网络安全原理期末

计算机网络安全： 计算机网络中的硬件资源和信息资源的安全性，它通过网络信息的产生、存储、传输和使用过程来实现

安全属性包括机密性、完整性、可用性、不可否认性、可靠性、可信性。

网络安全的四个基本要素： 网络空间载体、网络空间资源、网络活动主体、网络活动形式

按照发起攻击的来源区分可将攻击分为三类：外部攻击、内部攻击、行为滥用

按照攻击对被攻击对象的影响可分为被动攻击和主动攻击

被动攻击： 攻击者监听网络通信时的报文流，从而获取报文内容或者其他与通信有关的秘密信息，主要包括内容监听，通信流量分析

主动攻击： 攻击者需要对攻击目标发送攻击报文、或者中断、重放、篡改目标间的通信报文等手段来达到欺骗、控制、瘫痪目标，劫持目标间的通信链接，中断目标间的通信等目的，如网络扫描，ARP欺骗，缓冲区溢出攻击、拒绝服务攻击 从

按攻击的实施过程可分为网络侦察、网络扫描、网络渗透、权限提升、维持及破坏、汇总灭迹

密码系统由五部分组成可以描述为 S={M,C,K,E,D} ,明文空间，密文空间，密钥空间，加密算法，解密算法

密钥的安全由两方面因素决定，一是密码系统使用的密钥严格保密，防止他人获知；二是要保证密码系统的密钥空间足够大，防止攻击者通过穷举密钥的方法破译

对称密码系统对明文信息加密主要采用序列密码和分组密码

序列密码的工作原理是将明文消息以比特为单位逐位加密，分组密码是将明文以固定长度划分多组，加密时每个明文分组在相同密钥的控制下，通过加密算法运算产生与明文分组等长的密文分组

消息认证： 接收方在接收到消息以后对消息进行检查，确保自己接收的消息与发送方发送的消息相同。 加密是确保消息内容完整性的有效方法

完整的数据签名体制需要满足：签名不能伪造，签名不可抵赖，文件在签名后不可改变，签名不可重复使用，签名容易验证

身份认证： 计算机及网络系统确认操作者身份的过程

身份认证技术主要包括口令认证，信物认证，地址认证，用户特征认证和密码学认证

证书签发的过程： 用户向RA申请注册，经RA批准后由CA产生密钥，并签发证书，将密钥进行备份，将证书存入证书目录，CA将颁发的证书信息存入证书证书目录，以便用户下载或者查询，CA将证书副本送给RA，RA进行登记，RA将证书副本送给用户

碎片攻击：利用Windows3.1,Windows95,WindowsNT和低版本的Linux中处理IP分片时的漏洞，向受害者发送分片偏移地址异常的UDP数据包分片，使得目标主机在重组分片时出现异常而导致崩溃或重启

Ping of Death攻击： 利用协议实现时的漏洞向受害者发送超长的Ping数据包，导致受害者系统异常，如死机、重启或崩溃。

Land攻击是利用主机在处理TCP连接请求上的安全漏洞，其攻击原理是用一个特别构造的TCPSYN包，该数据包的源地址和目的地 f址都被设置为受害者主机的IP地址，此举将导致收到的该数据包的主机向自己回复TCPSYN+ACK消息，结果主机又发回自己一个ACK消息并创建一个空连接。 被攻击的主机每接收一个这样的数据包，都将创建一条新连接并保持，直到超时。最终导致主机挂起、崩溃或者重启 ，Land攻击的前提是所使用的端口必须是打开的，否则主机将直接回复一个TCPRST包，终止三次握手过程。

循环攻击的攻击原理： 当两个都会产生输出的端口之间建立连接之后，第一个端口的输出成为第二个端口的输入，导致第二个端口产生输出；同时第二个端口的输出又成为第一个端口的输入。如此一来，两个端口间将会有大量的数据包产生，导致拒绝服务

0day漏洞是指还未被厂商公开宣布的漏洞，这意味着攻击者已经知道这个漏洞的存在，并且已经利用它进行攻击。

漏洞的产生包含设计时，实现时，配置管理不当

安全漏洞：系统基础设计导致漏洞，编码错误导致漏洞，安全策略实施错误导致漏洞，系统开发人员刻意留下来的后门

跨站脚本攻击（XSS），是一种典型的Web程序漏洞利用攻击。 攻击者利用Web程序对用户输入检查不足的漏洞将可执行恶意脚本注入网站或Web应用，当用户访问网页时触发恶意脚本的执行，从而达到窃取用户个人数据、弹出广告，甚至篡改网页内容等攻击目的。

