1 intro

威脅因素

• 自身
  • 技術(shù)
    • 協(xié)議開放
    • 系統(tǒng)缺陷
    • 配置事務(wù)
    • 通信協(xié)議漏洞
  • 非技術(shù)
    • 人員素質(zhì)
    • 管理制度
    • 安全意識(shí)薄弱
• 外部
  • 物理
  • 病毒/蠕蟲
  • 黑客攻擊
    • 系統(tǒng)
    • 竊取信息
    • 竊取財(cái)富

安全攻擊 定義：
降級(jí)、瓦解、就拒絕、摧毀network的資源或其本身的行為，分為被動(dòng)攻擊，主動(dòng)攻擊

被動(dòng) 定義：
收集，利用信息，不影響sys的正常訪問（用戶一般不察覺）

• 竊聽，檢測(cè)
• 獲取傳輸信息
• 信息收集，流量分析

主動(dòng) 定義：
攻擊者訪問所需信息的行為，多改變資源，影響運(yùn)作
—— 篡改，偽造

• 偽裝
  • 假裝別的實(shí)體，獲取認(rèn)證信息，重放，獲取權(quán)限
• 重放
  • 獲取的信息再次發(fā)送，得到非授權(quán)效應(yīng)
• 篡改
  • 修改部分or全部消息，或延遲消息傳輸
• 拒絕服務(wù)
  • 攻擊者讓系統(tǒng)停止提供服務(wù)，資源訪問，影響sys使用與管理
  • 破壞網(wǎng)絡(luò)，網(wǎng)絡(luò)過載失效，降低性能

常見形式

1. 口令竊取
   1. 已知口令
   2. 竊取的口令猜測(cè)
   3. 記錄口令
   4. 一次性口令（解決
2. 欺騙攻擊
3. 缺陷，后門攻擊
   1. 網(wǎng)絡(luò)蠕蟲 —— 守護(hù)程序發(fā)呆嗎
   2. 讀buffer諸如數(shù)據(jù) —— 溢出，對(duì)戰(zhàn)粉碎
4. 認(rèn)證失效
   1. 被欺騙，破壞的主機(jī)不會(huì)安全加密
5. 協(xié)議缺陷
6. 信息泄露
7. 指數(shù)攻擊
   1. 快速?gòu)?fù)制并傳播
   2. 蠕蟲，自己傳播
   3. 病毒，依附傳播
8. Dos

安全服務(wù)

1. 鑒別
   1. 實(shí)體鑒別
   2. 數(shù)據(jù)源鑒別
2. 訪問控制 —— 處理未授權(quán)，訪問類型
3. 數(shù)據(jù)保密性 —— 被動(dòng)攻擊
4. 數(shù)據(jù)完整性 —— 增刪改
5. 抗否認(rèn)
   1. 源點(diǎn)不可否認(rèn)他發(fā)送過
   2. 收方不可否認(rèn)沒收到

2 加密

密碼學(xué)

• 密碼編碼（編制）+密碼分析（破解）

密碼體制分類

1. 分組
2. 序列

被動(dòng)攻擊：接獲密文（密碼分析
主動(dòng)攻擊：干擾系統(tǒng)，增刪改重放偽造加入下消息

密碼分析方法

1. 窮舉
2. 統(tǒng)計(jì)學(xué)
3. 數(shù)學(xué)分析

密碼類型

1. 唯密文
2. 已知明文
3. 選擇明文
4. 自適應(yīng)明文，3的特殊情況，以前的加密結(jié)果，修正選擇

還有
5. 選擇密文
6. 選擇密鑰
7. 軟磨硬泡

安全性

1. 密文難恢復(fù)明文
2. 密文計(jì)算部分明文困難
3. 密文無(wú)法推出信息（如相同內(nèi)容發(fā)送兩次

• 完全攻破 - 密鑰
• 部分攻破 - 明文特定信息
• 密文識(shí)別 密文，明文對(duì)應(yīng)

無(wú)條件安全性。

計(jì)算安全性，足夠長(zhǎng)時(shí)間內(nèi)無(wú)法破譯

可證明安全性，與一個(gè)問題相關(guān)

3 DES

分組加密：明文密文64位
對(duì)稱算法
密鑰長(zhǎng)度 56位，低8奇偶校驗(yàn)，存在弱密鑰
混亂與擴(kuò)散，先代替后置換

1. 明文
2. 初始置換
   1. 位置置換
3. 密鑰16輪
   1. 右邊
   2. 選擇擴(kuò)展到48bit
   3. 和48位子密鑰異或
   4. 壓縮到32（S盒子，1-4橫 05列
      1. 唯一非線性部件
      2. 改一位至少邊兩位
      3. 混亂
   5. 再置換
   6. 和L異或
4. 交換左右bit
5. 初始逆置換

密鑰要求

• 簡(jiǎn)單
• 速度
• 沒有簡(jiǎn)單關(guān)系
• 對(duì)bit影響類似
• 獲取其他子密鑰困難
• 無(wú)弱密鑰

DES工作模式

ECB 電子密碼本

• 簡(jiǎn)單
• 并行
• 不隱藏明文模式（相同明文相同密文
• 可被替換重拍，刪除重放
• 只壞一個(gè)明文
• 合適短的

CBC 密碼分組鏈接
IV放開頭異或一下P1，別的不異或

• 不并行
• 不能隱藏模式信息
• IV已知唯一
• 不被重拍，刪除重放
• 密文快損壞一個(gè)，錯(cuò)兩個(gè)
• 合適長(zhǎng)的

CFB 密碼反饋

IV放 每個(gè)輸出 異或 輸出的高k位，然后循環(huán)左移k

• 分組變成流
• 不并行
• 隱藏模式
• IV唯一
• 一個(gè)單元對(duì)后續(xù)全影響

OFB 輸出反饋
只異或并左移高k位（32-k不移動(dòng)）
只影響自己?jiǎn)卧?br> 可攻擊明文
信息塊會(huì)被替換重排等
類似CFB，但比CFB差

OFB

多重DES和安全性

• S盒遠(yuǎn)離位置
• key長(zhǎng)度
• DES破譯
  • 線性分析（優(yōu)秀
  • 差分密碼分析
• 弱密鑰4個(gè) 自己解自己，半弱密鑰12個(gè)，加密后文件一樣

加密策略

鏈路層

• 每個(gè)節(jié)點(diǎn)解密，并用下一個(gè)鏈路密鑰加密后傳輸
• 優(yōu)點(diǎn)
  • 鏈路數(shù)據(jù)密文
  • 掩蓋源，重點(diǎn)
  • 頻率，長(zhǎng)度被掩蓋，防止通信業(yè)務(wù)分析
• 缺點(diǎn)
  • 很多加密機(jī) —— 網(wǎng)絡(luò)性能，管理不好
  • 只在鏈路安全，節(jié)點(diǎn)是明文
  • 密鑰相同，需要物理傳送，專用網(wǎng)絡(luò)設(shè)施

節(jié)點(diǎn)

• 類似鏈路加密
• 節(jié)點(diǎn)解密，加密后傳輸，用戶透明
• 區(qū)別鏈路，不允許消息明文形式存在 —— 消息解密后，用另一個(gè)密鑰加密，另一個(gè)模塊中進(jìn)行
• 包頭，路由明文傳輸 —— 不好防通信業(yè)務(wù)分析

端到端

• 源到終點(diǎn)始終密文，節(jié)點(diǎn)不揭密
• 優(yōu)點(diǎn)
  • 便宜，設(shè)計(jì)實(shí)現(xiàn)維護(hù)
  • 避免同步問題，獨(dú)立加密，錯(cuò)誤不影響后續(xù)的包
  • 自然
• 缺點(diǎn)
  • 不能加密地址

4 RSA PKCS

保密系統(tǒng)

