這章將之前了解過的防病毒和防火墻技術(shù)進行了全面的闡述。

10.1.4 防病毒技術(shù)

一、計算機病毒

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)以影響計算機使用、并能自我復(fù)制的一組計算機指令或者程序代碼。

1. 計算機病毒主要特征

（1）非授權(quán)可執(zhí)行性
（2）隱蔽性
（3）傳染性
（4）潛伏性
（5）表現(xiàn)性或破壞性
（6）可觸發(fā)性

2. 計算機病毒分類

計算機病毒按寄生方式分為引導(dǎo)型、文件型和復(fù)合型。

（1）引導(dǎo)型病毒

引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)的計算機病毒。主引導(dǎo)記錄病毒感染硬盤的主引導(dǎo)區(qū)，分區(qū)引導(dǎo)記錄病毒感染硬盤的活動分區(qū)引導(dǎo)記錄。

（2）文件型病毒

指能夠寄生在文件中的計算機病毒，會感染可執(zhí)行文件或數(shù)據(jù)文件。

（3）復(fù)合型病毒

指具有引導(dǎo)型病毒和文件型病毒兩種寄生方式的計算機病毒。
?
按破壞性分為良性病毒和惡性病毒。

（1）良性病毒

指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)、但占用CPU時間、增加系統(tǒng)開銷、降低工作效率的病毒。

（2）惡性病毒

一旦發(fā)作，會破壞系統(tǒng)或數(shù)據(jù)，造成計算機系統(tǒng)癱瘓的病毒。
?

二、網(wǎng)絡(luò)病毒

指在網(wǎng)絡(luò)上傳播、并破壞系統(tǒng)的病毒，主要特征包括：
（1）傳播方式多樣，傳播速度更快
（2）影響面更廣
（3）破壞性更強
（4）難以控制和根治
（5）編寫方式多樣，病毒變種多
（6）智能化
（7）混合病毒
?

三、惡意代碼

1. 蠕蟲

計算機蠕蟲是一個自我包含的程序，它能夠傳播自身的功能或拷貝自身的片斷segments到其他的計算機系統(tǒng)，是個獨立的程序，能主動運行。
（1）宿主計算機蠕蟲
它整個包含在所運行的計算機上，并且僅使用網(wǎng)絡(luò)連接復(fù)制自身到其他的計算機上。
（2）網(wǎng)絡(luò)蠕蟲
由多個部分組成，每個部分運行在不同的計算機上，并使用網(wǎng)絡(luò)進行通信。

2. 木馬

木馬寄生在用戶的計算機系統(tǒng)中，盜用信息、發(fā)給黑客。與病毒不同，木馬不會自我復(fù)制。
木馬傳播的三種途徑：
（1）通過電子郵件
（2）軟件下載
（3）通過會話軟件

?

10.1.5 防火墻技術(shù)

防火墻是在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護網(wǎng)絡(luò)的系統(tǒng)，包括硬件和軟件。

一、防火墻的主要功能

（1）檢查所有從外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)和從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。
（2）執(zhí)行案例策略，限制不符合安全策略要求的數(shù)據(jù)包通過。
（3）具有防攻擊能力，保證自身安全性。

二、防火墻分類

1. 包過濾路由器

實現(xiàn)包過濾的關(guān)鍵是制定包過濾規(guī)則。包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。包過濾路由器也稱為屏蔽路由器。

2. 應(yīng)用級網(wǎng)關(guān)

包過濾在網(wǎng)絡(luò)層、傳輸層對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進行監(jiān)控，但網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源和服務(wù)的訪問是發(fā)生在應(yīng)用層的。
多宿主主機是具有多個網(wǎng)絡(luò)接口卡的主機，每個網(wǎng)絡(luò)接口與一個網(wǎng)絡(luò)連接，也叫網(wǎng)關(guān)。只要能夠確定應(yīng)用程序訪問控制規(guī)則，就可以采用雙宿主主機作為應(yīng)用級網(wǎng)關(guān)。對于應(yīng)用級網(wǎng)關(guān)，如果內(nèi)部網(wǎng)絡(luò)的FTP服務(wù)器設(shè)定為只能被內(nèi)部用戶訪問，那么所有外部網(wǎng)絡(luò)用戶對內(nèi)部FTP服務(wù)的訪問都認(rèn)為是非法的。

3. 應(yīng)用代理

應(yīng)用代理application proxy是應(yīng)用級網(wǎng)關(guān)的另一種形式，但工作方式不同。應(yīng)用級網(wǎng)關(guān)是以存儲轉(zhuǎn)發(fā)方式、檢查和確定網(wǎng)絡(luò)服務(wù)請求的用戶身份是否合法。
應(yīng)用代理完全接管了用戶與服務(wù)器的訪問，隔離了用戶主機與被訪問服務(wù)器之間的數(shù)據(jù)包交換通道。應(yīng)用代理是雙向的，既可以作為外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的代理，也可以作為內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)服務(wù)器的代理。

