相关典型案例及网络攻防技术演示课件.ppt

典型案例及网络攻防技术演示,黄遵国 副研究员国防科大计算机学院,2,目 录,简短的结论,网络破坏问题,一、信息安全管窥,2022年12月20日星期二,关于信息安全的基本属性,机密性（Confidentiality） ：反映了信息与信息系统的不可被非授权者所利用 真实性（Authentication） ：反映了信息与信息系统的行为不被伪造、篡改、冒充可控性（controllability ）：反映了信息的流动与信息系统可被控制者所监控 可用性（Availability） ：反映了信息与信息系统可被授权者所正常使用,4,信息安全的基本属性视点,5,机密性（Cf）,真实性（Au）,可控性（Ct）,可用性（Av）,信息安全四要素：CACA,关于信息安全的两个主要视点,6,信息安全分层结构面向应用的信息安全框架,信息安全金三角（CIA）面向属性的信息安全框架,信息网络安全技术,物理安全技术：设备安全能源安全环境安全电磁安全人员安全介质安全,2022年12月20日星期二,7,运行安全技术(APPDRR),安全分析（A）:信息网络安全分析技术网络安全协议分析技术;系统安全漏洞扫描技术;网络与系统安全测试技术;网络与系统安全风险评估技术策略（P）:网络与系统安全策略;信息系统安全等级保护技术;网络安全模型技术;网络与系统安全指标体系,2022年12月20日星期二,8,运行安全技术（续）,防护（P）:网络与系统防护技术;网络安全管理技术;网络安全隔离技术;统一威胁防范（UTM）技术;入侵防护系统（IPS）技术;网络安全主动防御技术;网络防火墙技术;可信计算平台技术,2022年12月20日星期二,9,运行安全技术（续）,检测（D）:入侵检测（IDS）技术；网络监控（NDS）技术;恶意代码检测技术;主机监控（HDS）技术;蜜罐/蜜网/蜜猴技术;网络安全态势感知技术,2022年12月20日星期二,10,运行安全技术（续）,响应（R）:网络安全应急响应技术;网络安全审计技术;网络取证技术;网络攻击阻断技术;网络攻击清洗技术;IP地址溯源技术;网络与系统容侵技术;网络攻击躲避技术,2022年12月20日星期二,11,运行安全技术（续）,恢复（R）：网络安全恢复技术;网络与系统可生存技术;数据备份技术;网络与系统降级技术;网络与系统可靠性技术,2022年12月20日星期二,12,数据安全技术,防窃密：密码技术;对称密钥加密技术;公钥加密技术防篡改：数据完整性技术防抵赖：数字签名技术防伪造：身份认证技术,2022年12月20日星期二,13,内容安全技术,信息过滤技术舆情分析技术信息隐藏技术数字水印技术,2022年12月20日星期二,14,信息系统安全工程,安全生命周期过程安全与功能权衡技术风险评估技术信息安全保证技术,2022年12月20日星期二,15,信息安全的技术层次视点,16,系统安全,信息安全,层次结构,层面模型,信息对抗,信息内容对抗,信息自身 方面的安全,信息的隐藏与发现 信息的干绕与提取,关于信息利用的安全,指对信息有效内容真实性的隐藏、保护与分析。主要涉及信息有效内容的机密性、完整性等所涉及的主要技术：数据挖掘技术：发现信息隐写技术、水印技术：保护信息即时通、MSN等协议的分析技术：对特定协议的理解，VoIP识别技术：对数字化语音信息的理解音频识别与按内容匹配：锁定音频目标进行,17,863计划关注的重要技术灾难恢复与故障容错技术网络可生存性技术空间信息系统安全技术,信息安全的技术层次视点,18,系统自身的安全“系统安全”,Information Security,信息利用的安全“信息对抗”,信息自身的安全“信息安全”,层次结构结构层次,三级信息安全框架,信息内容对抗,二、棱镜风波,棱镜门,2013年6月，前美国中央情报局雇员、现国家安全局防务承包商博斯艾伦公司雇员斯诺登揭露美国政府的相关秘密监控工程和入侵行为。