计算机网络ppt课件CH11网络安全.ppt
《计算机网络ppt课件CH11网络安全.ppt》由会员分享,可在线阅读,更多相关《计算机网络ppt课件CH11网络安全.ppt(89页珍藏版)》请在三一办公上搜索。
1、1,影响网络安全的因素,网络操作系统的脆弱性TCP/IP协议的安全性缺陷数据库系统的安全缺陷网络资源共享带来的风险数据通信风险电脑病毒安全管理漏洞,2,一、信息加密,加密原理传统密码体制DES数据加密标准公开密钥算法数字签名报文鉴别,3,加密模型,1.传统的数据加密模型,4,传统的数据加密模型说明,明文P用加密算法E和加密密钥K加密,得到密文C=EK(P)在传送过程中可能出现密文截取者到了接收端,利用解密算法D和解密密钥K,解出明文为DK(C)=DK(EK(P)=P截取者又称为攻击者,或入侵者在这里我们假定加密密钥和解密密钥都是一样的。但实际上它们可以是不一样的(即使不一样,这两个密钥也必然有
2、某种相关性)密钥通常是由一个密钥源提供。当密钥需要向远地传送时,一定要通过另一个安全信道,5,1)替换密码,凯撒密码,a-D、b-E、c-F、d-G、e-H s-V、z-C 例如:明 文:access control 可变为:DFFHVV FRQWURO 密钥为:移4位,改进方案:允许移位k位,k为密钥。解密要尝试25种可能,6,替换密码的再改进,密码对照表,对照表中第二行的26个字母次序即为密钥。解密要尝试26!种情况,假设1s试一种情况则需1013年。但解密方法可用“分布式计算”或“用字频法”。,7,2)变位密码,每个码不变,但位置改变,最常用的是列变位加密,例:密钥为MEGABUCK 明
3、文为:pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo密文为:AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB,8,变换盒,P盒:实现变位,乘积密码的基本元素,方式:用电路改变输入线的输出排列。图中列出8根线的变位,如这8位从上到下指定为01234567 则该P盒的输出为36071245,3)乘法密码,(a)P盒,9,S盒:实现替换,乘积密码的基本元素,(b)S盒,按图中的替换,如果8个八进制数01234567一个接一个地输入,那么输出序列将变
4、为24506713。即2替换0,4替换1。注意n个比特的输入需要2n条交换线,10,乘积密码,将一串盒子连接起来,组成乘积密码,(c)乘积,11,2.DES数据加密,DES(Data Encryption Standard)数据加密标准 加密算法固定,根据不同的密钥产生不同的结果,明文按64比特块加密,生成64 bit的密文。此算法有一个56 bit的密钥作为参数(另加8 bit的奇偶位),12,3.IDEA,DES可采用穷举法解密。目前已设计出可在4小时内破译DES的机器(7*1016种密钥),因此仍是不安全的 IDEA采用128位密钥,对每64bit进行加密。加密过程是通过8次迭代。,13
5、,4.公开密钥算法,密钥是成对产生的 加密密钥不能用来解密 DSK(EPK(P)=P 但DPK(EPK(P)P 加密密钥和算法是公开的,解密密钥是保密的 从PK(加密密钥)导出SK(解密密钥)极其困难,14,1)公开密钥算法模型,公开密钥算法中RSA算法最有代表性 RSA算法:基于数论,15,2)密钥的选取,选择两个大质数,p和q(典型地应大于10100)计算n=p*q和z=(p-1)*(q-1)选择一个与z互质的数d,(d,n)为解密密钥 找出e,使e*d(mod z)=1(e,n)为加密密钥,公开密钥为(e、n),私有密钥为(d、n)n为可编码的最大数,16,5.数字签名,接收方能够验证发
6、送方所宣称的身份 发送方以后不能否认报文是他发的 接收方不能伪造该报文,数字签名的目的,17,1)采用秘密密钥的数字签名,一个公认的信任机构BB,负责给每个人分配密码 传输时,也必须通过该信任机构。如A发一消息给B,他必须先用自己的密钥加密后发给信任机构BB,信任机构BB解密,然后重新用B的密钥加密后发给B,18,2)采用公开密钥的数字签名,秘密密钥加密的问题:需要有公认的信任机构。但事实上很难找到这样的机构,19,6.加密技术应用,数据链路层加密节点加密端到端加密,如:IPsec/SSL,20,1.计算机病毒的特性,计算机病毒的传染性计算机病毒的隐蔽性 计算机病毒的潜伏性 计算机病毒的破坏性
7、 计算机病毒的针对性计算机病毒的衍生性(变种)计算机病毒的寄生性计算机病毒的不可预见性,二、防范病毒,21,2.病毒的征兆,键盘、打印、显示有异常现象运行速度突然减慢计算机系统出现异常死机或死机频繁文件的长度内容、属性、日期无故改变丢失文件、丢失数据系统引导过程变慢系统有不明进程常驻无缘无故的网络连接、访问需求,3.病毒的传播途径/入侵渠道,软盘启动、自动运行使用软盘、移动存储设备 电子邮件网络连线 数据共享、文件传输使用CD-ROM访问不良网站,4.传统电脑病毒种类,开机感染型硬盘分割区式:STONE,米开朗基罗,FISH启动软盘式:C-BRAIN,DISK-KILLER 文档感染型 非常驻
8、型:VIENNA(维也纳)常驻型:黑色星期五/红色九月/石头病毒 复合型病毒:Natas,MacGyver,24,5.新型病毒,隐秘型病毒使用复杂编码加密技巧,每一代的代码都不同,无特征样本可循 以拦截功能及显示假象资料以蒙蔽用户 不影响功能的情况下,随机更换指令顺序,电脑蠕虫 是一个独立的程序,不会攻击其它程序,不附着其它程序,不需要寄主 在系统中大量繁殖 部分种类蠕虫会在存储介质上游走,避免被其它程序覆盖 典型案例:,Melissa,25,基于视窗的计算机病毒越来越多新计算机病毒种类不断涌现,数量急剧增加传播途径更多,传播速度更快计算机病毒造成的破坏日益严重电子邮件成为计算机传播的主要途径
