【正文】 3 智能網(wǎng)絡(luò)系統(tǒng)安全策略（動(dòng)態(tài)免疫力） 安全 =風(fēng)險(xiǎn)分析 +安全策略 +技術(shù)防御體系 +攻擊實(shí)時(shí)檢測(cè) +安全跟蹤 +系統(tǒng)數(shù)據(jù)恢復(fù) +系統(tǒng)學(xué)習(xí)進(jìn)化 技術(shù)防御體系包括漏洞檢測(cè)和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務(wù)的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能而引入的智能反饋機(jī)制。 模型中，“風(fēng)險(xiǎn)分析 +安全策略”體現(xiàn)了管理因素；“技術(shù)防御體系 +攻擊實(shí)時(shí)檢測(cè) +系統(tǒng)數(shù)據(jù)恢復(fù) +系統(tǒng)學(xué)習(xí)進(jìn)化”體現(xiàn)了技術(shù)因素；技術(shù)因素綜合了防護(hù)、監(jiān)控和恢復(fù)技術(shù)；“安全跟蹤 +系統(tǒng)數(shù)據(jù)恢復(fù) +系統(tǒng)學(xué)習(xí)進(jìn)化”使系統(tǒng)表現(xiàn)出動(dòng)態(tài)免疫力。 32 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 隨著信息網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)的安全防護(hù)技術(shù)已逐漸成為一個(gè)新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊(duì)和全社會(huì)的高度重視。隨著我國(guó)政府、金融等重要領(lǐng)域逐步進(jìn)入信息網(wǎng)絡(luò)，國(guó)家的信息網(wǎng)絡(luò)已成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的又一個(gè)安全防衛(wèi)領(lǐng)域，逐漸成為國(guó)家安全的最高價(jià)值目標(biāo)之一?？梢哉f(shuō)信息網(wǎng)絡(luò)的安全與國(guó)家安全密切相關(guān)。 33 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 最近安全專(zhuān)家提出了信息保障體系的新概念，即：為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測(cè)能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問(wèn)控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動(dòng)防御。美國(guó)在信息保障方面的一些舉措 ,如：成立關(guān)鍵信息保障辦公室、國(guó)家基礎(chǔ)設(shè)施保護(hù)委員會(huì)和開(kāi)展對(duì)信息戰(zhàn)的研究等等，表明美國(guó)正在尋求一種信息系統(tǒng)防御和保護(hù)的新概念，這應(yīng)該引起我們的高度重視。 34 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)涵蓋了對(duì)現(xiàn)代信息系統(tǒng)的安全防護(hù)的各個(gè)方面，構(gòu)成了一個(gè)完整的體系，使網(wǎng)絡(luò)安全建筑在一個(gè)更加堅(jiān)實(shí)的基礎(chǔ)之上。 35 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） ? 保護(hù) ( PROTECT ) 傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪問(wèn)控制技術(shù)等等。 ? 檢測(cè) ( DETECT ) 從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御 。 36 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） ? 響應(yīng) ( RESPONSE ) 在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等。 ? 恢復(fù) ( RECOVER ) 評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。 