信息對抗技術(shù)-計算機(jī)取證計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)本講主要內(nèi)容什么是信息對抗1電子對抗2網(wǎng)絡(luò)對抗3網(wǎng)絡(luò)空間安全技術(shù)展望5信息對抗技術(shù)信息戰(zhàn)4信息對抗技術(shù)第一部分：什么是信息對抗信息對抗技術(shù)

信息對抗：破壞對方信息系統(tǒng),保障已方信息系統(tǒng)的所有行動。涉及領(lǐng)域舉例國防金融貿(mào)易交通信息對抗技術(shù)1942年的中途島戰(zhàn)役，是美國海軍以少勝多的著名戰(zhàn)役信息對抗案例——中途島戰(zhàn)役中途島日本航母“加賀”號下沉信息對抗目的信息對抗技術(shù)對抗一方在一定的時空范圍內(nèi)對電磁頻譜的控制權(quán)對抗一方在一定時間對一定空間的控制權(quán)對抗一方在一定時間對一定海區(qū)的控制權(quán)對網(wǎng)絡(luò)的控制權(quán)，包括網(wǎng)絡(luò)的使用權(quán)、控制網(wǎng)絡(luò)輿論導(dǎo)向等方面信息對抗的類型信息對抗技術(shù)電子對抗1網(wǎng)絡(luò)對抗2信息對抗技術(shù)第二部分：電子對抗信息對抗技術(shù)主要類型

電子對抗：利用電磁能量，確定、利用、削弱或阻止敵方使用電磁頻譜，同時保障己方有效使用電磁頻譜而采取的行動。雷達(dá)對抗通信對抗光電對抗信息對抗技術(shù)舉例雷達(dá)為飛機(jī)導(dǎo)航雷達(dá)對抗實驗儀雷達(dá)顯示屏工作狀態(tài)信息對抗技術(shù)舉例移動通信干擾器無人機(jī)通信對抗系統(tǒng)通信偵察船海洋監(jiān)視衛(wèi)星信息對抗技術(shù)舉例激光發(fā)射器激光致盲系統(tǒng)紅外干擾彈伊拉克早期預(yù)警雷達(dá)覆蓋區(qū)域信息對抗技術(shù)電子對抗案例——海灣戰(zhàn)爭信息對抗技術(shù)第三部分：網(wǎng)絡(luò)對抗信息對抗技術(shù)

