第七章 络安全技术.ppt

1、第七章 网络安全技术,第七章 网络安全技术,内容提要 防火墙技术 入侵检测技术 安全扫描技术 内外网隔离技术 内网安全技术 反病毒技术,7.1 防火墙技术,网络防火墙是一个特殊网络互连设备 加强网络之间访问控制 防止外部网络用户非法进入内部网络，访问内部网络资源 保护内部网络操作环境。,7.1 防火墙技术,7.1.1 防火墙的作用 7.1.2 防火墙技术原理 7.1.3 防火墙的体系结构 7.1.4 基于防火墙的VPN技术,7.1.1 防火墙的作用,防火墙是一种由软件或硬件设备组合而成的装置。 处于企业的内部局域网与Internet之间。 限制Internet用户对内部网络的访问。 管理内部用

2、户访问外界的权限。,防火墙能有效地控制内部网络与外部网络之间的访问及数据传送防火墙的三大要素：安全、管理、速度。,7.1.1 防火墙的作用,一个好的防火墙系统应具备以下三方面的条件： 内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。只有符合安全策略的数据流才能通过防火墙。 这也是防火墙的主要功能审计和过滤数据。防火墙自身应对渗透免疫。,7.1.1 防火墙的作用,一般来说，防火墙由四大要素组成： 安全策略：是一个防火墙能否充分发挥其作用的关键。 哪些数据不能通过防火墙、哪些数据可以通过防火墙； 防火墙应该如何具备部署； 应该采取哪些方式来处理紧急的安全事件； 以及如

3、何进行审计和取证的工作。 内部网：需要受保护的网。 外部网：需要防范的外部网络。 技术手段：具体的实施技术。 保证内部网的安全，内部网与外部网的联通,7.1.1 防火墙的作用,7.1.2 防火墙技术原理,防火墙的技术主要有： 包过滤技术 代理技术 VPN技术 状态检查技术 地址翻译技术 内容检查技术 以及其他技术,1.包过滤技术,包过滤型防火墙：在网络中的适当的位置对数据包实施有选择的通过其选择依据：即为系统内设置的过滤规则（通常称为访问控制列表。,2. 代理技术,代理技术，称为应用层网关技术，针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括： 提供部分与传输有关的状

4、态 提供与应用相关的状态和部分传输方面的信息， 处理和管理信息。,3. 状态检测技术,状态检测技术是防火墙近几年才应用的新技术传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 基于状态检测技术的防火墙 数据包进行检测 对控制通信的基本状态信息（包括通信信息、通信状态、应用状态和信息操作性）进行检测，以完成对数据包的检测和过滤。,4. 网络地址翻译技术,NAT（Network Address Tr

5、anslation，网络地址翻译） 私有IP地址只能作为内部网络号，不能在互联网主干网使用。NAT可通过地址映射将其连接到公共网络。解决IP地址短缺问题。 增加私有组织的可用地址空间 解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。,7.1.3 防火墙的体系结构,在防火墙和网络的配置上，有以下四种典型结构： 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 一些混合结构模式。,堡垒主机,堡垒主机是指在极其关键的位置上用于安全防御的某个系统。堡垒主机起到一个“牺牲主机”的角色。如果攻击者要攻击你的网络，那么他们只能攻击到这台主机。从网络安全上来看，堡垒主机是防火墙管理员认为最强壮

6、的系统。堡垒主机可作为代理服务器的平台。,1. 双宿/多宿主机模式,用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连。 特点： 主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成的。 当黑客侵入堡垒主机并使其具有路由功能，防火墙将无用。,2. 屏蔽主机模式,专门设置过滤路由器把所有外部到内部的连接都路由到了堡垒主机,安全等级比包过滤防火墙系统高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。,屏蔽主机型的典型构成,屏蔽主机型的典型构成是包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经

7、过堡垒主机。,3. 屏蔽子网模式,添加了额外的一层保护体系周边网络 堡垒主机位于周边网络上,应用层网关，代理服务，入站必须经过 周边网络和内部网络被内部路由器分开，防止堡垒主机对内部的影响 原因： 堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,4. 混合模式,主要是以上一些模式结构的混合使用，主要有： (1) 将屏蔽子网结构中的内部路由器和外部路由器合并 (2) 合并屏蔽子网结构中堡垒主机与外部路由器 (3) 使用多台堡垒主机 (4) 使用多台外部路由器 (5) 使用多个周边网络,7.1.4 基于防火墙的VPN技术,1. VPN工作原理

