当前位置:文档之家 › 沈鑫剡编著(网络安全)教材配套课件第12章

沈鑫剡编著(网络安全)教材配套课件第12章

  • 格式:pptx
  • 大小:1.34 MB
  • 文档页数:39

下载文档原格式

  / 39

合集下载

沈鑫剡编著(网络安全)教材配套课件第10章

沈鑫剡编著(网络安全)教材配套课件第10章

虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器 邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间 的双向身份鉴别,保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备,可以将远程终端访问内部网络资源的请求消息转 发给内部网络中的服务器,也将内部网络服务器发送的响应消息,转发给远程终端。
缺点:互连子网的专用点 对点物理链路的低效率、 高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ; 可以按需建立与路由器R之间的语音信 道。
R
内部网络

缺点:需要支付昂贵的长 途费用;语音信道利用率 不高;语音信道的数据传 输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘 要算法MD5,同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP,ESP使用的加 密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身 份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密 钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术,SSL VPN的 核心设备是SSL VPN网关,SSL VPN网关一端连接互联网,另一端连接内 部网络。

沈鑫剡编著(网络安全)教材配套课件第11章

沈鑫剡编著(网络安全)教材配套课件第11章

计算机网络安全
防火墙
五、防火墙的局限性

无法防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过 程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容 无状态分组过滤器; 有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=20, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。

沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章

沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章

IPv6
二、复杂的分组首部


随着链路带宽的提高,结点转发操作已经 成为性能瓶颈; 每一个转发结点需要重新计算检验和; 每一个转发结点需要处理可选项。
路由和交换技术
IPv6
三、QoS实现困难


没有单独的流标识字段,需要通过源和目 的IP地址、源和目的端口号确定属于同一 流的IP分组; 流分类由转发结点完成,增加了转发结点 的处理负担。
路由和交换技术
IPv6
二、IPv6地址分类
10bit 1111111010 54bit 0 64bit 接口标识符
链路本地地址


128bit地址长度为IPv6地址分类提供了方便; 链路本地地址是传输网络内有效的地址,只能用 于同一传输网络内两个端点之间的IPv6分组的传 输; 链路本地地址能够通过链路层地址,如 MAC地址, 自动生成。

路由和交换技术
IPv6
10.4 IPv6网络实现通信过程
本讲主要内容 网络结构和基本配置; 邻站发现协议; 路由器建立路由表过程。
路由和交换技术
IPv6
一、网络结构和基本配置
路由器 R1 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 1 直接 1 2002::/64 2 FE80::2E0:FCFF:FE00:3 2 2001::1/64 2 1 R1 路由器 R2 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 2 FE80::2E0:FCFF:FE00:2 1 2002::/64 1 直接 2 1 R2 2002::1/64 2
路由和交换技术
IPv6
二、IPv6地址分类
MAC地址为0012:3400:ABCD

沈鑫剡编著教材配套课件第章2

沈鑫剡编著教材配套课件第章2
计算机网络安全 第二十九页,编辑于星期五:十二点 四十五分

黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分

黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。

沈鑫剡编著(网络安全)教材配套课件第12章

沈鑫剡编著(网络安全)教材配套课件第12章
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足


主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。

计算机网络安全课件(沈鑫剡)第4章PPT课件

计算机网络安全课件(沈鑫剡)第4章PPT课件

LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由 项组播给路由器R1、R2;
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端; • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳 直接 直接
IP R IP R
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳 直接 直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表; ➢ 安全端口; ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能; ➢ 防DHCP欺骗; ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用 户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络

沈鑫剡计算机网络技术及应用无线局域网PPT课件

沈鑫剡计算机网络技术及应用无线局域网PPT课件
不是
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?

持续 DIFS 不是 信道空闲?

退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP

BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个

A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS

沈鑫剡编著《信息安全实用教程》第1章配套课件

沈鑫剡编著《信息安全实用教程》第1章配套课件
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
微信扫码支付涉及的安全问题 如何确保预支付请求中指明的商家与发送预支付请 求的商家是一致的; 如何确保预支付请求传输过程中不被篡改; 如何确保预支付交易链接传输过程中不被篡改; 如何确保支付验证传输过程中不被篡改; 如何确保支付授权传输过程中不被截获; 如何确保微信客户端和商家后台系统无法否认曾经 发送过的信息; 如何确保微信客户端和微信支付系统能够正常工作。
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
用户 ①商品名称、数量 商家
③账号、用户名、 密码、动态口令 银行
②商品清单、 支付 金额
网上购物涉及的数据交换过程
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
网上购物涉及的安全问题 商家链接的银行支付界面有可能是伪造的银行 支付界面; 用户与银行之间交换的与鉴别用户身份和完成 网上支付过程有关的数据在传输过程中有可能 被截获; 商家与银行之间交换的与支付有关的数据,在 传输过程中有可能被篡改; 用户和商家可能否认曾经发送过的信息; 用户终端和商家的电商平台可能无法正常工作。
信息安全实用技术 计算机基础与计算思维
概述
一、互联网和移动互联网
Internet GPRS 3G 4G

