Dk(aj)=ai,i=(j-k)(modn)=(j+(n-k))(modn)
密钥字密码技术:
对于英文单词,密钥字最多可以有26!
≈4×1026个不同的替换表
2:
单字符多表
换位密码技术
1:
列换位法:
将明文字符分割成若干个(例如5个)两列的分组,并按一组后面跟着另一组的形式排好,最后,不全的组用不常值填满
2:
矩阵换位法:
明文中的字母按给定的顺序安排在一个矩阵中,然后用另一种顺序选出矩阵的字母来产生密文
数据加密标准
加密算法(EncryptionAlgorithm)—密码员对明文进行加密时采用的一组规则
解密算法(DecryptionAlgorithm)—接受者对密文进行解密时采用的一组规则
数据加密标准:
DES算法是对称的,既可用于加密,又可用于解密
国际数据加密标准:
将IPES(ImprovedProsedEncryptionStandard,改进型建议加密标准)改为IDEA,明文和密文的分组长度都是64位,密钥长128位
高级加密标准:
加密算法Rijndael,它符合AES的要求(密钥长度是可变的),有AES-128、AES-192、AES-256
密钥管理和分配
密钥分配是密钥管理中最大的问题之一,它必须通过最安全的通路进行分配。
包括网络外分配方式、网络内分配方式(密钥自动分配)
数字签名与数字证书
通信过程中双方的多种形式的欺骗或伪造:
1.发送方否认自己发送过来某一消息
2.接收方自己伪造一个消息,并声称来自发送方
3.网络上某个用户冒充另一个用户接收或发送消息
4.接收方对收到的信息进行篡改
签名应满足的要求:
可信的、不可伪造的、不可复制的、签名的消息是不可改变的、不可抵赖的
数字签名必须保证的三点:
1.接收者能够核实发送者对报文的签名
2.发送者事后不能抵赖对报文的签名
3.接收者不能伪造对报文的签名
数字证书的重要意义:
信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性
数字证书的原理:
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密
通过数字的手段保证加密的过程是一个不可逆的过程,即只有用私有密钥才能解密
采用数字签名,能够确认以下两点:
信息是由签名者自己签名发送的,签名者不能否认或难以否认
信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件
证书与证书授权中心:
承担公钥体系中公钥的合法性检验的责任
数字证书的应用:
传统的商业、制造业、流通业的网上交易,行政办公、教育科研单位、保险、医疗等系统
计算机网络加密技术
加密指通过加密机制,把各种原始的数字信号(明文)按某种特定的加密算法变换成与明文完全不同的数字信息(密文)的过程。
网络加密包括:
链路加密、节点加密、端对端加密
链路加密:
一旦在一条线路上采用链路加密,往往需要在全网内都采用链路加密
链路加密时,报文和报头都应加密
分类:
异步通信加密、同步通信加密(字节同步通信加密、位同步通信加密)
端对端加密:
在中间节点和有关安全模块内永远不会出现明文。
成本低、比链路加密安全、加密方式灵活。
3、公钥密码体制
在历史上,分发密钥往往是绝大多数密码系统中最薄弱的环节
公钥基础结构
公钥密码证书管理、黑名单发布和管理、密钥的备份和恢复、自动更新密钥、自动管理历史密钥、支持交叉认证
安全需求:
保密性—保证信息的私有性、完整性—保证信息没有被篡改、真实性—证明一个人或一个应用的身份
不可否认性—保证信息不能被否认
PKI是一种遵循标准的利用公钥理论和技术建立的可提供安全服务的基础设施
PKI的内容:
认证中心CA(它具有唯一性)、注册中心RA(整个网上电子交易安全的关键环节)、证书发布库、密钥备份及恢复、证书撤销、PKI应用接口
密钥备份和恢复:
只能针对加/解密密钥,对签名密钥则不能做备份
证书撤销两种方式:
利用周期性的发布机制(如证书撤销列表)、在线查询机制(如在线证书状态协议)
PKI的应用及展望:
虚拟专用网络、安全电子邮件、Web安全、应用编程接口
4、网络攻击原理
黑客攻击网络已成为网络不安全的主要原因
口令破解技术原理
口令破解的方法:
扫描工具找出用户账号,然后穷举生成大量密码,通过程序提交数据申请进入系统,失败就寻找系统薄弱环节找到口令存储文件,使用密码破解器破解。
口令破解器:
口令破解器是一个程序,它能将口令解释出来或者让口令保护失效。
口令破解器一般并不是真正地去解码,而是尝试通过已知算法来尝试。
软件破解可分为:
修改安装程序、算法尝试。
候选口令产生:
从一个字典里读取一个单词、用枚举法来产生这样的单词,为了便于协同破解密码,常常需要为密码产生器指定产生密码的范围
