这章将之前了解过的防病毒和防火墙技术进行了全面的阐述。
10.1.4 防病毒技术
一、计算机病毒
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据以影响计算机使用、并能自我复制的一组计算机指令或者程序代码。
1. 计算机病毒主要特征
(1)非授权可执行性
(2)隐蔽性
(3)传染性
(4)潜伏性
(5)表现性或破坏性
(6)可触发性
2. 计算机病毒分类
计算机病毒按寄生方式分为引导型、文件型和复合型。
(1)引导型病毒
引导型病毒指寄生在磁盘引导区或主引导的计算机病毒。主引导记录病毒感染硬盘的主引导区,分区引导记录病毒感染硬盘的活动分区引导记录。
(2)文件型病毒
指能够寄生在文件中的计算机病毒,会感染可执行文件或数据文件。
(3)复合型病毒
指具有引导型病毒和文件型病毒两种寄生方式的计算机病毒。
按破坏性分为良性病毒和恶性病毒。
(1)良性病毒
指那些只是为了表现自身,并不彻底破坏系统和数据、但占用CPU时间、增加系统开销、降低工作效率的病毒。
(2)恶性病毒
一旦发作,会破坏系统或数据,造成计算机系统瘫痪的病毒。
二、网络病毒
指在网络上传播、并破坏系统的病毒,主要特征包括:
(1)传播方式多样,传播速度更快
(2)影响面更广
(3)破坏性更强
(4)难以控制和根治
(5)编写方式多样,病毒变种多
(6)智能化
(7)混合病毒
三、恶意代码
1. 蠕虫
计算机蠕虫是一个自我包含的程序,它能够传播自身的功能或拷贝自身的片断segments到其他的计算机系统,是个独立的程序,能主动运行。
(1)宿主计算机蠕虫
它整个包含在所运行的计算机上,并且仅使用网络连接复制自身到其他的计算机上。
(2)网络蠕虫
由多个部分组成,每个部分运行在不同的计算机上,并使用网络进行通信。
2. 木马
木马寄生在用户的计算机系统中,盗用信息、发给黑客。与病毒不同,木马不会自我复制。
木马传播的三种途径:
(1)通过电子邮件
(2)软件下载
(3)通过会话软件
10.1.5 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,包括硬件和软件。
一、防火墙的主要功能
(1)检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。
(2)执行案例策略,限制不符合安全策略要求的数据包通过。
(3)具有防攻击能力,保证自身安全性。
二、防火墙分类
1. 包过滤路由器
实现包过滤的关键是制定包过滤规则。包过滤规则一般是基于部分或全部报头的内容。包过滤路由器也称为屏蔽路由器。
2. 应用级网关
包过滤在网络层、传输层对进出内部网络的数据包进行监控,但网络用户对网络资源和服务的访问是发生在应用层的。
多宿主主机是具有多个网络接口卡的主机,每个网络接口与一个网络连接,也叫网关。只要能够确定应用程序访问控制规则,就可以采用双宿主主机作为应用级网关。对于应用级网关,如果内部网络的FTP服务器设定为只能被内部用户访问,那么所有外部网络用户对内部FTP服务的访问都认为是非法的。
3. 应用代理
应用代理application proxy是应用级网关的另一种形式,但工作方式不同。应用级网关是以存储转发方式、检查和确定网络服务请求的用户身份是否合法。
应用代理完全接管了用户与服务器的访问,隔离了用户主机与被访问服务器之间的数据包交换通道。应用代理是双向的,既可以作为外部网络用户访问内部网络服务器的代理,也可以作为内部网络用户访问外部网络服务器的代理。
4. 状态检测
就是在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。
三、防火墙的系统结构
防火墙系统将包过滤路由器与应用级网关作为基本单元,采用多级的结构和多种组态。将防火墙的系统分为包过滤路由器结构、双宿主主机结构、屏蔽主机结构和屏蔽子网结构。
1. 包过滤路由器结构
它可由厂家生产的专用的包过滤路由器或安装了包过滤功能的普通路由器来实现。
优点:
(1)结构简单,便于管理,造价低
(2)不要求客户与服务器程序作修改
缺点:
(1)只能控制主机
(2)不保留使用记录
(3)配置繁琐
2. 双宿主主机结构
将处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。
设置堡垒主机要注意:
(1)在其硬件平台安装一个安全操作系统,使其可信任
(2)删除不必要的服务和应用软件,保留必需的服务
3. 屏蔽主机结构
如外部网络中某个主机的用户希望访问内网服务器,则目的IP地址应该是文件服务器的IP地址。假设文件服务器IP为199.24.180.1,包过滤路由器首先检查请求包的源IP,确定其合法,再根据目的IP地址查转发路由表。凡是来自外部请求的文件服务器199.24.180.1的分组,一律转发到IP地址为199.24.180.10的堡垒主机,由其判断该用户是否合法。
如合法,堡垒将请求转发到文服,由其处理最终用户的请求。同样,如果内网用户希望访问外部服务,用户请求也要经过堡垒和包过滤路由器审查。
