信息安全复习

文章目录

第一章复习

1.1 计算机安全定义

保证信息系统资产的机密性、完整性和可用性的措施和控制方法，其中资产包括硬件、软件、固件以及要处理、存储和通信的信息

1.2 三个关键目标

机密性：保持对信息访问和披露的限制，包括对个人隐私和专有信息保护的措施
完整性：防范不正当的信息修改和破坏，包括保证
信息的抗抵赖性和真实性。
可用性：确保及时可靠地访问和使用信息。

1.3 三个级别

低级：安全确实会给机构运作，机构资产或个人带来有限的负面影响
中级：安全缺失会给机构运转、机构或个人带来严重的负面影响。
高级：安全缺失会给机构运转、机构资产或个人带来非常严重的或者灾难性的负面影响。

1.4 面临挑战

计算机安全问题并不像初学者想象的那样简单
在开发某种安全机制算法时，我们必须始终考虑这些安全特征的潜在攻击
用于提供特定服务的程序是与直觉相反的

1.5 计算机系统资源

硬件
软件
数据
通信设施和网络

1.6 脆弱性、威胁、攻击

脆弱性类别
- 损坏(失去完整性)
- 泄露(失去机密性)
- 不可用或非常慢(失去可用性)
威胁
- 利用脆弱性产生
- 对资产的潜在安全侵害
攻击
- 被动攻击：试图从系统中学习或利用信息，但不影响系统资源
- 主动攻击：试图改变系统资源或影响其运行
- 内部攻击：由安全边界内部的实体发起的攻击
- 外部攻击：由外部发起的

1.7 对策

对付安全攻击采取手段
- 阻止
- 检测
- 恢复
通过制定其他约束来寻求最小化风险

1.8 主动攻击和被动攻击

被动攻击
- 企图了解或利用系统信息但不影响系统资源
- 本质是窃听或监视数据传输
- 攻击者目的是获取传输的数据信息
- 两种类型
  - 消息内容泄露
  - 流量分析
主动攻击
- 试图改变系统的资源或影响其运行
- 包含对数据流进行篡改或伪造数据流
- 四种类型
  - 重放
  - 冒充
  - 篡改消息
  - 拒绝服务

1.9 基本安全设计原则

1.10 攻击面

定义：由系统中可到达的和可被利用的脆弱点构成
类型
- 网络攻击面：企业网、广域网或者局域网的漏洞
- 软件攻击面：应用程序、实用程序或操作系统代码中的漏洞
- 认为攻击面：员工或者外部人员，诸如社会工程学、认为错误和受信任的内部人员引起的

1.11 攻击树

定义：一个分支型、层次化的数据结构，表示一系列潜在技术，这些技术可利用安全漏洞[MAUW05,MOOR01,SCHN99]进行攻击。

1.12 计算机安全策略

安全策略
- 安全策略通常是规定或控制系统及组织如何提供安全服务来保护敏感和关键的系统资源的规则与实践形式化陈述。
安全实施
- 设计4个互补的行动方针^P17
  - 预防
  - 检查
  - 响应
  - 恢复
保证
- 保证包括系统设计和系统实施，是信息系统的一个属性，它提供一个使系统可靠的依据，从而可以强制执行系统的安全策略。
评估
- 依据某标准检查计算机产品或系统的过程
- 评估包括测试，可能还包括形式化分析或数学技术

1.13 标准

美国国家标准与技术研究所
Internet协会
ITU电信标准化部门
国际标准化组织

1.14 专用术语

敌手（威胁代理）（Adversary (threat agent))
进行或有意进行有害活动的个人、团体、组织或政府。
攻击（Attack）
任何类型的恶意活动，试图收集、破坏、拒绝、降级，或者破坏信息系统资源或
信息本身。
对策（Countermeasure）
一种（或多种）设备或技术，其目的是削弱不良或有害活动的操作有效性，或防
止间谍、破坏、盗窃，或者未经授权访问或使用敏感信息（或信息系统）。
风险（Risk）
衡量一个实体受潜在环境或事件威胁的程度，通常是：1）环境或事件发生时可
能产生的不利影响的函数；2）发生的可能性。
安全策略（Security Policy）
提供安全服务的一套标准。它定义和约束数据处理设施活动，以维持系统和数据
的安全状况。
系统资源（资产）（System Resource (Asset)）
主要应用程序、通用支持系统、高影响程序、物理工厂、关键任务系统、人员、
设备或逻辑相关的系统组。
威胁（Threat）
任何可能通过未经授权的访问、销毁、披露、修改信息以及拒绝服务而（借助信
息系统）对组织运营（包括任务、职能、形象或声誉）、组织资产、个人、其他
组织或国家产生不利影响的情况或事件。
脆弱性（Vulnerability）
可能被威胁源利用或触发的信息系统、系统安全程序、内部控制或实现中的弱点。

第二章复习

2.1 对称加密

定义：传输和存储数据提供机密性所广泛使用的技术，也被称为传统加密或单密钥加密
基本成分
- 明文：作为算法的输入，是原始的消息和数据
- 加密算法：加密算法对明文进行各种代换和变换
- 秘密密钥：秘密密钥也是加密算法的一种输入。加密算法的各种代换和变换依赖于密钥
- 密文：作为算法的输出，看起来是完全随机而杂乱的数据，其依赖于明文和秘密密钥。对于给定的明文，两个不同的密钥将产生两个不同的密文
- 解密算法：解密算法本质是加密算法的逆运算，输入密文和秘密密钥可以恢复明文
安全使用对称加密条件
- 加密算法足够强
- 发送者和接收者必须在某种安全形式下获得秘密密钥的副本，并且必须保证密钥的安全
攻击对称加密方案的方法
- 秘密分析
  - 依赖于
    - 算法的性质
    - 可能得到明文的一般特征
    - 某些明文-密文对的样本
  - 利用算法特征来推到特定的明文或使用的密钥
- 蛮力攻击
  - 对一密文尝试所有可能的密钥，直至把他转化为可读的有意义的明文
    - 平均而言，获得成功的尝试至少是所有可能密钥的一半
    - 补充；还需要相关明文某种程度的知识，从杂乱明文中自动识别正确明文
对称加密分组算法
- 比较
  