无线局域网

移动终端 无线通信网络 移动互联网应用
笔记本 计算机
平板电脑
智能手机
信息安全实用技术 计算机基础与计算思维
概述
一、互联网和移动互联网
智能手机(移动终端)特点 方便携带; 方便使用; 方便连接; 方便身份鉴别; 丰富的传感器; 移动通信设备。

沈鑫剡编著网络安全教材配套PPT课件

沈鑫剡编著网络安全教材配套PPT课件
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延

黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能

沈鑫剡编著(网络安全)教材配套课件第3章

沈鑫剡编著(网络安全)教材配套课件第3章
网络安全基础
二、 RSA公开密钥加密算法
计算机网络安全
RSA公开密钥加密算法也是一种分组密码算法,每一组数据m是0~n-1的整数,n和密钥的长度相关。c=me mod n。m=cd mod n=(me)d mod n=med mod n。
网络安全基础
二、 RSA公开密钥加密算法
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义输入是n位明文m和 b位密钥k,输出是 n位密文c,表示成 Ek(m)=c。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义
首先对任意长度明文进行填充,使得填充后的明文长度是加密算法要求的长度的整数倍。然后将填充后的明文分割成长度等于加密算法规定长度的数据段,对每一段数据段独立进行加密运算,产生和数据段长度相同的密文,密文序列和明文分段后产生的数据段序列一一对应。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义分组密码体制的加密算法完成的是n位明文至n位密文之间的映射,同样,解密算 法完成的是n位密文至 n位明文之间的映射。 n位明文至n位密文之 间的映射可以多达2n!,密钥k的值用于在多达 2n!种映射中选择一种 映射,并因此导出2n个明文编码和2n个密文编码之间的对应关系。
计算机网络安全
网络安全基础
AES加密运算过程
二、 分组密码体制
计算机网络安全
网络安全基础
明文分段;每一段单独加密,产生密文;各段密文组合成最终密文如果明文内容有规律重复,密文内容也同样有规律重复,降低保密性。
分组密码操作模式(1)电码本模式
二、 分组密码体制
计算机网络安全

第12章(117)教材配套课件

第12章(117)教材配套课件
M=decrypt(K,encrypt(K,M))
第12章 网络安全与防火墙技术
2.公开密钥加密 很多加密方法中,密钥必须是保密的。但有一种十分有趣的 加密方法称为公开密钥加密。它给每个用户分配两把密钥:一个 是私有密钥,是保密的;另一个是公开密钥,是众所周知的。该 方法的加密函数必须具备如下数学特性:用公开密钥加密的数据 除了使用相应的私有密钥外很难被解密;同样,用私有密钥加密 的数据除了使用相应的公开密钥外也很难被解密。
第12章 网络安全与防火墙技术
图12-2 加/解密模型
第12章 网络安全与防火墙技术
由于加密算法是公开的,因此对于图12-2的模型,其真正的 保密性取决于密钥(加/解密密钥),而且密钥的长度就成为一个关 键问题。为了说明这个问题,看一个密码锁的例子。大家都知道, 目前大部分密码锁是由一串数字组合而成的,即密码锁的加密算 法是众所周知的,但密码(即密钥)是保密的。一个两位数(十进制) 的密码意味着有100种可能性,一个3位数的密码意味着有1000种 可能性,而一个6位数的密码则意味着有100万种可能性。密码位 数越长,破译者破译密码锁的可能性越小。通过对密码空间的穷 尽搜索来破译保密系统的困难程度与密码长度成指数关系。这里, 密码锁的保密性由长密钥来保证。
第12章 网络安全与防火墙技术
传统加密技术将要传输的信息经过一定的变换后再进行发送, 以达到保密的要求。传统加密技术的保密性取决于破译员的译码 能力。为了增加保密性,必须经常更换加密算法。现代加密技术 使用的算法非常复杂。这样,即使破译员得到了一大堆密文,也 无从下手。下面讨论两种加密技术:秘密密钥加密和公开密钥加 密。
第12章 网络安全与防火墙技术
12.2 网络安全策略
计算机网络的安全策略应当能够提供以下的安全服务。 1.对象认证(Entity Authentication) 安全认证是防止主动攻击的重要防御措施,它对于开放 系统环境中的各种信息安全有重要的作用。认证就是识别和 证实。识别是指辨明一个对象的身份,证实是指证明该对象 的身份就是其声明的身份。OSI环境可提供对等实体认证的 安全服务和信源认证的安全服务。

