【正文】 ping 風(fēng)暴、同步風(fēng)暴、垃圾Web 請(qǐng)求等），而且僵尸發(fā)出的攻擊包可能偽造假的 IP 源地址 對(duì)擁塞攻擊的總體評(píng)價(jià) 攻擊深度不夠，只能癱瘓系統(tǒng)，不能控制系統(tǒng) 局部合法，整體非法 網(wǎng)絡(luò)安全復(fù)習(xí)（簡(jiǎn)潔版） 時(shí)光可見 第 10 頁 202227 小帶寬具有天然劣勢(shì)，可通過分布式等手段，放大殺傷力，化局部劣勢(shì)為全局優(yōu)勢(shì) 商店的比喻：糾集大批人群占據(jù)柜臺(tái)，光問價(jià)不買東西 1 訪問權(quán)限的獲取，是對(duì) 目標(biāo)系統(tǒng)進(jìn)行控制的必由之路 訪問權(quán)限的獲取有如下途徑： 獲取口令 通過 “社會(huì)工程 ”獲取口令 通過竊聽獲取口令 通過猜測(cè)獲取口令 通過計(jì)算（破譯）獲取口令 利用隱通道 利用緩沖區(qū)溢出制造隱通道 利用后門制造隱通道 1什么是社會(huì)工程學(xué)方法 窺探 ： 看別人擊鍵 、 隱蔽錄像 騙取 ： 假冒可信任的人的名義 利用管理漏洞和目標(biāo)系統(tǒng)管理者的疏忽 ： 紙條 1 社會(huì)工程學(xué)方法 的防范：好的文化、好的習(xí)慣、好的管理（最關(guān)鍵） 1 什么是 “弱口令 ” 直觀上說，容易猜測(cè)的口令就是弱口令 嚴(yán)格地說，如果存在一個(gè)函數(shù)，任給一個(gè)特定的用戶 ID 及其必要的相關(guān)信息作為自變量，那么這個(gè)函數(shù)只需要少量的計(jì)算代價(jià)就會(huì)得出包含該用戶口令的一個(gè)范圍很小的集合，那么就稱這個(gè)用戶使用的口令是一個(gè)弱口令 1絕對(duì)弱口令與相對(duì)弱口令 猜測(cè)口令的代價(jià)與用戶 ID 及其相關(guān)信息無關(guān)的，這種弱口令稱為絕對(duì)弱口令，比如使用英文單詞作為口令 猜測(cè)口令的代價(jià)與用戶 ID 及其相關(guān)信息有關(guān)的，這種弱口令稱為相對(duì)弱口令，比如用戶 ID 為 zhangsan，用戶口令為 zhangsan 或者 zhangsan123 1絕對(duì)弱口令的猜測(cè)攻擊 絕對(duì)弱口令一般都屬于一個(gè)公用的封閉集合，例如一部字典 絕對(duì)弱口令攻擊就是遍歷這個(gè)封閉的集合，由于前述原因又被稱為字典攻擊 遍歷一個(gè)有幾萬個(gè)元素的封閉集合，對(duì)于現(xiàn)代計(jì)算機(jī)來說代價(jià)是非常小的 1對(duì)絕對(duì)弱口令攻擊的防范 設(shè)定最大不成功登錄次數(shù)，防止多次口令試探 避免使用現(xiàn)成的中英文單詞作為口令 1相對(duì)弱口令的猜測(cè)攻擊 相對(duì)弱口令依據(jù)的變換 ： 前后綴 、 重復(fù) 、 頭聲母組合 信息 +變換：一個(gè)并不大的空間 有些工具把絕對(duì)弱口令和相對(duì)弱口令的猜測(cè)放在一起 1緩沖區(qū)溢出攻擊 現(xiàn)象：給 函數(shù)傳遞超出預(yù)期大小的參數(shù)，使系統(tǒng)進(jìn)入異常狀態(tài) 后果：取得對(duì)目標(biāo)系統(tǒng)的部分或全部控制權(quán) 什么是“緩沖區(qū)”？ 緩沖區(qū) :內(nèi)存中一塊連續(xù)的區(qū)域 ,用于儲(chǔ)存相同類型的數(shù)據(jù)實(shí)例 。 1988 年， Morris 蠕蟲事件直接 刺激了 IDS 的研究 1988 年，創(chuàng)建了基于主機(jī)的系統(tǒng) ,有 IDES， Haystack 等 1989 年，提出基于網(wǎng)絡(luò)的 IDS 系統(tǒng) ,有 NSM， NADIR， DIDS 等 90 年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入 IDS 系統(tǒng) 2022 年 2 月，對(duì) Yahoo！