在計算機網絡安全實踐中�,專業(yè)能力與理論知識同等重要。本書基于對抗式學習的教學理念對網絡安全的基本知識和技術進行介紹與分析,并通過實際的網絡安全對抗項目培養(yǎng)和評價學生的網絡安全專業(yè)能力。
全書共分3篇: 第1篇(第1��、2章)為基礎篇�,著重介紹網絡安全相關的基礎知識���,包括網絡安全、網絡安全對抗和密碼學的基本概念與技術; 第2篇(第3~7章)為技術篇����,分別介紹遠程用戶認證����、網絡掃描、拒絕服務攻擊����、防火墻��、入侵檢測5種網絡安全技術����,從對抗的視角介紹技術的發(fā)展歷程,針對每種技術給出一個具體的網絡安全對抗項目�����; 第3篇(第8章)為拓展篇�����,介紹網絡安全相關的其他技術,包括惡意軟件��、高級持續(xù)性威脅和人工智能技術��。全書提供了大量網絡安全的實際案例�,每章附有思考題。
本書適合作為高等院校計算機專業(yè)�、信息安全專業(yè)高年級本科生、研究生的教材���,也可供對計算機技術比較熟悉并且對網絡安全技術有所了解的開發(fā)人員��、廣大科技工作者和研究人員參考�。
新一輪科技革命和產業(yè)變革帶動了傳統(tǒng)產業(yè)的升級改造�����。黨的二十大報告強調必須堅持科技是第一生產力�����、人才是第一資源��、創(chuàng)新是第一動力���,深入實施科教興國戰(zhàn)略、人才強國戰(zhàn)略����、創(chuàng)新驅動發(fā)展戰(zhàn)略,開辟發(fā)展新領域新賽道,不斷塑造發(fā)展新動能新優(yōu)勢。建設高質量高等教育體系是擺在高等教育面前的重大歷史使命和政治責任��。高等教育要堅持國家戰(zhàn)略引領,聚焦重大需求布局,推進新工科�、新醫(yī)科�����、新農科��、新文科建設,加快培養(yǎng)緊缺型人才�。
計算機網絡安全(以下簡稱網絡安全)關乎國家安全和社會穩(wěn)定�����,也影響著大眾的日常生活����。近年來,我國政府和各企事業(yè)單位對信息安全人才的需求與日俱增�����,但從事網絡安全工作的高校畢業(yè)生在數(shù)量和質量方面與就業(yè)單位的實際需求還存在差距��。從事網絡安全工作的專業(yè)人員不僅需要掌握扎實的基礎知識����,還需要具備相關的專業(yè)能力。如何提高學生對基礎知識的學習興趣����,同時培養(yǎng)和評價他們的專業(yè)能力是當前高等教育面臨的一個難題。
對抗性是網絡安全的一個顯著特征�����。典型的網絡安全對抗活動包括網絡攻防比賽�、實戰(zhàn)演練、網絡入侵和信息戰(zhàn)等���。為了突顯網絡安全的這一特征����,本書作者提出了對抗式學習教學法����,它是一種通過多輪對抗活動提高學生專業(yè)技能的教學方法。該方法有助于提高學生的學習興趣����,培養(yǎng)和評價他們的專業(yè)能力。在過去幾年的課程教學中���,作者對該方法進行了實踐和改進����,并以此為基礎撰寫本書。
本書具有以下特點�。
(1) 突出網絡安全的對抗性。本書的最大特點是從對抗的視角看待網絡安全��。第1章介紹了網絡安全中典型的對抗活動�����,并給出網絡安全對抗模型��,第3~7章均討論了對應網絡安全技術的對抗特點�����,并給出網絡安全對抗項目����,便于學生開展分組對抗活動。
(2) 重視專業(yè)能力的培養(yǎng)��。通過網絡安全對抗項目�,本書致力于培養(yǎng)學生具有以下五方面的能力: ①使用專業(yè)工具開展網絡攻擊和防御的能力; ②通過觀察和數(shù)據(jù)分析得出恰當結論的能力; ③查閱參考資料并運用新技術的能力����; ④編寫程序實現(xiàn)網絡安全技術的能力; ⑤通過口頭和書面形式進行交流和匯報的能力�。
(3) 提供大量網絡安全案例����。本書在介紹具體的網絡安全技術時給出了一些實際的案例,這些案例可以幫助讀者理解知識原理和技術應用�����,體會網絡安全實踐的對抗特征�����。
