信息安全导论（5-2 网络安全－防火墙、入侵检测、反病毒）精选.pptVIP

* * * * * * * 4 反病毒技术 病毒与反病毒是互相对抗发展的，任何一种检测方法都不可能是万能的 反病毒技术需要根据病毒的必威体育精装版特点不断改进或发现新的方法 * 检测计算机病毒的基本方法 1. 外观检测法 病毒侵入计算机系统后，会使计算机系统的某些部分发生变化，引起一些异常现象，如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。可以根据这些异常现象来判断病毒的存在，尽早地发现病毒，并作适当处理 * 检测计算机病毒的基本方法 2. 特征代码法 将各种已知病毒的特征代码串组成病毒特征代码数据库。用特征代码数据库中的病毒特征代码逐一比较，就可确定被检计算机系统感染了何种病毒。 很多著名的病毒检测工具中广泛使用特征代码法。 特征代码法是检测已知病毒的最简单、开销最小的方法。 * 检测计算机病毒的基本方法 3. 虚拟机技术 多态性病毒或多型性病毒即俗称的变形病毒。多态性病毒每次感染后都改变其病毒密码。多态和变形病毒的出现让传统的特征值查毒技术无能为力。 使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动“虚拟机”模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。 其实质是让病毒在虚拟的环境中执行，从而原形毕露，无处藏身。 * 检测计算机病毒的基本方法 4. 启发式扫描技术 病毒和正常程序在指令特点上有很大区别。 一个运用启发式扫描技术的病毒检测软件，就是通过对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机。 * 防范计算机病毒的基本方法 不要轻易上一些不正规的网站。一些病毒、木马制造者正是利用人们的猎奇心理，引诱大家浏览他的网页，甚至下载文件，这样很容易使机器染上病毒。 提防电子邮件病毒的传播。在收到陌生可疑邮件时尽量不要打开，特别是对于带有附件的电子邮件更要小心。甚至有的是从你的好友发送的邮件中传到你机器上的。 对于渠道不明的光盘、软盘、U盘等便携存储器，使用之前应该查毒。对于从网络上下载的文件同样如此。 经常关注病毒报告，这样可以在未感染病毒的时候做到预先防范。 对于重要文件、数据做到定期备份。 不能因为担心病毒而不敢使用网络，时刻具有防范意识 * 小结 了解网络安全的相关技术 所涉及的后续课程 * 作业（第七次） 调研电信网的安全问题，完成一个调查报告 包括存在的安全威胁、可能的解决对策 * * * * * * * * * * * * * * * * * * * * * * * * * 2.1 基于网络的IDS 使用原始的网络数据包作为数据源，主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。 * 2.1 基于网络的IDS 使用四种常用技术来识别攻击标志： 模式、表达式或字节匹配 频率或穿越阈值 次要事件的相关性 统计学意义上的非常规现象检测 * 基于网络检测的优点 实施成本低 隐蔽性好 监测速度快 视野更宽 操作系统无关性 攻击者不易转移证据 * 基于网络检测的缺点 只能监视本网段的活动，精确度不高； 在交换网络环境下无能为力； 对加密数据无能为力； 防入侵欺骗的能力也比较差； 难以定位入侵者。 * 2.2 基于主机的IDS 通过监视与分析主机的审计记录和日志文件来检测入侵。 通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 主要用于保护运行关键应用的服务器。 * 基于主机IDS的优点 能够检测到基于网络的系统检测不到的攻击 安装、配置灵活 监控粒度更细 监视特定的系统活动 适用于交换及加密环境 不要求额外的硬件 * 基于主机入侵检测的缺点 占用主机的资源，在服务器上产生额外的负载 缺乏平台支持，可移植性差，应用范围受到严重限制； 例如，在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整个网络是入侵活动. 例如“旋转门柄”攻击，入侵者企图登录到网络主机，他对每台主机只试用一次用户ID和口令，并不进行暴力口令猜测，如果不成功，便转向其它主机. 对于这种攻击方式，各主机上的入侵检测系统显然无法检测到。这就需要建立面向网络的入侵检测系统. * 3 IDS基本技术 3.1 误用检测 3.2 异常检测 * 3.1 误用检测 适用于已知使用模式的可靠检测，这种方法的前提是入侵行为能按照某种方式进行特征编码。 如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入侵者即被检测到。 * 误用入侵检测模型 模式库 模式匹配 攻击者 警报 * 2. 异常检测 异常检测的前提是异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合。 行为是入侵行为，但不表现异常； 行为是入侵行为，且表现异常； 行为不是入侵行为，却表现异常； 行为既不是入侵行为，也不表现异常。 *