网络安全威胁类型：

1.窃听：广播式网络系统。

2.假冒

3.重放：重复一份报文或者报文的一部分，以便产生一个被授权的效果。

4.流量分析

5.数据完整性破坏

6.拒绝服务

7.资源的非授权使用

8.陷门和特洛伊木马：木马病毒有客户端和服务端两个版本，不具备自我复制性。

9.病毒：自我复制。

10.诽谤

网络攻击：

攻击是指任何的非授权行为。

1.被动攻击：广播网。监视所有信息流来获取秘密。

   可以是基于网络（跟踪通信链路）或者基于系统（用秘密抓取数据的特洛伊木马代替系统部件）。

   最难发现。主要对付手段是数据加密等预防手段。

2.主动攻击：涉及数据流的修改或创建错误流。

   攻击形式：假冒、重放、欺骗、消息篡改、拒绝服务。

   无法预防但易于检测。主要对付手段有：防火墙、入侵检测系统等检测手段。

3.物理临近攻击：

4.内部人员攻击：

5.分发攻击：

安全措施的目标：

1.访问控制：确保会话对方（人或计算机）有权做它所声称的事情。

2.认证：确保会话对方的资源（人或计算机）与它声称的一致。

3.完整性：确保接收到的信息与发送的一致。

4.审计：确保任何发生的交易在事后都可以被证实，发信者和收信者都认为交换发生过，即所谓的不可抵赖性。

5.保密：确保敏感信息不被窃听。

基本安全技术：

1.数据加密

2.数字签名

3.身份认证

4.防火墙

5.内部检查

信息加密技术：

传统的加密系统是以密钥为基础的，对称加密。

公钥是一种非对称加密方法。

经典加密技术：

1.替换加密

2.换位加密

3.一次性填充

现代加密技术：

使用的基本方法仍然是替换和换位，但是采用更加复杂的加密算法和简单的密钥，而且增加了主动攻击的手段。

DES：

明文被分为64位的块，对每个块进行19次变换（替代和换位），其中16次变换由56位的密钥的不同排列形式控制（IBM采用的是128位的密钥。），最后产生64位的密文块。对称加密。

三重DES：

112位密钥。

IDEA：

对称加密。可以用硬件或软件实现，比DES速度快。使用128位密钥，把明文分成64位的块，进行8轮迭代加密。

对密码分析具有很强的抵抗能力，已成为全球通用的加密标准。

高级加密标准AES：

对称加密。支持128、192、256位3种密钥长度，能够在时间范围内免版税使用，提供的安全级别足以保护未来20~30年内的数据，可以提供硬件或软件实现。

流加密算法：

将数据流与密钥生成二进制比特流进行异或运算的加密过程。

最常用的流加密算法有RC2~RC6，其中RC4最常用的。

RC4：

密钥长度可以选择64位或128位。256内的加法、置换和异或运算。

以上加密算法中使用的加密密钥和解密密钥是相同的，称为共享密钥算法或对称密钥算法。

公钥加密算法：

用公钥加密，私钥解密，实现保密通信。

用私钥加密，公钥解密，实现数字签名。

RSA算法：

非对称加密算法。基于大素数分界的困难性。

认证：

1.实体认证：识别通信双方的身份，防止假冒，可以使用数字签名的方法。

2.消息认证：验证消息在传送或者存储过程中有没有被篡改，通常使用报文摘要的方法（摘要算法）。

基于公钥的认证可以排除重放的可能性。

公钥可以实现加密、认证。

数字签名：

1.基于密钥的数字签名。

2.基于公钥的数字签名。

报文摘要MD：

用于差错控制的报文检验是根据冗余位检查报文是否受到信道干扰的影响。与之类似的报文摘要方案是计算密码校验和，即固定长度的认证码，附加在消息后面发送，根据认证码检查报文是否被篡改。