危险的口令:
用户名作为口令、用户名的变换形式作为口令、自己或者亲友的生日作为口令、常用的英文单词作为口令、5位或5位以下的字符作为口令
网络嗅探技术原理
普遍的安全威胁来自于内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁
至少支持的协议:
标准以太网、TCP/IP、IPXDECnet、FDDIToken、微波和无线网
嗅探器分软、硬两种:
软件的便宜且易于使用,缺点是往往无法抓取网络上所有的传输数据,硬件的称为协议分析仪,它的优点恰恰是软件的欠缺的,但是其价格昂贵,目前主要使用软件嗅探器。
危害:
能够捕获口令、能够捕获专用的或者机密的信息、可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限、分析网络结构,进行网络渗透
安全防范:
检测嗅探器、隐藏数据
检测嗅探器通常有两条经验:
网络通信丢包率非常高、网络带宽出现反常
隐藏数据(被动的防御措施):
安全的拓扑结构、会话加密、采用静态的ARP或者IP-MAC对应表
网络端口扫描技术原理
原理:
端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应,来判断端口是否打开。
常用扫描方式:
经典的扫描器(全连接)、SYN(半连接)扫描器、间接扫描、秘密扫描
认证扫描和代理扫描:
认证扫描是利用认证协议、代理扫描利用其它软件的协议的弱点(FTP协议)
其它扫描:
1:
Ping扫描:
真实扫描,TCPPing(发送特殊TCP包到打开且未过滤的端口,如80)
2:
安全扫描器:
检测主机是否允许匿名登录、某种网络服务是否需要认证、是否存在已知安全漏洞
3:
栈指纹扫描:
根据安全漏洞与缺陷都与操作系统的关系来判断
4:
常用端口扫描命令:
Ping、Tracert
缓冲区溢出技术原理
程序试图将数据放到计算机内存中的某一位置但没有足够的空间时,就会发生缓冲区溢出。
单单缓冲区溢出并不会产生安全问题,只有将溢出数据送到能够以root权限运行命令的区域才会产生安全问题
拒绝服务攻击技术原理
其目的是使计算机或网络无法提供正常的服务
常见方式:
计算机带宽攻击(极大的通信量冲击网络,导致合法的用户无法访问)、连通性攻击(耗尽系统资源)
拒绝服务的类型:
试图破坏资源,使目标无人可以使用这个资源
过载一些系统服务或者消耗一些资源,但这种拒绝服务有时是攻击者攻击造成的,有时是系统错误造成的
这两种情况大半是因用户操作错误或程序错误造成的,并非针对性的攻击
针对网络,拒绝服务攻击的种类:
信息数据包流量式、SYN-Flooding攻击、“Paste”式攻击、服务过载式
分布式拒绝服务(DistributedDenialofService,DDoS):
原理:
指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台。
现象:
1:
大量等待的TCP连接、2:
网络中大量无用的,假源地址的数据包、3:
造成网络拥塞,主机无法正常和外界通信、4:
利用主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,无法及时处理所有正常请求、5:
严重时甚至会造成系统死机
防范:
1:
采用最新系统,打上安全补丁、2:
对所有主机进行检查、3:
删除未使用的服务、4:
限制对主机的访问权限等等。
没有哪个网络可以免受DDoS攻击,但如果采取一定措施,则可起到一定的预防作用。
5、入侵检测技术
概述
入侵检测(IntrusionDetection):
对入侵行为的发觉,它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IntrusionDetectionSystem,IDS):
进行入侵检测的软件与硬件的组合,它几乎适用于所有的系统
入侵检测系统主要有两类:
基于主机(保护主机的资源不被破坏)、基于网络(保护整个网络不被破坏)
入侵检测系统的组成:
采集模块、分析模块、管理模块、数据预处理模块、通信模块、响应模块、数据存储模块
入侵检测系统的存在的原因:
1.要将已安装的带安全缺陷的系统转换成安全系统是不现实的,即使真正付诸于实践,也需要相当长的时间
2.加密技术方法本身存在一定问题
3.访问控制和保护模型本身也存在一定的问题
4.静态安全控制措施不足以保护安全对象的属性,因此动态的安全措施对检测或尽可能地阻止入侵是必要的
5.安全系统易受内部用户滥用特权的攻击
6.在实践中,建设完全安全系统根本是不可能的,现在的操作系统和应用程序中不可能没有缺陷
>>>仅仅使用防火墙保障网络安全是远远不够的
