網路竊密、監聽及防泄密技術

本書按照“了解和分析新形勢下的網路攻擊竊密威脅，有針對性地引入安全防禦和網路監控新技術，逐步完成核心區域網路安全防禦與防泄密體系構建”的思路進行闡述。第一部分重點介紹了新形勢下“重點強化套用滲透、利用殭屍網路攻擊、針對用戶人性弱點攻擊、內部攻擊”的網路攻擊竊密思路和技術手段。第二部分給出了網路監聽的原理和關鍵技術、具體實施方案，國內外典型產品，以及監聽技術在監控和防禦領域的套用。第三部分在“構建核心區域網路安全防禦與防泄密體系”的背景下著重探討了其建設的指導思想和安全防禦技術，以及具體設計方案和風險評估方法。

本書主要面向銀行、證券、保險、政府機關、軍隊、國家安全、國防科研等重點單位從事網路安全工作的人員，以及對信息安全領域感興趣的學生、教師或技術人員。書中部分內容，包括“高可靠性殭屍網路設計”、“面向核心區域網路的網路風險評估模型”、“網路監聽實施方案”、“網路監聽技術套用”、“面向核心內部網路的安全解決方案”等，融合了信息安全領域的最新技術和作者近年來的研究成果，對業內人士具有重要的參考價值和實用價值。