8、虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,1. VPN工作原理,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟：用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。 所谓专用网络：是指用户可以为自己制定一个最符合自己需求的网络。,隧道技术,VPN采用了隧道技术： 数据包进行加密以确保安全， 由VPN封装成IP包的形式 通过隧道在网上传输。,2. 基于防火墙

9、的VPN,基于防火墙的VPN是VPN最常见的一种实现方式。 它是在已有的基础上再发展而已。 公司使用防火墙连到因特网上，所需要的只是增加加密软件。,7.2 入侵检测技术,一种积极主动的安全防护手段。 入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。 入侵检测系统（Intrusion Detection System，IDS） 工作在计算机网络系统中的关键节点上 通过实时地收集和分析计算机网络或系统中的信息 来检查是否出现违反安全策略的行为和遭到袭击的迹象 进而达到防止攻击、预防攻击的目的。,7.2 入侵检测技术,7.2.1 入侵检测概述 7.2.2 IDS类型 7.2.3 IDS基

10、本技术,7.2.1入侵检测概述,入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击作出响应。入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现 在入侵特征的提取和汇总 响应的合并与融合 在检测到入侵后能够主动采取响应措施等方面入侵检测系统是一种主动防御技术。,1. IDS的产生,20世纪70年代就开始了对计算机和网络遭受攻击，审计跟踪是当时的主要方法。1980年4月，James P. Anderson为美国空军做了一份题为计算机安全威胁监控与监视的技术报告，第一次详细阐述了入侵检测的概念。,1. IDS的产生,从1984年到1986年，D

11、orothy 等研究并发展了一个实时入侵检测系统模型，命名为IDES（入侵检测专家系统），提供了一个通用的框架。1988年Morris Internet 蠕虫事件导致了许多IDS系统的开发研制。,1. IDS的产生,1990年是入侵检测系统发展史上的重要阶段。两大阵营正式形成： 基于网络的IDS 基于主机的IDS。1991年，美国空军等多部门进行联合，将基于主机和基于网络的检测方法集成到一起。1995年开发了IDES完善后的版本NIDES， 可以检测多个主机上的入侵。,2. IDS功能与模型,入侵检测系统：完成入侵检测功能的软件、硬件组合。IDS包括3个部分： 对信息的收集和预处理； 入侵分析

12、引擎； 产生反应的响应部件。,2. IDS功能与模型,一般来说，IDS能够完成下列活动： 监控、分析用户和系统的活动； 发现入侵企图或异常现象； 审计系统的配置和弱点； 评估关键系统和数据文件的完整性； 对异常活动的统计分析； 识别攻击的活动模式； 实时报警和主动响应。,2. IDS功能与模型,通用入侵检测框架（CIDF）。 。,入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。因此具有通用性,7.2.2 IDS类型,入侵检测系统主要分为两类： 基于网络的IDS 基于主机的IDS,1. 基于网络的IDS,使用原始的网络数据包作为数据源，主要用于实时监控网络关键路径的信息

13、，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的IDS通常将主机的网卡设成混乱模式，实时监视并分析通过网络的所有通信业务。,2. 基于主机的IDS,通过监视与分析主机的审计记录和日志文件来检测入侵。 发现成功的入侵或入侵企图 并很快地启动相应的应急响应程序。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。,基于主机入侵检测的缺点,占用主机的资源，在服务器上产生额外的负载；缺乏平台支持，可移植性差，应用范围受到严重限制。对一个网络的所有机子进行一次猜测的检查有困难,7.2.3 IDS基本技术,1. 误用检测，适用于已知使用模式的可靠检测 前提：入侵行为能按照某种方式进行特征编

14、码。 入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。,2. 异常检测,前提：异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合，有4 种行为： 行为是入侵行为，但不表现异常； 行为是入侵行为，且表现异常； 行为不是入侵行为，却表现异常； 行为既不是入侵行为，也不表现异常。,入侵检测技术总结,入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。 随着系统漏洞不断被发现，攻击不断发生，入侵检测系统在整个安全系统中的地位不断提高，所发挥的作用也越来越大。,7.3

15、安全扫描技术,安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险。可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致攻击的安全漏洞。扫描技术是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。,7.3 安全扫描技术,7.3.1 安全扫描技术概述 7.3.2 端口扫描和漏洞扫描 7.3.3 安全扫描器的原理和结构,7.3.1 安全扫描技术概述,安全扫描技术也称为脆弱性评估基本原理是采用模拟黑客攻击的方式对目标可能存在

