101113_计算机犯罪和犯罪心理学_第1章_1

计算机犯罪和犯罪心理学赵志宏ComputerCriminalandCriminalPsychologyNortheasternUniversityLogo2010年11月20日5时54分NortheasternUniversity课程说明™课程编号：080200180™课程名称：计算机犯罪和犯罪心理学™英文名称：ComputerCriminalandCriminalPsychology™总学时数：24™课程学分：2.0™适用专业：信息安全™课程性质：专业选修课™先修课程：数据通信安全技术、现代密码学与加解密技术™主讲教师：赵志宏™参考教材：网络安全与计算机犯罪勘查技术学，张越今等编著。清华大学出版社，2003-9Logo2010年11月20日5时54分NortheasternUniversity课程内容网络安全概述1计算机犯罪概述2计算机犯罪现场勘查3计算机证据及惯用手法、动机和技术4勘查网络的基础知识及技术实现5Logo2010年11月20日5时54分NortheasternUniversity本章纲要™1.1开放的网络环境及其安全问题™1.2TCP／IP™1.3安全威胁™1.4网络信息安全™1.5信息安全产品分类Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题路由器内部网IOIOWeb、Mail服务器等互联网入侵者攻击路由器进行窃听分支机构正常的通信流为什么我工资比他少500IOIO他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™Internet带来的风险•攻击者大部分是以下几种类型：•大专院校的学生•公司工作人员•竞争对手•计算机地下组织的侵袭者•犯罪分子•职业盗贼或间谍Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™现实的威胁－商业通信安全ƒ外国大公司的战略营销规划中，营销情报系统占据了相当重要的位置；•80年代，IBM、RCA、3M、CorningGlass在日本建立了机构，监测竞争对手的业务活动和新兴技术；•据估计，50，000部电子监听装置安装在日本商业机构中，用于电子监测方面的花费达到5000万美元，且以每年30％的比例增长。Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™来自因特网的监听风险ƒ基于因特网的监听技术更简单，实施更容易，更难于察觉，却可以轻易获取有价值甚至机密的信息。•美国政府要求ISP提供合作，安装专门的窃听软件，监听电子邮件内容。•黑客可以很容易入侵商业机构的接入路由器，安装窃听软件，或修改路由，达到窃听的目的而不被查觉。•电信的专线并不能提供商业通信所需的机密性，因而银行、地税、大型企业集团布署VPN产品来确保信息传输的机密性与不可篡改性。Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™内部信息系统所面临的潜在风险ƒ外部访问未被授权的信息系统；ƒ数据丢失（插入/删除/滥用）；ƒ机要信息丢失（泄露/竞争）；ƒ公共通用网络上的固有问题（病毒、人为破坏等）；ƒ“Trojanhorse”（Trojanhorse程序）和病毒混杂在Internet的传输数据中；ƒ利用虚假身份（地址欺骗等）。Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™网络系统中易遭袭击的薄弱环节ƒ从技术角度来说：•缺乏安全防护设备；•不足的安全认证配置；•通信协议上的基本安全问题；•服务程序上的基本安全问题；•网络病毒的侵袭。Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™认证系统的安全风险ƒ侵袭者采用几种方法来进行口令入侵：•猜测口令；•利用“passwd”文件，系统地猜测口令；•分析协议和滤出口令（利用嗅探程序）；•用“Trojanhorse”来监视登录名/口令。Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™通信协议中的安全风险ƒDoS攻击•Ping-of-Death•Teardrop•SYN-Flooding•LAND•邮件炸弹攻击ƒInternet地址欺骗ƒInternet路由选择袭击ƒ滥用ARP引起的广播风暴ƒUDP欺骗Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™服务程序上的安全问题——协议和应用程序的漏洞ƒ文件传输（FTP，TFTP，NFS）—非法访问ƒ远程应用（TELNET，RLOGIN，RSH，X-WINDOW）—非法访问ƒ电子邮件（SMTP）—恶意附件和脚本ƒ新闻组（NNTP）—恶意脚本ƒ即时通信（MSN、QQ）—盗号、窃取隐私、传播病毒和木马Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™入侵者常用工具和软件ƒ扫描器•Nmap（扫描网络，寻找存在漏洞的目标主机）•NSS（网络安全扫描器）•Strobe（超级优化TCP端口检测程序）•Jakal（秘密扫描器）•IdentTCPscan（识别TCP端口进程的所有者，自动识别错误配置）•CONNECT（用于扫描TFTP服务器子网）Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题Logo2010年11月20日5时54分NortheasternUniversity1.1开放的网络环境及其安全问题™入侵者常用工具和软件的介绍ƒSniffer监听•Sniffer既可以是硬件，也可以是软件，用于接收在网络上传输的信息。