5.4.2 典型的网络安全技术（下）在线视频

同学们，大家好

这一讲我们来学习

《网络空间安全技术》第三篇

网络空间安全防御技术体系

第5章

网络空间安全防御系统与网络安全技术

第4节典型的网络安全技术

第二部分内容

我们来看恶意软件检测与防范技术

这一节我们分三小点

来跟大家一起讨论

首先是恶意软件的概念、分类及危害

恶意软件检测核心技术

以及恶意软件的综合防范

我们来看恶意软件的概念

分类和危害

所谓恶意软件

又称为恶意代码

它是指故意编制或设置的

经由存储介质

和网络传播

安装或运行于信息系统之中

在信息系统所有者不知情的情况底下

对网络或者系统

会产生现实威胁或潜在威胁

恶意软件形式多样

主要分为以下10类

包括病毒、蠕虫、木马

间谍软件

僵尸程序

恶意脚本

流氓软件

逻辑炸弹

后门

以及网络钓鱼工具等10类

我们来看一下恶意软件的危害

病毒、蠕虫类

它会造成系统

运行缓慢

数据损坏

运行异常

木马主要是实现

主机被攻击者远程控制

僵尸网络程序

主要是主机对外发动DDoS攻击

对外发起扫描攻击等相关的行为

挖矿程序

它会造成系统资源的大量消耗

Web shell后门

则是攻击者通过Web shell

对主机进行控制

网页挂马是指页面被植入带病毒内容

影响访问者安全

网页暗链是指网站被植入博彩

色情、游戏等广告内容

接下来我们来看一下

恶意软件检测的相关核心技术

第一个我们来讨论一下

它的检测对象域

包括可疑的文件

引导扇区

内存空间

主板BIOS

网络流量和系统行为

首先我们来看第一个引导扇区

在文件系统当中可能会

带毒的这么一种文件

我们可以采取针对该文件

进行病毒检测

比如说引导区的病毒

MBR木马等等

可疑文件

包括多种形态

比如说可执行程序

比如.exe文件

.dll文件

.com文件

数据文件包括.doc文件

.xls文件等Office文档文件

和相关的宏病毒等

脚本文件包括

相关的脚本病毒

网页文件

则包括.html、.asp

等相关的文件

比如说实现网页挂马等

内存空间主要是用来

检测有关内存占用的病毒类

主板BIOS

是指系统启动时涉及的相关代码

网络流量是用来检测网络交互

含流量内容和流量异常两个维度

从系统行为的角度来看

我们在进行恶意代码检测的时候

主要是考察恶意软件

外在的行为表现

接下来我们来看一下

检测技术之一

特征值检测

分为精准特征值和广义特征值两类

精准特征值是指

针对特定已知的恶意程序

或者说恶意代码

提取其特征码来构建特征库

广义特征值

它是针对已知病毒和未知的病毒

或者说已知的恶意代码

和未知的恶意代码

根据恶意软件广义特征来进行检测

检测恶意代码变种

或者是新的恶意代码

在精准特征值

和广义特征值的提取过程当中

都需要用到一系列的技术

包括特定的字符串

感染的标记

特定的位置代码等等

接下来我们来看

检测技术的第二种

校验和检测

这种检测它的原理是

在文件使用

或系统启动过程中

检查检测对象的实际校验和

与预期是否一致

它的检测对象包括文件头部

文件属性

文件内容

和系统数据等

检测手段则涵盖系统的自动监测

专用检测工具

程序自我检测

等不同的手段

检测技术的第三种

叫做启发式扫描

它的技术原理是

将专业人员使用反汇编

调试或沙箱等工具

进行恶意代码检测的相关经验和知识

通过软件的形式

给它具体来实现

具体的检测步骤包括

定义通用的可疑特征

比如说指令序列或者是行为

对上述功能操作按照安全

和可疑的等级进行排序

授以不同的权值

鉴别特征

如果程序权值总和

超过预先定义的一个特定的阈值

我们就将它判为恶意代码

或者是恶意程序

接下来我们来看

检测技术的第四类

虚拟机检测

虚拟机检测的目标

是加密

多态

变形的恶意代码

以及加壳

或者叫加shell的这么一种恶意软件

它的检测原理是

利用虚拟机程序机制

在内存当中

模拟一个小的封闭程序执行环境

所有待查文件

都以解释的方式

在其中被虚拟执行

通常虚拟执行一小部分代码即可

它的实现形式包括沙箱等

接下来我们来看一下

恶意软件的综合防范

我们认为针对恶意软件

对它进行防范

我们需要