16、的已知安全漏洞进行逐项检测，对象：工作站、服务器、交换机、数据库 有两个不同的出发点。 一方面，从攻击者的角度，他们会不断地去发现目标系统的安全漏洞，从而通过漏洞入侵系统。 一方面，从系统安全防护的角度来看，要尽可能发现可能存在的漏洞，在被攻击者发现、利用之前就将其修补好。,安全扫描器是一个对扫描技术进行软件化、自动化实现的工具。 一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序。 安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。通过使用安全扫描器，可以了解被检测端的大量信息： 开放端口、提供的服务、操作系统版本、软件版本等。安全扫描器会根据扫描结果向系

17、统管理员提供周密可靠的安全性分析报告。,功能,功能,一般来说，安全扫描器具备下面的功能：1、信息收集 信息收集是安全扫描器的主要作用，也是安全扫描器的价值所在。 信息收集包括 远程操作系统识别 网络结构分析 端口开放情况 其他敏感信息收集等。,功能,2、漏洞检测 漏洞检测是漏洞安全扫描器的核心功能，包括 已知安全漏洞的检测 错误的配置检测 弱口令检测。,分类,安全扫描技术主要分为两类： 1. 主机型安全扫描器； 扫描本地主机 查找安全漏洞 查杀病毒、木马、蠕虫等危害系统安全的恶意程序2. 网络型安全扫描器。 通过网络来测试主机安全性 检测主机当前可用的服务及其开放端口 查找可能被远程试图恶意访

18、问者攻击的漏洞、隐患及安全脆弱点。,按照扫描过程的不同方面，扫描技术又可分为4大类：1. ping扫描技术； 2. 端口扫描技术； 3. 操作系统探测扫描技术； 4. 已知漏洞的扫描技术。 其中，端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，目前许多安全扫描器都集成了此两项功能 。,分类,端口：潜在的通信通道，也是入侵通道。原理： 端口扫描向目标主机的 TCP/IP服务端口发送探测数据包 记录目标主机的响应。 通过分析响应 判断服务端口是打开还是关闭 得知端口提供的服务或信息。,7.3.2 端口扫描和漏洞扫描,漏洞扫描技术建立在端口扫描技术之上的，针对特定端口。两种方法： 一是

19、在端口扫描后，得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。 二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。,漏洞扫描技术及原理,基于网络系统漏洞库，漏洞扫描大体包括CGI漏洞扫描 POP3漏洞扫描 FTP漏洞扫描 SSH漏洞扫描 HTTP漏洞扫描等。 这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。 基于网络系统漏洞库的漏洞扫描的关键部分：漏洞库。,漏洞扫描技术及原理,7.3.3 安全扫描器的原

20、理和结构,(1) 主机型安全扫描器原理 主要针对操作系统的扫描检测，通常涉及 系统的内核 文件的属性 操作系统的补丁 口令解密等问题 通过扫描引擎以root身份（超级管理员 ）登录目标主机，记录系统配置的各项主要参数， 一方面知道目标主机开放的端口以及主机名等信息 一方面获得的漏洞信息与漏洞特征库进行比较，如果能够匹配则说明存在相应的漏洞。,主机型安全扫描器结构,(1) 主机型安全扫描器结构 由两部分组成： 管理端： 管理各个代理端 向各个代理端发送扫描任务指令 处理扫描结果的功能 代理端：是采用主机扫描技术对所在的被扫描目标进行检测，收集可能存在的安全状况。,主机型安全扫描器扫描过程,采用C

21、lient/Server的构架，其扫描过程是： 首先在需要扫描的目标主机上安装代理端 然后由管理端发送扫描开始命令给各代理端 各代理端接收到命令后执行扫描操作 然后把扫描结果传回给管理端分析 最后管理端把分析结果以报表方式给出安全漏洞报表。,网络型安全扫描器,(2) 网络型安全扫描器原理 针对远程网络或者主机的端口、开放的服务以及已知漏洞等。 对象：网络中的服务器、路由器以及交换机等网络设备网络型安全扫描器步骤扫描引擎首先向远端目标发送特殊的数据包 记录返回的响应信息 然后与已知漏洞的特征库进行比较， 如果能够匹配，则说明存在相应的开放端口或者漏洞。,2. 安全扫描器的结构,（2）网络型安全扫

22、描器结构 由两部分组成 扫描服务端：扫描器的核心，所有的检测和分析操作都是它发起的 管理端：提供管理的作用以及方便用户查看扫描结果。 也采用Client/Server的架构： 首先管理端设置参数、制定扫描目标； 扫描服务端接收到管理端的扫描开始命令后即对目标进行扫描； 扫描服务端一边发送检测数据包到被扫描目标，一边分析目标返回的响应信息 扫描服务端还把分析的结果发送给管理端。,7.4 内外网物理隔离技术,物理隔离：是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全独立。必须保证做到以下几点： 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网