• 實(shí)際不可破。 密文，密文明文對(duì)，獲取密鑰和其他明文不可行
• 不依賴算法的保密，而是key
• 普適性
• 方便

體制分類

• 流
• 分組

對(duì)于雙鑰

• 對(duì)稱算法
• 數(shù)學(xué)特性
• 單向函數(shù)
  • 可逆函數(shù)，但是反過來(lái)求極其困難

單向函數(shù)

• 多項(xiàng)式求根
• 離散對(duì)數(shù) DL
• 大整數(shù)分解 FAC
• 背包
• DH問題
• QR二次剩余問題
• 模n平方根問題

用處

• PKBS對(duì)稱密鑰交換
• PKE加密
• 數(shù)字簽名

RSA

1. 取p和q，求n = p * q
2. 得到 phi(n) = (p-1)*(q-1)
3. 隨機(jī)選整數(shù)e和phi(n)互質(zhì)
4. 求出e的逆元d
5. 公布e，保留d

加密，e次方modn
解密，d次方modn

• 加密解密
• 數(shù)字簽名/身份認(rèn)證
• 密鑰交換

安全性？

1. 分解模式n
2. 求phi(n)
3. 迭代攻擊，反復(fù)的密鑰加密
4. 選擇明文
5. 公用mod
6. 低加密指數(shù)， e太小
7. 定時(shí)攻擊（按加密時(shí)間

對(duì)比

• 速度慢于對(duì)稱密鑰
• 對(duì)稱算法需要安全信道（如CA
• 混合密碼體制
  • 公鑰，簽名認(rèn)證
  • 公鑰傳key
  • key加密解密

Elgamal

離散對(duì)數(shù)
GF( p )本原g
x在GF( p )上(不包括 0
公鑰y = g^x mod p
選擇隨機(jī)數(shù) k

5 SHA

HASH

報(bào)文摘要

• 錯(cuò)誤檢測(cè)
• MAC， 認(rèn)證
• 數(shù)字簽名
• 保密

1. 任意長(zhǎng)-》定長(zhǎng)
2. 實(shí)用/高效
3. 安全
   1. 單向
   2. 抗弱碰撞(給定的x，找到y(tǒng)是的hx hy計(jì)算上不可行)
   3. 抗強(qiáng)碰撞（沒有hx = hy 一定不可行

過程

1. 分 L-1的b位
2. 不足b填充到b
3. 附加一個(gè)表示長(zhǎng)度的分組，得到L個(gè)b分組

SHA-0，SHA-1,SHA-2(SHA-256 384 512)

SHA-1基于MD5，長(zhǎng)度小于2^64,160輸出

SHA-1

1. 填充

• 填充448（1個(gè)1若干個(gè)0，填入1-512個(gè)數(shù)）
• 再填64位表示長(zhǎng)度

2. 初始緩沖區(qū)

• 5個(gè)32位 大端模式，保存160中間和最終結(jié)果

3. 主處理（核心）
   每次處理一個(gè)512位的分組，循環(huán)次數(shù)為填充 循環(huán)次數(shù)為填充后報(bào)文的分組數(shù)L

• 四層運(yùn)算，一層20個(gè)迭代，每層邏輯函數(shù)不一樣
• 還有壓縮函數(shù)
  1. Kt影響范圍太小，之影響A
  2. Wt是512為導(dǎo)出的32位字
  3. 缺點(diǎn)，線性函數(shù)，Wt也只影響A

SHA-1還可以用
MD-5不能用

SHA-2

（碰撞工作量 2^(n/2)）

SHA-512過程一樣
注意緩沖區(qū)變成了8個(gè)，取前8素?cái)?shù)的平方根，小數(shù)部分前64位

結(jié)構(gòu)類似，輸出長(zhǎng)度更長(zhǎng)，邏輯函數(shù)變化不打

• SHA1 20輪一個(gè)函數(shù)
• SH2 每輪4個(gè)函數(shù)

6 數(shù)字簽名

基本概念

definition

• R1: 收方確認(rèn)，證實(shí)發(fā)方簽名，不可以偽造
• S條件，發(fā)方發(fā)送帶簽名的消息后，不可否認(rèn)消息
• R2-收方對(duì)收到的簽名消息不可否認(rèn)
• T條件：第三者確認(rèn)雙方傳輸，不能偽造這個(gè)過程

和消息認(rèn)證的區(qū)別

和加密區(qū)別

1. 公鑰加密，私鑰解密，沒有認(rèn)證
2. 私鑰簽名，簽名和m給B，B用公鑰解密后對(duì)比，實(shí)現(xiàn)認(rèn)證
   1. 可能多次，多年后驗(yàn)證
   2. 安全，防偽要求高
   3. 簽名比驗(yàn)證快

分類

1. 是否被壓縮
   1. 整體消息簽名
   2. 壓縮消息簽名
2. 消息、簽名關(guān)系
   1. 確定性：消息簽名一一對(duì)應(yīng)，如RSA Rabin
   2. 隨機(jī)化：同一消息簽名變化，設(shè)計(jì)隨即參數(shù)ElGamal

構(gòu)成

• 簽名算法
• 驗(yàn)證算法

安全性

1. 簽名 算法or key 秘密
2. 驗(yàn)證算法公開

數(shù)學(xué)表示
$$(M,S,K,V)$$
明文，簽名集合，密鑰，V驗(yàn)證值域（true or false）

簽名體系

1. RSA簽名體系，參考RSA加密
2. Rabin
   1. 二次剩余集
3. ElGamal
   1. 本原元素，離散對(duì)數(shù)
4. Scgbirr
5. DSS
   1. DSA
   2. RSA
6. ESIGN
7. Okamoto
8. OSS
9. 離散對(duì)數(shù)
10. 不可否認(rèn)簽名
11. 其他
    1. 防失敗
    2. 群
    3. 代理
    4. 指定證實(shí)人
    5. 一次性

MAC 消息認(rèn)證碼

1. 消息認(rèn)證
2. 消息認(rèn)證和保密（計(jì)算MAC后加密
3. 先加密，后計(jì)算Mac

雜湊/加密/簽名結(jié)合

• 保密性+消息認(rèn)證 （對(duì)稱密鑰加密(M和H(M)))
• 僅消息認(rèn)證 (M和 對(duì)稱密鑰(H(M)) )
• 消息認(rèn)證+數(shù)字簽名 （M和私鑰加密的(H(M))
• 保密，消息認(rèn)證，數(shù)字簽名 (對(duì)稱密鑰加密 (M和 私鑰加密的(H(M)) )
• 只有消息認(rèn)證 M加個(gè)S之后雜（發(fā)給M和H（M||s)）

7 密碼協(xié)議

兩個(gè)or兩個(gè)以上參與者完成某項(xiàng)特定任務(wù)采取的步驟

1. 有序
2. 兩個(gè)參與者
3. 必須完成某項(xiàng)任務(wù)

好協(xié)議特點(diǎn)

1. 雙方知道步驟，同意
2. 非模糊
3. 完整

協(xié)議距離

仲裁協(xié)議： 互不信任雙方通信，需要計(jì)算機(jī)當(dāng)仲裁者

• 增加時(shí)延
• 網(wǎng)絡(luò)環(huán)境中增加開銷（處理對(duì)話
• 仲裁者會(huì)被黑客攻擊

裁決協(xié)議： 可信賴第三方，不直接參與協(xié)議，糾紛后裁決

• 無(wú)仲裁子協(xié)議：AB簽署合同
• 裁決子協(xié)議：AB出現(xiàn)紛爭(zhēng)后初始爭(zhēng)取讓T裁決
• 特點(diǎn)
  • 雙方重新
  • 第三方根據(jù)證據(jù)斷定欺騙
  • 不防止欺騙發(fā)生