9、,6.病毒的新特点、新趋势,蠕虫病毒越来越多,宏病毒退而居其次黑客程序与病毒的结合主动传播,基于网络的病毒越来越多,26,7.常见病毒防治方法,1)病毒代码过滤(特征代码法、指令特征法),根据病毒特征代码进行比对 静态的分析方法 可以准确指出病毒种类 无法防御未知病毒 需要在提取已知病毒代码时非常准确,27,2)功能特征检测,动态的检测模式 检查某一类别的非法操作 不是检测某个特定病毒,而是具有同种功能的病毒广谱识别:如果某些软件采用同种功能,会误报,28,利用编码技术,将可执行段作特殊运算,产生识别码或检测值.如果可执行段发生改变,只要计算出的识别码与与记录值不同,表示有中毒的可能。不需要特
10、征代码,不需要更新版本或代码库,但清除病毒的唯一方法就是用备份文件覆盖原文件,源程序有任何改动需要更新记录,即重新生成识别码。,3)加值总和法,29,利用编码技术,在可执行程序前添加一段自我检查程序,如果发现中毒,则主动修复。特点:不认病毒,无需经常更新,不用备份缺点:移植(加载)检查段前,必须确定无毒;增加可执行文件长度,减少可用空间,加长运行时间,4)移植检查法,30,将正常可执行段加以修改,植入病毒标志,使病毒感染时误认为已经感染而放弃。早期防毒软件采用这种方法。但目前病毒数目越来越多,且现代病毒根本不检查感染标志,5)疫苗程序,31,8.网络防范病毒策略,网关、服务器级保护,客户端保护
11、,全网防护,32,9.网络防毒系统的要求,管理方便安装方式多样真正基于网络(Internet/Intranet)客户端操作简便、透明免维护控制病毒源条件限制要少,33,10.影响防毒效果的不良习惯,随意开放共享并且设置喂最大权限 系统补丁不及时更新 使用盗版软件 随意安装系统和软件 浏览一些不良的恶意网站 OICQ聊天 网络安全意识薄弱,不遵守安全规则,34,1.入侵检测系统的概念,入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,三、入侵检测,35,1)入侵检测系统的类型和性能比
12、较,根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。,36,2)入侵检测的方法,目前入侵检测方法有三种分类依据:1、根据物理位置进行分类。2、根据
13、建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种:静态配置分析异常性检测方法基于行为的检测方法。,37,(a)静态配置分析,静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。,38,(b)异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮
14、廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。,39,(c)基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模
15、式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。,40,3)入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:信息收集数据分析响应。,41,(a)信息收集,入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性
16、、正确性和完备性。要确保采集、报告这些信息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,42,(b)数据分析,数据分析(Analysis Schemes)是入侵检测系统的核心,它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。,43,(c)响应,数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应:将分析结果记录在日志文件中,并产生相应
17、的报告。触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。,44,2.黑客概述,什么是黑客?(Hacker的音译)源于动词Hack,其引申意义是指“干了一件非常漂亮的事”。就是指那些精通网络、系统、外设以及软硬件技术的人。什么是骇客?(Cracker,破坏者)就是运用自己的知识去做出有损他人权益的事情。,45,目前将黑客的分成三类:第一类:破坏者;第二类:红客;第三类:间谍,46,3.黑客的行为发展趋势,手段高明化:黑客已经逐步形成了一个团体,利用网络进行交流和团体攻击,互相
18、交流经验和自己写的工具。活动频繁化:已经不再需要掌握大量的计算机和网路知识,学会使用几个黑客工具,就可以再互联网上进行攻击活动,黑客工具的大众化是黑客活动频繁的主要原因。动机复杂化:黑客的动机目前已经不再局限于为了国家、金钱和刺激。,47,4.黑客攻击五部曲,1)隐藏IP2)踩点扫描3)获得系统或管理员权限4)种植后门5)在网络中隐身,48,1)隐藏IP,通常有两种方法实现自己IP的隐藏:第一种方法是首先入侵互联网上的一台电脑(俗称“肉鸡”),利用这台电脑进行攻击,这样即使被发现了,也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”,这样在入侵的电脑上留下的是代理计算机的IP地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 ppt 课件 CH11 网络安全
链接地址:https://www.31ppt.com/p-6059742.html