入侵检测的目的:
识别入侵者、识别入侵行为、检测和监视已成功的安全突破、对于入侵及时提供重要信息,阻止事件的发生和事态的扩大
历史:
1986年Discovery最早基于主机的IDS雏形之一,1987年提出实时入侵检测系统抽象模型—IDES(IntrusionDetectionExpertSystem,入侵检测专家系统)
入侵检测系统分类:
1:
依据原始数据的来源:
1:
基于主机的:
能确定攻击的目的所在、监控粒度更细、配置灵活、可用于加密的和交换的环境、对网络流量不敏感、不需要额外的硬件。
缺点:
占用主机资源、可移植性差
2:
基于网络的:
监测速度快、隐蔽性好、视野更宽、较少的监测器、攻击者不易转义证据、操作系统无关、可配置在专有机器上。
缺点:
精确度不高、交换环境下配置难、防入侵欺骗能力差、难以定位入侵者
3:
基于应用的:
基于主机的进一步细化,与基于主机的基本相同。
2:
根据检测原理(分析方式)分类:
1:
误用检测—对不正常的行为建模,将符合特征库中描述的行为视为攻击,能直接检测不利的行为
2:
异常检测—对系统正常的行为建模,将特征库中没有描述的行为破坏疑为攻击
3:
依据结构体系:
集中式、等级式(部分分布式)、协作式(全部分布式)
4:
其他:
系统设计目标、事件生成/收集的方式、检测时间(同步技术)、入侵检测响应方式、数据处理地点
响应方式分为:
主动响应(对被攻击系统实施控制的系统—主要控制、对攻击系统实施控制的系统—控制比较困难)和被动响应(只会发出告警通知,将情况报告给管理员)
入侵检测系统功能:
1:
监控、分析用户和系统活动、2:
发现入侵企图或异常现象、3:
记录、报警和响应
入侵检测系统的构成:
事件产生器、事件分析器、事件数据库、响应单元。
分工:
硬件:
主要完成数据的采集和响应的实施、软件:
主要完成数据的处理、入侵的判断和响应的决策等功能
入侵检测系统的设计
公共入侵检测框架(CommonIntrusionDetectionFramework,CIDF)模型:
数据收集部分代替:
事件产生器、事件分析器,控制台部分代替:
响应单元
事件产生器、事件分析器、响应单元通常是应用程序的形式,而事件数据库往往是文件或数据流的形式
上将入侵检测系统划分为四个基本部分:
数据采集分析中心:
数据采集子系统—探测器、数据分析子系统
控制管理中心:
控制台子系统、数据库管理子系统
构建一个基本的入侵检测系统步骤:
获取libpcap和tcpdump、构建并配置探测器,实现数据采集功能、建立数据分析模块、构建控制台子系统、构建数据库管理子系统、联调(实现分析中心和控制中心的双向通信)
入侵检测系统的弱点与局限
NIDS通过从网络上得到数据包进行分析,从而可检测和识别出系统的未授权或异常现象
网络局限:
交换网络环境、网络拓扑局限
检测方法局限:
系统实现局限、异常检测的局限、特征检测的局限、协议局限、入侵变体、TCP/IP协议局限
资源及处理能力局限:
针对NIDS的DoS攻击、内存及硬盘限制
协议局限:
只处理了常用协议
入侵变体:
HTTP攻击变体、Telnet攻击变体
TCP/IP协议:
IP分片、IP重叠分片、TCP分段、TCPun-sync、OOB、T/TCP
HIDS的弱点与局限
资源局限:
HIDS安装在被保护主机,限制了检测方法和性能
操作系统局限:
系统攻破导致被清除的风险,考虑增加操作系统自身安全
系统日志限制:
有些行为不会被记录
被修改过的系统核心能够骗过文件检查:
如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具
网络检测局限:
可以检测网络,但问题多
入侵检测系统的评价及其发展方向
评价标准:
检测效率高、资源占用小、开放性、完备性、安全性
对IDS的测评与评估:
1:
基本测试步骤:
1创建、选择一些测试工具或测试脚本、2:
确定计算环境所要求的条件、3:
配置运行入侵检测系统、4:
运行测试工具或测试脚本、5分析入侵检测系统的检测结果
2:
性能指标:
检测率、误报率及检测可信度、入侵检测系统本身的抗攻击能力、其他性能指标(延迟时间、资源的占用情况、负荷能力、日志、报警、报告以及响应能力、系统的可用性)
可信度是测试和评估入侵检测系统最重要的指标,检测率和误报率成正比,同高、通低
响应能力—指在检测到入侵后进一步处理的能力,包括:
阻断入侵、跟踪入侵者记录入侵证据
发展方向反应在:
复杂化与综合化、间接化(隐蔽化)、规模扩大、技术的分布化、攻击对象的转移
主要发展方向:
改进检测方法,提高检测准确率,减少漏报和误报、检测和防范分布式攻击和拒绝服务攻击、实现入侵检测系统与其他安全部件的互动、入侵检测系统的标准化工作、入侵检测系统的测试与评估