“棱镜”工程是美国国家安全局（NSA）所使用的网络情报系统的组成部分，利用美国主要互联网企业所提供的接口进行数据检索、查询和收集工作。谷歌、微软、苹果、脸谱等美国主流IT企业大多与此计划相关。美国国家安全局下属机构TAO对中国进行了长达15年的攻击，相关行动得到了思科的帮助。,美国四大秘密监视项目,美国国家安全局（NSA）执行的4个监视项目：,棱镜计划,棱镜监控的主要有10类信息：电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料所有细节都被政府监控。通过棱镜项目，国安局甚至可以实时监控一个人正在进行的网络搜索内容综合情报文件“总统每日简报”中在2012年内在1,477个计划使用了来自PRISM计划的资料,美国软硬件产品的部分后门传言,布什政府把信息安全真正提高到国家安全的高度，这对全世界信息安全的发展，对各国信息安全管理所产生的影响都是划时代的,三件具有划时代意义的事情破天荒地设立了总统信息安全顾问，负责美国众多信息系统和网络的安全管理与协调工作；2003年颁布了网络空间国家安全战略，这是一个国家为信息安全首次出台的一个国家信息安全战略；在布什总统任期结束前，推出了 更加全面系统的国家网路安全综 合计划，意在全面提高政府部门 的整体网络安全。,奥巴马：在全球化的当今世界中，保护我们的繁荣和安全将是一场长期而艰难的斗争，需要长年的耐心和坚韧不拔,研制下一代安全计算机和网络制定严格的新标准突显“加强领导，保护要害， 打击重点”特色的安全网络,信息安全的“曼哈顿计划”,国家网络安全综合计划（CNCI）于2008年1月8日由布什以第54号国家安全总统令和第23号国土安全总统令的形式签署国家网络安全综合计划（CNCI）高度、强度和广度体现了强烈的国家意志，因而被称为信息安全的“曼哈顿计划”预算高达300400亿美元，属高度机密,曼哈顿计划主要政策分析,1.部署一个覆盖整个联邦政府的网络入侵感应系统2.在所有联邦机构中安装网络入侵防御系统3. 制定并执行政府网络反情报（CI）计划4. 制定有效的威慑战略和计划5. 建立全方位的全球供应链风险管理机制,我们在其中,爱因斯坦向美国建议的原子弹计划，即曼哈顿工程一代加速了二战的结束曼哈顿工程二代也必将在历史上留下浓墨重彩的一笔这一次，我们都在这场信息安全保卫战中，是战士，也是卫士,F-Secure公司首席研究总监 2012Hack in Paris 黑客大会,Nuclear physics lots its innocence in 1945. Computer science lost its innocence in 2009. “1945年核物理不再纯洁，2009年计算机科学与技术已经不再纯洁”. （有感于2009年震网病毒发作）当从事编译、软件工程、密码学、网络通信、社会工程学等方面研究的计算机科学专家开始研究如何将他们的技术应用到病毒和网络战争的时候，计算机科学与技术的研究动机早已经不再纯洁,曼哈顿计划的目标,建立应对当前紧迫威胁的防线 通过建立和提高联邦政府内部对网络漏洞、威胁和安全事故风险的认识，最终通过各级政府和私营部门的合作，提高全社会采取果断行动、减少漏洞并预防入侵的能力；全面应对各类威胁 通过增强美国的反情报能力和增进关键信息技术供应链的安全，应对各种性质的网络安全威胁；强化未来网络安全环境 通过发展网络教育，协调和调整联邦政府相关研发工作，制定阻止敌对或恶意网络活动的战略，强化未来网络空间安全。