110910_计算机犯罪和犯罪心理学_第1章

计算机犯罪和犯罪心理学赵志宏ComputerCriminalandCriminalPsychologyNortheasternUniversityLogo2011年11月19日8时20分NortheasternUniversity课程说明课程编号：080200180课程名称：计算机犯罪和犯罪心理学英文名称：ComputerCriminalandCriminalPsychology总学时数：24课程学分：2.0适用专业：信息安全课程性质：专业选修课先修课程：数据通信安全技术、现代密码学与加解密技术主讲教师：赵志宏参考教材：网络安全与计算机犯罪勘查技术学，张越今等编著。清华大学出版社，2003-9Logo2011年11月19日8时20分NortheasternUniversity课程内容网络安全概述1计算机犯罪概述2计算机犯罪现场勘查3计算机证据及惯用手法、动机和技术4勘查网络的基础知识及技术实现5Logo2011年11月19日8时20分NortheasternUniversity本章纲要1.1开放的网络环境及其安全问题1.2TCP／IP1.3安全威胁1.4网络信息安全1.5信息安全产品分类Logo2011年11月19日8时20分NortheasternUniversityE-mail：is200805@gmail.comPassword：neu201104zhizhao@gmail.comLogo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题路由器内部网IOIOWeb、Mail服务器等互联网入侵者攻击路由器进行窃听分支机构正常的通信流为什么我工资比他少500IOIO他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听Logo2011年11月19日8时20分NortheasternUniversity资料：2010年国内网络安全事件情况•新华网大连8月9日电（记者徐扬）中国国家互联网安全中心9日在大连举行的“计算机网络安全年会”上表示，去年以来网络安全事件的跨境化特点日益突出，中国遭受的各类网络安全事件中有近半数来自境外。•2010年，国家互联网应急中心监测发现共近48万个木马控制端IP，其中有22.1万个位于境外，前两位分别是美国（占14.7%）、印度（占8.0%）；共有13782个僵尸网络控制端IP，有6531个位于境外，前三位分别是美国（占21.7%）、印度（占7.2%）和土耳其（占5.7%）。•另据工业和信息化部互联网网络安全信息通报成员单位报送的数据，2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。Logo2011年11月19日8时20分NortheasternUniversity资料：2010年国内网络安全事件情况•国家互联网应急中心去年协调境外网络安全组织和域名机构，处理了多起针对境内的恶意扫描、网络钓鱼等网络安全事件，得到美国、韩国、澳大利亚等国应急组织和“国际反网络钓鱼联盟”等组织的配合。总体上看，跨境网络安全事件呈现快速增长趋势，国际网络安全合作需进一步加强。同时，去年中国共有近3.5万家网站被黑客篡改，其中被篡改的政府网站达4635个，比2009年上升67.6%，政府网站安全防护较为薄弱。•此外，金融行业网站频频遭遇“网络钓鱼”，成为不法分子骗取钱财和窃取隐私的重点目标。2010年，国家互联网应急中心共接收网络钓鱼事件举报1597件，较2009年增长33.1%。被仿冒的网站按事件次数排在前十位的中有9家是金融或经济机构。其中，包括美国电子商务网站、中国香港汇丰银行、中国工商银行。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题Internet带来的风险•攻击者大部分是以下几种类型：•大专院校的学生•公司工作人员•竞争对手•计算机地下组织的侵袭者•犯罪分子•职业盗贼或间谍Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题现实的威胁－商业通信安全外国大公司的战略营销规划中，营销情报系统占据了相当重要的位置；•80年代，IBM、RCA、3M、CorningGlass在日本建立了机构，监测竞争对手的业务活动和新兴技术；•据估计，50，000部电子监听装置安装在日本商业机构中，用于电子监测方面的花费达到5000万美元，且以每年30％的比例增长。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题来自因特网的监听风险基于因特网的监听技术更简单，实施更容易，更难于察觉，却可以轻易获取有价值甚至机密的信息。•美国政府要求ISP提供合作，安装专门的窃听软件，监听电子邮件内容。•黑客可以很容易入侵商业机构的接入路由器，安装窃听软件，或修改路由，达到窃听的目的而不被查觉。•电信的专线并不能提供商业通信所需的机密性，因而银行、地税、大型企业集团布署VPN产品来确保信息传输的机密性与不可篡改性。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题内部信息系统所面临的潜在风险外部访问未被授权的信息系统；数据丢失（插入/删除/滥用）；机要信息丢失（泄露/竞争）；公共通用网络上的固有问题（病毒、人为破坏等）；“Trojanhorse”（Trojanhorse程序）和病毒混杂在Internet的传输数据中；利用虚假身份（地址欺骗等）。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题网络系统中易遭袭击的薄弱环节从技术角度来说：•缺乏安全防护设备；•不足的安全认证配置；•通信协议上的基本安全问题；•服务程序上的基本安全问题；•网络病毒的侵袭。