自動(dòng)執(zhí)行

• 公平
• 無(wú)仲裁者
• 欺騙發(fā)生時(shí)候，對(duì)方檢測(cè)并停止協(xié)議

協(xié)議分類

根據(jù)安全

1. 認(rèn)證協(xié)議
2. 密鑰交換建立分配
3. 認(rèn)證的密鑰建立交換分配

ISO七層

1. 高層
2. 底層

算法

1. 雙鑰/公鑰
2. 單鑰協(xié)議
3. 混合

密鑰建立協(xié)議

密鑰建立，讓實(shí)體之間共享秘密

• 秘密多用作雙方一次性通信的 會(huì)話密鑰 —— 擴(kuò)展到多方共享密鑰
• 分為
  • 密鑰傳輸：key直接傳輸
  • 密鑰協(xié)商：多方提供信息共建key

1. 單鑰:
   1. A請(qǐng)求T得到B的會(huì)話密鑰，產(chǎn)生密鑰，加密后發(fā)給B
2. 雙鑰：數(shù)據(jù)庫(kù)獲取公鑰
   1. 不抵抗MIMT
3. 中間人攻擊
   1. attack和兩端建立獨(dú)立聯(lián)系
   2. 交換數(shù)據(jù)
   3. 兩端認(rèn)為私密鏈接
4. 聯(lián)鎖協(xié)議
   1. 加密后只發(fā)送一半，發(fā)兩次
   2. 可以有效抵抗中間人攻擊
   3. 實(shí)現(xiàn)？
      1. 分組加密算法
      2. 依賴初始化向量
      3. 雜湊函數(shù)+加密消息
5. 數(shù)字簽名交換
   1. 從T(CA)獲得公鑰證書
   2. 得到公鑰，通信
6. 隨機(jī)數(shù)，獲取公鑰，發(fā)給對(duì)方，解密用隨機(jī)數(shù)做key
7. 廣播，同上
8. DH，類似RSA

認(rèn)證建立協(xié)議

• 消息認(rèn)證
• 數(shù)據(jù)源認(rèn)證
• 實(shí)體認(rèn)證
  • 避免欺騙偽裝

一般用口令，但脆弱。分為單向認(rèn)證，雙向認(rèn)證

1. 單向函數(shù)認(rèn)證，paswd雜湊對(duì)比
2. 字典攻擊
   1. 最常用口令單向加密存儲(chǔ)密文對(duì)比
   2. 應(yīng)對(duì)：摻雜，加入偽隨機(jī)序列再單向函數(shù)加密
3. Skey認(rèn)證，一次性同行。 跌倒n次，用一次再迭代一次f100()
4. 雙key體制認(rèn)證（用一次只能單向認(rèn)證
5. 聯(lián)鎖（會(huì)中間人攻擊
6. SKID（中間人
7. SKID3（中間人
8. 消息認(rèn)證（
   1. 對(duì)M簽名發(fā)送（跟T證明消息來(lái)自A
   2. 單鑰加密法，計(jì)算MAC發(fā)均不能跟T證明消息來(lái)自A

認(rèn)證的密鑰建立協(xié)議

1. 隱式密鑰認(rèn)證，A信任B，只驗(yàn)證key
2. 密鑰確認(rèn)，A信任沒驗(yàn)證的B有key，識(shí)別b的key的值
3. 顯示密鑰認(rèn)證，A確定識(shí)別身份的某人有密鑰，識(shí)別B的身份

• 大嘴青蛙
• yahalom
• needham-schroeder（防重放，但舊的key仍有價(jià)值
• Otway-rees
• Kerberos
• EKE

秘密拆分協(xié)議

數(shù)據(jù)異或一個(gè)數(shù)，分給倆人（可以多方

安全性？

1. 已知明文
2. 選擇密文
3. 預(yù)言者會(huì)話攻擊
4. 并行會(huì)話

• 攻擊檢驗(yàn)
• 形式語(yǔ)言邏輯檢驗(yàn)

9 PKI PMI (8不考)

PKI:公鑰基礎(chǔ)設(shè)施：遵循公鑰理論和技術(shù)的提供安全服務(wù)的基礎(chǔ)設(shè)施
目的：解決身份認(rèn)證，電子信息完整性，不可抵賴。
任務(wù)：提供可信任的數(shù)字身份。

PKI基本概念

組成

1. CA
2. 注冊(cè)機(jī)構(gòu)
3. 發(fā)布庫(kù)
4. key備份恢復(fù)
5. 證書撤銷
6. PKI應(yīng)用接口

數(shù)字認(rèn)證中心 CA

• 發(fā)放管理數(shù)字證書
• 身份認(rèn)證，證書簽發(fā)，證書管理
  • 跟蹤證書狀態(tài)
  • 撤銷的時(shí)候發(fā)布證書撤銷通知
• 維護(hù)證書檔案，相關(guān)審計(jì)

注冊(cè)機(jī)構(gòu) RA

• 數(shù)字證書注冊(cè)審批機(jī)構(gòu)
• 審查用戶，執(zhí)行是否同意“發(fā)放，撤銷證書”

發(fā)布庫(kù)

• 存放CA頒布、撤銷列表
• 分布式存放，提高效率

備份恢復(fù)

• 針對(duì)加解密鑰
• 無(wú)法對(duì)簽名密鑰備份 —— 支持不可否認(rèn)服務(wù)，時(shí)間性要求

應(yīng)用

• 認(rèn)證
• 完整性
• 保密性
• 不可否認(rèn)
• 公證

數(shù)字證書

definition： 可信任的CA證實(shí)用戶身份，該機(jī)構(gòu)對(duì)身份和key進(jìn)行數(shù)字簽名，證明證書有效性

注冊(cè)機(jī)構(gòu)RA

• 接受驗(yàn)證消息
• 生成密鑰
• 接受，撤銷證書請(qǐng)求

CA

• 簽發(fā)證書

1. 密鑰生成
   1. 主體/注冊(cè)機(jī)構(gòu)生成密鑰對(duì)
2. 注冊(cè)，給申請(qǐng)信息
   1. 版本
   2. 主題名
   3. 密鑰
   4. 屬性
   5. 簽名算法
   6. 簽名
3. 驗(yàn)證
   1. RA驗(yàn)證材料
   2. 私鑰擁有證明
      1. 用戶進(jìn)行簽名
      2. 隨機(jī)數(shù)公鑰加密挑戰(zhàn)
      3. 數(shù)字證書公鑰加密發(fā)送
4. 證書生成
   1. RA把細(xì)節(jié)給CA
   2. CA驗(yàn)證并生成證書
      1. CA簽名，全部消息摘要，然后簽名貼在最后
      2. 驗(yàn)證，摘要，解密對(duì)比
   3. CA發(fā)給用戶
   4. CA再目錄中保存記錄

CA有層次結(jié)構(gòu)

驗(yàn)證

1. A獲取B證書，并驗(yàn)證
2. 得到B的上級(jí)證書，繼續(xù)驗(yàn)證，直到自己信任的CA

信任模型

1. 通用層次
   1. 中介CA對(duì)子CA發(fā)證書
   2. 子CA發(fā)證書給實(shí)體
2. 下屬層次
   1. 通用子集，根CA是公共信任的
3. 網(wǎng)狀
   1. C(2,n)交叉認(rèn)證
4. 混合，層次+網(wǎng)狀
5. 橋CA
   1. 各個(gè)根CA相互認(rèn)證
6. 信任鏈

撤銷檢查

• 脫機(jī)
  • CRL 證書撤銷列表
• 聯(lián)機(jī)
  • OCPS 聯(lián)機(jī)證書驗(yàn)證
  • SCVP 簡(jiǎn)單證書驗(yàn)證

OCPS過程

1. host問證書有效嗎 OCSP
2. OCSP響應(yīng)器查詢證書撤銷狀態(tài)
3. OCSP查完目錄后響應(yīng)

漫游證書

1. 用戶證書+私鑰放在服務(wù)器
   1. 用戶登錄，服務(wù)器檢索出來(lái)
   2. 放在用戶內(nèi)存
   3. 用戶注銷后自動(dòng)刪除