计算机网络安全课件(沈鑫剡)第1章

计算机网络安全课件(沈鑫剡)第1章

入侵防御系统主要用于监测流经关键网段的信息流;是否协议异常、是否 是已知恶意代码、是否是木马病毒反向连接、是否是非正常流量等等。
计算机网络安全
概述
应用层安全机制


Web站点和用户之间的双向认证,防止登 录伪造商务网站泄漏私密信息。 建立银行、客户和商家之间关联,保证公 平、安全交易。
计算机网络安全
•将网络分成若干区,精致定义允许各区间传输的信息类型; •信息类型可以依据源和目的IP地址、源和目的端口号,及其他首部字段值 确定; •有状态分组检测可以将同一信息类型定义为完成某次资源访问所涉及全部 报文。
计算机网络安全
概述
入侵防御系统
防火墙 路由器 非信任区
交换机
非军事区 探测器
用户接口终端 管理服务器 核心服务器群
计算机网络安全
第一章
© 2006工程兵工程学院 计算机教研室
概述
1.1信息安全和网络安全
病毒 信息 病毒
信息
窃取 攻击
计算机网络安全
概述
主机安全和网络安全
主机安全 信息不被窃取; 提供正常服务; 不感染病毒。 网络安全 信息正常传输; 按照授权进行操作。
计算机网络安全
概述
网络安全成为主因
计算上不可行!
计算机网络安全
概述
加密、报文摘要算法和数字签名
数字签名
明文 P MD E K1 明文 P 数字 签名 P‖EK1(MD(P) ) 明文 P 数字 签名 MD D K2 相等,明文 P 认定是用户 A 所发
不相等,明文 P 无效
数字签名成立的前提: •根据报文P,找出P′,P ≠P′,但MD(P)= MD(P′),计算上不可行! •只有发送者拥有密钥K1; •密钥K2和密钥K1一一对应,即只能用密钥K2解密密钥K1加密的密文。

计算机网络安全课件(沈鑫剡)第10章

计算机网络安全课件(沈鑫剡)第10章

安全网络设计实例
网络资源
网络设备; 网络设备; 网络操作信息; 网络操作信息; 链路带宽; 链路带宽; 主机系统; 主机系统; 在网络中传输的信息; 在网络中传输的信息; 用户私密信息。 用户私密信息。
计算机网络安全
安全网络设计实例
安全网络设计步骤
确定需要保护的网络资源; 确定需要保护的网络资源; 分析可能遭受的攻击类型; 分析可能遭受的攻击类型; 风险评估; 风险评估; 设计网络安全策略; 设计网络安全策略; 实现网络安全策略; 实现网络安全策略; 分析和改进网络安全策略。 分析和改进网络安全策略。
计算机网络安全
安全网络设计实例
网络安全策略实现机制
防火墙访问控制机制 防火墙访问控制策略分两部分, 防火墙访问控制策略分两部分,一是控制 内网各个VLAN之间的信息传输过程,限 之间的信息传输过程, 内网各个 之间的信息传输过程 制外网终端对内网资源的访问过程。二是 制外网终端对内网资源的访问过程。 定义授权终端通过第2层隧道接入内部网 定义授权终端通过第 层隧道接入内部网 络的方法; 络的方法; 访问控制策略定义三种信息: 访问控制策略定义三种信息:信息传输方 源和目的终端范围, 向、源和目的终端范围,以服务方式确定 消息交换过程。 消息交换过程。
计算机网络安全
安全网络设计实例
安全网络主要构件
接入控制和认证构件; 接入控制和认证构件; 分组过滤和速率限制构件; 分组过滤和速率限制构件; 防火墙; 防火墙; 入侵防御系统; 入侵防御系统; VPN接入构件; 接入构件; 接入构件 认证、管理和控制服务器。 认证、管理和控制服务器。
计算机网络安全
计算机网络安全
安全网络设计实例
安全网络系Leabharlann 结构网络管理 工作站 S1 200.1.1.1 S2 200.1.2.1 200.1.3.1 S3 防火墙 S4 1 S5 1 VPN 隧道 193.1.3.1 193.1.3.2 3 2 193.1.2.254 网络入侵 防御系统 S6 交换机 193.1.2.5 193.1.2.6 Web 服务器 邮件服务器 主机入侵 200.1.5.1 防御系统 重要终端 200.1.4.1 数据库服务器 193.1.2.0/24 LAN 2 非军事区 Internet 非信任区 接入终端 FTP 服务器 200.1.9.5
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机网络安全
入侵防御系统
三、网络入侵检测机制
服务器 黑客终端 建立 TCP 连接 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 释放 TCP 连接 时间
具有交互特性的TCP连 接的规则如下: 相邻TCP报文的最小 间隔:500ms 相邻TCP报文的最大 间隔:30s 相邻间隔, TCP报文包含的最小 背靠背的情况 字节数:20B TCP报文包含的最大 字节数:100B 背靠背TCP报文的最 小比例:50% TCP小报文的最小比 例:80%
Internet 网络入侵防御系统