  算法 DES Triple DES AES
  明文分组长度 64 64 128
  密文分组长度 64 64 128
  密钥长度 56 112或168 128，192或256
DES
- 使用最广泛的加密体制
- 关注DES强度的两个方面
  - 关注算法本身
  - 关注56为密钥的使用
三重DES
- 定义：重复基本的DES算法三次，采用两个或三个不同的密钥
- 优点
  - 1688为的密钥可能克服DES所面临的蛮力攻击问题
  - 底层算法与DES相同
- 缺点
  - 软件实现算法速度慢
  - 分组长度均为64位
AES
- 作为3DES的替代
- 特点
  - 安全强度不低于3DES
  - 显著提高计算效率
  - 对称分组密码
  - 128位数据和128/192/256位密钥
分组密码与流密码
- 分组密码
  - 一次处理输入的一个元素分组
  - 每个输入分组产生一个输出分组
  - 能够重复使用密钥
  - 更普遍
- 流密码
  - 持续的处理输入元素
  - 每次产生一个元素的输出
  - 往往速度更快而且编写的代码更少
  - 每次加密一个字节的明文
  - 一个伪随机流就是不知道输入密钥的情况下不可预知的流

算法	DES	Triple DES	AES
明文分组长度	64	64	128
密文分组长度	64	64	128
密钥长度	56	112或168	128，192或256

2.2 消息认证

定义：当消息、文件、文档或其他数据集合是真实的且来自合法信源，则被称为是可信的。消息认证或数据认证是一种允许通信者验证所接受的、存储的数据是否可信的措施。主要包括验证消息内容是否被篡改和信源是否可信。
使用对称加密实现消息认证存在隐患，分组重组成了一个潜在的威胁
无须加密的消息认证
- 消息加密本身没有提供一个安全的认证形式
- 通过加密算法加上认证标签可以将认证和机密性组合在一个算法中
- 通常情况下，消息认证可以作为一个独立的功能从消息加密分离出来了
- 三种采用无机密性的消息认证更为恰当的情形
  - 有许多应用是将同一消息广播到许多目的地
  - 通信某一方处理负荷较大，不能承担解密收到的所有消息的时间开销。认证机制采用机制随机地选择消息验证
  - 对明文形式的计算机程序进行认证是一种很吸引人的服务
- 因此，在满足安全要求方面，认证和加密都有其适用的、满足安全要求的场合
消息认证码：利用秘密密钥来生成一个固定长度的短数据块，即
$Mac_M=F(K_{AB},M)$
消息散列函数
- 使用对称加密
- 使用公钥加密
- 使用密码值（密钥散列MAC）
单向散列函数
- 可应用于任意大小的数据块
- 产生固定长度的输出
- 对任意给定的X，计算H(X)比较容易
- 单向或抗原象：找到满足H(X)=h的x计算上是不可行的
- 第二抗原或弱对抗碰撞：找到满足且 $y\neq x 且H(y) = H(x)$ 是不可行的
散列函数的攻击有两类
- 密码分析：利用该算法中逻辑上弱点
- 蛮力攻击：散列函数抗蛮力攻击的能力仅仅依赖于算法所产生的散列码长度
散列函数的其他应用
- 口令：操作系统中存储口令的散列值
- 入侵检测：系统中位每个文件存储H(F)并保护好该散列值

2.3 公钥加密

定义
- 1976年提出公钥加密思想
- 公钥算法基于数学函数
- 非对称的加密
  - 使用两个单独的密钥
  - 公钥和私钥
  - 公钥公开给别人使用
- 分发需要某种形式
公钥加密操作模式
- 公钥加密：提供加密性
  - 用户使用公钥加密数据
  - 知道相应私钥人才可以解密该消息
- 私钥加密：提供认证和数据完整性
  - 用户使用自己的私钥加密数据
  - 知道相应公钥的任何人都可以解密该消息
公钥密码体制的6个组成部分
- 明文：算法的输入
- 加密算法：对明文进行各种变换
- 公钥和私钥：选出的一对密钥，起一个用于加密，另一个用于解密加密算法
- 密文：算法的输出
- 解密密钥：产生原始明文
公钥密码体制的应用
- 数字签名
- 对称密钥分发
- 秘密密钥加密
对公钥密码的要求
1. B产生一堆密钥在计算上是容易的
2. 已知公钥和要加密的消息M，发送方A产生相应的密文在计算上是容易实现的
  ${1} C=E(PU_b,M)$
3. B用私钥解密恢复明文，容易计算
  $M=D(PR_b,C)=D[PR_b,E(PU_b,M)]$
4. 已知公钥攻击者确认私钥在计算上不可行
5. 已知公钥和密文，攻击者恢复明文在计算上不可行
6. 加密和解密函数的顺序可以交换
  $M=D[PU_b,E(PR_b,M)]=D[PR_b,E(PU_b,M)]$
非对称加密
- RSA: 分组密码，其明文和密文均是0~n-1之间的整数
- Diffie-Hellman：目的是安全交换密钥
- DSS：只提供数字签名，不能用于加密和密钥分发
- ECC：使用比RSA短得多的密钥得到相同安全性