4. 屏蔽子网结构
对于要求更高的,可以采用两个过滤路由器与两个堡垒组成的防火墙。外部包过滤路由器与外堡垒构成了防火墙的过滤子网,称为非军事化区DMZ。
10.1.6 入侵检测技术
入侵检测系统(Intrusion Detection System, IDS)是对计算机和网络资源的恶意使用行为进行识别的系统。目的是监测和发现可能存在的攻击行为。
一、入侵检测系统的基本功能
- 监控、分析用户和系统
- 检查配置和漏洞
- 评估系统和文件的完整性
- 异常行为统计分析
- 对操作系统作审计、管理,识别
二、入侵检测系统的结构
1. 事件发生器
通用框架结构将入侵检测系统需要分析的数据统称为事件,可以是数据包,也可以是信息。
2. 事件分析器
事件分析器根据事件数据库的入侵特征描述等,解析事件发生器发生的事件,得到格式化的描述。
3. 响应单元
响应单元是对分析结果做出反应的功能单元。
4. 事件数据库
它存放攻击类型数据或检测规则,它储存入侵特征描述,用户历史行为等。
三、入侵检测技术分类
1. 异常检测
异常检测是指已知网络的正常活动状态,关键是建立一个对应正常网络活动的特征原型。主要方法有:基于统计异常检测、基于数据采掘异常检测、基于神经网络入侵检测。
优点有:
(1)检测完整性高
(2)较少依赖特定OS
(3)对合法用户超越其权限的违法行为的检测能力很强
缺点有:
(1)误警率高
(2)需要不断在线学习
2. 误用检测
主要问题是:如何确定所定义的攻击特征模式可以覆盖与实际攻击有关的所有要素,以及如何对入侵活动的特征进行匹配。
主要方法有:基于模式匹配的误用入侵检测,基于专家系统的、基于状态迁移分析的、基于模型推理的。
优点有:
(1)检测准确性高
(2)检测的匹配条件可以精确描述
局限性有:
(1)完整性取决于数据库更新程度
(2)收集信息困难
(3)可移植性差
(4)难于检测内部用户权限滥用
四、入侵检测技术分类
1. 基于主机的入侵检测系统
主要任务是保护所在的计算机系统,以系统日志、应用程序日志为数据源。
2. 基于网络的入侵检测系统
采用以下基本识别技术:
- 模式匹配
- 频率或阈值
- 事件的相关性
- 统计意义上的非正常现象检测
五、分布式入侵检测系统
集中式入侵检测系统面临着单点失效的问题,而分布式入侵检测系统一般是由分布在网络上不同位置的检测部件组成,分别进行数据采集、数据分析、通过中心控制系统进行数据汇总、分析、产生入侵报警信号。分为以下三种:
1. 层次式
它将收集的工作分布在整个网络中,经过简单分析,各数据分析模块将初步结果送交全局分析模块进行决策。
2. 协作式
其各分析模块可以相对独立地进行决策,比层次式具有更大的自主性。
3. 对等式
使分布式真正避免了单点失效的发生。
六、入侵防护系统
1. 入侵防护系统的基本概念
入侵防护系统(Intrusion Prevention System, IPS)整合了防火墙技术和入侵检测技术,采用In-line工作模式,所有数据包都要经入侵防护系统检查之后再决定放行。
(1)嗅探器
负责接收数据包,对协议类型解析,提交检测分析组件。
(2)检测分析组件
接收数据包,从中检测攻击事件的发生。
(3)策略执行组件
负责执行分级保护策略,是对抗攻击的核心。
(4)日志系统
负责对整个系统的工作过程进行数据收集、记录、统一分析和存储管理。
(5)状态开头
负责接收来自检测分析组件的状态转换指令,驱动策略执行。
(6)控制台
负责配置、管理和控制IPS系统中的其他组件。
嗅探器和控制台之间需要加密。
2. 入侵防护系统的分类
(1)基于主机的入侵防护系统
Host-based Intrusion Prevention System, HIPS,是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击。当检测到攻击时,基于主机的入侵防护系统可在网络接口层阻断攻击,也可向应用程序或操作系统发出信息,停止攻击所引起的行为。
(2)基于网络的入侵防护系统
Network-based Intrusion Prevention System, NIPS。布置于网络出口处,一般串联于防火墙与路由器之间,数据流都必须通过它。
(3)应用入侵防护系统
Application Intrusion Prevention System, AIPS,由基于主机的入侵防护系统发展而来,布置于应用服务器前端。
10.1.7 网络安全评估
网络安全评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。
一、网络安全评估分析技术
即对网络进行检查,发现其中有无可被黑客利用的漏洞,对系统安全状况进行评估、分析,提出解决建议。可分为基于应用和基于网络的两种评估分析技术。
二、网络安全评估分析系统结构
通常采用控制台和代理相结合的结构。网络安全评估是对网络系统安全强度的一种服务,包括漏洞检测、修复建议和整体建议等。
完成第10章的复习。