4. 狀態(tài)檢測

就是在包過濾的同時，檢查數(shù)據(jù)包之間的關(guān)聯(lián)性，檢查數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。

三、防火墻的系統(tǒng)結(jié)構(gòu)

防火墻系統(tǒng)將包過濾路由器與應(yīng)用級網(wǎng)關(guān)作為基本單元，采用多級的結(jié)構(gòu)和多種組態(tài)。將防火墻的系統(tǒng)分為包過濾路由器結(jié)構(gòu)、雙宿主主機結(jié)構(gòu)、屏蔽主機結(jié)構(gòu)和屏蔽子網(wǎng)結(jié)構(gòu)。

1. 包過濾路由器結(jié)構(gòu)

它可由廠家生產(chǎn)的專用的包過濾路由器或安裝了包過濾功能的普通路由器來實現(xiàn)。
優(yōu)點：
（1）結(jié)構(gòu)簡單，便于管理，造價低
（2）不要求客戶與服務(wù)器程序作修改
缺點：
（1）只能控制主機
（2）不保留使用記錄
（3）配置繁瑣

2. 雙宿主主機結(jié)構(gòu)

將處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機系統(tǒng)稱為堡壘主機。
設(shè)置堡壘主機要注意：
（1）在其硬件平臺安裝一個安全操作系統(tǒng)，使其可信任
（2）刪除不必要的服務(wù)和應(yīng)用軟件，保留必需的服務(wù)

3. 屏蔽主機結(jié)構(gòu)

如外部網(wǎng)絡(luò)中某個主機的用戶希望訪問內(nèi)網(wǎng)服務(wù)器，則目的IP地址應(yīng)該是文件服務(wù)器的IP地址。假設(shè)文件服務(wù)器IP為199.24.180.1，包過濾路由器首先檢查請求包的源IP，確定其合法，再根據(jù)目的IP地址查轉(zhuǎn)發(fā)路由表。凡是來自外部請求的文件服務(wù)器199.24.180.1的分組，一律轉(zhuǎn)發(fā)到IP地址為199.24.180.10的堡壘主機，由其判斷該用戶是否合法。
如合法，堡壘將請求轉(zhuǎn)發(fā)到文服，由其處理最終用戶的請求。同樣，如果內(nèi)網(wǎng)用戶希望訪問外部服務(wù)，用戶請求也要經(jīng)過堡壘和包過濾路由器審查。

4. 屏蔽子網(wǎng)結(jié)構(gòu)

對于要求更高的，可以采用兩個過濾路由器與兩個堡壘組成的防火墻。外部包過濾路由器與外堡壘構(gòu)成了防火墻的過濾子網(wǎng)，稱為非軍事化區(qū)DMZ。
?

10.1.6 入侵檢測技術(shù)

入侵檢測系統(tǒng)（Intrusion Detection System, IDS）是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)。目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為。

一、入侵檢測系統(tǒng)的基本功能

• 監(jiān)控、分析用戶和系統(tǒng)
• 檢查配置和漏洞
• 評估系統(tǒng)和文件的完整性
• 異常行為統(tǒng)計分析
• 對操作系統(tǒng)作審計、管理，識別

二、入侵檢測系統(tǒng)的結(jié)構(gòu)

1. 事件發(fā)生器

通用框架結(jié)構(gòu)將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，可以是數(shù)據(jù)包，也可以是信息。

2. 事件分析器

事件分析器根據(jù)事件數(shù)據(jù)庫的入侵特征描述等，解析事件發(fā)生器發(fā)生的事件，得到格式化的描述。

3. 響應(yīng)單元

響應(yīng)單元是對分析結(jié)果做出反應(yīng)的功能單元。

4. 事件數(shù)據(jù)庫

它存放攻擊類型數(shù)據(jù)或檢測規(guī)則，它儲存入侵特征描述，用戶歷史行為等。

三、入侵檢測技術(shù)分類

1. 異常檢測

異常檢測是指已知網(wǎng)絡(luò)的正?；顒訝顟B(tài)，關(guān)鍵是建立一個對應(yīng)正常網(wǎng)絡(luò)活動的特征原型。主要方法有：基于統(tǒng)計異常檢測、基于數(shù)據(jù)采掘異常檢測、基于神經(jīng)網(wǎng)絡(luò)入侵檢測。
優(yōu)點有：
（1）檢測完整性高
（2）較少依賴特定OS
（3）對合法用戶超越其權(quán)限的違法行為的檢測能力很強
缺點有：
（1）誤警率高
（2）需要不斷在線學(xué)習(xí)

2. 誤用檢測

主要問題是：如何確定所定義的攻擊特征模式可以覆蓋與實際攻擊有關(guān)的所有要素，以及如何對入侵活動的特征進行匹配。
主要方法有：基于模式匹配的誤用入侵檢測，基于專家系統(tǒng)的、基于狀態(tài)遷移分析的、基于模型推理的。
優(yōu)點有：
（1）檢測準(zhǔn)確性高
（2）檢測的匹配條件可以精確描述
局限性有：
（1）完整性取決于數(shù)據(jù)庫更新程度
（2）收集信息困難
（3）可移植性差
（4）難于檢測內(nèi)部用戶權(quán)限濫用