第一部分 網路戰時代的網路竊密

第1章 網路竊密的新時代 2

1.1 時代背景 2

1.1.1 全球網路戰時代強勢來臨 2

1.1.2 新型網路套用如潮湧現 3

1.1.3 黑客攻擊向專業化和產業化發展 4

1.1.4 網路攻擊竊密“超限戰、協同作戰”的發展態勢 5

1.2 暗藏在Web 2.0與社交網路中的威脅 6

1.2.1 Web x.0、“雲”和社交網路 6

1.2.2 Web 2.0與社交網路中的安全威脅 7

1.3 涌動在無線網路和移動網際網路中的暗流 8

1.3.1 無線Mesh網路 9

1.3.2 支持快速部署的模組化數據中心 10

1.3.3 移動智慧型手持設備與行動網路套用 11

1.3.4 移動設備套用中的安全威脅 12

1.4 潛伏在P2P中的邪惡 13

1.4.1 P2P技術和套用 13

1.4.2 面向/基於P2P的安全威脅 15

第2章 網路竊密的戰術思維 17

2.1 典型泄密事件及簡要分析 17

2.2 網路竊密者的新視角 18

2.2.1 竊密者眼中的網路邏輯模型 18

2.2.2 竊密者眼中的網路脆弱點 19

2.3 網路攻擊竊密戰術 21

2.3.1 攻擊流程概述 21

2.3.2 竊密流程概述 22

2.3.3 典型戰術1—多層次協同攻擊 23

2.3.4 典型戰術2—重點突破終端 23

2.3.5 典型戰術3—利用人員心理弱點 24

第3章 “中間欺騙”式網路基礎設施攻擊 26

3.1 攻擊網路接入設施 26

3.1.1 攻擊交換設備和協定 27

3.1.2 攻擊DHCP伺服器 30

3.2 攻擊路由協定 30

3.2.1 針對RIP的攻擊 31

3.2.2 針對OSPF路由協定的攻擊 31

3.2.3 針對IS-IS路由協定的攻擊 32

3.2.4 針對BGP的攻擊 32

3.3 攻擊DNS伺服器 33

3.3.1 DNS基本概念 33

3.3.2 DNS劫持的原理和實現方法 34

3.4 攻擊SSL 35

3.4.1 騙取/偽造數字證書攻擊 36

3.4.2 SSL代理攻擊 36

3.4.3 SSLstrip攻擊 37

第4章 “深度隱藏”下的套用層攻擊 38

4.1 攻擊Web伺服器 38

4.1.1 Web伺服器威脅綜述 39

4.1.2 緩衝區溢出攻擊 40

4.1.3 SQL注入攻擊 42

4.1.4 跨站點腳本攻擊 43

4.2 套用層滲透 44

4.2.1 惡意Web網頁滲透 44

4.2.2 套用軟體漏洞滲透 46

4.3 攻擊移動智慧型設備 47

4.3.1 智慧型移動設備惡意軟體的產生和危害 48

4.3.2 惡意網頁攻擊 48

4.3.3 間諜軟體 48

4.3.4 簡訊服務惡意軟體 49

4.3.5 惡意智慧型移動套用軟體 49

第5章 “協同自愈”的殭屍網路 51

5.1 惡意軟體 51

5.1.1 惡意軟體的概念和發展特點 51

5.1.2 知名惡意軟體簡介 53

5.1.3 惡意軟體的社會工程學及其他傳播方式 54

5.1.4 惡意軟體的自我防禦技術 55

5.2 殭屍網路 57

5.2.1 殭屍網路的概念和特徵 57

5.2.2 殭屍網路的發展和分類 59

5.2.3 傳統的IRC控制方式 60

5.2.4 IRC Botnet的工作原理 61

5.2.5 針對IRC Botnet的防禦研究方法 63

5.2.6 殭屍網路攻擊運用模式 64

5.3 新型高可靠性Botnet的設計思路 66

5.3.1 傳統IRC殭屍網路存在的缺陷 66

5.3.2 發展微型Botnet 67

5.3.3 動態域名與控制者IP隱藏 67

5.3.4 採用P2P控制模式和通信加密 68

5.3.5 利用大型社交網站作為控制伺服器 68

5.3.6 採用新型傳輸協定 68

第6章 利用“人性弱點”的社會工程學 70

6.1 企業/機構內部存在的人員/管理安全隱患 70

6.1.1 內部惡意攻擊 70

6.1.2 用戶習慣導緻密碼泄露 71

6.1.3 內部管理疏漏造成信息泄露 71

6.2 間諜滲透和內部人員策反 72

6.2.1 間諜滲透 73

6.2.2 內部人員策反 73

6.3 基於外部網路的隱私信息蒐集 74

6.3.1 隱私信息蒐集的方法和危害 75

6.3.2 典型機構行為：Google Public DNS 76

6.4 網路釣魚 76

6.4.1 網路釣魚的概念和特點 77

6.4.2 釣魚郵件 77

6.4.3 釣魚網站 78

第7章 基於“合法用戶惡意破壞”的攻擊竊密實戰 80

7.1 模擬目標概況與分析 80

7.1.1 模擬目標概況 80

7.1.2 目標安全隱患分析和攻擊策略設計 81

7.2 破壞區域網路監控、系統還原和審計機制 82

7.2.1 破壞區域網路監控系統 82

7.2.2 突破系統還原保護 82

7.2.3 突破計算機取證系統 83

7.3 破壞邊界防護、身份認證和物理隔離機制 84

7.3.1 突破邊界防護 84

7.3.2 突破內容監控系統 84