PKIX模型

• 注冊(cè)
• 初始化
• 認(rèn)證
• 密鑰對(duì)恢復(fù)
• 密鑰生成
• 密鑰更新
• 交叉證書
• 撤銷

包括

1. 注冊(cè)sys
2. 密鑰管理
3. 簽發(fā)
4. 證書發(fā)布
5. 在線查詢

PKI實(shí)例

• 核心服務(wù)
  • definition：實(shí)體證明其為申明身份，數(shù)據(jù)被修改，發(fā)送數(shù)據(jù)只能由接收方讀取
  • 認(rèn)證
    • 實(shí)體
    • 數(shù)據(jù)來(lái)源
  • 完整性
  • 機(jī)密性
• 支撐服務(wù)
  • 不可否認(rèn)
  • 安全時(shí)間戳（數(shù)字簽名，真實(shí)完整
  • 公證

PMI 授權(quán)管理

definition：AC AA ACF的集合體：權(quán)限證書產(chǎn)生管理存儲(chǔ)分發(fā)撤銷

• AA
  • 生成簽發(fā)AC的機(jī)構(gòu)
• AC
  • 對(duì)實(shí)體勸降綁定被數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)
• 屬性證書框架
  • 構(gòu)建PMI的基礎(chǔ)，支持訪問

基于Kerberos

1. 軟硬件實(shí)現(xiàn)，快于非對(duì)稱密碼
2. 不便于密鑰管理，單點(diǎn)失敗
3. 適用實(shí)時(shí)事務(wù)處理環(huán)境的授權(quán)管理

策略服務(wù)器

1. 高度集中，單點(diǎn)管理
2. 通信瓶頸
3. 適于地理位置集中

屬性證書

1. 失敗拒絕（優(yōu)點(diǎn)
2. 性能低
3. 支持不可否認(rèn)服務(wù)

PMI建立PKI提供可信身份認(rèn)證，AC的形式實(shí)現(xiàn)授權(quán)管理

10 Securities of Lower-layer Protocols

基本協(xié)議

IP

獨(dú)立。

• 僅檢驗(yàn)IP頭，不檢驗(yàn)整個(gè)數(shù)據(jù)包正確性
• 不保證數(shù)據(jù)包源地址發(fā)出（IP欺騙
• 包過濾器會(huì)被破壞
• 會(huì)被定向攻擊

ARP

不可信賴計(jì)算機(jī)發(fā)出假冒ARP查詢/應(yīng)答信息，數(shù)據(jù)流轉(zhuǎn)移（偽裝機(jī)器/數(shù)據(jù)流） – ARP攻擊

解決方法：靜態(tài)映射，禁止自動(dòng)協(xié)議

TCP

超級(jí)用戶：小于1024，僅限UNIX，需要配套的實(shí)現(xiàn)和管理

• 三步握手
• server收到SYN數(shù)據(jù)包，半開放
  • SYN flood攻擊：第一個(gè)數(shù)據(jù)包大流量沖擊
    • SYN defender
    • SYN proxy
  • 序號(hào)攻擊（預(yù)測(cè)開始序號(hào)

UDP

無(wú)糾錯(cuò)、重傳、不檢測(cè)丟包、賦值、重拍

合適挑戰(zhàn)響應(yīng)

• 沒有流控
• 沒有電路
• 沒有握手，更合適欺騙攻擊

ICMP

• 通知主機(jī)到目的地的最佳路由/路由故障/網(wǎng)絡(luò)故障中斷
• ping，raceriyte
• 差錯(cuò)報(bào)文+控制報(bào)文

1. 濫用ICMP中斷連接
2. 對(duì)消息重定向
3. Path MTU測(cè)試最大可通過數(shù)據(jù)包

地址/域名

路由協(xié)議： 網(wǎng)絡(luò)動(dòng)態(tài)查找恰當(dāng)路徑，分對(duì)稱路由，非對(duì)稱路由

安全性

• 控制路由

防止路由控制

1. 拒絕某個(gè)路由包
2. 認(rèn)證域
3. 防火墻（但路由表太大
4. ISIS代替OPSF，防外不防內(nèi)

BGP

邊界網(wǎng)關(guān)，路由表

• GRE隧道，劫持TCP繪畫

DHCP

DHCP分配IP地址

• 集中管理
• 本地網(wǎng)絡(luò)使用
  • 不能發(fā)動(dòng)遠(yuǎn)程攻擊
• 無(wú)認(rèn)證，中間人攻擊
• ARP攻擊

DNS

• 前后分離，控制反向映射樹會(huì)被攻擊
• 擾亂DNS緩存
• 響應(yīng)淹沒

1. 不要名稱認(rèn)證
2. 不要秘密信息存于主機(jī)中
3. 記錄數(shù)字簽名

IPv6

安全性，并不比IPv4更安全，需要開辟IPv6

• 6 to 4 41端口
• 6 over 4 直接封裝
• teredo
• 電路中繼

網(wǎng)絡(luò)地址

NAT，地址空間缺乏問題

• 不可以處以任意的應(yīng)用協(xié)議
• 不可以加密
  • 不能對(duì)加密數(shù)據(jù)檢查
  • 于IPsec沖突（Nat要改IP頭
• 低級(jí)防火墻，低級(jí)包過濾

11 Securities of Upper-layer Protocols

Email協(xié)議

1. SMTP 簡(jiǎn)單郵件傳輸
   1. root權(quán)限工作：違背最小信任原則，較復(fù)雜
2. 多用途網(wǎng)間郵件擴(kuò)充協(xié)議 MIME
   1. 分段攻擊
   2. 郵件傳遞exe程序，傳播蠕蟲病毒
3. IMAP4
   1. 支持認(rèn)證方法
   2. 但多認(rèn)證會(huì)導(dǎo)致遭受版本反轉(zhuǎn)攻擊

電話協(xié)議

1. 繪畫啟動(dòng)協(xié)議 SIP
2. H.323

消息傳輸

1. TFTP 簡(jiǎn)單文件傳輸協(xié)議
   1. 基于UDP
   2. 沒認(rèn)證
   3. 裝在exe鏡像/配置文件
2. FTP 文件傳輸協(xié)議
3. NFS 網(wǎng)絡(luò)文件系統(tǒng)協(xié)議
   1. 文件共享服務(wù)
   2. 2049 無(wú)特權(quán)范圍，需要配置UDP會(huì)話包過濾器
   3. 安全性
      1. 偽造返回?cái)?shù)據(jù)包，贏弦客戶機(jī)運(yùn)行代碼
      2. 會(huì)被種植惡意程序
4. SMB 服務(wù)器消息塊
   1. 開放文件共享協(xié)議
   2. 沒有身份驗(yàn)證

遠(yuǎn)程登陸

Telnet

• 本地可能泄露信息，可以加密

  • stel
  • SSLtelnet
  • stelnet
  • ssh

• SSH

  • 身份認(rèn)證
  • 數(shù)據(jù)加密
  • 壓縮處理
  • 支持FTP POP，可代替Telnet

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

• NTP 網(wǎng)絡(luò)時(shí)間協(xié)議
  • 調(diào)節(jié)系統(tǒng)時(shí)間和外部時(shí)鐘

信息服務(wù)

1. finger，查詢用戶細(xì)節(jié)，不在防火墻運(yùn)行，不應(yīng)在防火墻外運(yùn)行finger
2. 數(shù)據(jù)庫(kù)查詢，whois,數(shù)據(jù)庫(kù)查域名所有者身份
3. LDAP
4. WWW- http， ftp
   1. 安全性。（大概就是文檔會(huì)有腳本，exe之類
   2. 文檔會(huì)包含exe
   3. 盲目接受url
   4. 電子郵件端口可能會(huì)有腳本
   5. （應(yīng)運(yùn)行于受限環(huán)境
5. NTTP
   1. 耗費(fèi)資源
   2. 帶來(lái)漏洞
   3. 可以了解鄰居是誰(shuí)，拒絕連接請(qǐng)求
6. 多播 MBone
   1. 單薄+廣播
   2. 距離矢量