,三、手机泄密,第一代：模拟移动通信,第二代：数字移动通信,第三代：宽带移动通信,1980 1990 2000 2010,年代,GSM的系统组成,基站控制器BSC基站收发信机BTS,移动交换中心MSC归属位置登记器HLR拜访位置登记器VLR鉴权中心AUC,MS+SIM,移动台,基站子系统BSS,移动交换子系统MSS,A接口,Um接口,第一代：几乎没有安全机制第二代：存在很多安全漏洞第三代：安全机制较完备，仍有漏洞,空中接口截获泄密实例,美国GSM 3060，实时破解GSM加密算法A5.1,问题：关机能防止被窃听吗？,只要手机装有电池，就存在被窃听的可能。所以在必要时应将手机的电池取出，彻底断绝手机的电源，或者将手机放在远离谈话场所的地方，避免遭到窃听。,回答：不能,特殊仪器可以摇控打开手机话筒进行窃听手机中有监听芯片,通信信息泄露思考题,位置信息泄露途径,1）无线电测向,2）移动定位系统,3）网络设备中的用户位置信息,4）手机中的位置信息,5）手机中的定位芯片,身份信息泄露隐患,手机身份标识外部身份与内部身份一般来说，通信信息泄露和位置信息泄露的前提就是要知道手机的身份，特别是内部身份身份信息泄露途径无线截获手机卡破解网络泄露,移动增值业务是由移动运营商、增值业务服务提供商（SP）和增值业务内容提供商（CP），通过计算机互联网和移动通信网的结合，共同向用户提供服务。,移动新业务与安全保密性比较脆弱的互联网紧密联系着，秘密信息可能传播到互联网上，也可能受到来自互联网的攻击。,计算机被攻击导致泄密,容易泄露位置信息,感染手机病毒,短信、无线上网、彩铃、彩信、移动位置服务、手机游戏、手机音乐、手机报纸、手机电视等,移动增值业务泄密隐患,6、其他泄密隐患,手机处于通话状态，实际上就是一部窃听器有些手机可能被安装窃听装置。对外交往进口手机、进口芯片，难以保证没有安全隐患,遥控开关手机手机在没有任何显示的情况下报告位置不为用户所知拨打电话记录通话内容、将通话内容发往第三方等,手机通过交叉调制把手机周围的电磁波信息调制发射出去，造成信息泄露,交叉调制泄露,调查结果(调查对象:100名大学生):用自已的中文拼音最多的-37人如：wanghai、zhangli等用常用的英文单词-23人如：hello、good、anything等用计算机中经常出现的单词-不安全口令是？18人如：system、command、copy、harddisk等用自已的出生日期-7人如：780403、199703等 在测试中，选择两个相同口令的有21人，接近相同的有33人。,53,“鹿弹扬基”行动（Operation Buckshot Yankee）,案例1 面向关键信息系统,外交杂志，“Defending a New Domain”，2010年9月,被认为是美军信息作战战略转型的重要推手之一,2007年4月5月，网络攻击规模广泛而且深入，被攻击目 标包括国会、政府部门、银行乃至媒体网站等 被部分专家视为第一场国家层次的网络战争,54,俄罗斯与爱沙尼亚、格鲁吉亚之间爆发的网络冲突,案例2 面向以互联网为代表的民用信息基础设施,2008年78月 战前，格信息基础设施即遭受网络攻击 与战争同步，格媒体、通信、交通以及大部分政府网站遭受攻击，总统萨卡什维利的个人主页被篡改 俄罗斯方面则表示，来自格鲁吉亚的黑客攻击了俄新社等新闻机构以及南奥塞梯政府官方网站,俄罗斯与爱沙尼亚、格鲁吉亚之间爆发的网络冲突,案例3 面向以互联网为代表的民用信息基础设施,55,2010年，位于纳坦兹的铀浓缩工厂遭受到“震网”蠕虫的攻击控制系统采用Windows操作系统和西门子SIMATIC WinCC控制软件在遭受到“震网”蠕虫的攻击之后，伊朗大量用于提炼浓缩铀的离心机发生连串故障,56,“震网”蠕虫(Stuxnet)对伊朗核设施的网络攻击,案例 4 面向工业控制系统和生产系统,57,“网络黎明”计划对利比亚石油生产系统的网络攻击,2011年，与多国部队在利比亚的“奥德赛黎明”（Operation Odyssey Dawn）军事行动相呼应，美、英等国的部分专家提交了“网络黎明”计划（Project Cyber Dawn），旨在使用网络攻击手段，对利比亚的石油生产系统进行破坏。