当前课程知识点:网络空间安全技术 > 第5章 网络空间安全防御系统与网络安全技术 > 5.4 典型的网络安全技术 > 5.4.2 典型的网络安全技术(下)
同学们,大家好
这一讲我们来学习
《网络空间安全技术》第三篇
网络空间安全防御技术体系
第5章
网络空间安全防御系统与网络安全技术
第4节典型的网络安全技术
第二部分内容
我们来看恶意软件检测与防范技术
这一节我们分三小点
来跟大家一起讨论
首先是恶意软件的概念、分类及危害
恶意软件检测核心技术
以及恶意软件的综合防范
我们来看恶意软件的概念
分类和危害
所谓恶意软件
又称为恶意代码
它是指故意编制或设置的
经由存储介质
和网络传播
安装或运行于信息系统之中
在信息系统所有者不知情的情况底下
对网络或者系统
会产生现实威胁或潜在威胁
恶意软件形式多样
主要分为以下10类
包括病毒、蠕虫、木马
间谍软件
僵尸程序
恶意脚本
流氓软件
逻辑炸弹
后门
以及网络钓鱼工具等10类
我们来看一下恶意软件的危害
病毒、蠕虫类
它会造成系统
运行缓慢
数据损坏
运行异常
木马主要是实现
主机被攻击者远程控制
僵尸网络程序
主要是主机对外发动DDoS攻击
对外发起扫描攻击等相关的行为
挖矿程序
它会造成系统资源的大量消耗
Web shell后门
则是攻击者通过Web shell
对主机进行控制
网页挂马是指页面被植入带病毒内容
影响访问者安全
网页暗链是指网站被植入博彩
色情、游戏等广告内容
接下来我们来看一下
恶意软件检测的相关核心技术
第一个我们来讨论一下
它的检测对象域
包括可疑的文件
引导扇区
内存空间
主板BIOS
网络流量和系统行为
首先我们来看第一个引导扇区
在文件系统当中可能会
带毒的这么一种文件
我们可以采取针对该文件
进行病毒检测
比如说引导区的病毒
MBR木马等等
可疑文件
包括多种形态
比如说可执行程序
比如.exe文件
.dll文件
.com文件
数据文件包括.doc文件
.xls文件等Office文档文件
和相关的宏病毒等
脚本文件包括
相关的脚本病毒
网页文件
则包括.html、.asp
等相关的文件
比如说实现网页挂马等
内存空间主要是用来
检测有关内存占用的病毒类
主板BIOS
是指系统启动时涉及的相关代码
网络流量是用来检测网络交互
含流量内容和流量异常两个维度
从系统行为的角度来看
我们在进行恶意代码检测的时候
主要是考察恶意软件
外在的行为表现
接下来我们来看一下
检测技术之一
特征值检测
分为精准特征值和广义特征值两类
精准特征值是指
针对特定已知的恶意程序
或者说恶意代码
提取其特征码来构建特征库
广义特征值
它是针对已知病毒和未知的病毒
或者说已知的恶意代码
和未知的恶意代码
根据恶意软件广义特征来进行检测
检测恶意代码变种
或者是新的恶意代码
在精准特征值
和广义特征值的提取过程当中
都需要用到一系列的技术
包括特定的字符串
感染的标记
特定的位置代码等等
接下来我们来看
检测技术的第二种
校验和检测
这种检测它的原理是
在文件使用
或系统启动过程中
检查检测对象的实际校验和
与预期是否一致
它的检测对象包括文件头部
文件属性
文件内容
和系统数据等
检测手段则涵盖系统的自动监测
专用检测工具
程序自我检测
等不同的手段
检测技术的第三种
叫做启发式扫描
它的技术原理是
将专业人员使用反汇编
调试或沙箱等工具
进行恶意代码检测的相关经验和知识
通过软件的形式
给它具体来实现
具体的检测步骤包括
定义通用的可疑特征
比如说指令序列或者是行为
对上述功能操作按照安全
和可疑的等级进行排序
授以不同的权值
鉴别特征
如果程序权值总和
超过预先定义的一个特定的阈值
我们就将它判为恶意代码
或者是恶意程序
接下来我们来看
检测技术的第四类
虚拟机检测
虚拟机检测的目标
是加密
多态
变形的恶意代码
以及加壳
或者叫加shell的这么一种恶意软件
它的检测原理是
利用虚拟机程序机制
在内存当中
模拟一个小的封闭程序执行环境
所有待查文件
都以解释的方式
在其中被虚拟执行
通常虚拟执行一小部分代码即可
它的实现形式包括沙箱等
接下来我们来看一下
恶意软件的综合防范
我们认为针对恶意软件