2.4 数字签名和密钥管理

定义：数据加密转换的结果能够提供一个机制来保证原始认证、数据完整性以及签名的不可抵赖性
三种数字签名算法
- 数字签名算法DSA：基于计算离散对数的复杂性
- RSA数字签名：基于RSA公钥加密算法
- 椭圆曲线数字签名算法：基于椭圆曲线密码
数字签名通用模型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nX5HaEIR-1609937171277)(C:\Users\Li Shangli\AppData\Roaming\Typora\typora-user-images\image-20210102192305132.png)]
公钥证书

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gwieS6zc-1609937171279)(C:\Users\Li Shangli\AppData\Roaming\Typora\typora-user-images\image-20210102192807957.png)]
数字信封

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xEMGufT4-1609937171280)(C:\Users\Li Shangli\AppData\Roaming\Typora\typora-user-images\image-20210102192752174.png)]

2.5 随机数

应用
- 公钥算法的密钥生成
- 兑对称流密码的流密钥生成
- 用作临时会话密钥或者生成数字信封的对称密钥生成
- 握手信号以防止重放攻击
- 会话密钥生成
要求
- 随机性
  - 均匀分布
  - 独立性
- 不可预测性
  - 各个数统计独立性
  - 不能从前面随机数推导导后面随机数
随机与伪随机
- 密码应用使用算法生成随机数
- 伪随机数
  - 产生序列可经受随机性检验
  - 可能是可预测的
- 真随机数发生器
  - 利用不确定源来生产
  - 大部分是不可预测的自然过程
  - 在现代处理器提供

2.6 存储数据的加密

对存储数据进行保护的安全机制包括访问控制、入侵检测和入侵保护
静态数据
- 除域认证和操作系统访问控制外，无其他保护
- 数据无限期存档
- 即使删除，数据仍可恢复
加密存储数据方法
- 使用商用加密软件
- 后端器件
- 基于库的磁带加密
- 便携式电脑和PC后台数据加密

第三章复习

3.1 数字用户认证方法

数字用户认证定义:信息系统对用户电子式地提交的身份建立信任的过程

3.1.1 数字用户认证模型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EVeEizlv-1609937171282)(C:\Users\Li Shangli\AppData\Roaming\Typora\typora-user-images\image-20210103173626316.png)]

3.1.2 认证方法

用于用户身份认证方法有四种
1. 个人知道的信息
2. 个人持有的物品
3. 个人的生理特征
4. 个人行为特征
多因素认证：使用以上一个以上的认证方法

3.1.3 用户认证的风险评估

置信等级
1. 定义
  1. 对创建个体身份的审查过程的信任程度
  2. 对整数使用者的信任程度
2. 四个信任等级
  1. 等级1：几乎或完全不信任
  2. 等级2：部分信任
  3. 等级3：高度信任
  4. 等级4：极其高度信任
潜在影响
1. 低：认证错误对组织运作、组织资产及个人造成的预期不良影响有限
2. 中：认证错误造成的预期不良影响比较严重
3. 高：认证错误造成的预期不良影响非常严重，甚至是灾难性的
风险范围
1. 潜在影响和置信等级存在映射

3.2 基于口令的认证

对于抵御入侵者，口令系统是应用最广泛的防范手段
1. 用户提供用户名/标识符ID和口令
2. 系统将口令与该指定ID的口令进行比较
用户ID通过以下方法保护安全性
1. 决定用户是否被授权访问系统
2. 决定用户拥有的访问权限
3. 应用在自主访问控制机制中

3.2.1 口令的脆弱性

口令攻击策略及其应对对策
1. 离线字典攻击
2. 特定账户攻击
3. 常用口令攻击
4. 单用户口令猜测
5. 工作站劫持
6. 利用用户疏漏
7. 口令重复利用
8. 电子监控

3.2.2 散列口令的使用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZKzk4jzu-1609937171284)(C:\Users\Li Shangli\AppData\Roaming\Typora\typora-user-images\image-20210103181356694.png)]

3.2.3 破解用户选择口令

传统方法
1. 字典攻击
2. 彩虹表攻击
3. 攻击者发现某一些用户设置简单易猜测的口令
4. 口令破解器
现代方法
1. 用于口令破解技术的处理性能有了显著的提高
2. 更多被用于生成潜在口令的成熟算法
3. 研究实际使用口令的样本和结构

3.2.4 口令文件访问控制

拒绝访问口令文件：阻止离线猜测攻击
防止非授权用户访问
影子口令文件
不足
1. 大多数UNIX系统都有被入侵的可能
2. 偶然事件导致口令文件可读
3. 在其他系统上具有相同的口令账户
4. 物理安全性缺乏
5. 监听网络通信包手机ID和口令

3.2.5 口令选择策略

用户教育
计算机生成口令
后验口令检查
先验口令检查
1. 需要平衡哦那个胡接受程度和口令的设置强度
2. 可行方法
  1. 规则实施：构造一个实施规则的简单系统，密码必须遵守特定规则
  2. 口令检查器：构造一个有不能作为口令选择的字符串组成的不可行口令字典，缺点是控件和时间消耗大
  3. Bloom
    1. 基于多个散列函数和口令字典构建散列表，根据此表检查口令
    2. 节约了存储空间，提高了搜索速度

3.3 基于令牌的认证

令牌是用户持有的进行用户认证的一种物品

3.3.1 存储卡

存储卡只能存取数据而不能处理数据
最常见的磁条卡
内部含有电子存储器
可以单独用于物理访问
通常需要用户输入某种形式的口令或者个人标识码
缺陷
1. 需要特殊的读卡器
2. 令牌丢失
3. 用户不满意