四、入侵檢測技術(shù)分類

1. 基于主機的入侵檢測系統(tǒng)

主要任務(wù)是保護所在的計算機系統(tǒng)，以系統(tǒng)日志、應(yīng)用程序日志為數(shù)據(jù)源。

2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

采用以下基本識別技術(shù)：

• 模式匹配
• 頻率或閾值
• 事件的相關(guān)性
• 統(tǒng)計意義上的非正?，F(xiàn)象檢測

五、分布式入侵檢測系統(tǒng)

集中式入侵檢測系統(tǒng)面臨著單點失效的問題，而分布式入侵檢測系統(tǒng)一般是由分布在網(wǎng)絡(luò)上不同位置的檢測部件組成，分別進行數(shù)據(jù)采集、數(shù)據(jù)分析、通過中心控制系統(tǒng)進行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報警信號。分為以下三種：

1. 層次式

它將收集的工作分布在整個網(wǎng)絡(luò)中，經(jīng)過簡單分析，各數(shù)據(jù)分析模塊將初步結(jié)果送交全局分析模塊進行決策。

2. 協(xié)作式

其各分析模塊可以相對獨立地進行決策，比層次式具有更大的自主性。

3. 對等式

使分布式真正避免了單點失效的發(fā)生。

六、入侵防護系統(tǒng)

1. 入侵防護系統(tǒng)的基本概念

入侵防護系統(tǒng)（Intrusion Prevention System, IPS）整合了防火墻技術(shù)和入侵檢測技術(shù)，采用In-line工作模式，所有數(shù)據(jù)包都要經(jīng)入侵防護系統(tǒng)檢查之后再決定放行。
（1）嗅探器
負(fù)責(zé)接收數(shù)據(jù)包，對協(xié)議類型解析，提交檢測分析組件。
（2）檢測分析組件
接收數(shù)據(jù)包，從中檢測攻擊事件的發(fā)生。
（3）策略執(zhí)行組件
負(fù)責(zé)執(zhí)行分級保護策略，是對抗攻擊的核心。
（4）日志系統(tǒng)
負(fù)責(zé)對整個系統(tǒng)的工作過程進行數(shù)據(jù)收集、記錄、統(tǒng)一分析和存儲管理。
（5）狀態(tài)開頭
負(fù)責(zé)接收來自檢測分析組件的狀態(tài)轉(zhuǎn)換指令，驅(qū)動策略執(zhí)行。
（6）控制臺
負(fù)責(zé)配置、管理和控制IPS系統(tǒng)中的其他組件。
嗅探器和控制臺之間需要加密。

2. 入侵防護系統(tǒng)的分類

（1）基于主機的入侵防護系統(tǒng)
Host-based Intrusion Prevention System, HIPS，是安裝在受保護的主機系統(tǒng)中，檢測并阻擋針對本機的威脅和攻擊。當(dāng)檢測到攻擊時，基于主機的入侵防護系統(tǒng)可在網(wǎng)絡(luò)接口層阻斷攻擊，也可向應(yīng)用程序或操作系統(tǒng)發(fā)出信息，停止攻擊所引起的行為。
（2）基于網(wǎng)絡(luò)的入侵防護系統(tǒng)
Network-based Intrusion Prevention System, NIPS。布置于網(wǎng)絡(luò)出口處，一般串聯(lián)于防火墻與路由器之間，數(shù)據(jù)流都必須通過它。
（3）應(yīng)用入侵防護系統(tǒng)
Application Intrusion Prevention System, AIPS，由基于主機的入侵防護系統(tǒng)發(fā)展而來，布置于應(yīng)用服務(wù)器前端。
?

10.1.7 網(wǎng)絡(luò)安全評估

網(wǎng)絡(luò)安全評估系統(tǒng)是一種集網(wǎng)絡(luò)安全檢測、風(fēng)險評估、修復(fù)、統(tǒng)計分析和網(wǎng)絡(luò)安全風(fēng)險集中控制管理功能于一體的網(wǎng)絡(luò)安全設(shè)備。

一、網(wǎng)絡(luò)安全評估分析技術(shù)

即對網(wǎng)絡(luò)進行檢查，發(fā)現(xiàn)其中有無可被黑客利用的漏洞，對系統(tǒng)安全狀況進行評估、分析，提出解決建議?？煞譃榛趹?yīng)用和基于網(wǎng)絡(luò)的兩種評估分析技術(shù)。

二、網(wǎng)絡(luò)安全評估分析系統(tǒng)結(jié)構(gòu)

通常采用控制臺和代理相結(jié)合的結(jié)構(gòu)。網(wǎng)絡(luò)安全評估是對網(wǎng)絡(luò)系統(tǒng)安全強度的一種服務(wù)，包括漏洞檢測、修復(fù)建議和整體建議等。

完成第10章的復(fù)習(xí)。