,案例5 面向工业控制系统和生产系统,58,踩点示例：利用社交网络获取目标信息（1）,59,踩点示例：利用社交网络获取目标信息（2）,部分重要的社交网络用户数量及其信息数量（截止2011年12月）,踩点示例：利用社交网络获取目标信息（3）,60,社交网络可以提供大量极具价值的用户数据用户为了获得良好的使用体验，会上传部分真实的个人资料来标识自己的身份头像、性别、年龄、教育背景、工作经历、地理位置、,踩点示例：利用社交网络获取目标信息（4）,61,社交网络中用户间的社交关系（Social Graph）用户真实社交关系的映射，例如用户的好友列表、关注的人、粉丝、社交群（社区、社团）等借助社交关系可以构建社交背景（Social Context）社交网络数据的潜在收集者：市场营销人员、专业数据收集公司、政府机构、黑客组织、研究人员、,踩点示例：利用社交网络获取目标信息（5）,63,获取社交网络用户数据的重要手段搜索引擎：不需要账户登录，直接通过搜索引擎获得社交网络用户的部分资料，例如姓名、头像、个人爱好等社交网站提供的用户公开资料注册合法用户：利用有效的电子邮件、手机号码等注册合法用户，可以获得更丰富的用户资料劫持正常用户：利用木马、钓鱼等攻击方式获得合法用户的密码，其特殊价值在于可以躲避社交网站对虚假用户的检测利用社交网络安全策略的设计、实现漏洞,踩点示例：利用社交网络获取目标信息（8）,64,踩点示例：利用社交网络获取目标信息（9）,在未登录状态下浏览用户数据,65,注册合法用户，登录后浏览用户数据,66,利用社交网络安全策略的设计、实现漏洞以facebook为例，曾经公开报道过的可能导致用户资料泄露的设计、实现漏洞包括：facebook开发平台的FQL/API查询漏洞在facebook 开发平台中注册、加载的恶意程序在用户公开信息里包含好友列表的漏洞默认的隐私策略导致用户社交关系被网页爬虫抓取的漏洞传输层未加密导致用户账号、密码失窃的漏洞 ,踩点示例：利用社交网络获取目标信息（11）,67,微信腾讯公司开发的一种基于位置的移动社交应用。利用微信，可以获得部分用户的QQ号码以及微博信息。然后基于这些信息，有可能进一步地获得这些用户更为详尽的资料数据。,踩点示例：利用社交网络获取目标信息（12）,68,踩点示例：利用社交网络获取目标信息（13）,69,案例（7）,荷兰黑客涉嫌盗取信用卡数据被抓捕,主犯仅19岁2005年10月6日荷兰逮捕了3名涉嫌盗取他人信用卡数据、银行账户和在线支付信息的网络黑客，他们被指控通过黑客程序侵入了世界各地超过10万台电脑。侵入爱立信电脑系统黑客在瑞典被判刑非法侵入瑞典爱立信公司电脑系统的匈牙利电脑黑客，2005年4月4日被斯德哥尔摩地方法院以严重工业间谍罪判处有期徒刑3年。他同时被判犯有非法保存机密文件和非法入侵电脑罪。,案例（8）,木马病毒加密用户数据 勒索300美元赎回密码该木马能够加密Word文档、数据库、电子表格的内容;加密数据后，该特洛伊木马病毒会将自己删除掉;生成一个要求用户用300美元换取恢复这些内容所需要的密码文件。一个文本文件会指导用户将钱汇入e-gold公司99个帐户中的一个中。“绑架”文件索钱“黑客”洛阳落网虽然 “要价”都不高，但给政府和企业网站设定密码，让政府和企业遭受重大损失，并造成恶劣的社会影响。 