水坑攻击(Watering Hole Attack)是攻击者入侵被攻击者经常访问的网站，并植入攻击代码，在被击者正常浏览网站的过程中使攻击代码对被攻击系统生效，从而获得对该系统的访问权，这种攻击的目标一般是用户的Web浏览器，这通常会让攻击者直接进入内部网络中的系统，而不是DMZ中的外部系统。

黑市是指未经政府批准而非法形成的，以交易不许上市的商品或以高于 公开市场价格 的价格，秘密进行买卖为其特征的市场。

暗网是互联网中隐藏的部分，需要特定的软件才能访问，传统搜索引擎无法对其进行索引

防火墙是部署于不同安全域之间，对经过的数据流进行解析，具备网络层，应用层访问控制及安全防护功能的网络安全产品

防火墙具有网络层控制，应用层控制，攻击防护，安全审计、告警与统计

网络防火墙的工作原理： 过滤掉异常或不受信任的流量，允许正常或受信任的流量通过

入侵检测技术就是一种检测各类攻击行为的技术，其目的是发现攻击行为并向用户告警，为信息系统的安全提供保证。

反射攻击是一种网络攻击，攻击者向服务器发送大量的请求，每个请求都以受害者的IP地址为源地址。 服务器对这些请求作出回应，向受害者发送大量的回应。 这可能导致受害者的网络连接过载，破坏他们对互联网或其他网络资源的访问。

LAND攻击（局域网拒绝服务攻击，LAND attack），是拒绝服务攻击 （DoS攻击）的一种，通过发送精心构造的、具有相同源地址和目标地址的 欺骗 数据包 ，致使缺乏相应防护机制的目标设备瘫痪。

DNS的安全隐患: 1.防火墙不会限制对DNS的访问； 2.DNS可以泄漏内部的网络拓扑结构； 3.DNS存在许多简单有效的远程缓冲溢出攻击； 4.几乎所有的网站都需要DNS； 5.DNS的本身性能问题可是关系到整个应用的关键

DNS解析原理

1、用户请求通过浏览器输入要访问网站的地址，例如：www.51cto.com。 ... 2、通过计算机本地的Host文件配置，可以设置URL和IP地址的映射关系。 ... 3、请求Local DNS Server，通过本地运营商获取URL和IP的映射关系。 ... 4、通过Root DNS Server进行解析，ROOT DNS Server会根据请求的URL 返回给Local DNS Server顶级域名服务器的地址。 ... 5、返回顶级域名服务器的地址以后，访问对应的顶级域名服务器（gTLD、ccTLD、New gTLD），并且返回Name Server服务器地址。 ... 6、Name Server会把指定域名的A记录或者CNAME返回给Local DNS Server，并且设置一个TTL。

著名的黑市： 丝绸之路，AlphaBay，Hansa Market，Dream Market，Wall Street Market，Empire Market

网络安全和工业互联网安全

网络安全涉及保护计算机系统和网络免受信息泄露、盗窃或破坏。工业互联网安全专注于保护工业控制系统（ICS）和工业物联网（IIoT）设备，确保它们的安全性和可靠性。

拒绝服务攻击 (DoS) 和反射型拒绝服务攻击 (RDoS)

特点

• DoS 攻击：通过向目标系统发送大量请求，耗尽其资源，使其无法正常提供服务。
• RDoS 攻击：利用第三方服务器反射攻击流量，使攻击源难以追踪，同时放大攻击流量。

工作过程

• DoS 攻击：攻击者直接向目标发送大量请求，导致目标系统资源耗尽。
• RDoS 攻击：攻击者向第三方服务器发送请求，伪装成目标系统地址，第三方服务器将响应流量发送到目标系统，形成反射攻击。

能干什么

• 使目标系统瘫痪，无法正常提供服务。
• 消耗目标系统和网络的带宽和资源。

高级可持续性攻击 (APT)