对它进行防范
我们需要
齐抓共管,多管齐下
在检测方面应综合采取多种检测技术
在整体防范方面
应通过防火墙
入侵检测和防护
安全扫描等安全技术体系
来进行综合防范
同时我们还要注意
检测、防范和处置相结合
要进行及早的预防
及早的发现
及早的处理
将恶意软件的危害
降低到最低限度
这是我们的终极目标
接下来我们来学习一下
蜜网技术和沙箱技术
我们分两点来讲授
第一点是蜜罐和蜜网技术
第二点是沙箱技术
我们首先来看
蜜罐和蜜网技术的基本概念
所谓蜜罐和蜜网技术
它是网络欺骗
和诱骗技术的具体实现形态之一
也是“欺骗型”主动防御的关键技术之一
它专门设置特定的脆弱系统
来诱捕攻击
那么采用单台主机来构建诱骗环境
我们称之为蜜罐
Honey Pot
由多台蜜罐主机组成的网络系统
构建了诱骗环境
我们就称之为蜜网技术
Honey Net
接下来我们来讨论
蜜罐和蜜网技术的5大作用
首先是可以发现
常见的漏洞和脆弱性
通过攻击者进入蜜罐
或者是蜜网的行为
来发现我们
蜜罐或蜜网所模拟的操作系统的漏洞
和相关的脆弱性
当然也包括应用系统的漏洞
和相关的脆弱性
并将这些威胁信息
对外提供共享的这么一种功能
第二是发现新的漏洞或者是攻击方式
蜜罐和蜜网技术
在0Day漏洞发现方面卓有成效
第三是捕获攻击行为
结合攻击取证技术
利用蜜罐或蜜网来进行相关的攻击取证
第四是延缓攻击或减轻危害
因为蜜罐蜜网的存在
使得攻击者的资源和时间
在蜜罐之内得到消耗
为被保护系统的防护赢得了时间
第五是提升主动防御能力
它可以系统、全面地识别攻击
提升网络防御能力和水平
接下来我们来重点看一下
蜜罐和蜜网技术的构建和部署
按照使用目的的不同
部署方式和使用程度
也是各不相同的
这里我们以
蜜罐和蜜网的交互程度为准则
来对其进行分类
分别分为
“甜度”较低的
低蜜度蜜罐或蜜网
以及“甜度”较高的
高交互蜜罐或蜜网
低交互蜜罐或蜜网
它是模拟一个生产环境
仅提供有限的信息
未给供给者提供一个可用系统
而高交互蜜罐或蜜网系统
是为攻击者提供真实的支撑操作系统
设置全功能要素应用环境
接下来我们来学习
沙箱技术
首先我们来看沙箱的基本概念
沙箱的技术它起源于软件的沙箱测试
上个世纪70年代在进行软件测试时
通常将软件安装在一个相对封闭的环境当中
以观测这个软件运行行为
识别潜在风险
开发应对措施
安全沙箱
就是受这种软件沙箱测试的启发
在信息系统当中创建出一个类似的
独立的作业环境
测试不受信任的网络访问行为
或相应的应用程序
此外还有虚拟化沙箱这种形式
出于更为安全的目的
可以采用虚拟机来运行沙箱
在与网络隔离的主机上
设置多种操作系统
来实现恶意软件的安全测试
和相应的检测
接下来我们来看一下
沙箱技术实现的基本环节
包括设计封闭的环境
隔离运行软件
和实现访问控制
设计封闭环境
是构建隔离空间
人为设定独立虚拟环境
隔离运行软件
是令来源不可靠
具有破坏力或无法判断意图的程序
在这个空间当中运行
实现访问控制
是令上述程序
对于系统可读
但不可写
所有操作均不致对该系统造成
实质性损失
从而就能够避免永久性的破坏
接下来我们看
沙箱技术的具体实现技术
基于采用的应用访问控制策略的不同
沙箱实现可分为两大类
一个是基于虚拟化的沙箱实现
包括系统虚拟化沙箱
容器虚拟化沙箱
第二种是基于规则的沙箱实现
那么这种沙箱实现
它是不需要进行
系统资源复制的
同学们
接下来我们来一起学习
网络协议安全
与VPN技术
我们重点讲授两小点内容
一个是网络协议安全
第二是VPN技术
首先我们来看一下
开放系统互连参考模型
也就是所谓的OSI架构
OSI架构它采用分层结构化技术
将网络通信分成自下往上的7层
物理层
数据链路层
网络层
传输层
会话层
表示层和应用层
那么网络协议
它的概念是定义了
网络设备之间相互通信
数据管理与交换的整套规则
规定了通信时信息需采取的
格式及其意义
协议的关键要素是语法
语义和时序
网络协议实际上
它是针对某一个具体结构层次的
而每个层次又具体负责实现
某一种特定的功能
我们来看一下
OSI安全体系结构5类安全服务
分别是认证(鉴别)服务
这种服务是在网络的交互过程当中