今年30岁的陈亚兵只有小学文化程度。,四、网络破坏,了解敌人的水平-火焰系列病毒概况,火焰系列病毒的突出特点,一、组件化设计，功能复杂，体积庞大,桌面窗口相关数据,火焰系列病毒关联,震网Stuxnet 2009,震网Stuxnet 2010,毒区Duqu,火焰Flame,高斯Gauss,“AUTORUN.INF”模块,字符串解码程序,USB 感染模块,TILDED 平台,FLAME 平台,火焰系列病毒的突出特点,二、具有高级攻击技巧和多样的传播手段,扫描网络资源能够在特定的域内实现远程自行传播，感染32位Windows XP、 Windows Vista 和 Windows 7 系统大量使用零日漏洞，如被Stuxnet利用的Print Spooler和lnk漏洞通过 USB 闪存和局域网攻击新系统(缓慢传播)通过伪造Windows更新MITM代理服务器对网络里的Windows机器 推送病毒（拥有有效的微软数字签名，如何得到的？）,传播技术,火焰系列病毒的突出特点,三、具有高度隐蔽和自保护能力,大量使用代码混淆技术利用 PE 加密资源能够侦测破坏100多种安全防护产品隐藏文件使用数据库存储程序功能模块寄生到合法程序 使用了5种加密方法，难以破解带有自毁清除模块,自保护技术,2010年，位于纳坦兹的铀浓缩工厂遭受到“震网”蠕虫的攻击控制系统采用Windows操作系统和西门子SIMATIC WinCC控制软件在遭受到“震网”蠕虫的攻击之后，伊朗大量用于提炼浓缩铀的离心机发生连串故障,78,“震网”蠕虫(Stuxnet)对伊朗核设施的网络攻击,案例 面向工业控制系统和生产系统,79,“网络黎明”计划对利比亚石油生产系统的网络攻击,2011年，与多国部队在利比亚的“奥德赛黎明”（Operation Odyssey Dawn）军事行动相呼应，美、英等国的部分专家提交了“网络黎明”计划（Project Cyber Dawn），旨在使用网络攻击手段，对利比亚的石油生产系统进行破坏。,案例 面向工业控制系统和生产系统,暴露出的问题,战术方面手段落后通信机制简单陈旧，造成一点发现全网暴露使用的域名易被追踪抗攻击溯源能力差攻击源“汇聚”到了上海,攻击发源地,攻击源IP分布情况,开放互联电话网不再是封闭式网络，移动网、互联网的泄密隐患带到了电话网专网不专,开放互联与技术发展带来的安全隐患,主机防火墙：防范网络攻击杀毒软件：防范病毒、蠕虫安全补丁：防止漏洞被利用浏览和下载：防止木马定期备份：关键数据安全,攻击者处于中间人的位置，窃听或篡改通信数据,攻击者,服务器,客户程序,主机A：您的主机,FTP服务器,主机B：安装了“窃听程序”的主机,Username：studentPassword：Tmd%234,如B处于主机A和服务器之间通信的信道上，就可以“窃听到”A的用户名和口令。,窃取各种用户名和口令窃取机密的信息如电子邮件、聊天内容、网络打印的文档等 窥探底层的协议信息如DNS的IP地址、本机IP地址、本机MAC地址，远程主机的IP地址、网关的IP地址等中间人攻击时篡改数据的基础,终端,终端（拨号）,防火墙,网管工作站,服务器,入侵检测,PSTN、ISDN等,网络对抗,恶意代码漏洞挖掘操作系统实现，模糊测试，符号化执行，逆向分析漏洞利用指令体系，程序结构，操作系统内核实现，网络协议实现踪迹隐藏操作系统内核反检测与反分析安防系统避绕，代码混淆，编译技术，密码学各种应用层手段,88,1984年的科幻小说神经漫游者网络与人的思想意识结合一体后的信息空间美军指利用电子线路和电磁频谱，经由联网系统和相关物理基础设施进行数据存储、处理和交换的域。