3.3.2 智能卡

智能令牌分类
1. 物理特征
  1. 包括一个嵌入式的微处理器，外表类似银行卡
  2. 其他一些智能令牌外表有的类似于计算器、钥匙、便携式物品等
2. 用户接口
  1. 人机接口包括一个键盘区和显示设备，以完成人机交互
3. 电子接口
  1. 智能卡或其他令牌通常需要配一个电子接口，用汉语读取或写入装置通信
  2. 接触式、非接触式
4. 认证协议
  1. 静态协议
  2. 动态口令生成器
  3. 挑战——应答协议
最重要的智能令牌重耳里就是智能卡
1. 外形和信用卡一样，有电子接口、可以使用刚才所描述的任何类型的协议
2. 包含完整的微处理器，由处理器、内存、输入/输出端口组成
一个典型智能卡包含三种存储器
1. 只读存储器
2. 电子可擦写可编程存储器
3. 随机存取存储器

3.3.3 电子身份证

3.4 生物特征认证

通过个人唯一拥有的身体特征来实现认证
基于模式识别技术
常用的身体特征
1. 面部特征
2. 指纹
3. 手型
4. 视网膜模式
5. 虹膜
6. 签名
7. 语音

3.5 远程用户认证

通过Internet、网络、通信线路进行用户认证增加了安全威胁
1. 口令窃听
2. 对观察到的用户认证过程进行重放
为了应对对远程用户认证协议的攻击，系统逐渐依赖于某一种形式的挑战——应答协议

3.5.1口令协议

3.5.2 令牌协议

3.5.3 静态生物协议认证协议

3.5.4 动态生物特征认定协议

3.6 用户认证中的安全问题

客户端攻击是在不访问远程主机或不干扰通信信道的情况下，敌手试图伪装一个合法用户来完成用户认证的攻击行为。
主机攻击是直接对存储在主机上的用户文件进行攻击，主机存储着用户口令，令牌验证码或者生物特征模板。
窃听是指敌手试图通过观察用户，找到口令的手写副本或者类似的用户于敌手近距离接触的机会而得知口令
重放是对敌手以前截获的用户响应消息进行重放的一种攻击。
拒绝服务攻击拒绝是试图通过大规模的认证请求使认证服务失效

第四章复习

定义：访问控制为授予或拒绝一些特定的要求的过程1.获得并使用信息及相关信息处理服务；2.进入特定物理设施

4.1 访问控制原理

4.1.1 访问控制语境

认证：验证身份有效性，决定用户是否被允许访问整个系统
授权：授予权限和许可，决定是否允许用户具体访问请求
审计：对系统记录和活动独立评审和检查，监视并保存用户访问系统资源的记录

4.1.2 访问控制策略

自主访问控制
- 基于请求者的身份和访问规则授权控制访问，规定请求者可以或不可以做什么
强制访问控制
- 通过比较具有安全许可的安全标记
基于角色的访问控制
- 基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权
基于属性的访问控制
- 基于用户、被访问资源及当前环境条件来控制访问

4.2 主体、客体和访问权

访问控制基本元素
1. 主体：能够访问客体的实体，三类主体为所有者、组、世界
2. 客体：是对外界对其访问控制的资源，用来包含或接受信息的实体
3. 访问权：描述了主体可以访问客体的方式，包括：读、写、执行、删除、创建、搜索

4.3 自主访问控制

定义：一个实体可以被授权俺其自己的意志使另一个实体能够访问某一些资源
通常以访问矩阵的方式提供DAC
由于访问矩阵通常是稀疏的，采用数据结构中单向链表存储或者授权表

4.3.1 访问控制模型

通常DAC通用模型满足访问控制的三种需求：表示保护状态、执行访问权、允许主体以某些方式更改保护状态
步骤：
1. 主体发出请求
2. 生成消息
3. 询问访问矩阵A
客体全域扩展：进程、设备、存储单元或区域、主体

4.3.2 保护域

保护域：一组客体及对这些客体的访问权
将能力与保护域关联时具有更大的灵活性
根据访问矩阵的规定，一行定义一个保护域

4.4 基于角色的访问控制

基于角色而非用户身份
静态或动态分配角色
基本模型实体：用户、角色、许可、会话
相比DAC，用户与角色、角色与许可之间多对多关系提供来分配的灵活性与多粒度性
角色层次提供了一种反映角色层次结构的方式，利用继承概念使得一个角色能够隐式地包含与其下级角色关联的访问权
$RBAC_2$ 约束：提供了一种令RBAC适应组织中，管理和安全策略细节的手段。约束是角色之间定义的关系或角色相关的条件。

4.5 基于属性的访问控制

组成要素
1. 属性：为配置中的实体而定义
2. 策略模型：定义ABAC策略
3. 架构模型：应用于实施访问控制的策略

4.5.1 属性

三种类型
1. 主体属性：主体是一个主动的实体，能引起客体间的信息流动或者系统状态的改变，每个主体都有能够定义其身份和特征的关联属性
2. 客体属性：客体被称为资源，是一个被动的包含或接受信息的与信息系统相关的实体，客体具有可以用来制定访问控制决策的属性
3. 环境属性：秒速信息访问发生时所处的运行的技术的甚至态势的环境或情景

4.5.2 ABAC逻辑架构

主体对客体的一次访问将遵循下列步骤进行
1. 主体向客体提出访问请求。该请求被路由到一个访问控制装置
2. 该访问控制装置通过一组由预先配置的访问控制策略所定义的规则进行控制。
3. 若访问获得授权，则访问控制机制授权主体访问客体，若访问未被授权，则拒绝访问。

