入侵检测复习知识点归纳同济大学信息安全

1、（1）主要功能不同IDS入侵检测，IPS入侵防御 IDS报警 。 IDS报警。 Ch1: 1.入侵检测: 是指发现或检测（discover or detect）网络系统和计算机系统中出现各种的入侵活动 （intrusion activities, namely attack），或者说是对所有企图穿越被保护的安全边界的活动或 者对违反系统的安全策略的行为的识别。 2、入侵检测系统： 用来监视计算机系统或者网络系统的中的恶意活动的系统，它可以是硬件，软件或者组合。 当IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。 入侵检测系统的准确性可以用误报率（False po

2、sitive rate）和漏报率（False negative rate）衡 量，这个是一个重要的评价指标。 误报（False positive）是当一个正常活动或者合法的网络流（包）触发 漏报（False negative）是一个恶意的活动或网络流（包）却没有触发 3.入侵检测系统常见的分类方法 采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。 4.入侵检测系统主要组成部件和各部件的功能 感应器（Sensor）:完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系 统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。 分析器（An alyzer

3、）:完成数据的分析，并寻找入侵特征。称为（基于）特征入侵检（sig nature detect ion or sig nature-based ），也有文献称为误用检测（misuse detecti on ）或者通过一些 统计指标判断行为是否异常，称为（基于）异常入侵检测 （anomaly detection or anomaly-based ）。最后做出判断是正常还是攻击。 报警器（Alarm）：若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面 发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主 动响应方式，则会自动查表找与攻击对应的具体响应，即采

4、取相应的响应动作：或者通知防 火墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进程或用户。 5.入侵防御系统（IPS）:能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发 生，以免造成损失。 6.IPS出现的主要原因有哪些 ？IPS的主要功能是什么？ 7.IDS与IPS主要区别有哪些？（ cf ch12） （2）工作模式不同 作）,是主动防御。而 防火墙更新规则，同时 燮更規刖燮更規刖 TCP J?csct 拒令TCP J?csct 拒令 IPS工作模式是 inline mode : Detectionand Action （检测和动 IDS是sniffer mode : D

5、etection，是被动侦听，而当发生入侵时，通知 TCP reset中断连接。 （3）部署位置不同（基于网络的 IDS和IPS : IDS部署在防火墙后，接入交换机的侦听 端口上（将所有流经交换机的信息包复制一份给IDS），实时性差，只能间接通过防火墙采 取行动。IPS部署在防火墙外，所有实时流量都流经IPS实时处理，可以直接采取行动（丢 包，断连等）。 IDS IPS 防御 方式 Passive sniffer modeActive in-li ne mode IDSIDS TXT Reset 描令 In-Linc Mode IPS il j Ur 防御 动作 通知防火墙更新规则, 同时

6、TCP reset 丟弃恶意 包 中断连线中断连线 防火墙(Firewall)不能完全替代IDS，防火墙像门卫(在大门入口处)，一般通过过滤网络 流量，允许或者阻止对系统和资源的访问，而IDS 一般是用来监视计算机系统和网络中的 活动和事件，检测恶意活动的。IDS就像是房屋的安防报警系统，有多个传感器，放在各个 检测点(各个网络和主机的关键点)，与报警主机相连，通过报警主机发出声音警报或者拨 号到接警中心。而防火墙一般只布置在网络的入口处。 Firewall vs IDS: 防火墙只能分析包的网络层和传输层，只能基于端口号和Ip地址进行简单过滤；而IDS可 以分析到应用层，不仅能够检测能够检测

7、利用网络层和传输层的知识的攻击，还能检测利用 数据包中恶意内容(应用层)而产生的各种攻击。 8、什么是入侵活动？ 入侵活动主要分为哪几类 ？发生入侵活动的原因有哪些 又称为攻击(Attacks)，是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行 为，是恶意的活动。如中断系统服务，未授权的访问网络和计算机系统(Un authorized access)， 扩大特权(Privilege escalation)或者侦察活动(Reconnaissanee)等。入侵者通常要利用网 络或计算机系统的漏洞(Vulnerability )，如TCP/IP网络协议软件的安全缺陷，路由软件的缺 陷，以及

8、操作系统和应用系统的Bug等。同时，也存在因为配置不当(misconfiguration )和 没有及时打补丁( P atch)而使应用与系统置于各种安全暴露(Exp osure)中。 第二章 1.攻击 In computer and computer networks an attackattack is any attempt to destroy, expose, alter, disable, steal or gain un authorized access to or make un authorized use of an asset. US Commitee on Nati

9、onal Security system Any kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy in formatio n system resources or the in formatio n itself. 攻击是针对计算机或者网络的，称为主机系统攻击和网络系统攻击。 2. Un authorized access :P rivilege Escalati on权限提升，可分为: :account 攻击手段 攻击目标（具体，硬件，软件）漏洞与暴露的利用攻击的

10、后果和影响 1/Virus ，Worms, Trojans ， Buffer overflows Denial of service(DoS) attacks ，Network attacks ，Physical attacks ，Password attacks ，Information gathering attacks，Routing attacks 4/ FistFist dimensiondimension attackattack payloadpayload( (攻击本身的影响) ) 最终的影响(eventual effect ) Corrup ti on of i nforma

11、tio n (对信息的改变或损毁Alter Or Destroy） Disclosure of i nformatio n（信息泄露 ） Theft of service（窃取服务：未授权使用服务但未对合法用户有任何影响） Subversion （获得对目标的部分控制并使用之） 5.什么是 CVE（Common Vulnerabilities and Exposures）:）公共漏洞与暴露。 安全漏洞名称的标准：为每个漏洞与暴露确定唯一的名称和一个标准化的描述， 这是信息 是已知的信 息安全漏洞与暴露的词典。 作用：这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞 扫

12、描评估等工具的覆盖率提供了基准参考点。 6.KDD99 DATASET将攻击分为几类? user to super-user 普通用户利用系统漏洞获得Root用户的访问权利：root break-in incident （突破R权） Non-user to user非用户获得普通用户权利，或者普通甲用户获得乙用户的权利 break-i n) 3. Un authorized use : any atte mpt to destroy, expo se, alter, disable, steal . 违背了信息安全的三原则CIA 4.试述Howard and Longstaff关于攻击的分类.