13 IPsec 虛擬專用網(wǎng)

基于IP通信，端到端，保證安全機(jī)制，

• 兩個(gè)安全協(xié)議
  • ESP
    • 加密
    • 驗(yàn)證
  • AH
    • 驗(yàn)證
• 密鑰管理協(xié)議
  • IKE

1. 認(rèn)證
2. 加密
3. 完整性
4. 防重放
5. key 產(chǎn)生/更新
6. 基于證書

AH

• 無(wú)連接數(shù)據(jù)完整
• 數(shù)據(jù)源認(rèn)證
• 防重放

1. 沒有保密性（因?yàn)樗胟ey hash而不是數(shù)字簽名）

ESP（比AH多了保密

• 數(shù)據(jù)保密
• 無(wú)連接完整性
• 數(shù)據(jù)源認(rèn)證

1. 不包含IP頭固定字段認(rèn)證
2. 數(shù)據(jù)包
   1. 一整個(gè)IP包加密，一整個(gè)or部分
3. 流加密
   1. 對(duì)整個(gè)IP包加密后傳輸

IKE 因特網(wǎng)密鑰交換協(xié)議

• 身份認(rèn)證
• 協(xié)商加密
• 共享密鑰

SA 安全聯(lián)盟

IPsec計(jì)算機(jī)連接前，建立某種約定

• 確定安全服務(wù)和對(duì)應(yīng)算法
• 他是單向的，所以要設(shè)計(jì)至少兩個(gè)SA

<SPI(安全參數(shù)索引), IP地址， IPsec協(xié)議>

任務(wù)： 創(chuàng)建和刪除

• 手動(dòng)管理
• IKE自動(dòng)管理

創(chuàng)建分兩步

1. 協(xié)商SA參數(shù)
2. 用SA更新SAD（數(shù)據(jù)庫(kù)）

SA人工協(xié)商的話不會(huì)過期，IPsec配置好后，SA建立通過IKE完成，弱沒有SA，需要?jiǎng)?chuàng)建

刪除

• 存活時(shí)間過期
• key被破解
• SA加密解密字節(jié)數(shù)超過閾值
• 另一端要求

SAD

SA以數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)的列表

• 不存在，IPSec啟動(dòng)IKE協(xié)商存儲(chǔ)

SP 安全策略

何種保護(hù)，如何保護(hù)

• 丟棄
• 不適用IPsec
• 應(yīng)用IPsec

工作模式

多數(shù)隧道模式

1. 不修改端系統(tǒng)
2. 支持host， server，操作系統(tǒng)，APP

AH和ESP均支持
實(shí)現(xiàn)方式

• 集成
  • 主機(jī)
  • 網(wǎng)關(guān)
• BITS 堆棧中的塊
  • 主機(jī)
• BITW 線纜中的塊
  • 商業(yè)
  • 軍事

傳輸模式

只保護(hù)有效載荷（插入原有

IPv4： 報(bào)文頭后面數(shù)據(jù)
IPv6：包報(bào)文頭+擴(kuò)展報(bào)文頭

優(yōu)點(diǎn)

1. 只增加少量字節(jié)
2. 根據(jù)IP頭特定處理
3. IP包頭明文，會(huì)被通信分析

隧道模式

整個(gè)IP包（然后自己價(jià)格加的IP頭

允許 網(wǎng)絡(luò)設(shè)備扮演角色

優(yōu)點(diǎn)

1. 不該端系統(tǒng)獲得IP安全性能
2. 防通信攻擊

格式

AH 41

• 保護(hù)方法
• 頭位置
• 認(rèn)證范圍
• 輸入輸出
• （沒定義身份驗(yàn)證

協(xié)議51

對(duì)外部IP頭固有部分身份驗(yàn)證
AH包頭包括

1. 負(fù)載長(zhǎng)度
2. SPI
3. 序列號(hào)
4. 認(rèn)證數(shù)據(jù)（hash檢查和

AH傳輸模式

直接插入到IP頭部和TCP頭部組織之間，驗(yàn)證整個(gè)部分

IPv6放在 (基礎(chǔ)包頭，挑點(diǎn)，路由，分片)擴(kuò)展后面

外出數(shù)據(jù)包從SAD找SA，沒有造一個(gè)

AH隧道模式

低緩端對(duì)端
不抵抗通信分析（沒有保密性）

• 認(rèn)證
• 防重放
• 完整性

ESP傳輸模式

50

可以插在IP頭之后，協(xié)議頭前。也可以封裝的IP頭之前（隧道）

支持CBC

傳輸模式

類似，同時(shí)尾巴再加個(gè)ESP尾部和ESP校驗(yàn)和

ESP尾部也被保護(hù)。 ESP尾部和頭部一起驗(yàn)證（不驗(yàn)證最外部的IP）

ESP 隧道模式

加個(gè)新的IP頭，然后老的部分加ESP頭，尾巴，校驗(yàn)

最外面IP頭不驗(yàn)證也不保護(hù)，其他部分類似傳輸模式

IKE

滿足以下特征

1. key產(chǎn)生，身份認(rèn)證
2. 自動(dòng)密鑰更新
3. SPI空間
4. 內(nèi)置保護(hù)
5. 前向保密
6. 分階段（一階段，key交換SA，第二階段，數(shù)據(jù)SA
7. 主機(jī)（IP) 用戶（長(zhǎng)期身份）證書
8. 強(qiáng)認(rèn)證

雙向認(rèn)證

• 與共享密鑰，相同key在各自主機(jī)上
• 公鑰加密 —— 無(wú)法抗拒絕服務(wù)攻擊
• 數(shù)字簽名 —— 抗拒絕服務(wù)
• 需要數(shù)字證書完成公鑰私鑰映射
  • IKE可以讓雙方交換

階段

1. 建立ISAKMP的SA
   1. 多種變換建議，responder選擇一個(gè)
   2. DF密鑰交換
   3. ID和認(rèn)證數(shù)據(jù)
2. 二階段：不同服務(wù)商協(xié)商各自SA
   1. ISAKMP SA保護(hù)
   2. 三個(gè)模式（前向保密性 —— 因?yàn)镮Psec的密鑰不同于IKE密鑰
   3. 長(zhǎng)期使用主密鑰泄露不導(dǎo)致過去會(huì)話泄露
      1. 快速模式
      2. 信息模式
      3. 新組模式

ISAKMP交換類型

• 基本
• 身份保護(hù)
• 認(rèn)證
• 積極
• 信息

IKE 真正定義密鑰交換過程， ISAKMP知識(shí)定義通用 key exchange框架

IKE四種身份認(rèn)證

• 數(shù)字簽名
• 公鑰i要
• 修正公開密鑰
• 與共享字符串

交換密鑰

• 協(xié)商SA
  • 主模式
  • 積極模式
  • 快速模式
• 協(xié)商DH算法
  • 新組模式

1. A向B發(fā)送消息
2. A的IPSec驅(qū)動(dòng)器檢查IP篩選器，檢查是否需要保護(hù)，如何保護(hù)
3. 驅(qū)動(dòng)通知IKE協(xié)商
4. B的IKE收到安全協(xié)商通知
5. 主機(jī)建立一階段 SA
   1. 此時(shí)各自生產(chǎn)主密鑰
   2. 若已建立一階段，可直接進(jìn)行二階段SA協(xié)商
6. 建立二階段SA
   1. 入站SA和出站SA
   2. SA包括密鑰和SPI
7. A的IPSec驅(qū)動(dòng)使用出戰(zhàn)SA對(duì)數(shù)據(jù)包
   1. 簽名（完整性
   2. 加密
8. 驅(qū)動(dòng)將數(shù)據(jù)包給IP層，IP層轉(zhuǎn)發(fā)給B
9. B的網(wǎng)絡(luò)適配器驅(qū)動(dòng)程序收到數(shù)據(jù)包交給IPSec驅(qū)動(dòng)程序
10. IPsec驅(qū)動(dòng)程序入棧SA檢查完整性，解密
11. 發(fā)給TCP.IP驅(qū)動(dòng)程序，再經(jīng)TCP/IP驅(qū)動(dòng)給主機(jī)B的APP