4.5.3 ABAC策略

策略时一组用来管理组织内部的允许行为的规则和关系，其基础是主体所具有的特权，以及在哪种环境条件下资源或客体需要被保护。

4.6 身份、凭证和访问管理

逻辑组件：身份管理、凭证管理、访问管理和身份联合

4.6.1 身份管理

身份管理关注的是将属性分配到数字身份上去，并且将熟悉身份于个体连接起来
目标是建立一个独立于特定应用或情境的可信数字身份
生命周期管理
1. 保护个人身份信息的机制、策略和规程
2. 控制对身份数据的访问
3. 用于将权威身份数据分享给相关应用技术
4. 撤销企业身份

4.6.2 凭证管理

凭证管理是对凭证生命周期的管理
包括下列5个逻辑组件P94

4.6.3 访问管理

访问管理组件对实体被授权访问资源的方法进行管理和控制。
三个支持要素
1. 资源管理：该要素主要为需要访问控制的资源制定规则
2. 特权管理：该要去主要建立和维护组成个体访问轮廓的资格或者特权
3. 策略管理：该要素在访问交易中控制什么是允许的

4.6.4 身份联合

身份联合用来描述允许一个组织信任由另一个组织创建和
发布的数字身份、身份属性与凭证的技术、标准、策略和
过程。

第六章复习

恶意软件定义为：一种被植入系统中，以损坏受害者数据、应用程序或操作系统的机密性、完整性或可用性，抑或对用户实施骚扰或妨碍的程序

6.1 恶意软件的类型

6.1.1 恶意软件的粗略分类

基于其向目标传播和感染的方式进行分类
在到达目标后，基于其工作方式或有效载荷进行分类
依据恶意软件是否依附于宿主程序

按照传播方式分类，传播机制包括
1. 对现有可执行程序的感染或由病毒翻译并随后传播至其他系统的内容。
2. 利用软件漏洞来允许恶意软件自我复制
3. 借助社会工程学方法说服用户绕过安全机制安装木马或响应网络钓鱼
按照到达目标系统后有效载荷的行为分类，有效载荷行为
1. 污染系统或数据文件
2. 窃听服务使系统称为僵尸网络的一个僵尸代理
3. 窃取系统信息，特别是登录口令和通过键盘记录器或间谍软件获取的隐私信息
4. 隐蔽恶意软件的存在以防止其被系统检查和锁定
混合攻击
1. 混合型恶意软件存在多种传播机制和有效载荷
2. 使用了多种感染手段，最大化其危害蔓延的速度和攻击的严重程度
3. 甚至存在更新机制

6.1.2 恶意软件包

6.1.3 攻击源

6.2 高级持续性威胁APT

高级持续性威胁并不是一个新型恶意软件，而是具有一个充足资源、应用大量入侵技术和恶意软件的持续性第应用程序
APT具有以下特征
1. 高级：攻击者使用多种入侵技术和1恶意软件，如果需要还会定制恶意软件。
2. 持续性
  - 攻击者在很长时间内确定针对攻击目标的攻击应用可以最大化攻击成功的概率
  - 攻击手段的种类使逐渐递增的，通常是非常隐秘的，直到目标被攻陷
3. 威胁
  - 针对选定目标的威胁来自有组织、有能力和由良好经济支持的攻击者，他们视图攻陷这些目标
  - 在攻击过程钟，攻击者的积极参与极大提升了自动攻击工具的威胁等级，增加了成功攻击的可能性

6.3 病毒

6.3.1 病毒的性质

病毒是一种通过修改正常程序而进行感染的软件
- 这种修改包括向正常程序注入病毒代码来使病毒程序得到复制
- 通过·自身携带的病毒代码进行完全自我复制感染新程序
- 在网络环境可以轻松传播
病毒可以实现正常程序所能实现的任何功能
多数病毒基于特定操作系统以特定执行方式或特定硬件平台，宏病毒针对文档类文件支持多种系统运行

6.3.2 病毒的组成

感染机制
- 病毒传播和进行自我复制的方法
- 感染机制称为感染向量
触发条件
- 激活或交付病毒有效载荷事件或条件
- 可能包括破坏活动，也可能无破坏但值得注意的良性活动
有效载荷
- 可能包括破坏活动，也可能无破坏但值得注意的良性活动
- 指病毒除传播之外的活动

6.3.3 病毒阶段

潜伏阶段
传播阶段
触发阶段
执行阶段

6.3.4 宏病毒和脚本病毒

宏病毒定义
- 一种病毒，其附加到文档并使用文档应用程序的宏编程功能来执行和传播
宏病毒威胁性
- 有独立平台
- 感染的是文档而不是可执行部分代码
- 传播容易
- 感染用户文档而不是系统程序
- 相比较传统的可执行病毒，宏病毒的制造或修改更为简单
常见易感染文档
- 微软Office产品
- Adobe的PDF文档
宏病毒结构
- 语法类似
- 程序解释

6.3.5 病毒分类

按目标分类
- 感染引导扇区病毒
- 感染可执行文件病毒
- 宏病毒
- 多元复合类型病毒
按隐藏方式分类
- 加密型病毒
- 隐藏型病毒
- 多态病毒
- 变形病毒

6.4 蠕虫

蠕虫：是一种主动寻找并感染其他机器的程序，而每台被感染机器又转而成为自动攻击其他机器的跳板
传播：蠕虫利用存在于客户端或服务端的漏洞来获取每个系统的权限。利用网络连接在系统间传播，也能通过共享媒介
方法
- 电子邮件或即时通信工具
- 文件共享
- 远程执行能力
- 远程文件访问或传输能力
- 远程登录能力