对收发双方的身份
及数据来源
进行验证
访问控制服务
是防止未授权用户非法访问资源
包括用户身份认证和用户权限确认
数据保密性服务
是防止数据在传输过程当中
被破解、泄露
数据完整性服务
防止数据在传输过程中被篡改
而抗否认性服务
我们又称为
抗抵赖服务或确认服务
是防止发送方
与接收方
双方在执行各自操作之后
否认各自所做的操作
接下来我们来看一下
OSI安全体系结构的8类安全机制
分别是加密机制
它对应着数据保密性的服务
数字签名机制
对应着认证(鉴别)服务
访问控制机制
对应着访问控制服务
数据完整性机制
则对应着数据完整性服务
业务流填充机制
也称为传输流填充机制
对应数据保密性的服务
路由控制机制
对应访问控制服务
而公证机制
对应着抗否认性服务
OSI安全体系结构的5类安全服务
是通过
上面我们刚才讲的
8类安全机制
来具体实现的
接下来我们来看一下
OSI与TCP/IP
这两种模型之间的对应关系
从模型架构上来看
OSI为制定协议标准提供了理论模型
TCP/IP的四层模型
基于OSI参考模型
是OSI模型最典型
最广泛的实际应用
在协议安全方面
OSI安全体系结构的5种服务
和8种机制
仍然是
TCP/IP协议簇安全保障的重要基础
接下来我们来看一下
TCP/IP协议的安全缺陷
在具体的实践当中
TCP/IP协议簇
暴露出了很多的安全问题
构成了网络不安全的根源
接下来我们来看一下
VPN(虚拟专用网)技术的提出背景
由于公共网络信息传输
存在上一节所述的诸多安全问题
而建立专用网络又存在着成本较高的缺陷
因此
出现了VPN技术
为远程交互提供了一种安全的通道
在具体的实现方式上
VPN有三种主流的实现方式
分别是IPSec VPN
SSL VPN
和MPLS VPN
IPSec VPN
是由IPSec协议提供隧道安全保障
SSL VPN
是基于HTTPS协议
所构建的VPN技术
MPLS VPN是采用
多协议标记转换技术
在骨干宽带IP网络上
构建的企业IP专网
首先我们来看
IPSec VPN
IPSec VPN技术
它是基于IPSec的虚拟专用网络通道技术
我们来看一下IPSec的安全性
IPSec它是一系列为IP网络
提供安全性的协议
和服务的组合
它的框架由各种协议组合协商而成
涉及到加密
验证
封装协议
封装模式
秘钥有效期等
从应用部署来看
IPSec VPN
要求在远程接入客户端时
适当安装和配置
IPSec客户端软件和接入设备
进一步提高了安全级别
第二种技术是SSL VPN
这种技术它是采用SSL协议
来实现远程接入这么一种
虚拟专用网络通道技术
这个里边含
服务器认证
客户认证
SSL链路上的数据完整性
和SSL链路上的数据保密性等
我们来看一下
SSL安全性
所谓SSL
是指安全套接字协议
这种协议是为网络通信提供安全
及数据完整性的一种安全协议
在传输层和应用层之间
对网络连接进行加密
从应用部署的角度来看
IPSec VPN
要求在远程接入客户端时
适当安装和配置
IPSec客户端软件
和接入设备
进一步提高了安全级别
接下来我们来看第三种技术
MPLS VPN
MPLS VPN
它是基于多协议标签交换技术的
虚拟专用网络通道技术
在MPLS当中
数据传输发生在标签的交换路径之上
也就是LSP之上
LSP是每一个沿着从源端
到终端的路径上的结点
它的标签序列
那么这种
VPN它的安全优势在于
LSP本身是公网上的隧道
通过LSP
将私有网络的不同分支联结起来
形成一个统一的网络
因此利用MPLS
来实现VPN具有天然的优势
同学们
接下来我们请同学们结合本节学习内容
思考以下三个问题
第一:在构建网络安全防御体系时
如何将本节所讲的
关键技术进行组合应用
第二:针对不同的网络类型
比如说工业互联网、物联网等等
如何运用本节所讲的网络安全技术
第三
针对相关网络协议多为国外研发的
历史和现状
如何发展我国
自主知识产权的网络安全技术
这三个问题
提请同学们课下思考
同学们
我们这一讲就讲到这里
感谢观看
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题