(4) 介紹最新技術及發(fā)展歷程���。網絡安全是一門迅速發(fā)展的學科�。為了反映這一特點���,本書對一些最新的網絡安全技術進行了介紹��,其中包括人工智能技術對網絡安全的影響���。此外��,本書還從技術對抗的角度介紹了幾種網絡安全技術的發(fā)展歷史�����。
全書共8章�。第1章為網絡安全概述�,介紹網絡安全相關的基礎知識及網絡安全對抗活動和對抗模型; 第2章為密碼學基礎���,總結了各種類型的密碼算法及它們在一些重要的互聯(lián)網協(xié)議中的應用�����; 第3~7章分別介紹遠程用戶認證����、網絡掃描���、拒絕服務攻擊���、防火墻��、入侵檢測等網絡安全技術�,從對抗的視角介紹技術的發(fā)展歷程�,針對每種技術給出一個具體的網絡安全對抗項目,以培養(yǎng)和評價學生的網絡安全專業(yè)能力���; 第8章為其他網絡安全技術,包括惡意軟件�����、高級持續(xù)性威脅和人工智能技術�。
作者建議利用本書開展教學可采用對抗式學習方法,具體過程參見1.4.1節(jié)�。本書支持翻轉模式、項目模式���、實驗模式和自學模式等四種使用方式�,具體方式參見1.4.2節(jié)�。
為了便于教學,本書配有教學課件和教學視頻等教學資源�,供讀者查閱。
在本書的編寫過程中參考了多部網絡安全方面的教材及著作,尤其是威廉·斯托林斯編著的《網絡安全基礎應用與標準(第6版 )》(清華大學出版社)�,楊家海、安常青編著的《網絡空間安全拒絕服務攻擊檢測與防御》(人民郵電出版社)�,李德全編著的《拒絕服務攻擊》(電子工業(yè)出版社),馬春光�����、郭方方編著的《防火墻�����、入侵檢測與VPN》(北京郵電大學出版社)����,陳波、于泠編著的《防火墻技術與應用》(第2版��,機械工業(yè)出版社)����,方濱興主編的《人工智能安全》(電子工業(yè)出版社)。作者在閱讀以上教材和專著的過程中受到很多啟發(fā)和幫助�����,在此致以由衷的感謝。本書作者還查閱了19672023年間的共計200多篇學術文獻���,受篇幅所限無法一一列出���,在此對他們的研究工作表示感謝。
在本書的編寫過程中����,清華大學出版社的編輯提出了許多寶貴的意見,在此表示最誠摯的感謝���!此外,張楊�、趙卓然、楊帆����、向君、王兆鵬���、邱禹譚��、夏聞遠等為本書的撰寫提供了大量協(xié)助�����,作者對他們的工作表示感謝����。
由于作者水平有限,書中難免存在缺點和錯誤���,敬請讀者及各位專家批評指正��。
作者
2024年4月
隨書資源
第1篇基礎篇
第1章網絡安全概述
1.1網絡威脅與網絡攻擊
1.2OSI安全體系結構
1.2.1安全服務
1.2.2安全機制
1.3網絡安全對抗
1.3.1網絡安全對抗活動
1.3.2網絡安全對抗模型
1.4本書的使用方法
1.4.1對抗式學習教學法
1.4.2本書使用方法
思考題
第2章密碼學基礎
2.1對稱加密
2.1.1分組密碼
2.1.2流密碼
2.2公鑰密鑰體制
2.2.1非對稱加密
2.2.2數(shù)字簽名
2.2.3對稱密鑰分發(fā)
2.3安全散列函數(shù)
2.4IPSec協(xié)議
2.4.1AH協(xié)議
2.4.2ESP協(xié)議
2.5SSL/TLS協(xié)議
2.5.1握手協(xié)議
2.5.2記錄協(xié)議
2.6S/MIME協(xié)議
思考題
第2篇技術篇
第3章遠程用戶認證
3.1概述
3.1.1用途與挑戰(zhàn)
3.1.2遠程用戶認證方式
3.2基于口令的遠程用戶認證
3.2.1常見的口令攻擊方式
3.2.2口令選擇策略
3.2.3安全散列函數(shù)與鹽值
3.2.4驗證碼
3.3基于數(shù)字簽名的遠程用戶認證