6.4.1 发现目标

扫描：在传播阶段的首要功能即寻找其他系统进行感染
网络地址扫描方式
- 随机式探索
- 黑名单
- 拓扑式搜索
- 本地子网
蠕虫传播的三个阶段
- 初始，指数
- 中间，线性增长
- 结束，缓慢器
反蠕虫：慢启动阶段
传播速度和感染主机数量

6.4.2 Morris蠕虫

获得控制访问权的方法
- 试图以合法用户的身份登录远程主机
- 利用UNIX系统finger协议的漏洞，这个漏洞回报告远程用户的位置
- 利用负责收发邮件的远程进程的调试选项中的一个陷门
成功获得访问权
- 向命令解释器发送简短引导程序，并发命令执行该程序，注销登录
- 引导程序回调父程序并下载蠕虫其余部分
- 新的蠕虫并开始执行

6.4.3 蠕虫技术的现状

五个特征
- 多平台
- 多种攻击手段
- 超快速传播
- 多态
- 变形

6.4.4 移动代码

那些不加修改就能够不同系统平台上运行并且能够实现相同功能的程序

6.4.5 手机蠕虫

起始：2004年Cabir蠕虫
传播手段：蓝牙或MMS
目标：安卓、IOS
后果：手机完全瘫、删除手机数据
现状：目前大多数恶意软件通过含有木马的应用程序包植入手机

6.4.6 路过式下载

6.4.7 水坑式攻击

路过式攻击变种
研究攻击目标，确定其可能浏览的web站点
攻击代码可以设定只感染属于目标组织的系统

6.4.8 点击劫持

也称为用户界面伪装攻击，攻击者收集被感染用户鼠标信息的攻击
利用类似的技术，键盘输入也可以被劫持
- 用户被误导而以为他们在为电子邮件或银行账户输入口令，而实际上他们将口令输入到攻击者控制的无形框架内

6.5 社会工程学

欺骗用户协助损害他们自己的系统或个人信息
用户浏览或回应一些垃圾电子邮件和执行一些木马程序或脚本程序时出现

6.5.1 垃圾邮件

不请自来的批量邮件
恶意软件的重要载体
用于网络钓鱼攻击

6.5.2 特洛伊木马

看似有用，内部藏恶意代码
完成未授权用户无法直接完成的功能
手机木马

6.6 系统损坏

在特定的触发条件被满足时对被感染系统的数据造成破坏
针对计算机系统硬件、软件或用户数据完整性

6.6.1 数据损坏和勒索软件

数据损坏
- CIH病毒
- Klez蠕虫
勒索软件
- 加密用户数据，用户索要赎金才可以恢复数据
- Cyborg木马
- 公钥密码算法

6.6.2 物理损坏

造成物理设备损坏
CIH病毒不仅毁坏数据，还会试图重写BIOS代码
震网蠕虫提高了对使用复杂和有针对性的恶意软件产生的工业设备破坏问题的关注
重要基础设施令人担忧受到网络攻击

6.6.3 逻辑炸弹

数据损坏恶意软件的一个重要组成部分，是嵌入在恶意软件中的代码，在特定条件下满足时便会爆炸
多种条件能够引爆
Tim Lloyd的逻辑炸弹

6.7 攻击代理

僵尸机：密码地控制一台Internet的计算机，并暗中使用其计算资源和网络资源以发动攻击，破坏计算系统的完整性和可用性，该被控制计算机称为僵尸机
僵尸网络：大量僵尸机以一种协调的方式行动
用途

6.7.1 远程控制功能

bot与蠕虫的区别
- 蠕虫是自我复制并自我激活
- bot是由某种形式的指挥控制服务器网络控制的
实现方式
- 早期实现远程控制的工具是IRC服务器
- 越来越多的僵尸网络利用协议来实现隐蔽通信通道
- 利用点对点通信协议的分布式的分布控制机制也是一种可用的控制方法

6.8 信息窃取

常见被窃取信息：登录名和口令；文档或系统的配置细节

6.8.1 凭证盗窃、键盘记录器和间谍软件

键盘记录器
- 抓取被感染机器中的键击信息，从而攻击者可以监视那些敏感信息
- 设置一些过滤机制只记录与攻击者想要的关键字相近的信息
间谍软件
- 监视历史记录的浏览内容
- 更改某一些网页攻击者控制的虚假网站
- 动态修改浏览器和网站的交换数据

6.8.2 网络钓鱼和身份盗窃

钓鱼攻击
- 利用社会工程学，伪造成可惜来源的通信取得用户的信任
- 在垃圾邮件中包含指向被攻击者控制的虚假网站URL
- 攻击者利用截获的凭证信息攻陷用户的账户
鱼叉式网络钓鱼
- 邮件的收件人实现已经受到了攻击者的认真研究
- 每封邮件都是精心制造的以迎合相应的收件人

6.8.3 侦察、间谍和数据泄露

6.9 隐蔽-后门、rootkit

6.9.1 后门

后门：被称为陷门，是进入程序的密码入口，使得知情者不经过通常的安全访问程序而获取访问权限
维护挂钩：是一种后门，被程序员合理利用于程序调试和测试
非标准端口实现，操作系统很难对后门进行控制

6.9.2 rootkit

rootkit：是安装在系统中用来支持以管理员权限对系统进行访问的一组程序，允许使用操作系统的所有功能和服务
rootkit对系统进行很多修改来隐藏自己，使用户很难察觉到rootkit的存在。
攻击者一旦获得管理员特权，就能够添加或修改程序和文件，监控当前进程，发送和接受网络通信。
分类
- 持续的
- 基于内存的
- 用户模式的
- 内核模式
- 基于虚拟机
- 外部模式
技术
- 修改系统调用表
- 修改系统调用表目标对象
- 重定向系统调用表