、 Amazon、 CNN 等大型網(wǎng)站的 DDOS 攻擊引發(fā)了對(duì) IDS 系統(tǒng)的新一輪研究熱潮 2022 年～今， RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了 IDS 的發(fā)展。其 形式可為任何一種數(shù)字媒體，如圖象、聲音、視頻或一般的文檔等等； 密碼 ?隱藏了信息的內(nèi)容 信息偽裝 ?隱藏了信息的內(nèi)容 +信息的存在； 信息安全和偽裝式信息安全技術(shù)是互補(bǔ)的； 信息偽裝技術(shù)研究的內(nèi)容包括 ： 信息隱藏和信息的版權(quán)認(rèn)證，信息訪問的合法身份認(rèn)定等。 歷史上的密碼： 滾筒密碼、凱撒密碼 兩個(gè)加密技巧： 移位 ，或叫置換（ Transposition cipher）：將字母順序重新排列，例如 ?help me‘變成 ?ehpl em‘； 替代 ，或叫代換（ Substitution cipher）：有系統(tǒng)地將一組字母換成其他字母或符號(hào)，例如 ?fly at once‘變成 ?gmz bu podf‘（每個(gè)字母用下一個(gè)字母取代）。 機(jī)密性指的是：除了收發(fā)雙方之外，任何其他截獲這些信息的人無法從字面上解讀、也無法 憑借現(xiàn)階段可獲得的計(jì)算資源將原文還原，只有共享秘密的接收方才能夠正確解密并閱讀。 真實(shí)性指的是：通過對(duì)原文進(jìn)行的某種操作，得到發(fā)信方在原文上的一個(gè) ―簽名 ‖。 網(wǎng)絡(luò)安全復(fù)習(xí)（簡(jiǎn)潔版） 時(shí)光可見 第 2 頁 202227 數(shù) 學(xué)分析攻擊：指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼。 2）安全性 。 結(jié)果處理 誤報(bào)：系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵 漏報(bào)：系統(tǒng)未能檢測(cè)出真正的入侵行為 入侵檢測(cè)分類： 按照分析方法 ：異常檢測(cè)、誤用檢測(cè) 按照數(shù)據(jù)來源：基于主機(jī)、基于網(wǎng)絡(luò) 異常檢測(cè)模型： 首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廊），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵 異常檢測(cè)： 前提：入侵是異?；顒?dòng)的子集 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍 過程 指標(biāo) :漏報(bào)率低 ,誤報(bào)率高 異常檢測(cè)的特點(diǎn)： 異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率 因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵 系統(tǒng)能針對(duì)用戶行為的改 變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源 誤用檢測(cè)模型：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān) 測(cè)的用 戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 誤用檢測(cè)： 前提：所有的入侵行為都有可被檢測(cè)到的特征 攻擊特征庫 : 當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 過程 指標(biāo) :誤報(bào)低、漏報(bào)高 誤用檢測(cè)特點(diǎn)： 采用特征匹配，濫用模式能明 顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。 