齐抓共管，多管齐下

在检测方面应综合采取多种检测技术

在整体防范方面

应通过防火墙

入侵检测和防护

安全扫描等安全技术体系

来进行综合防范

同时我们还要注意

检测、防范和处置相结合

要进行及早的预防

及早的发现

及早的处理

将恶意软件的危害

降低到最低限度

这是我们的终极目标

接下来我们来学习一下

蜜网技术和沙箱技术

我们分两点来讲授

第一点是蜜罐和蜜网技术

第二点是沙箱技术

我们首先来看

蜜罐和蜜网技术的基本概念

所谓蜜罐和蜜网技术

它是网络欺骗

和诱骗技术的具体实现形态之一

也是“欺骗型”主动防御的关键技术之一

它专门设置特定的脆弱系统

来诱捕攻击

那么采用单台主机来构建诱骗环境

我们称之为蜜罐

Honey Pot

由多台蜜罐主机组成的网络系统

构建了诱骗环境

我们就称之为蜜网技术

Honey Net

接下来我们来讨论

蜜罐和蜜网技术的5大作用

首先是可以发现

常见的漏洞和脆弱性

通过攻击者进入蜜罐

或者是蜜网的行为

来发现我们

蜜罐或蜜网所模拟的操作系统的漏洞

和相关的脆弱性

当然也包括应用系统的漏洞

和相关的脆弱性

并将这些威胁信息

对外提供共享的这么一种功能

第二是发现新的漏洞或者是攻击方式

蜜罐和蜜网技术

在0Day漏洞发现方面卓有成效

第三是捕获攻击行为

结合攻击取证技术

利用蜜罐或蜜网来进行相关的攻击取证

第四是延缓攻击或减轻危害

因为蜜罐蜜网的存在

使得攻击者的资源和时间

在蜜罐之内得到消耗

为被保护系统的防护赢得了时间

第五是提升主动防御能力

它可以系统、全面地识别攻击

提升网络防御能力和水平

接下来我们来重点看一下

蜜罐和蜜网技术的构建和部署

按照使用目的的不同

部署方式和使用程度

也是各不相同的

这里我们以

蜜罐和蜜网的交互程度为准则

来对其进行分类

分别分为

“甜度”较低的

低蜜度蜜罐或蜜网

以及“甜度”较高的

高交互蜜罐或蜜网

低交互蜜罐或蜜网

它是模拟一个生产环境

仅提供有限的信息

未给供给者提供一个可用系统

而高交互蜜罐或蜜网系统

是为攻击者提供真实的支撑操作系统

设置全功能要素应用环境

接下来我们来学习

沙箱技术

首先我们来看沙箱的基本概念

沙箱的技术它起源于软件的沙箱测试

上个世纪70年代在进行软件测试时

通常将软件安装在一个相对封闭的环境当中

以观测这个软件运行行为

识别潜在风险

开发应对措施

安全沙箱

就是受这种软件沙箱测试的启发

在信息系统当中创建出一个类似的

独立的作业环境

测试不受信任的网络访问行为

或相应的应用程序

此外还有虚拟化沙箱这种形式

出于更为安全的目的

可以采用虚拟机来运行沙箱

在与网络隔离的主机上

设置多种操作系统

来实现恶意软件的安全测试

和相应的检测

接下来我们来看一下

沙箱技术实现的基本环节

包括设计封闭的环境

隔离运行软件

和实现访问控制

设计封闭环境

是构建隔离空间

人为设定独立虚拟环境

隔离运行软件

是令来源不可靠

具有破坏力或无法判断意图的程序

在这个空间当中运行

实现访问控制

是令上述程序

对于系统可读

但不可写

所有操作均不致对该系统造成

实质性损失

从而就能够避免永久性的破坏

接下来我们看

沙箱技术的具体实现技术

基于采用的应用访问控制策略的不同

沙箱实现可分为两大类

一个是基于虚拟化的沙箱实现

包括系统虚拟化沙箱

容器虚拟化沙箱

第二种是基于规则的沙箱实现

那么这种沙箱实现

它是不需要进行

系统资源复制的

同学们

接下来我们来一起学习

网络协议安全

与VPN技术

我们重点讲授两小点内容

一个是网络协议安全

第二是VPN技术

首先我们来看一下

开放系统互连参考模型

也就是所谓的OSI架构

OSI架构它采用分层结构化技术

将网络通信分成自下往上的7层

物理层

数据链路层

网络层

传输层

会话层

表示层和应用层

那么网络协议

它的概念是定义了

网络设备之间相互通信

数据管理与交换的整套规则

规定了通信时信息需采取的

格式及其意义

协议的关键要素是语法

语义和时序

网络协议实际上

它是针对某一个具体结构层次的

而每个层次又具体负责实现

某一种特定的功能

我们来看一下

OSI安全体系结构5类安全服务

分别是认证（鉴别）服务