使用IPSec保護(hù)的數(shù)據(jù)包不能通過網(wǎng)絡(luò)地址譯碼 數(shù)據(jù)包不能通過網(wǎng)絡(luò)地址譯碼NAT。IP地址不能被NAT改變——否則完整性檢查失敗

14 隔離技術(shù)

概述

1. 安全域 ： 信息涉密程度劃分的空間
   1. 涉密域：涉及國(guó)家秘密的網(wǎng)絡(luò)空間
   2. 非涉密域：不涉及國(guó)際艾米（設(shè)計(jì)本單位
   3. 公共服務(wù)與
   4. 分對(duì)應(yīng)政府內(nèi)網(wǎng)，政府外網(wǎng)，因特網(wǎng)
2. 網(wǎng)絡(luò)隔離
   1. 兩個(gè)or以上可路由網(wǎng)絡(luò)， 通過 不可路由協(xié)議進(jìn)行數(shù)據(jù)交換達(dá)到隔離
   2. 隔離目的

隔離技術(shù)

1. 外網(wǎng)數(shù)據(jù)到內(nèi)網(wǎng)：
   1. 連接控制器，控制器存儲(chǔ)存儲(chǔ)介質(zhì)
   2. 數(shù)據(jù)寫完后中斷外網(wǎng)鏈接
2. 隔離設(shè)備對(duì)非TCP/IP協(xié)議數(shù)據(jù)連接
   1. 存儲(chǔ)介質(zhì)推向內(nèi)網(wǎng)
   2. 內(nèi)網(wǎng)收到數(shù)據(jù)，TCP/IP封裝和APP封裝給APP

控制臺(tái)收到完整交換信號(hào)，隔離設(shè)備切斷鏈接

反之亦然。

交換經(jīng)過 接受，存儲(chǔ)，轉(zhuǎn)發(fā)三個(gè)過程

• 內(nèi)存內(nèi)核完成
• 內(nèi)外網(wǎng)不連接
• 同一時(shí)間，最多一個(gè)隔離設(shè)備建立 非TCP/IP協(xié)議

分類

• 反病毒，內(nèi)容過濾
• 防火墻
• 物理隔離

要點(diǎn)

1. 自身安全
2. 網(wǎng)絡(luò)間離
3. 網(wǎng)絡(luò)交換應(yīng)用數(shù)據(jù)
4. 訪問檢查和控制
5. 隔離前提下網(wǎng)絡(luò)流暢，應(yīng)用透明

關(guān)鍵點(diǎn)

1. 速度
2. 應(yīng)用透明

15 防火墻

definition：
軟硬件組成，介于安全，不安全玩過之間。管理員設(shè)置訪問控制規(guī)則 對(duì)內(nèi)部攻擊無(wú)能為力

• 允許數(shù)據(jù)通過
• 拒接通過，并回復(fù)拒絕消息
• 丟棄數(shù)據(jù)流

要求

1. 進(jìn)出數(shù)據(jù)經(jīng)過 firewall
2. 只允許授權(quán)數(shù)據(jù)
3. 對(duì)入侵免疫

類型，結(jié)構(gòu)

多建立在TCP/IP模型上

1. 包過濾（網(wǎng)絡(luò)層
2. 電路級(jí)（會(huì)話層
3. 應(yīng)用級(jí)（APP層

設(shè)計(jì)結(jié)構(gòu)

• 靜態(tài)包
• 動(dòng)態(tài)包
• 電路級(jí)
• 應(yīng)用級(jí)
• 狀態(tài)檢查包過濾
• 切換代理
• 物理隔離

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

• 解決地址缺乏

• 隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)?/p>

  • 靜態(tài)（一一映射
  • 動(dòng)態(tài)（IP地址限定一個(gè)范圍
  • PAT 協(xié)議端口會(huì)改變
  • SNAT 頭部源地址改變
  • DNAT 目標(biāo)網(wǎng)絡(luò)地址改變

• 靜態(tài)

  • 不維護(hù)轉(zhuǎn)換表
  • 簡(jiǎn)單
  • 性能好

• 動(dòng)態(tài)

  • 要維護(hù)

• 端口地址

  • 要維護(hù)

多內(nèi)部主機(jī)同時(shí)和外部同一主機(jī)通信，要修改NAT表，添加新參數(shù)

靜態(tài)包

對(duì)IP頭，傳輸字段檢查，無(wú)匹配規(guī)則，則施加默認(rèn)規(guī)則

• 網(wǎng)絡(luò)層

過濾規(guī)則：

• 源地址
• 目標(biāo)地址
• 端口號(hào)
  • 沒寫協(xié)議應(yīng)用，但感覺是要加上的

過濾位置：

• 入口
• 出口
• mixed

控制策略

• 控制列表

安全性？

• IP地址欺騙
• 隱信道（凈荷
• 沒有狀態(tài)

優(yōu)點(diǎn)

1. 性能影響小
2. 成本低

缺點(diǎn)

1. 安全性不足
2. IP欺騙
3. 隱信道
4. 無(wú)狀態(tài)
5. 難建立控制規(guī)則

動(dòng)態(tài)

• 網(wǎng)絡(luò)層（經(jīng)典）/傳輸層（先進(jìn)）
• 狀態(tài)感知

（檢查的內(nèi)容其實(shí)和靜態(tài)一致

對(duì)比靜態(tài)

1. 外出數(shù)據(jù)包身份記錄
2. 對(duì)連接，規(guī)則表動(dòng)態(tài)連接
3. 感知新連接和舊連接區(qū)別

優(yōu)點(diǎn)

1. 網(wǎng)絡(luò)性能影響小
2. 安全性強(qiáng)
3. 狀態(tài)感知

缺點(diǎn)

1. 網(wǎng)絡(luò)層/檢查IP和TCP
2. 不過濾凈荷
3. IP欺騙
4. 創(chuàng)建先后次序
5. 三次握手遵循

電路級(jí)

會(huì)話層

1. 除了本來(lái)就要檢查的
2. 檢查 SYN ACK SEQ

優(yōu)點(diǎn)

• 性能比過濾查，比proxy好
• 切斷外部直接連接
• 比靜態(tài)動(dòng)態(tài)的包過濾更安全
  缺點(diǎn)
• 不能檢測(cè)凈荷（不能抵擋引用曾攻擊
• 安全性有限
• 內(nèi)部程序修改，代碼也要改

應(yīng)用級(jí)

• 針對(duì)每個(gè)服務(wù)單獨(dú)代理
• 數(shù)據(jù)包逐個(gè)檢查
• 最安全
• 自動(dòng)創(chuàng)建包過濾規(guī)則

優(yōu)點(diǎn)

• 安全性高
• 認(rèn)證
• 日志
• 配置簡(jiǎn)單

缺點(diǎn)

• 靈活性差
• 配置麻煩
• 性能不高

狀態(tài)檢測(cè)

應(yīng)用狀態(tài)：應(yīng)用程序中手機(jī)狀態(tài)，存入狀態(tài)表

通信信息：檢測(cè)模塊位于OS內(nèi)核

通信狀態(tài)： 防火墻在狀態(tài)表保存以前信息

優(yōu)點(diǎn)

• 動(dòng)態(tài)包過濾優(yōu)點(diǎn)，安全高
• CS模型
• 集成動(dòng)態(tài)包過濾
• 快

缺點(diǎn)

• 單線程
• 不能高并發(fā)
• 安全性有限

切換代理

先會(huì)話，后網(wǎng)絡(luò)（電路級(jí) -》 網(wǎng)絡(luò)及

優(yōu)點(diǎn)

• 網(wǎng)絡(luò)影響小
• 三次握手驗(yàn)證，降低IP欺騙風(fēng)險(xiǎn)

缺點(diǎn)