由于报文摘要是原报文唯一的压缩表示，代表了原来报文的特征，所以也叫做数字指纹。

散列算法，基于私钥，适用于量大、不便于加解密的数据传输。

数据的散列值可以检验数据的完整性。

还可以用于加速数字加密算法。

报文摘要算法MD5：

安全散列算法SHA：

散列式报文认证码（HMAC）是利用对称密钥生成报文认证的散列算法，可以提供数据完整性数据源身份认证。一个典型应用是在“提问/响应”式身份认证中。

数字证书：

采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。

每个用户用自己的私钥来进行解密和签名。同时设置一个公钥，为一组用户共享，用于加密和认证。

虚拟专用网VPN：

建立在公用网上的、由某一组织或某一群用户专用的通信网络。虚拟性、专用性。

实现VPN的关键技术：

1.隧道技术：通过使用因特网基础设施在物理之间传递数据的方式。

隧道协议将其他协议的数据包重新封装在新的包头中发送，新的包头提供路由信息，从而使封装的负载数据能够通过因特网传递。

数据链路层、网络层、传输层。

2.加解密技术：实现保密通信。

3.密钥管理技术：

4.身份认证技术：

VPN的解决方案：

1.内联网VPN：企业内部虚拟专用网也叫内联网VPN。

用于实现企业内部各个LAN之间的安全互联。

2.外联网VPN：企业外部虚拟专用网也叫外联网VPN。

用于实现企业与客户、供应商和其他相关群体之间的互联互通。

3.远程接入VPN：解决远程用户访问企业内部网络的方法。（传统方法是采用长途拨号方式接入企业的网络访问服务器）。

通过一个拥有与专用网络相同策略的共享基础设施提供对企业内部网或外部网的远程访问。

能使用户随时随地以其所需的方式访问企业内部的网络资源。

第二层隧道协议：

隧道协议（PPTP和L2TP）把数据封装在PPP协议的帧中在因特网上传输。

PPP协议：可以在点对点链路上传递多种上层协议的数据包。

数据链路层协议：

包含成分：

1.封装协议：用于包装各种上层协议的数据报。提供了在同一链路上传输各种网络层协议的多路复用功能，也你能与各种常见的支持硬件保持兼容。

2.链路控制协议LCP：

1.链路配置分组：用于建立和配置链路。

2.链路终结分组：用于终止链路。

3.链路维护分组：用于链路管理和排错。

3.网络控制协议：在PPP的链路建立过程中的最后阶段将选择承载的网络层协议。例如：IP、IPX、等。

PPP拨号过程：

1.链路建立：PPP通过链路控制协议建立、维护或终止逻辑连接。在这个阶段，将对通信方式（数据压缩、加密以及认证协议的参数等）进行协商。

2.用户认证：客户端将自己的身份证明发送给网络接入服务器进行身份认证。如果认证失败，连接被终止。

在这一阶段，只传送链路控制协议、认证协议和链路质量监控协议的分组，其他分组都被丢弃。

最常用的认证协议有PAP和CHAP。

PAP：口令认证协议，简单的明文认证方式。不安全。

CHAP：挑战——握手验证协议，三次握手认证协议，传输由用户密码生成的散列值。

3.调用网络层协议：调用在链路建立阶段选择的网络控制协议。

PPTP点对点隧道协议：在PAC（PPTP接入集中器）和PNS（PPTP网络服务器）之间对拨入的电路交换呼叫进行控制和管理，并传送PPP数据的协议。

只在PAC和PNS之间实现，与其他任何设备无关，连接到PAC的拨号网络也与PPTP无关，标准的PPP客户端软件仍然可以在PPP链路上进行操作。

在一对PAS和PNS之间必须建立两条并行的PPTP连接。一条是运行在TCP协议上的控制连接，一条是传输PPP协议数据单元的IP隧道。

L2TP：用于把各种拨号服务集成到ISP的服务提供点。

报文类型：

1.控制报文：用于建立、维护和释放隧道和呼叫。

2.数据报文：用于封装PPP帧，以便在隧道中传输。

控制报文使用了可靠的控制信道以保证提交，数据报文被丢失后不再重传。

在IP网上使用UDP和一系列的L2TP消息对隧道进行维护，同时使用UDP将L2TP封装的PPP帧通过隧道发送，可以对封装的PPP帧中的负载数据进行加密或压缩。

PPTP和L2TP的对比：

都使用PP协议对数据进行封装，添加附加包头用于数据在互联网上的传输。

1.PPTP要求因特网为IP网络。

  L2TP只要求隧道媒介提供面向数据包的点对点链路。

  L2TP可以在IP（使用UDP）、帧中继永久虚拟电路、X.25虚电路或ATM网络上使用。

2.L2TP可以提供包头压缩，此时系统开销占用4个字节，而在PPTP协议下占用6个字节。

3.L2TP可以提供隧道验证，PPTP不支持隧道验证。但是当二者与IPSec共同使用时，由IPSec提供隧道验证。

IPSec：用于增强网络的安全性。

提供的安全服务：

1.数据完整性。保证数据的完整性，防止未授权地生成、修改或删除数据。

2.认证。保证接收的数据与发送的相同，保证实际发送者就是声称的发送者。

3.保密性。传输的数据是经过加密的，只有预定的接收者知道发送的内容。

4.应用透明的安全性。任何网络服务和网络应用都可以不经修改地从标准IP 转为IPSec，同时，IPSec通信也可以透明地通过现有的IP路由器。

功能：

1.认证头AH：用于数据完整性认证和数据源认证。但是不提供保密服务。

2.封装安全负荷ESP：提供数据保密性和数据完整性认证，也包括了防止重放攻击的顺序号。