6.10 对抗手段

6.10.1 针对恶意软件的对抗措施

预防元素
- 规则
- 警惕性
- 弥补弱点
- 缓解威胁
如果预防措施失败了，针对恶意软件威胁存在几种由各种技术性手段所支持的缓解措施：检测、识别、清除

6.10.2 基于主机的扫描器和基于签名的反病毒软件

简单的扫描器
- 基于病毒特征码
启发式扫描器
- 通过启发式规则来检测可能存在的病毒感染
- 完整性检测
活动陷阱
- 内存驻留程序
全面保护
- 综合各种反病毒技术的软件包
沙箱分析
- 即在沙箱或虚拟机中运行恶意代码
基于主机的行为阻断软件
- 动态恶意软件分析

第七章复习

拒绝服务攻击定义：拒绝服务攻击是一种耗尽CPU、内存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络或应用程序的授权使用的行为

7.1 拒绝服务攻击

7.1.1 拒绝服务攻击本质

拒绝服务攻击是一种针对某一些服务可用性的攻击。
资源攻击几类
- 网络带宽
- 系统资源
- 应用资源

7.1.2 经典的拒绝服务攻击

泛洪攻击是一种经典的拒绝攻击服务，攻击目标为网络带宽
源地址欺——网络资源
SYN欺骗攻击——系统资源

7.2 洪泛攻击

几乎任何类型的网络数据包都可以用来进行洪泛攻击。
类型
- ICMP洪泛
- UDP洪泛
- TCP SYN洪泛

7.3 分布式拒绝服务攻击DDos

实现方式：分布式拒绝服务攻击可以借助僵尸网络实现
控制方式：直接独立控制每台僵尸机、等级方式控制僵尸机

7.4 基于应用的带宽攻击

基于应用的带宽攻击：试图利用服务器上不均衡的大量资源开销而进行

7.4.1 SIP洪泛

由于单个INVITE请求可以造成相当大的资源开销，利用伪造IP地址或僵尸网络生成大量invite请求进行DDOS攻击

7.4.2 基于HTTP攻击

采用两种不同手段攻击HTTP达到拒绝服务的目的
- HTTP洪泛攻击
- Slowloris

7.5 反射攻击与放大攻击

7.5.1 反射攻击

攻击者将其想攻击的目标系统地址作为数据包的源地址，并将这些数据包发送给中间媒介上的一致网络服务。当中间媒介相应时，大量的响应数据包会被发送到源地址所指向的目标系统
中间媒介：较高系统性能的网络服务器或良好网络性能的路由器
期望：较小的请求的网络服务产生较大响应包

7.5.2 放大攻击

发送带有虚假源地址的数据包给中间媒介，对每个来自攻击者的初始数据包产生多个响应数据包，作为反射攻击的变种，不同的是放大攻击会产生多个响应数据包
DNS放大攻击，中间媒介为DNS服务器

7.6 拒绝服务攻击防范

抵御DDos攻击有下面四道放线
- 攻击预防和先发制人机制——攻击前
- 攻击检测和过滤——攻击时
- 攻击源回溯和识别——攻击时和攻击后
- 攻击反应——攻击后
根本的、长期有效的抵御Dos攻击的方法是限制主机系统发送带有虚假源地址数据包的能力

7.7 对拒绝服务攻击的响应

判定出这次攻击类型
ISP追踪攻击数据表流而确定这些包的源
实施应急计划
更新事件响应计划

第八章复习

8.1 入侵者

定义：通常指黑客或破解者，92%为外部人员、14%内部人员。
动机分类
- 网络犯罪
- 活动家
- 国家资助组织
- 其他
技术水平分类
- 学徒
- 训练有素者
- 高手

8.2 入侵检测

两个术语
- 安全入侵
- 入侵检测
入侵检测系统
- 传感器
- 分析器
- 用户接口
恶意攻击
入侵实例
入寝检测系统
- 基于主机IDS
- 基于网络IDS
- 分布式或混合式IDS

8.2.1 基本原理

8.2.2 入侵检测

理想的入侵检测系统必须满足的条件
- 持续运行
- 容错
- 抵御破坏
- 最小系统开销
- 根据系统安全策略配置
- 适用系统和用户变化
- 扩展监视大量系统
- 提供服务的正常降级
- 允许动态重新配置

8.3 分析方法

异常检测
特征或启发式检测

8.3.1 异常检测

基本过程：建立模型——进行检测——确定结果
分类
- 统计法
- 基于知识法
- 机器学习法
关键问题：效率和检测过程的开销
限制：只使用合法数据进行训练，缺乏异常训练数据

8.3.2 特征或启发式检测

特征方法
基于规则的启发式识别

8.4 基于主机的入侵检测

利用异常、特征、启发式方法
目的是检测入侵、记录可以事件
检测外部和内部入侵

8.4.1 数据源和传感器

常见数据源
- 系统调用轨迹
- 审计记录
- 文件完整性校验和
- 注册表访问

8.4.2 异常HIDS

8.4.3 特征或启发式HIDS

常见于
- 客户端系统
- 移动设备
- 防火墙
- NIDS的邮件和Web应用代理

8.4.4 分布式HIDS

8.5 基于网络的入侵检测

8.5.1 网络传感器的类型

传感器部署模式：内嵌式、被动式

8.5.2 NIDS传感器部署

四个可能部署位置
- 外部防火墙之内
- 外部防火墙与Internet之间
- 内部防火墙任意一侧
- 对人事和财务工作站局域网进行保护

8.5.3 入侵检测技术

适用于特征检测的攻击
- 应用层侦察和攻击
- 传输层~~
- 网络层~~
- 意外应用程序
- 策略违背
适用于异常检测的攻击
- 拒绝服务攻击
- 扫描
- 蠕虫
状态协议分析
- 一种异常检测技术，具体是通过比较观测的网络流量与预定的、供应商提供的正常流量特征实现的，通过推断和追踪网络、传输和应用协议的状态
- 区别于组织特定的流量特征的异常检测技术
- SPA主要缺点需求资源较多

