網絡安全原理與實踐

"陳兵，南京航空航天大學研究生院院長、教授、博導，工信部研究型教學創新團隊負責人，中國工程教育專業認證專家，江蘇省計算機學會副理事長，江蘇省網絡空間安全學會副理事長。長期從事計算機網絡、網絡與信息安全等領域教學和科研工作。所承擔的“網絡安全”課程為國家一流課程。出版工信部“十二五”規劃教材《物聯網通信》、江蘇省重點教材《網絡安全》等。主持科研項目30余項，發表論文60余篇。獲江蘇省科學技術二等獎1項，國防科技進步三等獎2項，江蘇省教學成果一等獎1項、二等獎2項。趙彥超，南京航空航天大學教授、博導，研究方向為邊緣計算、智能感知。獲江蘇省優秀青年基金，發表論文60余篇，主持國家級省部級科研項目20余項，獲江蘇省科技獎二等獎。錢紅燕，南京航空航天大學副教授，研究方向為計算機網絡與安全、無線網絡。發表論文40余篇，獲江蘇省教學成果（高等教育類）一等獎。方黎明，南京航空航天大學教授、博導。研究方向為密碼學、人工智能安全等，主持國家重點研發計劃、聯合基金重點項目等，申請發明專利20余項，發表論文100余篇。胡峰，南京航空航天大學副研究員。研究方向為電磁頻譜安全、聯邦學習等，主持和參與國家重點研發計劃、國家自然科學基金、航空基金等10余項，發表論文20余篇。"