192.1.1.1/24 192.1.1.3/24 Web 服务器 FTP 服务器
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征 1 攻击特征 2 阶段 2 攻击特征 3 攻击特征 4 事件轴 阶段 1 阶段 3 阶段 4
有状态攻击特征可以用事件轴的方式给出攻击过程 中每一个阶段的攻击特征。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
协议译码 IP分组的正确性,如首部字段值是否合理,整个 TCP首部是否包含单片数据中,各个分片的长度 之和是否超过64KB等; TCP报文的正确性,如经过TCP连接传输的TCP 报文的序号和确认序号之间是否冲突,连续发送 的TCP报文序号范围和另一方发送的窗口是否冲 突,各段数据的序号范围是否重叠等; 应用层报文的正确性,请求、响应过程是否合乎 协议规范;各个字段值是否合理,端口号是否和 默认应用层协议匹配等。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征检测 从已知的攻击信息流中提取出有别于正常信息流的特征 信息; 特征信息分为元攻击特征和有状态攻击特征; 元攻击特征是单个独立的攻击特征,只要信息流中出现 和元攻击特征相同的位流或字节流模式,即可断定发现 攻击; 有状态攻击特征是将整个会话分成若干阶段,攻击特征 分散出现在多个阶段对应的信息流中,只有按照阶段顺 序,在每一个检测到指定的攻击特征才可断定发现攻击; 攻击特征只能检测出已知攻击,即提取出攻击特征的攻 击行为。
二、信息捕获机制
终端 B
3 终端 C 1
交换机 1 2 1 2 交换机 2 探测模式探测器
利用跨交换机端口境像捕获信息机制
终端 A


跨交换机端口境像功能是将需要检测的端口和连接探测模式 的探测器端口之间交换路径所经过交换机端口划分为一个特 定的VLAN; 从检测端口进入的信息除了正常转发外,在该特定VLAN内广 播。
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
交换机 终端 C 1 2 探测模式探测器
终端 A

虚拟策略路由

通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数 的IP分组; 为这些IP分组选择特定的传输路径; 虚拟访问控制列表允许这些IP分组既正常转发,又从特定传输路径转发; 通过特定传输路径转发的IP分组到达探测器。
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
规则设计 与修改
事件发生器
事件
更新规则 事件分析器 提取规则 更新 处理意见 事件数据库
历史 活动状态
响应单元
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
1.事件发生器 通用框架统一将需要入侵检测系统分析的数据称为事件, 事件发生器的功能是提供事件。 2.事件分析器 事件分析器根据事件数据库中的入侵特征描述、用户历 史行为模型等信息,对事件发生器提供的事件进行分析,得 出事件是否合法的结论。 3.响应单元 响应单元是根据事件分析器的分析结果做出反应的单元。 4.事件数据库 事件数据库中存储用于作为判别事件是否合法的依据的 信息。
的情况,异常信息流的特征、源和目的IP 地址,可能实施的攻击等。 记录下有关异常信息流的一切信息,以 便对其进行分析。 计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
路由器 Internet NIDS 交换机 集线器 服务器 NIDS
在线方式下,网络入侵检测系统(NIDS)捕获内网 和外网之间传输的信息的过程; 杂凑方式下,网络入侵检测系统(NIDS)捕获终端 和服务器间传输的信息的过程。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
终端 A