23、信息通过网络连接泄漏到外部网。在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。 在物理存储上隔断两个网络环境 对于断电后会逸失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息串网。 对于断电非逸失性存储设备，如硬盘，内部网与外部网信息要分开存储。应用于：政府部门、军队、金融系统,7.4 内外网物理隔离技术,7.4.1 用户级物理隔离 7.4.2 网络级物理隔离 7.4.3 单硬盘物理隔离系统,7.4.1 用户级物理隔离,用户级物理隔离技术经历三个发展阶段： 第一阶段，主要是双机物理隔离系统。（随时切换） 两套主板、芯片、网卡、硬

24、盘；一套显示器、鼠标、键盘 第二阶段，主要采用双硬盘物理隔离系统。第三阶段，主要采用单硬盘物理隔离系统 。一个网络接口、不同电平信号控制网络连接。公共区和安全区。同时只能和一个网络相连。,7.4.2 网络级物理隔离,1.隔离集线器 隔离集线器相当于内网和外网两个集线器的集成。 7个网络端口的每一个都可以通过电子开关进行切换，从而连接到内网和外网两者之一。,2.因特网信息转播服务器,一种非实时的因特网访问方式,3.隔离服务器,隔离服务器是目前比较新的物理隔离技术。,但安全性不如完全物理隔离,7.4.3 单硬盘物理隔离系统,防范外部对计算机信息网络的入侵上面 防范计算机信息网络内部自身的安全。 在

25、内网的安全解决方案中 以数据安全为核心 以身份认证为基础 从信息的源头开始抓安全对信息的交换通道进行全面保护，从而达到信息的全程安全。,7.5 内网安全,7.5.1 移动存储介质管理 7.5.2 网络行为监控,7.5 内网安全,灵活授权管理：对计算机外设的使用 比如U盘、打印机或者拨号Modem的使用；移动存储介质主要包括： U盘、移动硬盘、软盘、可刻录光盘、手机/MP3/MP4/MD/SD卡、以及各类FlashDisk产品手机、MP3等。 使用便利，但给单位机密资料外泄带来严重的隐患。,7.5.1 移动存储介质管理,必须对用户的行为进行有效管理：因为计算机网络的使用通常关系整个单位的信息安全

26、和网络稳定性，为了部门内部管理需要和网络安全稳定需要。对每台计算机的网络状况进行实时监控 及时发现用户使用带有危害的计算机应用程序 硬件设备 用户帐号 网络状况等用户信息,7.5.2 网络行为监控,有效管理每个计算机网络，对于每个用户： 比如： 控制访问的站点、IP地址和应用端口 记录访问网络的内容 记录用户违反管理规则的行为 记录用户的文件操作，以便日后为追查用户责任提供有力证据。网络监控主要是对： 监控：邮件发送、聊天内容、文件传输、网页浏览 管理：远程登录和P2P下载管理、端口与流量,7.5.2 网络行为监控,7.6 反病毒技术,7.6.1 病毒概论 7.6.2 病毒的特征 7.6.3

27、计算机病毒的分类 7.6.4 反病毒技术 7.6.5 邮件病毒及其防范,7.6.1 病毒概论,病毒是一段具有自我复制能力的代理程序 它将自己的代码写入宿主程序的代码中，以感染宿主程序； 每当运行受感染的宿主程序时病毒就自我复制； 然后其副本感染其他程序，如此周而复始。它一般隐藏在其他宿主程序中，具有： 潜伏能力 自我繁殖能力 被激活产生破坏能力。,7.6.1 病毒概论,计算机病毒是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。自从Fred Cohen博士于1983年11月成功研制了第一种计算机病毒以来，计算机病毒技术正以惊人速度发展，不断有新的病毒出现。从广义上定义，凡能够引

28、起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。,蠕虫,蠕虫也是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。 蠕虫像细菌一样，它可以修改删除别的程序， 也可通过疯狂的自我复制来占尽网络资源，从而使网络资源瘫痪。,木马,（Trojan Horse）又称特洛伊木马：是一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。木马通常不包括感染程序，因而并不自我复制，只是靠欺骗获得传播。,7.6.2 病毒的特征,病毒这种特殊程序有以下几种特征：（1）传染性是病毒的