特点

• 高级性：使用复杂的攻击手段和工具。
• 持续性：攻击者长期潜伏在目标系统内，持续窃取数据或破坏系统。
• 隐蔽性：攻击手段隐蔽，难以被发现。

工作过程

1. 初始入侵：通过钓鱼邮件、恶意软件等手段获取初始访问权限。
2. 建立立足点：在目标系统内建立后门，确保持续访问。
3. 横向移动：在目标网络内横向移动，获取更多权限。
4. 数据窃取：窃取敏感数据，或破坏系统。
5. 清除痕迹：隐藏攻击痕迹，避免被发现。

能干什么

• 窃取敏感数据，如知识产权、商业机密。
• 破坏系统，导致业务中断。
• 获取长期访问权限，持续监控和控制目标系统。

入侵检测系统（IDS）和防火墙设计

结合特征检测和异常检测的原理，设计一个入侵检测系统（IDS）和防火墙来检测和防御上述攻击类型。

系统架构

1. 数据收集模块：收集网络流量、系统日志、用户行为等数据。
2. 特征提取模块：提取网络流量特征、用户行为特征、系统日志特征等。
3. 检测模块：包括特征检测和异常检测。
   • 特征检测：基于已知攻击特征，匹配检测攻击行为。
   • 异常检测：基于机器学习和统计分析，检测异常行为。
4. 响应模块：对检测到的攻击行为进行响应，如报警、阻断流量、隔离受感染系统。

检测方法

1. 特征检测

   • DoS/RDoS 攻击：检测异常高的流量、特定端口的大量请求、反射攻击特征（如伪造源地址）。
   • APT 攻击：检测已知的恶意软件签名、钓鱼邮件特征、后门程序特征等。

2. 异常检测

   • 流量异常检测：使用统计分析和机器学习模型（如K-means、DBSCAN）检测异常高的流量、异常的流量模式。
   • 行为异常检测：使用用户行为分析（UBA），建立正常行为基线，检测异常的登录行为、权限提升行为、横向移动行为等。
   • 系统日志分析：使用自然语言处理（NLP）和机器学习模型（如LSTM）分析系统日志，检测异常日志事件。

防火墙设计

• 包过滤防火墙：根据预定义的规则过滤进出网络的数据包，阻止已知的恶意流量。
• 状态检测防火墙：跟踪连接状态，阻止异常连接和会话。
• 应用层防火墙：深入分析应用层数据，检测和阻止应用层攻击。

工作流程

1. 数据收集：实时收集网络流量、系统日志、用户行为数据。
2. 特征提取：提取关键特征，如流量模式、用户行为特征、日志事件。
3. 特征匹配：使用特征检测模块匹配已知攻击特征。
4. 异常检测：使用异常检测模块检测异常行为和流量。
5. 报警和响应：对于检测到的攻击行为，生成报警，并触发响应机制，如阻断流量、隔离受感染系统。

技术实现

• 数据收集：使用网络流量分析工具（如Wireshark）、系统日志收集工具（如ELK Stack）、用户行为监控工具。
• 特征提取：使用流量分析算法、日志解析工具、行为分析算法。
• 检测模块：实现特征检测算法和异常检测算法，使用机器学习框架（如Scikit-learn、TensorFlow）训练和部署模型。
• 报警和响应：集成报警系统（如SIEM），实现自动化响应机制。

示例实现

1. 数据收集模块

• 使用网络流量监控工具如Wireshark或TShark来实时捕获流量数据。
• 使用ELK Stack（Elasticsearch, Logstash, Kibana）来收集和分析系统日志。

2. 特征提取模块

• 使用Python脚本或工具如Bro（Zeek）来提取流量特征。
• 使用日志解析工具如Logstash来提取日志特征。

3. 检测模块

• 特征检测：使用Snort或Suricata来匹配已知攻击特征。
• 异常检测：使用Scikit-learn或TensorFlow训练的机器学习模型来检测异常行为。

4. 防火墙模块

• 使用iptables或pfSense实现包过滤和状态检测防火墙。
• 使用ModSecurity实现应用层防火墙。

5. 响应模块

• 集成SIEM系统（如Splunk）来生成报警和自动化响应。

通过以上设计，可以构建一个综合的入侵检测系统和防火墙，有效检测和防御拒绝服务攻击、反射型拒绝服务攻击和高级可持续性攻击。