網(wǎng)絡(luò)對抗：綜合利用己方網(wǎng)絡(luò)系統(tǒng)和手段，有效地與對方的網(wǎng)絡(luò)系統(tǒng)相對抗。舉例網(wǎng)絡(luò)入侵拒絕服務(wù)攻擊計算機(jī)病毒信息對抗技術(shù)目的舉例獲取被入侵系統(tǒng)上一個帳號（通常為特權(quán)帳號）的訪問權(quán)限篡改被入侵系統(tǒng)上的數(shù)據(jù)……信息對抗技術(shù)網(wǎng)絡(luò)對抗案例——黑客入侵實驗ABC公司的挑戰(zhàn)者XYZ公司的職員1996年ABC（WG）公司進(jìn)行實驗，入侵一個名為XYZ的財富500強(qiáng)公司的計算機(jī)系統(tǒng)。ABC公司的挑戰(zhàn)者通過電子郵件試探、網(wǎng)絡(luò)掃描、口令猜測等方法，成功入侵XYZ公司內(nèi)部計算機(jī)，獲得機(jī)器上的管理員(root)權(quán)限。信息對抗技術(shù)舉例1991年，在海灣戰(zhàn)爭開戰(zhàn)前數(shù)周，美國特工買通了某國際機(jī)場的工作人員，用帶有病毒的芯片替換了運往伊拉克的打印機(jī)芯片，美國國通過激發(fā)病毒使得伊拉克國防空系統(tǒng)使用的打印機(jī)不能正常工作。信息對抗技術(shù)舉例輔助完成特權(quán)提升鎖定系統(tǒng)帳戶作為敲詐的手段目的舉例網(wǎng)絡(luò)對抗的特點信息對抗技術(shù)沒有國界行動隱蔽多種實施途徑依賴高技術(shù)對抗結(jié)果難以估計12345網(wǎng)絡(luò)對抗技術(shù)類型信息對抗技術(shù)網(wǎng)絡(luò)偵查技術(shù)信息對抗技術(shù)網(wǎng)絡(luò)偵查技術(shù)的特點信息對抗技術(shù)充分利用信息網(wǎng)絡(luò)有針對、全方位攔截信息確保對抗中獲得主動權(quán)123網(wǎng)絡(luò)攻擊技術(shù)手段信息對抗技術(shù)黑客入侵網(wǎng)絡(luò)對目標(biāo)網(wǎng)絡(luò)拒絕服務(wù)攻擊傳播計算機(jī)病毒電磁干擾目標(biāo)網(wǎng)絡(luò)物理破壞目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)攻擊的實質(zhì)和目標(biāo)信息對抗技術(shù)高級持續(xù)性威脅：APT信息對抗技術(shù)高級持續(xù)性威脅：APT（AdvancedPersistentThreat）概念：利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT可能是國與國、組織與組織的對抗，針對的均是總要系統(tǒng)、基礎(chǔ)設(shè)施或大型企業(yè)等領(lǐng)域高級性：在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。APT攻擊者主動挖掘被攻擊對象系統(tǒng)和應(yīng)用程序漏洞潛伏性：攻擊和威脅可能在用戶環(huán)境中長時間存在，不斷收集各種信息，直到收集到重要情報。發(fā)動APT攻擊的目的往往不是為了在短時間內(nèi)獲利持續(xù)性：攻擊者不斷嘗試的各種攻擊手段，以及滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏鎖定目標(biāo)：針對特定目標(biāo)，長期進(jìn)行有計劃、有組織性的攻擊高級持續(xù)性威脅：APT信息對抗技術(shù)“震網(wǎng)”:Stuxnet針對微軟系統(tǒng)以及西門子工業(yè)系統(tǒng)的病毒傳播途徑：該病毒主要通過U盤和局域網(wǎng)進(jìn)行傳播曾造成伊朗核電站推遲發(fā)電。高級持續(xù)性威脅：APT信息對抗技術(shù)APT的危害高破壞性可能針對國防基礎(chǔ)設(shè)施：震網(wǎng)病毒高目的性政府、金融、證券、電力等基礎(chǔ)設(shè)施高隱蔽性可以長達(dá)多年，難以發(fā)現(xiàn)高級持續(xù)性威脅：APT信息對抗技術(shù)Duqu2.0：成功攻入卡巴斯基公司內(nèi)網(wǎng)的APT攻擊2015年6月卡巴斯基（Kaspersky）通過博客和新聞稿承認(rèn)，在今年早些時候的安全檢查中，一款新的原型反APT系統(tǒng)發(fā)現(xiàn)公司內(nèi)部系統(tǒng)被非常高明的攻擊入侵。巴斯基經(jīng)過大調(diào)查，發(fā)現(xiàn)這是又一次精心組織、精密實施的APT攻擊，只有國家支持的團(tuán)隊才有能力做到他們明確指認(rèn)幕后黑手就是2011年名噪一時的Duqu背后組織。因此卡巴斯基將此次攻擊命名為Duqu2.0。攻擊的目標(biāo)是卡巴斯基的知識產(chǎn)權(quán)（技術(shù)、研究和內(nèi)部流程），而不是其用戶數(shù)據(jù)，也沒有盈利企圖。賽門鐵克發(fā)表報告稱，Duqu2.0除卡巴斯基之外，也影響了歐洲和北非各一家電信運營商，一家東南亞電子設(shè)備廠商，還有美國、英國、瑞典、印度和中國香港的企業(yè)。Duqu被很多安全專家認(rèn)為與攻擊伊朗核設(shè)施（也影響了印尼、印度和美國等國）的Stuxnet關(guān)系密切。開發(fā)成本估計達(dá)到5000萬美元。高級持續(xù)性威脅：APT信息對抗技術(shù)Duqu2.0：成功攻入卡巴斯基公司內(nèi)網(wǎng)的APT攻擊Duqu最早出現(xiàn)在2011年9月，是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲大多數(shù)Duqu出現(xiàn)在工控系統(tǒng)中代碼分析還顯示Duqu可能有4年歷史，它載入的一個驅(qū)動的編譯時間是2007年被用來收集與其攻擊目標(biāo)有關(guān)的各種情報Duqu被很多安全專家認(rèn)為與攻擊伊朗核設(shè)施（也影響了印尼、印度和美國等國）的Stuxnet關(guān)系密切高級持續(xù)性威脅：APT信息對抗技術(shù)Duqu2.0：成功攻入卡巴斯基公司內(nèi)網(wǎng)的APT惡意代碼只駐留在被感染機(jī)器的內(nèi)存里，硬盤里不留痕跡，某臺機(jī)器重啟是惡意代碼會被短暫清洗，但只要它還會連上內(nèi)部網(wǎng)絡(luò)，惡意代碼就會從另一臺感染機(jī)器傳過來。這一手法是前所未見的。惡意代碼利用了一個Windows內(nèi)核的0day漏洞。Duqu2.0執(zhí)行惡意代碼的方式也很妙，使用WindowsInstaller的MSI安裝包加載惡意代碼所需的資源并解密，再將執(zhí)行權(quán)限交給內(nèi)存中的代碼，這樣反病毒產(chǎn)品也很容易被騙過。唯一在硬盤中存在的是與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)服務(wù)器上的一些Windows設(shè)備驅(qū)動程序當(dāng)網(wǎng)絡(luò)里Duqu2.0都被清洗時，攻擊者還可以通過向這些服務(wù)器發(fā)送魔術(shù)字符串，讓設(shè)備驅(qū)動程序重新下載Duqu主引擎，再次感染網(wǎng)絡(luò)。因此想要完全清除Duqu2.0，必須所有機(jī)器同時斷電同時重啟，而且在重啟前還要找到哪些機(jī)器上有惡意驅(qū)動程序，將它們刪掉。高級持續(xù)性威脅：APT信息對抗技術(shù)Duqu2.0：成功攻入卡巴斯基公司內(nèi)網(wǎng)的APT“海蓮花”針對中國的APT信息對抗技術(shù)2015年5月360“天眼”實驗室披露“海蓮花”（OceanLotus）針對中國的國家級黑客攻擊自2012年4月起，“海蓮花”針對中國的海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)，展開了精密組織的網(wǎng)絡(luò)攻擊是一個有國外政府支持的APT（高級持續(xù)性威脅）行動。海蓮花攻擊的主要方式有“魚叉攻擊”和“水坑攻擊”?！棒~叉攻擊”：將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發(fā)送給目標(biāo)電腦，誘使受害者打開附件，從而感染木馬?！八庸簟保菏窃谑芎φ弑亟?jīng)之路設(shè)置了“水坑（陷阱）”。最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點將此網(wǎng)站“攻破”并植入攻擊代碼一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”“海蓮花”針對中國的APT信息對抗技術(shù)“海蓮花”針對中國的APT信息對抗技術(shù)0day攻擊信息對抗技術(shù)0day通常是指還沒有補(bǔ)丁的漏洞0day攻擊則是指