這種攻擊叫做 ―TCP 劫持攻擊 ‖或 ―會(huì)話劫持攻擊 ‖ 域名欺騙攻擊 你是否遇到這樣的情況：本來想登錄網(wǎng)站甲，結(jié)果卻走進(jìn)了網(wǎng)站乙 。 計(jì)算機(jī)病毒的特征 非授權(quán)可執(zhí)行性 隱蔽性 傳染性 潛伏性 表現(xiàn)性或破壞性 可觸發(fā)性 惡意代碼的分類 計(jì)算機(jī)病毒：通過自我復(fù)制傳播，帶有不同程度的破壞性 后門：通過特殊手段植入或預(yù)留，用以繞開正常的訪問控制機(jī)制進(jìn)入系統(tǒng) 特洛伊木馬：通過特殊手段植入，用以進(jìn)行遠(yuǎn)程控制 邏輯炸彈：通過特殊手段植入，用以耗盡目標(biāo)系統(tǒng)資源 病毒的分類 —按傳染方式 引導(dǎo)型病毒 ： 小球病毒 、 大麻病毒 、 AntiCMOS 病毒 文件型病毒 ： 1575/1591 病毒 、 CIH 病毒 、 WM/Concept 病毒 網(wǎng)絡(luò)病毒 即時(shí)傳播類：紅色代碼、 Nimda 延時(shí)傳播類：愛蟲、 SirCam、求職信、歡樂時(shí)光等 病毒的分類 —按破壞性 良性病毒 ： 小球病毒 、 WM/Concept 病毒 惡性病毒 ： CIH 病毒 、 愛蟲病毒 1制作惡意代碼的目的： 自我表現(xiàn) 、 版權(quán)保護(hù) 、 發(fā)泄報(bào)復(fù) 、 特殊目的 1 惡意代碼的危害：消耗資源、干擾輸出、干擾輸入、破壞信息、泄漏信息、破壞系統(tǒng)、心理影響 網(wǎng)絡(luò)安全復(fù)習(xí)（簡(jiǎn)潔版） 時(shí)光可見 第 14 頁 202227 1即時(shí)網(wǎng)絡(luò)病毒的傳播原理 利用網(wǎng)絡(luò)漏洞向遠(yuǎn)程主機(jī)植入并運(yùn)行病毒代碼 運(yùn)行病毒代碼的同時(shí)向另外一臺(tái)遠(yuǎn)程主機(jī)植入并運(yùn)行病毒代碼 分三個(gè)階段 請(qǐng)求探測(cè) 代碼植入 發(fā)作（代碼運(yùn)行） 1延時(shí)網(wǎng)絡(luò)病毒的傳播機(jī)理 利用合 法途徑通過網(wǎng)絡(luò)將攜帶病毒的宿主對(duì)象（郵件或網(wǎng)頁）送至第三方平臺(tái)（如郵件服務(wù)器、網(wǎng)站） 在目標(biāo)系統(tǒng)使用者不知情的情況下將攜帶病毒代碼的宿主對(duì)象下載到本地 利用本地網(wǎng)絡(luò)軟件（郵件客戶端或?yàn)g覽器）的漏洞，激活宿主所攜帶的病毒運(yùn)行，運(yùn)行結(jié)果是攜帶病毒的新的宿主對(duì)象被發(fā)送到網(wǎng)上 分四個(gè)階段： 代碼加載 、 代碼發(fā)送 、 代碼接收 、 代碼激活 延時(shí)網(wǎng)絡(luò)病毒的特點(diǎn) 蔓延速度低于即時(shí)網(wǎng)絡(luò)病毒 影響面廣（差不多所有的客戶端） 隱蔽性好（有些病毒附件并不是可執(zhí)行的類型，但是隱含地具有執(zhí)行屬性） 防不 勝防（客戶端漏洞知多少） 1遠(yuǎn)程控制 目的： 植入特洛伊木馬，一般不是為了讓木馬自行其是，而是讓木馬作為目標(biāo)主機(jī)里的一個(gè)服務(wù)例程，隨時(shí)準(zhǔn)備接受遠(yuǎn)程指令 ， 通過這種辦法實(shí)現(xiàn)從遠(yuǎn)程對(duì)目標(biāo)主機(jī)的控制和操作 著名例子： BO（ Back Orifice ），冰河 1 在一個(gè)信息系統(tǒng)中，不為正當(dāng)用戶所知曉、但卻為少數(shù)未經(jīng)正當(dāng)用戶授權(quán)的非法特權(quán)人物所掌握的訪問途徑，被稱為