这种服务是在网络的交互过程当中

对收发双方的身份

及数据来源

进行验证

访问控制服务

是防止未授权用户非法访问资源

包括用户身份认证和用户权限确认

数据保密性服务

是防止数据在传输过程当中

被破解、泄露

数据完整性服务

防止数据在传输过程中被篡改

而抗否认性服务

我们又称为

抗抵赖服务或确认服务

是防止发送方

与接收方

双方在执行各自操作之后

否认各自所做的操作

接下来我们来看一下

OSI安全体系结构的8类安全机制

分别是加密机制

它对应着数据保密性的服务

数字签名机制

对应着认证（鉴别）服务

访问控制机制

对应着访问控制服务

数据完整性机制

则对应着数据完整性服务

业务流填充机制

也称为传输流填充机制

对应数据保密性的服务

路由控制机制

对应访问控制服务

而公证机制

对应着抗否认性服务

OSI安全体系结构的5类安全服务

是通过

上面我们刚才讲的

8类安全机制

来具体实现的

接下来我们来看一下

OSI与TCP/IP

这两种模型之间的对应关系

从模型架构上来看

OSI为制定协议标准提供了理论模型

TCP/IP的四层模型

基于OSI参考模型

是OSI模型最典型

最广泛的实际应用

在协议安全方面

OSI安全体系结构的5种服务

和8种机制

仍然是

TCP/IP协议簇安全保障的重要基础

接下来我们来看一下

TCP/IP协议的安全缺陷

在具体的实践当中

TCP/IP协议簇

暴露出了很多的安全问题

构成了网络不安全的根源

接下来我们来看一下

VPN（虚拟专用网）技术的提出背景

由于公共网络信息传输

存在上一节所述的诸多安全问题

而建立专用网络又存在着成本较高的缺陷

因此

出现了VPN技术

为远程交互提供了一种安全的通道

在具体的实现方式上

VPN有三种主流的实现方式

分别是IPSec VPN

SSL VPN

和MPLS VPN

IPSec VPN

是由IPSec协议提供隧道安全保障

SSL VPN

是基于HTTPS协议

所构建的VPN技术

MPLS VPN是采用

多协议标记转换技术

在骨干宽带IP网络上

构建的企业IP专网

首先我们来看

IPSec VPN

IPSec VPN技术

它是基于IPSec的虚拟专用网络通道技术

我们来看一下IPSec的安全性

IPSec它是一系列为IP网络

提供安全性的协议

和服务的组合

它的框架由各种协议组合协商而成

涉及到加密

验证

封装协议

封装模式

秘钥有效期等

从应用部署来看

IPSec VPN

要求在远程接入客户端时

适当安装和配置

IPSec客户端软件和接入设备

进一步提高了安全级别

第二种技术是SSL VPN

这种技术它是采用SSL协议

来实现远程接入这么一种

虚拟专用网络通道技术

这个里边含

服务器认证

客户认证

SSL链路上的数据完整性

和SSL链路上的数据保密性等

我们来看一下

SSL安全性

所谓SSL

是指安全套接字协议

这种协议是为网络通信提供安全

及数据完整性的一种安全协议

在传输层和应用层之间

对网络连接进行加密

从应用部署的角度来看

IPSec VPN

要求在远程接入客户端时

适当安装和配置

IPSec客户端软件

和接入设备

进一步提高了安全级别

接下来我们来看第三种技术

MPLS VPN

MPLS VPN

它是基于多协议标签交换技术的

虚拟专用网络通道技术

在MPLS当中

数据传输发生在标签的交换路径之上

也就是LSP之上

LSP是每一个沿着从源端

到终端的路径上的结点

它的标签序列

那么这种

VPN它的安全优势在于

LSP本身是公网上的隧道

通过LSP

将私有网络的不同分支联结起来

形成一个统一的网络

因此利用MPLS

来实现VPN具有天然的优势

同学们

接下来我们请同学们结合本节学习内容

思考以下三个问题

第一：在构建网络安全防御体系时

如何将本节所讲的

关键技术进行组合应用

第二：针对不同的网络类型

比如说工业互联网、物联网等等

如何运用本节所讲的网络安全技术

第三

针对相关网络协议多为国外研发的

历史和现状

如何发展我国

自主知识产权的网络安全技术

这三个问题

提请同学们课下思考

同学们

我们这一讲就讲到这里

感谢观看

下次再见