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题认证系统的安全风险侵袭者采用几种方法来进行口令入侵：•猜测口令；•利用“passwd”文件，系统地猜测口令；•分析协议和滤出口令（利用嗅探程序）；•用“Trojanhorse”来监视登录名/口令。Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题通信协议中的安全风险DoS攻击•Ping-of-Death•Teardrop•SYN-Flooding•LAND•邮件炸弹攻击Internet地址欺骗Internet路由选择袭击滥用ARP引起的广播风暴UDP欺骗Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题服务程序上的安全问题——协议和应用程序的漏洞文件传输（FTP，TFTP，NFS）—非法访问远程应用（TELNET，RLOGIN，RSH，X-WINDOW）—非法访问电子邮件（SMTP）—恶意附件和脚本新闻组（NNTP）—恶意脚本即时通信（MSN、QQ）—盗号、窃取隐私、传播病毒和木马Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题入侵者常用工具和软件扫描器•Nmap（扫描网络，寻找存在漏洞的目标主机）•NSS（网络安全扫描器）•Strobe（超级优化TCP端口检测程序）•Jakal（秘密扫描器）•IdentTCPscan（识别TCP端口进程的所有者，自动识别错误配置）•CONNECT（用于扫描TFTP服务器子网）Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题Logo2011年11月19日8时20分NortheasternUniversity1.1开放的网络环境及其安全问题入侵者常用工具和软件的介绍Sniffer监听•Sniffer既可以是硬件，也可以是软件，用于接收在网络上传输的信息。Logo2011年11月19日8时20分NortheasternUniversity1.2TCP/IPLogo2011年11月19日8时20分NortheasternUniversity1.2TCP/IPTCP/IP详解卷1：协议TCP/IP详解卷2：实现TCP/IPILLUSTRATEDVOLUME2TCP/IP详解卷3：TCP事务协议、HTTP、NNTP和UNIX域协议W.RichardStevens计算机网络AndrewS.TanenbaumLogo2011年11月19日8时20分NortheasternUniversity1.2.1TCP/IP协议的起源TCP/IP起源于美国国防部高级研究规划署(DARPA)的一项研究计划——实现若干台主机的相互通信。早期使用的是点对点通信为主的线路，不适应发展需求；1974年，Kahn定义了最早的TCP/IP参考模型；1985年，Leiner等人进一步对它开展了研究；1988年，Clark在参考模型出现后对其设计思想进行了讨论；TCP/IP协议从出现到现在，一共出现了6个版本；目前我们使用的是版本4（IPv4），已成为Internet上通信的标准；将来趋势是使用版本6（IPv6）。Logo2011年11月19日8时20分NortheasternUniversity1.2.2TCP/IP协议的特点TCP/IP协议主要有以下几个特点：开放的协议标准，可以免费使用，并且独立于特定的计算机硬件与操作系统；独立于特定的网络硬件，可以运行于局域网、广域网，更适用于互联网中；统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有惟一的地址；标准化的高层协议，可以提供多种可靠的用户服务。Logo2011年11月19日8时20分NortheasternUniversity1.2.3OSI网络分层参考模型在网络出现的早期，国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)共同制定了开放系统互联的七层参考模型。一台计算机操作系统中的网络过程包括从应用请求(在协议栈的顶部)到网络介质(底部)。OSI参考模型把功能分成七个分立的层次。Logo2011年11月19日8时20分NortheasternUniversity1.2.3OSI网络分层参考模型物理层物理层负责将信息编码成电流脉冲或其它信号用于网上传输。它定义了通讯网络之间物理链路的电气或机械特性，以及激活、维护和关闭这条链路的各项操作。物理层特征参数包括：•电压•数据传输率•最大传输距离•物理连接媒体等Logo2011年11月19日8时20分NortheasternUniversity1.2.3OSI网络分层参考模型数据链路层数据链路层通过物理网络链路提供可靠的数据传输。不同的数据链路层定义了不同的网络和协议特征，其中包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。•物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式；•网络拓扑结构定义了设备的物理连接方式，如总线拓扑结构和环拓扑结构；•错误校验向发生传输错误的上层协议告警；•数据帧序列重新整理并传输除序列以外的帧；•流控可能延缓数据的传输，以使接收设备不会因为在某一时刻接收到超过其处理能力的信息流而崩溃。Logo2011年11月19日8时20分NortheasternUniversity1.2.3OSI网络分层参考模型网络层网络层负责在源和终点之间建立连接。它一般包括网络寻径，还可能包括流量控制、错误检查等。网络层将数据分成一定长度的分组，并在分组头中标识源和目的节点的逻辑地址，这些地址就象街区、