3.3.1使用數(shù)字簽名實現(xiàn)遠程用戶認證
3.3.2數(shù)字證書
3.4基于生物特征的遠程用戶認證
3.4.1生物特征及遠程認證過程
3.4.2指紋識別技術
3.4.3人臉識別技術
3.5遠程用戶認證中的對抗
3.6驗證碼破解對抗項目
3.7參考文獻
思考題
第4章網絡掃描
4.1基本知識
4.1.1概述
4.1.2掃描技術的分類
4.2勘探掃描
4.2.1IP掃描
4.2.2ICMP掃描
4.2.3TCP掃描
4.2.4UDP掃描
4.3識別掃描
4.3.1服務識別
4.3.2棧指紋技術
4.3.3SNMP服務
4.4服務掃描
4.4.1網絡基礎服務
4.4.2SSL/TLS服務
4.4.3文件共享服務
4.4.4數(shù)據(jù)庫服務
4.4.5郵件服務
4.5漏洞掃描
4.5.1漏洞的分類
4.5.2漏洞掃描技術
4.6網絡掃描中的對抗
4.7網絡掃描攻擊對抗項目
4.8參考文獻
思考題
第5章拒絕服務攻擊
5.1概述
5.2拒絕服務攻擊的分類
5.2.1根據(jù)攻擊原理分類
5.2.2根據(jù)攻擊目標分類
5.2.3根據(jù)網絡協(xié)議層次分類
5.2.4根據(jù)攻擊流量速率分類
5.2.5根據(jù)攻擊源分布模式分類
5.2.6根據(jù)攻擊技術分類
5.3典型的拒絕服務攻擊
5.3.1Land攻擊
5.3.2Teardrop攻擊
5.3.3Ping of Death攻擊
5.3.4洪水型拒絕服務攻擊
5.3.5Smurf攻擊
5.4僵尸網絡與DDoS攻擊
5.4.1基本概念
5.4.2利用僵尸網絡發(fā)動DDoS攻擊的一般過程
5.4.3僵尸網絡模型
5.5拒絕服務攻擊的檢測與防御
5.5.1拒絕服務攻擊的檢測
5.5.2拒絕服務攻擊的防御
5.6拒絕服務攻擊中的對抗
5.7拒絕服務攻擊對抗項目
5.8參考文獻
思考題
第6章防火墻
6.1概述
6.1.1防火墻的定義
6.1.2防火墻的功能
6.1.3防火墻的分類
6.1.4防火墻的基礎技術
6.1.5防火墻的安全技術要求
6.1.6防火墻的不足
6.2防火墻的技術實現(xiàn)
6.2.1包過濾技術
6.2.2狀態(tài)檢測技術
6.2.3代理技術
6.2.4虛擬專用網技術
6.3防火墻的體系結構
6.3.1屏蔽路由器結構
6.3.2雙宿堡壘主機結構
6.3.3屏蔽主機結構
6.3.4屏蔽子網結構
6.4防火墻中的對抗
6.5防火墻攻防對抗項目
6.6參考文獻
思考題
第7章入侵檢測技術
7.1概述
7.1.1入侵檢測的概念
7.1.2入侵檢測系統(tǒng)的主要作用
7.1.3入侵檢測系統(tǒng)的性能指標
7.1.4入侵檢測的過程
7.1.5入侵檢測系統(tǒng)的分類
7.1.6入侵檢測系統(tǒng)的不足
7.2入侵檢測系統(tǒng)的基本模型
7.2.1入侵檢測專家系統(tǒng)模型
7.2.2分布式入侵檢測系統(tǒng)模型
7.2.3通用入侵檢測框架
7.3入侵檢測系統(tǒng)的數(shù)據(jù)源
7.3.1基于主機的數(shù)據(jù)源
7.3.2基于網絡的數(shù)據(jù)源
7.3.3應用程序日志文件
7.3.4其他數(shù)據(jù)源
7.4入侵分析的過程與方法
7.4.1入侵分析的過程
7.4.2入侵分析的方法
7.5入侵檢測中的對抗
7.6入侵檢測項目
7.7參考文獻
思考題
第3篇拓展篇
第8章其他網絡安全技術
8.1惡意軟件的威脅與防御
8.1.1概述
8.1.2惡意軟件的感染機制
8.1.3惡意軟件的破壞行為
8.1.4防護措施
8.2高級持續(xù)性威脅及其防御
8.2.1概述
8.2.2APT的攻擊過程與技術
8.2.3APT攻擊的檢測
8.3人工智能在網絡安全中的應用
8.3.1人工智能的基本概念
8.3.2利用人工智能技術發(fā)動網絡攻擊
8.3.3利用人工智能技術增強網絡安全
思考題
書單推薦