• 非電路級(jí)
• 動(dòng)態(tài)包過濾缺陷
• 沒檢查凈荷
• 難創(chuàng)建規(guī)則
• 不如電路級(jí)網(wǎng)關(guān)

空氣隙

優(yōu)點(diǎn)

• 切斷防火墻后面服務(wù)器直接連接，消除了隱信道攻擊
• 強(qiáng)代理檢測(cè)協(xié)議頭檢測(cè)，避免buffer溢出
• 結(jié)合應(yīng)用級(jí)網(wǎng)關(guān)，安全性高

缺點(diǎn)

• 性能低（瓶頸
• 不能交互訪問
• 范圍窄
• 系統(tǒng)配置復(fù)雜
• 結(jié)構(gòu)復(fù)雜，實(shí)施費(fèi)用高

總結(jié)

架構(gòu)

1. 多宿主
2. 主機(jī)過濾
3. 子網(wǎng)過濾

• 參數(shù)主機(jī)
• 堡壘主機(jī)
• 內(nèi)部路由器
• 外部路由器

技術(shù)

• 試驗(yàn)網(wǎng)絡(luò)
• 低保密網(wǎng)絡(luò)
• 高保密網(wǎng)絡(luò)
• 聯(lián)合firewall
• 共享參數(shù)網(wǎng)絡(luò)
• 內(nèi)部防火墻堡壘選擇

堡壘主機(jī)

• 原則
  • 最簡(jiǎn)化
  • 預(yù)防
• 種類
  • 無(wú)路由雙宿主
  • 犧牲主機(jī)
  • 內(nèi)部堡壘
• 服務(wù)
  • 無(wú)風(fēng)險(xiǎn)
  • 低風(fēng)險(xiǎn)
  • 高風(fēng)險(xiǎn)
  • 禁用

16

概念

definition： 網(wǎng)絡(luò)，sys收集信息，分析，發(fā)現(xiàn)網(wǎng)絡(luò)，系統(tǒng)違反安全行為，攻擊跡象，作出反應(yīng)

1. 信息收集
2. 信息處理
3. 數(shù)據(jù)監(jiān)測(cè)分析
4. 安全策略做出響應(yīng)

警報(bào)，預(yù)警

• 旁路偵聽
  扮演偵察預(yù)警角色，補(bǔ)充
  $$Dt+Rt<Pt$$
  $$檢測(cè)+響應(yīng)<防護(hù)時(shí)間$$
  檢測(cè)他們活動(dòng)需要的時(shí)間，檢測(cè)后做出相應(yīng)的事件，防護(hù)時(shí)間

CIDF通用模型

CIDF:入侵檢測(cè)需要的數(shù)據(jù)叫事件

1. 事件產(chǎn)生器 —— 采集監(jiān)視保存數(shù)據(jù)，保存于4
2. 事件分析器 —— 發(fā)現(xiàn)危險(xiǎn)一場(chǎng)數(shù)據(jù)并通知 3
3. 響應(yīng)單元 —— 攔截阻斷反追蹤保護(hù)
4. 事件數(shù)據(jù)庫(kù)

CISL：不同功能單元的數(shù)據(jù)交換

分類

輸入來(lái)源

1. 基于主機(jī)
2. 基于網(wǎng)絡(luò)
3. 基于內(nèi)核
4. 基于應(yīng)用

主機(jī)

數(shù)據(jù)源：
系統(tǒng)catalog， APP catalog等審計(jì)記錄文件，產(chǎn)生攻擊簽名

• 保證審計(jì)數(shù)據(jù)不被改
• 實(shí)時(shí)性
  • 系統(tǒng)在attacker修改審計(jì)數(shù)據(jù)簽完成 分析、報(bào)警、響應(yīng)

按檢測(cè)對(duì)象繼續(xù)分類

1. 網(wǎng)絡(luò)連接：進(jìn)入主機(jī)的數(shù)據(jù)
2. 主機(jī)文件：log，sys，process

優(yōu)點(diǎn)

• 確定攻擊是否成功
• 合適加密/交換環(huán)境
  • 因?yàn)榛诰W(wǎng)絡(luò)的IDS以數(shù)據(jù)交換包位數(shù)據(jù)源
  • 加密數(shù)據(jù)到主機(jī)前要解密。對(duì)于網(wǎng)絡(luò)，流量很難處理
• 近實(shí)時(shí)
• 無(wú)須其他硬件
• 特定行為監(jiān)視 ~~ 系統(tǒng)文件/可執(zhí)行文件
• 針對(duì)不同OS

不足

• 實(shí)時(shí)性差
• 占資源
• 效果依賴日志
• 無(wú)法檢測(cè)全部包
• 隱蔽性差

網(wǎng)絡(luò)

原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)地監(jiān)視并分析

可執(zhí)行

1. 端口掃描
2. 識(shí)別攻擊
3. 識(shí)別IP欺騙
4. 可干涉通信，配置防火墻

優(yōu)勢(shì)

• 攻擊者難以轉(zhuǎn)移蹤跡：因?yàn)橹鳈C(jī)的IDS的審計(jì)日志會(huì)被修改
• 實(shí)時(shí)
• OS無(wú)關(guān)
• 低成本
• 檢測(cè)未遂攻擊

對(duì)應(yīng)就是前面的
實(shí)時(shí)、同時(shí)多臺(tái)、隱蔽、保護(hù)入侵證據(jù)、不影響host

不足

• 防入侵欺騙較差
• 難配置
• 硬件限制
• 不能處理加密數(shù)據(jù)

內(nèi)核

openwall linux
防止緩沖區(qū)溢出，增加文件系統(tǒng)的保護(hù)，封閉信號(hào)

分布式

主機(jī)+網(wǎng)絡(luò)

分析方法

• 異常檢測(cè)
• 誤用檢測(cè)

異常檢測(cè)技術(shù)——基于行為

前提：入侵行為都是異常的
正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵行為。間接

1. 選特征量
2. 選閾值
   1. 漏警
   2. 虛警
3. 選比較頻率

優(yōu)點(diǎn)

• 檢測(cè)出新的入侵方法
• 少依賴OS
• 對(duì)內(nèi)部檢測(cè)能力強(qiáng)

缺

• 誤報(bào)
• 模型難建立
• 難分類命名行為

方法

1. 統(tǒng)計(jì)分析
   1. 平均值
   2. 平方加權(quán)求和
      1. 成熟，但閾值難確定，次序不敏感
2. 貝葉斯
3. 神經(jīng)網(wǎng)絡(luò)
   1. 不需要數(shù)據(jù)統(tǒng)計(jì)假設(shè)，處理隨機(jī)性與干擾數(shù)據(jù)
   2. 權(quán)重難確定
4. 模式預(yù)測(cè)，考慮順序，聯(lián)系。遵循可識(shí)別模式
   1. 處理各種行為
   2. 對(duì)不可識(shí)別模式誤檢
5. 數(shù)據(jù)裁決
   1. 處理數(shù)據(jù)
   2. 效率低
6. 機(jī)器學(xué)習(xí)

誤用檢測(cè)技術(shù)——基于知識(shí)

前提：入侵行為可被 識(shí)別，直接方法

• 準(zhǔn)確
• 成熟
• 便于sys防護(hù)

缺點(diǎn)

• 新入侵行為無(wú)法檢測(cè)
• 依賴數(shù)據(jù)特征有效
• 維護(hù)庫(kù)工作量大
• 難以檢測(cè)內(nèi)部

方法

1. 專家系統(tǒng)
   1. 速度，精度有待改良，維護(hù)庫(kù)工作量大
2. 特征分析
   1. 不進(jìn)行轉(zhuǎn)換，不處理大量數(shù)據(jù)，直接用入侵知識(shí)
3. 推理模型
   1. 基于數(shù)學(xué)，減少數(shù)據(jù)量處理
   2. 增加模型開銷
4. 條件概率
5. 鍵盤監(jiān)控

others

遺傳算法，免疫技術(shù)