,网络空间与赛伯空间（CyberSpace）的关系,赛伯空间（Cyber Space）,一个发展中概念,89,网络化作战体系：包括网络化的战场环境、武器装备、作战行动、指挥控制及综合保障网络空间：区别于电磁波构成的电磁空间，由各种信息基础设施组成的一个彼此依存的网络（主要指计算机网络）及建立其上的各种应用信息系统。,网络空间与赛伯空间（CyberSpace）的关系,网络空间,狭义概念,美国从二十世纪末开始，就开始通过遍布全球的多个监测点，对整个互联网的结构实施扫描探测圣迭戈超级计算中心发起的Skitter项目该项目运转了大约8年的时间从全球大约20-25个监测点，对大约63万个互联网目标进行周期性的探测扫描先后扫描和记录了整个Internet中超过120亿条网络路径的相关信息,90,网络探测扫描技术,2007年9月，Skitter项目正式被Ark项目取代截止2008年12月，Ark项目已经在22个国家部署了33个监测点，扫描和记录了大约21亿条网络路径的相关信息,91,tempest,例如：水门窃听事件,水门窃听用的接收器,电话终端泄密实例,美国“常青藤吊钟”计划，“深海防水感应窃听器”窃听前苏联海底电缆,电缆传播泄密实例,光纤窃听设备的基本原理,“摆渡”攻击的威胁,“摆渡”攻击的威胁,“摆渡”攻击的威胁,100,渗透潜伏技术：恶意代码,恶意代码种类 木马 后门 病毒 蠕虫,101,a%#$2,渗透潜伏技术：恶意代码,木马,一种具有自主执行能力的代码，典型特点是在植入系统驻留甚至激活运行的时候，能够将自己伪装成合法代码的形式，或者与合法程序捆绑在一起，以躲避用户检查,103,美军网络攻击装备,网络侦察系统,“舒特” 网络战系统,储备大量木马、病毒和蠕虫,美军,2009年6月组建网络战司令部,105,网络安全防护基本方针,网络安全防护的十六字方针,积极预防,及时发现,确保恢复,快速反应,保障体系,107,防御技术：网络隔离、数据隔离 检测技术：入侵检测、行为监控 响应技术：容侵恢复、跟踪反制,网络安全防护关键技术,三类代表性的网络防护技术,行为监控技术,行为监控形成分析发现攻击活动的能力,A,B,C,D,网络状态事件回放,行为监控技术,网络行为数据实时存储，网络安全态势实时显示,A,B,C,D,网络安全态势实时监控,110,典型网络防护装备：美军,美军网络防护装备,军用防火墙,军用路由器,军用数据存储设备,军用网管,“网络狼” 攻击嗅探系统,深度网络攻击告警系统,无线网入侵检测系统,111,由美国赛门铁克公司研发，包含“深查威胁管理子系统”和“深查告警服务子系统”,典型网络防护装备：美军,可对计算机系统潜在的威胁作出告警并推荐相应的反应手段全球180多个国家和地区，19000多家公司的防火墙和入侵检测系统中的攻击数据全球1600多家信息产品供应商，3200多种信息产品在安全性方面的脆弱性,深度网络攻击告警系统,112,安全防护技术的发展趋势,113,网络安全防护的立足点,网络上的一切行为都是有迹可循的，只要方法得当，网络攻击行为就能够被及时发现和处置，其危害也能够被控制,网络安全防护的基本途径,构建纵深防御系统，尽早发现堵塞漏洞，阻止攻击方进入网络信息系统，有效控制攻击造成的危害，形成反制威慑能力,五、简单的结论,115,几点感悟,115,信息安全是一项系统工程 涉及到方方面面的问题，难采用单一措施、单一技术手段 必须综合运用管理、法律、技术等各方面的手段、措施信息安全是一门科学 保密工作长期实践，形成成熟的方针、基本原则、指导思想 具备保密管理、保密法制、保密技术等方面的基本理论 发展成为一门具有自身特点和规律，覆盖管理、法律、技术等多方面学科和学科交叉的综合性学科领域信息安全是成长发展中的问题必须以科学发展观为指导，对保密工作进行系统的、科学的研究,116,116,谢谢！,