7.3.3 突破雙因素認證 85

7.3.4 突破物理隔離 86

第二部分 監 聽 與 控 制

第8章 網路監聽的原理和關鍵技術 88

8.1 網路監聽的原理 88

8.1.1 網路監聽技術的來源 88

8.1.2 網路監聽技術的理論模型 89

8.1.3 典型(分散式)網路監聽系統的體系結構 92

8.1.4 網路監聽的關鍵技術 93

8.2 網路數據流採集技術 94

8.2.1 網路數據流採集技術概述 94

8.2.2 Hub 97

8.2.3 基於SPAN的連線埠鏡像 98

8.2.4 TAP 100

8.2.5 矩陣交換機 101

8.3 網路流量/協定分析技術 101

8.3.1 網路協定分析的概念和KFP分析方法 102

8.3.2 基於KFP的網路協定分析工作流程 104

8.3.3 網路流量識別技術 108

第9章 網路監聽實施 111

9.1 子網監聽 111

9.1.1 基於軟體代理的單點單目標監聽 112

9.1.2 基於鏈路層欺騙的單點全子網監聽 112

9.1.3 基於SPAN的單點全子網監聽 113

9.1.4 基於Hub/TAP的單點全子網監聽 114

9.1.5 基於代理伺服器的單點全子網監聽 115

9.2 企業區域網路監聽 116

9.2.1 基於多種監聽設備的分散式全網監聽 116

9.2.2 基於TAP的單點全網監聽 118

9.3 網際網路監聽 119

9.3.1 基於網關鏡像的單點全網監聽 119

9.3.2 基於DNS劫持的單點全網監聽 120

9.3.3 基於TCP劫持的單點全網監聽 121

9.3.4 基於虛假代理伺服器的單點全網監聽 121

9.3.5 基於殭屍網路的分散式全網監聽 122

第10章 典型的網路監聽與協定分析解決方案 123

10.1 Network General公司(NetScout公司)解決方案 124

10.1.1 Network General公司和NetScout公司的淵源 124

10.1.2 原Network General公司解決方案系列概述 125

10.1.3 NetScout nGenius性能管理解決方案 126

10.1.4 Sniffer Portable Pro攜帶型網路分析儀 129

10.1.5 Sniffer Distributed分散式設備 132

10.1.6 Sniffer Infinistream網路流量監控和解碼分析系統 134

10.1.7 Sniffer Intelligence套用分析平台 134

10.2 科來網路分析系統2010 136

10.2.1 基本工作原理和工作步驟 136

10.2.2 面向網路業務套用的分析方案 137

10.2.3 數據包捕捉過濾和流量分析 138

10.2.4 專家診斷 138

10.3 其他知名公司的網路監聽和 協定分析軟體產品 139

10.3.1 WildPackets公司 139

10.3.2 SolarWinds公司 140

第11章 網路監聽技術的套用 143

11.1 國家/省/州(state)級網關監控 143

11.1.1 網關監控內容 143

11.1.2 IP連線重置技術 144

11.1.3 “網關監控+主機監控”的分散式全網監控模式 145

11.2 智慧型網路管理 146

11.2.1 現代網路管理面臨的難題 146

11.2.2 網路管理向智慧型化發展 147

11.2.3 基於網路協定分析的智慧型網路管理技術 148

11.3 智慧型安全防禦 151

11.3.1 傳統安全防禦技術的不足 151

11.3.2 基於NetFlow的智慧型防禦方案 152

11.3.3 基於Sniffer Infinistream的智慧型防禦方案 153

11.4 內部網路人員行為監控 153

11.4.1 監控非法外聯行為 153

11.4.2 P2P分析 156

第三部分 構築網路防泄密安全體系

第12章 網路安全防禦與防泄密 體系建設的基本目標 159

12.1 實現高效的一體化智慧型防禦能力 159

12.1.1 概述 159

12.1.2 深度防禦 160

12.1.3 一體化防禦 161

12.1.4 智慧型化主動防禦 161

12.1.5 面向關鍵業務的高效防禦 162

12.2 實現對核心區域網路的統一安全管理 162

12.2.1 統一安全管理的必要性 163

12.2.2 統一安全管理的內容和作用 164

12.2.3 統一安全管理體系的基本體系架構 165

12.3 實現對內部數據的全程監管 168

12.3.1 內部數據全程監管的需求 168

12.3.2 數據定位和分級 169

12.3.3 數據控制 169

12.3.4 集中數據交換和審計 170

12.3.5 加強對移動辦公和出差人員的數據安全保護 171

12.4 實現對內部用戶行為的有效約束 172

12.4.1 人員管理面臨的挑戰 172

12.4.2 資源訪問授權管理 173

第13章 安全接入和身份認證 174

13.1 可信計算技術 174