4 設(shè)置

1. 確定需求
2. 設(shè)計(jì)拓?fù)?/li>
3. 配置系統(tǒng)
4. 磨合調(diào)試
5. 使用

3，4回溯多次，降低誤報(bào)和漏報(bào)

5 部署

基于網(wǎng)絡(luò)IDS

1. DMZ
   1. 檢測(cè)所有針對(duì)用戶向外提供服務(wù)的服務(wù)器的攻擊行為
   2. 檢測(cè)外部攻擊與防火墻問題
2. 外網(wǎng)入口
   1. 可以檢測(cè)所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)
   2. 處理進(jìn)出數(shù)據(jù)
   3. 但無(wú)法定位地址
3. 內(nèi)網(wǎng)主干
   1. 內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)
   2. 知道源目的地址
   3. 檢測(cè)內(nèi)網(wǎng)，提高檢測(cè)攻擊效率
4. 關(guān)鍵子網(wǎng)
   1. 檢測(cè)到來(lái)自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為
   2. 資源部署高效

基于host

主要安裝在關(guān)鍵主機(jī)

要根據(jù)服務(wù)器本身的空閑負(fù)載能力配置

報(bào)警策略

如何報(bào)警和選取什么樣的報(bào)警

保證這個(gè)互動(dòng)的接口與目標(biāo)網(wǎng)絡(luò)物理隔絕，不影響別處

優(yōu)點(diǎn)與局限

• 分析行為
• 測(cè)試安全狀態(tài)
• 產(chǎn)生數(shù)據(jù)
• 幫助管理人員

局限

• 只能發(fā)現(xiàn)，不能彌補(bǔ)/修正漏洞也無(wú)法預(yù)防。
• 高負(fù)載主機(jī)難以檢測(cè)
• 基于知識(shí)/誤用很難檢測(cè)為職工過激行為
• 過敏造成拒絕服務(wù)攻擊
• 純交換環(huán)境無(wú)法工作

密罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個(gè)虛假的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的

18

1計(jì)算機(jī)漏洞

它是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者惡意利用的屬性， 脆弱性

兩種狀態(tài)

1. 授權(quán)的
2. 未授權(quán)的

• 脆弱(vulnerable)狀態(tài)是指能夠使用已授權(quán)的狀態(tài)變換到達(dá)未授權(quán)狀態(tài)的已授權(quán)狀態(tài)。
• 受損(compromised)狀態(tài)是指通過上述方法到達(dá)的狀態(tài)。
• 攻擊(attack)是指以受損狀態(tài)結(jié)束的已授權(quán)狀態(tài)變換的順序

攻擊開始于脆弱狀態(tài)

• 通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問

if(某個(gè)漏洞被入侵者滲透)
{
    結(jié)果就稱為一次安全事件（Security incident
}

漏洞存在原因

• internet開放性
• 協(xié)議原始設(shè)計(jì)
• 高速膨脹應(yīng)用類型
• OS方便用戶犧牲安全
• 數(shù)據(jù)明文

1. 設(shè)計(jì)瑕疵
2. 實(shí)現(xiàn)的弱點(diǎn)
3. 本身瑕疵
4. 錯(cuò)誤配置

漏洞是包括一切導(dǎo)致威脅、損壞計(jì)算機(jī)系統(tǒng)安全性（可靠性、可用性、保密性、完整性、可控性、不可抵賴性）的所有因素。

應(yīng)該主動(dòng)曝光漏洞

2 網(wǎng)絡(luò)掃描

入侵工作

1. 踩點(diǎn)
2. 掃描
3. 查點(diǎn)

掃描

1. 發(fā)現(xiàn)目標(biāo)host/net
2. 搜集信息，如OS，服務(wù)，軟件版本，拓?fù)?，路?/li>
3. 判斷是否有安全漏洞

發(fā)現(xiàn)目標(biāo)

ping掃射

• ICMP掃射（輪詢多歌主機(jī)，不可靠
• 廣播ICMP（回顯請(qǐng)求，但會(huì)有大量應(yīng)答
• 非回顯ICMP（時(shí)間戳查詢time/地址掩碼查子網(wǎng)掩碼
• TCP掃射（三次握手
• UDP掃射（不可靠，慢，但可以IP廣播

信息

端口掃描

• TCP connect
• TCP SYN
• TCP ACK
• TCP FINTCP XMAS
• TCP空掃描
• FTP反彈掃描
• UDP掃描

服務(wù)識(shí)別，建立服務(wù)特征數(shù)據(jù)庫(kù)

操作系統(tǒng)檢測(cè)，網(wǎng)絡(luò)堆棧特征探測(cè)

• ICMP響應(yīng) （IP頭字段內(nèi)容
  • 差錯(cuò)報(bào)文引用大小
    • 8字節(jié)
    • 多數(shù)OS返回IP頭部前8字節(jié)
  • 差錯(cuò)報(bào)文回顯完整性
    • OS會(huì)改變產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào)IP頭部的其他字段的內(nèi)容和/或后面數(shù)據(jù)的內(nèi)容
  • “優(yōu)先權(quán)”字段
    • 可設(shè)置
    • 0位ICMP優(yōu)先權(quán)值
    • Linux用6
  • 不分片（DF）位
  • TTL位。 32/128
  • 代碼字段不為0的ICMP回顯請(qǐng)求
    • 非標(biāo)準(zhǔn)ICMP報(bào)文
  • TOS子字段回顯
• TCP報(bào)文響應(yīng)
  • FIN
  • 偽標(biāo)記位
  • ISN取樣
  • DF位監(jiān)視
  • TCP初始化窗口大小
  • ACK
  • 片段處理
  • TCP選項(xiàng)
• TCP報(bào)文延時(shí)分析 —— 利用重傳
• 被動(dòng)特征探測(cè)
  • 不主動(dòng)向目標(biāo)發(fā)分組，sniff通信，數(shù)據(jù)包

漏洞檢測(cè)

直接測(cè)試(test)
推斷(inference)
帶憑證的測(cè)試(Test with Credentials)。

直接測(cè)試

滲透測(cè)試

• 直接觀察
• 間接觀察

特點(diǎn)

1. web服務(wù)器，Dos漏洞檢測(cè)
2. 準(zhǔn)確判斷
3. 步驟多可能速度慢
4. 攻擊強(qiáng)，會(huì)對(duì)系統(tǒng)破壞
5. Dos的測(cè)試可能會(huì)崩潰
6. 不能獲取所有漏洞

推斷

簡(jiǎn)介尋找漏洞存在證據(jù)，不如測(cè)試可靠，攻擊性小，可檢查Dos

帶憑證

賦予測(cè)試進(jìn)程系統(tǒng)目標(biāo)角色，可以檢查更多漏洞，帶憑證的測(cè)試

工具

1. Netcat
2. Nmap
3. SATAN
4. nessus
5. Xscan

4 掃描策略

網(wǎng)絡(luò) or 主機(jī)

• 網(wǎng)絡(luò)：從入侵者角度評(píng)估 網(wǎng)絡(luò)
• 主機(jī)： 從本地管理員

主機(jī)

• 運(yùn)行于單個(gè)主機(jī)（掃描自己
• 與OS相關(guān)
• 創(chuàng)建進(jìn)程

準(zhǔn)確評(píng)估系統(tǒng)問題

但平臺(tái)相關(guān)，升級(jí)復(fù)雜，效率低

網(wǎng)絡(luò)

• 單/多主機(jī)，目標(biāo)為單/多主機(jī)
• 與OS無(wú)冠
• 不能訪問目標(biāo)本地文件

從入侵者角度檢測(cè)
可發(fā)現(xiàn)危險(xiǎn)，可滲透的漏洞

掃描效率快，平臺(tái)無(wú)關(guān)，通用性強(qiáng)，安裝簡(jiǎn)單

不能檢查不恰當(dāng)?shù)陌踩呗?，影響網(wǎng)絡(luò)性能文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-496534.html

到了這里，關(guān)于網(wǎng)安筆記--整合的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！