们必须确保计算机网络的安全。
而计算机安全的三大中心目标是:保密性 (Confidentiality)、完整性(Integrity)、可用性(Availability)。 人们在实现这些目标的过程中不断进行着探索和研究。其中 比较突出的技术有:身份认证与识别、访问控制机制、加密 技术、防火墙技术等。但是这些技术的一个共同特征就是集 中在系统的自身加固和防护上,属于静态的安全防御技术, 它对于网络环境下日新月异的攻击手段缺乏主动的反应。针 对日益严重的网络安全问题和越来越突出的安全需求,自适 应网络安全技术(动态安全技术)和动态安全模型应运而生, 典型的就是P2DR模型(如图11-1所示)。
另外,入侵检测发展史上又一个具有重要意义的里程碑 就是NSM(Network Security Monitor)的出现,它是由L. Todd Heberlien在1990年提出的。NSM与此前的入侵检测系统相 比,其最大的不同在于它并不检查主机系统的审计记录,而 是通过监视网络的信息流量来跟踪可疑的入侵行为。
安全策略


信息



源 收集


检 测 模 型
检 测 结 果
响 应 处 理
图11-2 入侵检测的一般过程
其中,信息源是指包含有最原始的入侵行为信息的数据, 主要是网络、系统的审计数据或原始的网络数据包。数据预 处理是指对收集到的数据进行预处理,将其转化为检测模型 所接受的数据格式,也包括对冗余信息的去除即数据简约。 这是入侵检测研究领域的关键,也是难点之一。检测模型是 指根据各种检测算法建立起来的检测分析模型,它的输入一 般是经过数据预处理后的数据,输出为对数据属性的判断结 果,数据属性一般是针对数据中包含的入侵信息的断言。
从此,入侵检测的研究和开发呈现一股热潮,而且多学 科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本 章我们将对入侵检测的基本理论进行介绍,为大家深入学习 和研究起到抛砖引玉的作用。
11.2 入侵检测基本原理
11.2.1 入侵检测的基本概念 从计算机安全的目标来看,入侵的定义是:企图破坏资源
的完整性、保密性、可用性的任何行为,也指违背系统安全策 略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内 部用户的未授权行为也是一个重要的方面,有时内部人员滥用 他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来 看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合 法用户的泄漏、拒绝服务以及恶意使用等几个方面。
Re s p o n s e (响应)
(防护) n
De t e ct
i o n (检测)
Pr ot ect io Policy (策略)
图11-1 P2DR模型
P2DR模型由Policy(安全策略)、Protection(防护)、 Detection(检测)、Response(响应)这几个功能部件组成。首 先,在整体安全策略的控制和指导下,在综合运用防护(如 防火墙、操作系统身份认证、加密等手段)的同时,利用检 测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安 全状态,通过适当的响应将系统调整到“最安全”和“风险 最低”的状态。防护、检测和响应构成了一个完整的、动态 的安全循环。
检测结果即检测模型输出的结果,由于单一的检测模型的检 测率不理想,往往需要利用多个检测模型进行并行分析处理, 然后对这些检测结果进行数据融合处理,以达到满意的效果。 安全策略是指根据安全需求设置的策略。响应处理主要是指 综合安全策略和检测结果所作出的响应过程,包括产生检测 报告、通知管理员、断开网络连接或更改防火墙的配置等积 极的防御措施。