端口境像功能是将交换机某个端口(如图中的端口2)作为另一个端口 (如图中的端口1)的境像,这样,所有从该端口输出的信息流,都被复 制到境像端口,由于境像端口和其他交换机端口之间的境像关系是动态的, 因此,连接在端口2的探测器,可以捕获从交换机任意端口输出的信息流。
计算机网络安全
入侵防御系统
计算机网络安全
入侵防御系统
三、网络入侵检测机制
发生概率 重叠部分
攻击过程
正常访 问常检测的困难之处在于正常信息流和异常信息流的测 量值之间存在重叠部分,必须在误报和漏报之间平衡; 根据被保护资源的重要性确定基准值(靠近A点或B点)。
计算机网络安全
入侵防御系统
四、安全策略配置实例
网络安全
第十二章
© 2006工程兵工程学院 计算机教研室
入侵防御系统
第12章 入侵检测系统
本章主要内容 IDS概述; 网络入侵检测系统; 主机入侵检测系统。
计算机网络安全
入侵防御系统
12.1 IDS概述
本讲主要内容 入侵定义和手段; 引出IDS的原因; 入侵检测系统通用框架结构; 入侵检测系统的两种应用方式; IDS分类; 入侵检测系统工作过程; 入侵检测系统不足; 入侵检测系统发展趋势; 入侵检测系统的评价指标。
入侵防御系统
九、入侵检测系统的评价指标
1.正确性 正确性要求入侵检测系统减少误报,误报是把正常 的信息交换过程或网络资源访问过程作为攻击过程予以 反制和报警的情况。 2.全面性 全面性要求入侵检测系统减少漏报,漏报与误报相 反,是把攻击过程当作正常的信息交换过程或网络资源 访问过程不予干预,从而使黑客攻击成功的情况。 3.性能 性能是指捕获和检测信息流的能力。
计算机网络安全
入侵防御系统
五、IDS分类
路由器 Internet 网络入侵防御系统 管理服务器 主机入侵防御系统 交换机 重要服务器 重要终端

入侵防御系统分为主机入侵防御系统和网络入侵防御系统; 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程, 以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施 反制过程,以此保护重要网络资源; 主机入侵防御系统和网络入侵防御系统相辅相成,构成有机的防御体系。
计算机网络安全
入侵防御系统
八、入侵检测系统发展趋势


融合到操作系统中 主机入侵防御系统的主要功能是监测对主机资源 的访问过程,对访问资源的合法性进行判别,这 是操作系统应该集成的功能。 集成到网络转发设备中 所有信息流都需经过转发设备进行转发,因此, 转发设备是检测信息流的合适之处。
计算机网络安全
计算机网络安全
入侵防御系统
七、入侵检测系统不足


主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
入侵防御系统
三、网络入侵检测机制
异常检测 基于统计机制,在一段时间内,对流经特定网段的信息 流进行统计,如单位时间特定源和目的终端之间的流量、 不同应用层报文分布等,将这些统计值作为基准统计值。 然后,实时采集流经该网段的信息流,并计算出单位时 间内的统计值,然后和基准统计值比较,如果多个统计 值和基准统计值存在较大偏差,断定流经该网段的信息 流出现异常; 基于规则机制,通过分析大量异常信息流,总结出一些 特定异常信息流的规则,一旦流经该网段的信息流符合 某种异常信息流对应的规则,断定该信息流为异常信息 流。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
网络入侵检测系统工作过程 得到流经关键网 捕获信息; 段的信息流。 检测异常信息; 异常指包含非法代码,包含非法字段 值,与已知攻击特征匹配等。 反制异常信息; 反制是丢弃与异常信息具有相同源IP地址, 或者相同目的IP地址的IP分组,释放传输 报警; 异常信息的TCP连接等。 登记。 向网络安全管理员报告检测到异常信息流
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
主机入侵检测系统工作过程 拦截主机资源访问操作请求和网络信息流; 采集相应数据; 确定操作请求和网络信息流的合法性; 反制动作; 登记和分析。 主机攻击行为的最终目标是非法访问网络资源,或者感 染病毒,这些操作的实施一般都需要调用操作系统提供 的服务,因此,首要任务是对调用操作系统服务的请求 进行检测,根据调用发起进程,调用进程所属用户,需 要访问的主机资源等信息确定调用的合法性。同时,需 要对进出主机的信息进行检测,发现非法代码和敏感信 息。