Logo2010年11月20日5时54分NortheasternUniversity1.2TCP/IPLogo2010年11月20日5时54分NortheasternUniversity1.2TCP/IPTCP/IP详解卷1：协议TCP/IP详解卷2：实现TCP/IPILLUSTRATEDVOLUME2TCP/IP详解卷3：TCP事务协议、HTTP、NNTP和UNIX域协议W.RichardStevens计算机网络AndrewS.TanenbaumLogo2010年11月20日5时54分NortheasternUniversity1.2.1TCP/IP协议的起源™TCP/IP起源于美国国防部高级研究规划署(DARPA)的一项研究计划——实现若干台主机的相互通信。™早期使用的是点对点通信为主的线路，不适应发展需求；™1974年，Kahn定义了昀早的TCP/IP参考模型；™1985年，Leiner等人进一步对它开展了研究；™1988年，Clark在参考模型出现后对其设计思想进行了讨论；™TCP/IP协议从出现到现在，一共出现了6个版本；ƒ目前我们使用的是版本4（IPv4），已成为Internet上通信的标准；ƒ将来趋势是使用版本6（IPv6）。Logo2010年11月20日5时54分NortheasternUniversity1.2.2TCP/IP协议的特点™TCP/IP协议主要有以下几个特点：ƒ开放的协议标准，可以免费使用，并且独立于特定的计算机硬件与操作系统；ƒ独立于特定的网络硬件，可以运行于局域网、广域网，更适用于互联网中；ƒ统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有惟一的地址；ƒ标准化的高层协议，可以提供多种可靠的用户服务。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™在网络出现的早期，国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)共同制定了开放系统互联的七层参考模型。™一台计算机操作系统中的网络过程包括从应用请求(在协议栈的顶部)到网络介质(底部)。™OSI参考模型把功能分成七个分立的层次。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™物理层ƒ物理层负责将信息编码成电流脉冲或其它信号用于网上传输。它定义了通讯网络之间物理链路的电气或机械特性，以及激活、维护和关闭这条链路的各项操作。ƒ物理层特征参数包括：•电压•数据传输率•最大传输距离•物理连接媒体等Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™数据链路层ƒ数据链路层通过物理网络链路提供可靠的数据传输。不同的数据链路层定义了不同的网络和协议特征，其中包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。•物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式；•网络拓扑结构定义了设备的物理连接方式，如总线拓扑结构和环拓扑结构；•错误校验向发生传输错误的上层协议告警；•数据帧序列重新整理并传输除序列以外的帧；•流控可能延缓数据的传输，以使接收设备不会因为在某一时刻接收到超过其处理能力的信息流而崩溃。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™网络层ƒ网络层负责在源和终点之间建立连接。ƒ它一般包括网络寻径，还可能包括流量控制、错误检查等。ƒ网络层将数据分成一定长度的分组，并在分组头中标识源和目的节点的逻辑地址，这些地址就象街区、门牌号一样，成为每个节点的标识；ƒ网络层的核心功能便是根据这些地址来获得从源到目的的路径，当有多条路径存在的情况下，还要负责进行路由选择。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™传输层Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™传输层ƒ传输层的功能包括流控、多路传输、虚电路管理及差错校验和恢复。•流控管理设备之间的数据传输，确保传输设备不发送比接收设备处理能力大的数据；•多路传输可使多个应用程序的数据传输到一个物理链路上；•虚电路由传输层建立、维护和终止；•差错校验包括为检测传输错误而建立的各种不同结构；•而差错恢复包括所采取的行动（如请求数据重发），以便解决发生的任何错误。ƒ传输控制协议（TCP）是提供可靠数据传输的TCP/IP协议族中的传输层协议。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™会话层ƒ会话层用于建立、管理和终止表示层与实体之间的通信会话。ƒ通信会话包括发生在不同网络应用层之间的服务请求和服务应答，这些请求与应答通过会话层的协议实现。它还包括创建检查点，使通信发生中断的时候可以返回到以前的一个状态。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™表示层ƒ表示层定义了一系列代码和代码转换功能，以保证源端数据在目的端同样能被识别。ƒ比如大家所熟悉的文本数据的ASCII码，表示图象的GIF或表示动画的MPEG等。Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™应用层Logo2010年11月20日5时54分NortheasternUniversity1.2.3OSI网络分层参考模型™应用层ƒ应用层并非由计算机上运行的实际应用软件组成，而是由向应用程序提供访