(100)网络基础知识(安全篇)

2008年1月赵波、郎勇Firewall，IDS，UTM等安全网关网络设备端点系统IDPasswdVPNOS、APPScan、IPSIDS、AVFW端点可信代理–PTA网关可信代理-GTA可信安全管理系统-TSM网络可信代理-NTAVPNScan、IPSIDS、AVFWRouterAccessSwitch信任管理身份管理脆弱性管理威胁管理网络数据误用检测异常检测智能协议分析会话状态分析报警事件实时关联检测DMZNGIDS控制台NGIDS引擎服务器区Intranet中小型网络环境入侵规则库行为模式匹配入侵误用检测（MisuseDetection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。行为尺度0102030405060708090CPUProcessSizenormalprofileabnormal可能的入侵异常检测(AnomalyDetection）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在。与非智能化的模式匹配相比，协议分析减少了误报的可能性。与模式匹配系统中传统的穷举分析方法相比，在处理数据包和会话时更迅速、有效。EthernetIPTCP模式匹配EthernetIPTCP智能协议分析HTTPUnicodeXML按照客户-服务器间的通信内容，把数据包重组为连续的会话流。而基于数据包的入侵检测技术只对每个数据包进行检查。与基于数据包的入侵检测技术相比，准确率高。安全网关网络设备端点系统IDPasswdVPNOS、APPScan、IPSIDS、AVFW端点可信代理–PTA网关可信代理-GTA可信安全管理系统-TSM网络可信代理-NTAVPNScan、IPSIDS、AVFWRouterAccessSwitch信任管理身份管理脆弱性管理威胁管理FWIDSAVASVPNIPS•Firewall•Intensiondetectionsystem•Antiviruses•Antispam•Virtualprivatenet•Intensionprotectionsystem病毒问题病毒蠕虫木马•WormAprogramwhichcopiesitselffromonecomputersystemtoanother.•TrojanHorseProgramwithahiddenpayloadTrojanhorseisaprogramwhichappearstoserveausefulpurpose,yetactuallyintentionallyperformsamaliciousaction.Theymustberunbyanunsuspectinguserormanuallyintroducedbyathirdparty.•PolymorphicVirusMutatesitselfeachtimeitinfectsanewapplication,diskordocument!•“RetroViruses”Attackanti-virussoftware!Typicallydeletefingerprintfilesorchangedetectionvirussignaturedatabases.WillnotinfectAVproductsthatperformselfchecks.邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染被感染被感染不被感染不被感染UnitedStatesSouthKoreaChinaGermanyFranceTaiwanCanadaItalyGreatBritainJapanTotal35.4%12.8%6.9%6.7%4.0%3.9%3.2%3.0%2.2%1.8%80.0%40.0%7.4%6.9%7.6%5.2%2.4%3.0%2.7%2.1%2.1%79.6%29.6%8.8%7.8%5.9%4.5%2.6%3.9%2.5%2.5%2.0%70.1%CountryPercentofTotal(July1,2002–Dec31,2002)PercentofTotal(Jan1,2002–July31,2002)PercentofTotal(July1,2001–Dec31,2001)TopTenAttackingCountries(July1,2001–December30,2002)部署在DMZ区的前面垃圾邮件的发展速度和趋势数据来源：Radicati，2004.6据调查结果表明，全球垃圾信息的数量增长之快令人吃惊，2004年与2003年的150亿条相比增长了115%，达到350亿条。美国SBL著名垃圾邮件对比资料库提供的资料表明，中国是全球第二大垃圾邮件受害国，仅位居美国之后。SBL称，中国网民收到的垃圾邮件数量占全球的十分之一，并且这个数字每五个月会翻一番。邮件服务器正常行为邮件SMTP路由时间特征服务器特征频度动态IPSMTP会话发信地址内容特征攻击特征行为模式识别模型外来邮件垃圾邮件可疑邮件从X86到ASIC•基于X86的平台•主要提供商Intel，AMD•基于其他嵌入的平台•包括PowerPC、ARM、MIPS……•基于ASIC的平台•采用厂家Netscreen、Fortinet•基于NPU的平台•提供厂家Intel、IBM、AMCC、Broadcom•CPU、ASICNPU等混合方式高速总线合理分配计算能力