3.Internet密钥交换协议IKE：用于生成和分发在ESP和AH中使用的密钥，也对远程系统进行初始认证。

认证头支持的认证算法：

1.HMAC-SHA1：128位密钥。

2.HMAC-MD5：160位密钥。

两种模式：传输模式：IPSec认证头插入原来的IP头之后，IP数据和IP头用来计算AH认证值。变化字段实际上并没有被认证。

隧道模式：IPSec用新的IP头封装原来的IP数据报，原来IP数据报的所有的字段都经过了认证。

封装安全负荷：提供数据加密功能。

ESP利用对称密钥对IP数据进行加密。

支持的加密算法：

1.DES-CBC：56位密钥。

2.3DES-CBC：56位密钥。

3.AES128-CBC：128位密钥。

带认证的封装安全负荷：ESP加密算法本身并没有提供认证算法，不能保证数据的完整性。

Internet密钥交换协议：IPSec在传送认证或加密数据之前，就协议、加密算法和使用的密钥进行协商，并且在密钥交换之前还要对远程系统进行初始的认证。

安全套接层SSL：

传输错安全协议。用于实现web安全通信。实现两个应用实体之间安全可靠的通信。分为两层底层是SSL记录协议，运行在TCP之上，用于封装各种上层协议，另一个是SSL握手协议，由服务器和客户端用来进行身份认证，并且协商通信中使用的加密算法和密钥。

使用对称密钥，连接是保密的。

对等实体可以利用对称密钥算法相互认证。

连接是可靠的。

计算机病毒：

4个阶段：

1.潜伏阶段：病毒处于未运行状态，一般需要某个事件激活。并不是所有的病毒都需要经历这一阶段。

2.繁殖阶段：副本。

3.触发阶段：病毒激活。

4.执行阶段：

分类：

1.系统病毒：一般共同特性是感染Windows的exe和dll文件，并通过这些文件进行传播。如：win32、PE、win95、W32、W95、CIH病毒。

2.蠕虫病毒：前缀是worm，通过网络或者系统漏洞传播，大部分都有向外界发送带毒邮件、阻塞网络的特性。如：冲击波病毒（阻塞网络）、小邮差病毒（发送带毒邮件）。

3.木马病毒或黑客病毒：前缀分别为Trojan和hack，

木马病毒通过网络或系统漏洞进入用户系统并隐藏起来，然后向外界泄露用户的解密信息。

黑客病毒有一个可视的界面，能对用户的计算机进行远程控制。

木马和黑客往往成对出现。

当病毒名中有PSW或PWD时，表示这种病毒有盗取密码的功能。

4.脚本病毒：前缀是script、VBS、JS，使用脚本语言编写，通过网页进行传播。

5.宏病毒：前缀是macro，第二前缀是word、word97、excel、excel97等，一种寄存在文档或文档模板的宏中的计算机病毒。

6.后门病毒：前缀是backdoor，通过网络传播，给系统开后门。

7.病毒种植程序：前缀是dropper，运行时会释放一个或几个新病毒，存放在系统目录下，并由释放出来的新病毒产生破坏作用。

8.破坏性程序病毒：前缀是harm，本身具有好看的图标来诱惑用户点击，当用户点击图标后，便会对计算机产生破坏。

9.玩笑病毒：前缀是joke，本身具有好看的图标，当用户点击后，会出现破坏性画面来吓唬用户，并没有对计算机进行任何破坏。

10.捆绑机病毒：前缀是binder，使用特定的捆绑程序将病毒与一些应用程序绑定起来，表面上看是一个正常文件。

DOS病毒会针对某台主机或者服务器进行DOS攻击。

Exploit病毒会通过溢出系统漏洞来传播自身，或者其本身就是一个用于Hacking的溢出工具。

HackTool是一种黑客工具，也许它本身并不破坏用户的机器，但是会被别人利用，劫持工具区破坏其他人。

入侵检测系统IDS：

作为防火墙之后的第二道安全屏障，通过对计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析，从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象。

主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计和跟踪，以及违反安全策略的用户行为的检测等。

是一个监听设备，无须跨接在任何链路上，不产生任何网络流量就可以工作。一般选择在尽可能靠近攻击源或者尽可能接近受保护资源的地方：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。

根据入侵检测系统的信息来源，可以分为：

1.基于主机的IDS：HIDS，针对主机或服务器的入侵行为进行检测。

不需要额外的硬件，性价比较高，检测更加细致，误报率较低，适用于加密和交换的环境，对网络流量不敏感，而且可以确定攻击是否成功。但是只能对主机的特定用户、特定应用程序和日志文件进行检测，所能检测到的攻击类型受到一定的限制，会影响主机的性能。

2.基于网络的IDS：隐蔽性好，不影响业务流量，由于实时检测和响应，关键字不容易转移证据，并且能够检测出未获成功的攻击企图。只检查直接连接的网络段的通信，不能检测到包头网段的数据包，在交换式以太网环境中会出现检测范围的局限性。在实时监控环境下很难实现复杂的、需要大量计算与分析时间的攻击的检测。

3.分布式IDS：NIDS，成本较高。

按照数据分析的技术和处理方式分类：

1.异常检测：不是根据攻击的特征来进行监测和识别的。通用性更强。

2.误用检测：对系统依赖性较强。

3.混合检测：是对以上两种检测方法的综合。