37 網(wǎng)絡(luò)安全保障體系 安全管理與審計(jì) 物理層安全 網(wǎng)絡(luò)層安全 傳輸層安全 應(yīng)用層安全 鏈路層 物理層 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 表示層 會(huì)話(huà)層 審計(jì)與監(jiān)控 身份認(rèn)證 數(shù)據(jù)加密 數(shù)字簽名 完整性鑒別 端到端加密 訪問(wèn)控制 點(diǎn)到點(diǎn)鏈路加密 物理信道安全 ?訪問(wèn)控制 ?數(shù)據(jù)機(jī)密性 ?數(shù)據(jù)完整性 ?用戶(hù)認(rèn)證 ?防抵賴(lài) ?安全審計(jì) 網(wǎng)絡(luò)安全層次 層次 模型 網(wǎng)絡(luò)安全技術(shù) 實(shí)現(xiàn)安全目標(biāo) 用戶(hù) 安全 38 網(wǎng)絡(luò)安全工作的目的 進(jìn)不來(lái) 拿不走 看不懂 改不了 跑不了 黑客攻擊與防范 40 以太幀與 MAC地址 ? 一 、 以太資料幀的結(jié)構(gòu)圖 前同步碼 報(bào)頭 資料區(qū) 資料幀檢查序列（ FCS） 8個(gè)字節(jié)（ 不包括 ） 通常 14個(gè)字節(jié) 461， 500字節(jié) 固定 4字節(jié) 41 以太幀構(gòu)成元素 解釋及作用 前同步碼 Send “I am ready, I will send message” 報(bào)頭 必須有：發(fā)送者 MAC地址 目的MAC地址 共 12個(gè)字節(jié) OR 長(zhǎng)度字段中的字節(jié)總數(shù)信息（ 差錯(cuò)控制 ） OR 類(lèi)型字段 （ 說(shuō)明以太幀的類(lèi)型 ） 資料區(qū) 資料源 IP 目的地 IP 實(shí)際資料和協(xié)議信息 如果資料超過(guò) 1， 500 分解多個(gè)資料幀 ，使用序列號(hào) 如果不夠 46個(gè)字節(jié) ， 數(shù)據(jù)區(qū)末尾加 1 FCS 保證接受到的資料就是發(fā)送出的資料 。 42 MAC地址的前三個(gè)字節(jié) 制造商 00000C CISCO 0000A2 BAY NETWORKS 0080D3 SHIVA 00AA00 INTEL 02608C 3COM 080009 HEWLETPACKARD 080020 SUN 08005A IBM FFFFFFFFFF 廣播地址 43 地址解析協(xié)議 ? 地址解析協(xié)議 索引 物理位址 IP地址 類(lèi)型 物理口（接口） 設(shè)備的物理地址 與物理位址對(duì)應(yīng)的 IP地址 這一行對(duì)應(yīng)入口類(lèi)型 入口1 入口2 入口N 注：數(shù)值 2表示這個(gè)入口是非法的 ， 數(shù)值 3表示這種映像是動(dòng)態(tài)的 ， 數(shù)值 4表示是靜態(tài)的 （ 如口不改變 ） ， 數(shù)值 1表示不是上述任何一種 。 入口： ARP高速緩存 。 44 TIP/IP ? IP（ Inter Protocol）網(wǎng)際協(xié)議，把要傳輸?shù)囊粋€(gè)文件分成一個(gè)個(gè)的群組，這些群組被稱(chēng)之為 IP數(shù)據(jù)包，每個(gè) IP數(shù)據(jù)包都含有源地址和目的地址，知道從哪臺(tái)機(jī)器正確地傳送到另一臺(tái)機(jī)器上去。 IP協(xié)議具有分組交換的功能，不會(huì)因?yàn)橐慌_(tái)機(jī)器傳輸而獨(dú)占通信線路。 TCP（ Transport control Protocal）傳輸控制協(xié)議具有重排 IP數(shù)據(jù)包順序和超時(shí)確認(rèn)的功能。 IP數(shù)據(jù)包可能從不同的通信線路到達(dá)目的地機(jī)器， IP數(shù)據(jù)包的順序可能序亂。 TCP按 IP數(shù)據(jù)包原來(lái)的順序進(jìn)行重排。 IP數(shù)據(jù)包可能在傳輸過(guò)程中丟失或損壞，在規(guī)定的時(shí)間內(nèi)如果目的地機(jī)器收不到這些 IP數(shù)據(jù)包， TCP協(xié)議會(huì)讓源機(jī)器重新發(fā)送這些 IP數(shù)據(jù)包，直到到達(dá)目的地機(jī)器。 TCP協(xié)議確認(rèn)收到的 IP數(shù)據(jù)包。超時(shí)機(jī)制是自動(dòng)的，不依賴(lài)于通訊線路的遠(yuǎn)近。 IP和 TCP兩種協(xié)議協(xié)同工作，要傳輸?shù)奈募涂梢詼?zhǔn)確無(wú)誤地被傳送和接收 45 TIP/IP ? TCP/IP協(xié)議族與 OSI七層模型的對(duì)應(yīng)關(guān)系，如下圖所示 2022年 3月 數(shù)據(jù)包是什么樣的？ TCP/IP/Ether 舉例 對(duì)分組過(guò)濾而言：涉及四層 1. Ether layer 2. IP layer 3. TCP layer 4. data layer 2022年 3月 分組與數(shù)據(jù)封包： Data Data Data Data Header Header Header Header Header Header Application layer (SMTP, Tel, FTP, etc) Transport layer (TCP,UDP,ICMP) Inter Layer (IP) Network Access Layer (Ether, FDDI, ATM, etc) 在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)） 首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù) 每層分組要包括來(lái)自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包 應(yīng)用層包括的就是要傳送出去的數(shù)據(jù) 2022年 3月 Ether layer 1. 分組＝ Ether Header＋ Ether Body 2. Header 說(shuō)明： 3. Ether Body 包含的是 IP 分組 該分組的類(lèi)型，如 AppleTalk數(shù)據(jù)包、 Novell數(shù)據(jù)包、 DECNET數(shù)據(jù)包等。 輸送該分組的機(jī)器的 Ether 地址（源址） 接收該分組的機(jī)器的 Ether 地址（宿址 ） 2022年 3月 IP layer 1. IP分組＝ IP header + IP Body 3. IP可將分組細(xì)分為更小的部分段 (fragments)， 以便網(wǎng)絡(luò)傳輸。 4. IP Body包含的是 TCP分組。 2. IP header包括： IP源地址： 4 bytes, eg. IP的目的地址 ：同上 IP協(xié)議類(lèi)型 ：說(shuō)明 IP Body中是 TCP分組或是 UDP分組， ICMP等 IP選擇字段 ：?？眨糜?IP源路由 或 IP安全選項(xiàng)的標(biāo)識(shí) 50 IP 分組字段 版本 IHL 服務(wù)類(lèi)型 總長(zhǎng)度 標(biāo)識(shí) O 分段偏差 有效期 協(xié)議 報(bào)頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù) O M F F 32 BIT 過(guò)濾字段 2022年 3月 IP: 處于 Inter中間層次。 其下有很多不同的層：如 Ether， token ring， FDDI， PPP等。 其上有很多協(xié)議： TCP， UDP， ICMP。 與分組過(guò)濾有關(guān)的特性是： 分段示意圖： IP 選項(xiàng)：用于 Firewall中，對(duì)付 IP源路由。 IP 分段： Firewall只處理首段，而讓所有非首段通過(guò)。 丟掉了首段，目的地就不能重組。 IP Header TCP Header DATA DATA IP Header TCP Header DATA IP Header DATA IP Header DATA 2022年 3月 TCP Layer TCP分組： TCP報(bào)頭＋ TCP 本體 報(bào)頭中與過(guò)濾有關(guān)部分： TCP源端口 ： 2 byte數(shù)，說(shuō)明處理分組的源機(jī)器。 TCP宿端口 ：同上 TCP旗標(biāo)字段（ flag）， 含有 1bit的 ACK bit。 本體內(nèi)是實(shí)際要傳送的數(shù)據(jù)。 2022年 3月 TCP Layer 源端口 宿端口 序 號(hào) 確 認(rèn) 號(hào) HLEN 保留 碼位 窗口 校驗(yàn)和 緊急指針 選 項(xiàng) 填充字節(jié) 數(shù) 據(jù) Words Bits 0 4 8 12 16 20 24 28 31 頭標(biāo) 54 端口掃描攻擊 ? WWW服務(wù) ? ＳＭＴＰ 服務(wù) ? ＰＯＰ３ 服務(wù) ? ＤＮＳ 服務(wù) ? ＳＮＭＰ服務(wù) 55 Sniffer攻擊 56 DOS原理 ? DoS的英文全稱(chēng)是 Denial of Service，也就是“ 拒絕服務(wù) ” 的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看， DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分 Inter連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)。 DoS攻擊的原理如圖所示。 57 DOS原理 58 DOS原理 ? 從圖我們可以看出 DoS攻擊的基本過(guò)程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待