8.5.4 警报日志记录

8.6 分布式混合式入侵

使用分布式系统的合作方案来实现入侵，并不断变化的攻击模式
IDS存在两个关键问题
- 无法识别新威胁和改进威胁
- 难以提供足够快速的更新方案迅速传播的攻击
对策
- 开发合作系统以识别基于多个线索的攻击
- 异常检测器在本地结点插值异常活动证据

8.7 入侵检测消息交换模型

功能组件
- 数据源
- 传感器
- 分析器
- 管理员
- 管理器
- 操作员
入侵检测方式

8.8 蜜罐

入侵检测系统组件，是掩人耳目的系统
蜜罐充满看起来有价值的虚构信息
蜜罐没有产出资源
分类
- 低交互蜜罐
- 高交互蜜罐

第九章防火墙

9.1 防火墙的必要性

作为基于主机的安全服务的一种补充，设置在驻地网和INTERNET之间，以建立二者间的可控链路
可以是单机系统，也可以是协作完成防火墙功能的两个或更多系统
创建一个附加防御层，提供了一个能加强安全和审计的遏制点，将内部系统和外部网络离开来。

9.2 防火墙的特征和访问策略

防火墙应具备的特征即设计目标
- 所有从内部到外部的网络流量都必须通过防火墙，反之亦然
- 只有经过授权的网络流量，例如符合本地安全策略定义的流量，防火墙才允许其通过
- 防火墙本身不能渗透
防火墙访问策略特征
- IP地址和协议值
- 应用层协议
- 用户身份
- 网络活动
防火墙功能和局限
- 功能
  - 定义一个遏制点
  - 提供了监视安全相关事件的场所
  - 可以为多种与安全不相关的Internet功能实现提供便利平台
  - 可以作为IPsec的平台
- 局限
  - 不能阻止那些绕开防火墙的攻击
  - 不能完全防止内部威胁
  - 安全设置不当的无线局域网可能允许来自公司外部访问
  - 笔记本电脑、PDA或便携式存储设备可能能企业网以外的笔记使用时感染了之后被连接到网络内部网络使用
类型
- 包过滤防火墙
- 状态监测防火墙
- 应用代理防火墙
- 电路及代理防火墙

8.3 防火墙的类型

8.3.1 包过滤防火墙

根据一组规则来检查每个接受和发送的IP包，然后决定转发或丢弃此包。
过滤规则基于网络包中所含的信息：源IP地址、目的IP地址、源和目的端传输层地址、IP协议域、接口。通常，包过滤器设置成基于与IP和TCP域匹配的规则列表。
无匹配规则时，执行默认策略
- 丢弃
- 转发
优点
- 简单，其对用户是透明的且且具有很快的处理速度
缺点
- 不坚持更高层的数据
- 不支持高级的用户认证机制
- 对利用TCP/IP规范和协议栈存在的问题进行攻击没有应对措施
可能的攻击方式
- IP地址欺骗攻击
- 源路由攻击
- 细小分段攻击

9.3.2 状态检测防火墙

状态检测防火墙通过建立一个出站TCP连接目录来强制执行TCP流量的规则
应用级网关也称为应用代理，起到应用级流量中继器的作用。
为特定应用程序实现代理，可以设置为只支持应用程序的部分特性
相比包过滤器往往更安全

9.3.3 应用级网关

应用级网关也称为应用代理，起到应用级流量中继中继器的作用。过程
- 用户使用TCP/IP应用程序连接到网关
- 网关要求网关提供访问的远程主机名
- 当用户应答并提供了中继的用户ID和认证信息时，网关会联系主机并在两个端点之间中继包含应用程序数据的TC分段
- 为特定应用程序实现代理代码，可以设置为只支持应用程序的部分特性
- 相比包过滤器往往更安全
最大缺点是带来了对每条连接的额外连接的额外的额外处理开销，网关是关系双向流量的接合点

9.3.4 电路级网关

电路级网关也称为电路级代理，可能是单机系统或应用级网关为特定应用执行的专用功能

9.4 防火墙的布置

9.4.1 堡垒主机

特征
- 允许操作系统的安全版本仅提供基本服务
- 用户可能需要附加认证才能访问代理或主机
- 限制功能
- 每个代理相对独立

9.4.2 基于主机的防火墙

优点
- 过滤规则可以根据主机环境定制
- 保护功能独立于网络的拓扑结构
- 应用于单机防火墙的联合处

9.4.3 网络设备防火墙

9.4.4 虚拟防火墙

9.4.5 个人防火墙

9.5 防火墙的部署和配置

DMZ
VPN
分布式防火墙

9.6 入侵防御系统IPS

IDS的扩展
分类：基于主机、基于网络、基于分布式或混合式的IPS
分析方法：异常检测7特征和启发式检测
功能：类似防火墙，阻断网络流量

第11章

络内部网络使用

类型
- 包过滤防火墙
- 状态监测防火墙
- 应用代理防火墙
- 电路及代理防火墙