13.1.1 可信計算概述 175

13.1.2 安全晶片的國內外發展現狀 176

13.1.3 可信任平台模組(TPM) 176

13.1.4 TPM在關鍵行業的套用 178

13.2 網路安全接入 178

13.2.1 概念和原理 179

13.2.2 安全接入技術實現方式分類 180

13.2.3 網路安全接入的實現步驟 183

13.3 網路身份認證 183

13.3.1 新型多因素認證技術 184

13.3.2 統一身份認證 186

第14章 套用層防禦 187

14.1 深度檢測技術 187

14.1.1 概述 187

14.1.2 針對網路攻擊行為的經典檢測方法 189

14.1.3 針對套用層攻擊的新型檢測方法 191

14.2 入侵檢測系統 192

14.2.1 概念、功能和分類 192

14.2.2 局限性 194

14.3 入侵防禦系統 195

14.3.1 概念 195

14.3.2 局限性 197

14.4 Web安全防禦 198

14.4.1 Web面臨的安全威脅 198

14.4.2 主流Web安全防禦技術的發展 199

14.4.3 Web套用防火牆的概念、分類和功能 201

第15章 “雲安全”和虛擬化技術在安全防禦中的套用 206

15.1 基於“雲安全”的主動防禦 206

15.1.1 “雲安全”的產生和原理 207

15.1.2 “雲安全”的關鍵技術 208

15.2 國內外典型“雲安全”方案 210

15.2.1 瑞星“雲安全” 210

15.2.2 McAfee Artemis 211

15.3 虛擬桌面技術 212

15.3.1 虛擬化技術概述 213

15.3.2 虛擬桌面架構產生的背景和需求 213

15.3.3 虛擬桌面架構的概念和優勢 214

15.3.4 虛擬桌面架構的分類 216

15.3.5 虛擬桌面架構的“拆分”技術 216

15.3.6 虛擬桌面架構在網路安全防禦中的價值 217

15.4 基於虛擬化技術的惡意軟體防護 218

15.4.1 虛擬機檢測病毒 218

15.4.2 應用程式虛擬化 219

15.4.3 虛擬機分析惡意軟體 220

第16章 網路安全隔離 222

16.1 網路隔離的概念 222

16.2 安全隔離的原理 223

16.2.1 安全隔離理論模型 223

16.2.2 網閘 224

16.2.3 數據交換網 226

16.2.4 通信交換和協定分析 227

16.3 套用模式和功能 228

16.3.1 套用場所 228

16.3.2 內容安全過濾功能 229

16.3.3 管理和審計功能 230

第17章 數據保護 231

17.1 數據存儲加密和銷毀 231

17.1.1 數據加密的實現方式分類和典型套用 232

17.1.2 動態加密技術 234

17.1.3 典型的存儲加密實施方案 237

17.1.4 數據銷毀的必要性和方法 240

17.2 數據丟失防護系統 241

17.2.1 DLP的概念和分類 241

17.2.2 DLP的人員監督功能 243

第18章 面向核心內部網路的安全體系設計方案 245

18.1 背景和需求 245

18.1.1 背景 246

18.1.2 基本需求 246

18.2 核心設計思想 247

18.2.1 數據在“雲”中 247

18.2.2 強化內部管控和安全系統的自我防護 248

18.3 網路架構設計 249

18.3.1 網路總體架構設計 249

18.3.2 網路安全防禦體系架構設計 250

18.4 網路安全防禦體系詳細設計 251

18.4.1 設計中套用的安全設備與技術介紹 252

18.4.2 安全設備與技術部署位置參考方案 254

18.4.3 詳細設計方案 256

18.5 基於全網虛擬化的“雲” 架構設計 258

18.5.1 全網虛擬化設計原理 259

18.5.2 總體工作模式設計 260

18.5.3 終端虛擬化設計 261

18.5.4 虛擬化安全機制設計 262

18.6 敏感數據管控機制設計 263

18.6.1 安全交換子網設計 263

18.6.2 數據丟失防護管理機制設計 265

18.7 其他通用安全機制 266

18.7.1 終端設備安全 266

18.7.2 訪問控制 267

18.7.3 網路基礎設施 267

18.7.4 作業系統和套用安全 270

第19章 面向核心區域網路的網路風險評估模型 273

19.1 概念 273

19.2 關鍵因素 274

19.3 風險評估的基本步驟 275

19.4 一種面向核心區域網路的網路風險評估模型 275

19.4.1 模型總體設計 276

19.4.2 模型詳細設計 280

19.4.3 採用分層計算方法簡化危險性評估過程 281

19.4.4 採用分組件計算方法簡化防禦能力評估過程 282

19.4.5 模型修正 283

19.4.6 風險評估計算方法 285

19.4.7 模型最佳化中的難點和套用處理方法 288

參考文獻 290