29、基本特征； （2）未经授权执行；（3）隐蔽性；（4）潜伏性；（5）破坏性；从对病毒的检测方面来看，病毒还有不可预见性。,7.6.3 计算机病毒的分类,按传染方式分为：（1）引导型病毒；（2）文件型病毒；（3）混合型病毒。,（1）引导型病毒； 感染对象：计算机存储介质的引导区。将正常的引导记录隐藏在介质的其他存储区。可在计算机运行前获得控制权，传染性较强。 Bupt、Monkey、CMOS dethroner,7.6.3 计算机病毒的分类,（2）文件型病毒； 感染对象：计算机系统中独立存在的文件。主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主 它的安装必须借助于病毒的载体程序

30、，即要运行病毒的载体程序，文件型病毒引入内存 如Honking、宏病毒CIH,7.6.3 计算机病毒的分类,（3）混合型病毒。 混合型病毒综合引导区和文件型病毒的特性，同时还使用加密、变形算法。它的“性情”也就比系统型和文件型病毒更为“凶残”。,7.6.3 计算机病毒的分类,按连接方式（感染方式）分,（1）源码型病毒： 对象：高级语言编写的程序，该病毒在程序编译前插入到原程序中，经编译成为合法程序的一部分。 （2）嵌入型病毒、入侵型：用自身代替正常程序中的部分模块，只攻击某些特定的程序。一旦侵入程序体后也较难消除（3）外壳型病毒：将其自身包围在主程序的四周，对原来的程序不作修改。最常见，易编写

31、，也易于发现（测试文件的大小）。（4）操作系统型病毒：用自已的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。,7.6.4 反病毒技术,外观检测法 特征代码法 虚拟机技术 启发式扫描技术,检测计算机病毒的基本方法,1. 外观检测法 些异常现象，如： 屏幕显示的异常现象 系统运行速度的异常 打印机并行端口的异常 通信串行口的异常等,2. 特征代码法 将已知病毒的特征代码串组成病毒特征代码数据库。 通过各种工具软件检查 搜索可疑计算机系统（可能是文件、磁盘、内存等等）时 逐一比较。 很多著名的病毒检测工具中广泛使用特征代码法

32、。,检测计算机病毒的基本方法,3. 虚拟机技术 针对：多态性病毒，俗称的变形病毒。 特点：每次感染后都改变其病毒密码。 传统的特征值查毒技术对于静态文件进行查杀。 而多态和变形病毒只有开始运行后才能够显露原型。 虚拟机技术 一种软件分析器，在机器的虚拟内存中用软件方法来模拟和分析不明程序的运行，且此运行不会对系统各部分起到实际的作用，或造成危害。,检测计算机病毒的基本方法,4. 启发式扫描技术 一般应用程序和病毒程序运行开始的不同行为 应用程序在最初的指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等 病毒程序最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序

33、列。 启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。 运用启发式扫描技术：通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。,检测计算机病毒的基本方法,7.6.5 邮件病毒及其防范,1、一般邮件病毒的传播是通过附件进行的。如Happy99、Mellissa（美丽杀手）等。2、有些是潜伏在WORD文件中的宏病毒，因此对WORD文件形式的附件，应当小心。 3、另一种病毒是利用ActiveX来传播，ActiveX可以拥有对你的硬盘的读写权。,7.6.5 邮件病毒及其防范,4、 电子邮件炸弹 EMAIL bomber：发件者以不名来历的电子邮件地址，不断重复

34、将电子邮件寄于同一个收件人。消耗大量网络资源。 Reply反丢回发件人会造成进一步瘫痪：from，to都是自己的地址。Spaming：同发件者在同一时间内将同一电子邮件寄出给千万个不同的用户，但不会对收件人造成太大的伤害。有效的防御方式有：在电子邮件中安装一个过滤器，在接收任何电子邮件之前预先检查发件人的资料，不让可疑邮件进入你的电子邮件库。,本章总结,网络是信息技术领域中安全问题最突出的领域，网络安全事件时有发生严重影响了网络资源的可用性和稳定性，这对网络安全技术提出了迫切的需求。当前，实现网络安全的主要技术包括：防火墙技术、VPN技术、入侵检测技术、网络隔离技术和反病毒技术等。本章对这些网络安全主流技术的相关概念、工作原理、基本模型和实现方式进行了系统介绍。 需要补充说明一点，本章介绍的网络安全技术是相互补充的，它们在实际应用中通过相互配合能够实现针对系统的安全功能。但是，当前对网络与系统的攻击事件时有发生，考虑到实现网络安全具有一定的复杂性和动态性，对网络安全技术的研究依然任重道远。,