目錄

第1章網絡安全基礎1

1.1網絡安全案例1

1.1.1一段代碼引出的漏洞1

1.1.2網絡安全事件和網絡空間威脅3

1.2網絡攻擊的目的6

1.3網絡安全的威脅來源7

1.4網絡安全的定義9

1.5網絡安全模型12

1.5.1ISO網絡安全模型12

1.5.2TCP/IP網絡安全模型14

1.6本章小結16

1.7本章習題16

第2章常見的網絡攻擊技術17

2.1網絡攻擊17

2.1.1網絡快速發展所帶來的隱患17

2.1.2網絡攻擊的一般過程18

2.1.3網絡攻擊分類19

2.2物理層和數據鏈路層攻擊技術20

2.2.1電磁泄漏 20

2.2.2網絡側信道攻擊22

2.2.3MAC地址欺騙 23

2.2.4網絡監聽24

2.2.5偽裝WiFi接入點攻擊30

2.3網絡層攻擊技術31

2.3.1網絡層掃描 31

2.3.2ARP欺騙 35

2.3.3IP欺騙 36

2.3.4路由欺騙 39

2.3.5碎片攻擊40

2.3.6ICMP攻擊 41網絡安全原理與實踐目錄2.4傳輸層攻擊技術43

2.4.1端口掃描43

2.4.2TCP初始序號預測46

2.4.3SYN Flooding 47

2.4.4TCP欺騙48

2.5應用層攻擊技術50

2.5.1電子郵件攻擊50

2.5.2DNS攻擊51

2.5.3SQL註入攻擊53

2.5.4重放攻擊56

2.6木馬攻擊58

2.6.1蠕蟲的故事58

2.6.2特洛伊木馬59

2.6.3木馬的特點60

2.6.4已發現的木馬62

2.6.5編寫一個木馬64

2.7口令攻擊68

2.8緩沖區溢出攻擊70

2.8.1引例70

2.8.2原理70

2.9拒絕服務攻擊74

2.9.1拒絕服務攻擊的原理74

2.9.2分布式拒絕服務攻擊74

2.10APT攻擊76

2.10.1APT攻擊概述76

2.10.2APT攻擊模型77

2.10.3APT攻擊防禦技術80

2.11本章小結83

2.12本章習題83

第3章網絡身份認證85

3.1網絡身份認證概述85

3.1.1網絡身份認證案例的引出85

3.1.2網絡身份認證的地位與作用86

3.1.3身份標識信息87

3.1.4網絡身份認證技術分類87

3.2常用網絡身份認證技術88

3.2.1口令認證88

3.2.2IC卡認證91

3.2.3基於生物特征的認證92

3.3網絡身份認證協議95

3.3.1對稱密碼認證95

3.3.2非對稱密碼認證97

3.4單點登錄112

3.4.1單點登錄基本原理112

3.4.2單點登錄系統實現模型113

3.5第三方登錄117

3.5.1第三方登錄簡介117

3.5.2OAuth授權協議120

3.6本章小結124

3.7本章習題124

第4章網絡訪問控制126

4.1訪問控制基礎126

4.1.1訪問控制實例127

4.1.2自主訪問控制128

4.1.3強制訪問控制 129

4.1.4基於角色的訪問控制 130

4.1.5使用控制模型 132

4.1.64種訪問控制模型的比較133

4.2集中式防火墻技術133

4.2.1防火墻的概念133

4.2.2防火墻策略136

4.2.3防火墻體系結構137

4.3分布式防火墻技術146

4.3.1傳統防火墻案例分析146

4.3.2分布式防火墻的基本原理148

4.3.3分布式防火墻實現機制150

4.4嵌入式防火墻技術153

4.4.1嵌入式防火墻的概念153

4.4.2嵌入式防火墻的結構154

4.5零信任網絡技術155

4.5.1零信任網絡概念155

4.5.2零信任網絡技術的架構和邏輯組件158

4.5.3零信任網絡的典型技術161

4.5.4零信任網絡技術的部署方式164

4.5.5零信任網絡技術的案例165

4.6本章小結168

4.7本章習題168

第5章虛擬專用網技術170

5.1VPN概述170

5.1.1VPN的概念170

5.1.2VPN的組成與功能171

5.1.3隧道技術172

5.1.4VPN管理172

5.2VPN的類型173

5.2.1內聯網VPN173

5.2.2遠程訪問VPN174

5.2.3外聯網VPN175

5.3數據鏈路層VPN協議176

5.3.1PPTP與L2TP簡介176

5.3.2VPN的配置177

5.4網絡層VPN協議180

5.4.1IPSec協議181

5.4.2MPLS187

5.5傳輸層VPN協議： SSL190

5.5.1SSL協議規範191

5.5.2SSL協議的相關技術193

5.5.3SSL協議的配置194

5.5.4SSL VPN的優缺點195

5.6會話層VPN協議： SOCKS v5196

5.7本章小結197

5.8本章習題197

第6章入侵檢測技術199

6.1入侵檢測概念199

6.2入侵檢測模型200

6.3入侵檢測系統的分類200

6.3.1基於主機的入侵檢測系統200

6.3.2基於網絡的入侵檢測系統202

6.3.3基於溯源圖的入侵檢測系統203

6.4入侵檢測軟件： Snort205

6.5入侵防禦系統207

6.5.1入侵防禦系統概念207

6.5.2入侵防禦系統結構208

6.5.3入侵防禦軟件： Snortinline211

6.6本章小結212

6.7本章習題212

第7章區塊鏈技術213

7.1區塊鏈簡介213

7.1.1區塊鏈概念213

7.1.2區塊鏈發展史214

7.2區塊鏈架構215

7.2.1區塊結構215

7.2.2區塊鏈六層架構215

7.2.3行業專用區塊鏈架構217

7.3區塊鏈加密技術218

7.3.1哈希函數219

7.3.2非對稱加密219

7.3.3零知識證明221

7.4區塊鏈運行機制222

7.4.1區塊的內容223

7.4.2共享賬本223

7.4.3多方驗證224

7.4.4共識機制225

7.5區塊鏈發展與挑戰225

7.5.1區塊鏈+物聯網225

7.5.2區塊鏈+虛擬化227

7.5.3區塊鏈+人工智能228

7.5.4區塊鏈+深度學習229

7.5.5區塊鏈+無人機集群230

7.5.6區塊鏈的挑戰231

7.6本章小結231

7.7本章習題232

第8章安全管理與安全標準233

8.1安全目標233

8.1.1安全目標的制定原則233

8.1.2安全目標的分解234

8.2安全方針政策235

8.2.1貫徹安全方針的基本理念235

8.2.2安全政策235

8.3安全評估與等級保護236

8.3.1安全評估內容236

8.3.2安全評估標準238

8.3.3信息系統安全等級保護評定流程243

8.4安全風險管理245

8.4.1安全風險的層次劃分246

8.4.2安全風險評估247

8.5安全管理措施251

8.5.1網絡實體安全管理 251

8.5.2保密設備與密鑰的安全管理 252

8.5.3安全行政管理 253

8.5.4運行維護管理255

8.6安全防禦系統的實施256

8.6.1系統監測256

8.6.2應急響應與恢復256

8.6.3應急預案257

8.7本章小結259

8.8本章習題259

附錄ASniffer源程序260

附錄B端口掃描器源程序266

參考文獻268