13、其分类中，关于漏洞与暴漏的原因，可以 归纳为哪几种情况？（设计与实现中的漏洞和使用中的不当配置） 定义了 39种具体的攻击，这些攻击分为四大类：Probe（探测工具有 6种），Denial of Service （ 10种方法）,U2R（普通用户非法而获得root特权,8种攻击方法），R2L（远程非 本地帐户用户非法获得本地访问权，15种方法） 7.何谓 OS Fingerprint技术? 8.扫描器的功能是什么？根据扫描的目的，可以将扫描器分为哪两类？（端口扫描器和漏 洞扫描器） 9.什么是特权提升? 10.那些方法与途径可以实现特权提升? 11.试述网络攻击的一般过程 （1 ）数据收集：侦

14、探（搜索废物箱） （2）挖掘漏洞：扫描（通过各种软件工具） （3）实施 攻击：窃取访问权（4）安装后门：维护访问（安装恶意软件，修改配置，获取Root权完全 控制该主机或网络设备，并为了防范其它黑客而答补丁）（ 5）清除日志掩盖痕迹 1.Probes探测（漏洞扫描） P robes are usually attacks sea nning compu ter n etworks and compu ter system to gather in formatio n or find known vuln erabilities ,which are exploited for future

15、attacks.通过扫描网络与计算机系统来收集信息和发现 已知的漏洞，以用于今后的攻击。 探测通过扫描工具（扫描器）来完成.通过向远程主机的不同端口服务发送请求访 问,并记录目标的应答，来搜集目标主机的各种有用信息.具体说来扫描器有三项 功能： ?发现主机或者网络的状态； ? 一旦发现主机处于运行状态，可以进一步判断系统中那些服务正在运行 ?通过测试运行中的网络服务，发现漏洞. 依据扫描的目的可以分为：端口扫描器和漏洞扫描器；端口扫描器只单纯用来 扫描目标系统开放的网络服务端口及与端口相关的信息 .漏洞扫描器检查目 标主机中可能包含的已知漏洞. 主要扫描技术: TCP SCAN和 UDP SC

16、AN技术: TCP Connect scan调用套接口连接到目标主机的端口上，完成一次TCP三次握 手。 TCP SYN scan向目标端口发送一个 SYN分组,如果收到SYN/ACK目标端口处于 监听； 如果收到RST/ACK端口不在监听。没有一个完整的握手，目标主机 不会记录。 TCP FIN scan向目标主机发送FIN分组，按RFC793当FIN分组到达一个关闭 端口时， 数据包被丢弃，并且返回一个RST分组。否则，只是简单丢弃而不回应 RST分 组。 TCP Xmas Tree scan向目标发送FIN URG PUSH分组，目标主机当端口关闭时回应 RST分 组 TCP Null

17、scan 向目标主机发送一个关闭掉所有标志位的分组，目标回应 RST 分组。 TCP ACK scan 用来侦测防火墙，判断其支持简单分组过滤还是支持基于状态的 包过滤。 UDPscan向目标主机发送一个UDP分组，如果目标端口关闭，返回”ICMPport unreachable ”否则，如果没有收到上述信息，可以判断端口开放。 OSFingerprint 技术（操作系统指纹技术） ：漏洞是和操作系统和应用密切相关 的， 辨识不同版本的操作系统与应用是探测扫描的一项重要功能。识别操作系 统的指纹，可以通过下面的方法： 一些端口服务的提示信息（如 137，138， 139，445，80） ? T

18、cp/ip 栈指纹 （ 测试远程主机的 TCP/IP 协议栈对不同请求的响应来探测系 统） ? DNS泄露出OS系统 主要的扫描工具有： MScan通过蛮力扫描整个域的 Ip地址来发现在运行的计算机并探测他们的漏洞 的信息，也包括网络服务的不适当配置，已知的 特权提升 端口扫描器 IP sweep and PortSwee p搜索哪些主机有哪些端口是打开的 NMap Ip地址和端口扫描 防火墙扫描及提取操作系统指纹(OS Fingerprint)的 开源免费软件. 漏洞扫描器 SAINT收集各种网络服务(如) 网络和操作系统的漏洞。 Satan是SAINT的先前版本。 ISS NESSUS 2

19、 P rivilege Escalati on Attacks Attaining high privileges on a system allows attackers to perform far more dan gerous acti ons( for exa mp le: in stall TROJAN code or create backdoors for future covert access).利用系统或者应用程序的漏洞或者不适当配置，非 法获得对在正常情况下受保护的资源的访问权。获得系统的高特权后可以让攻 击者进行跟多危险动作如安装木马或者后门。 已知的这种攻击又分为两

20、类: Vertical p rivilege escalati on Or user to super user (U2R) Horiz on tal p rivilege escalatio n or Non-use to User (N2U) large_stringi=A; 面是能够实现特权提升的方法： ? Buffer Overflow Attacks 缓冲区是指一块内存区，对应的数据结构如数组或 C 语言中的指针。当一 个程序或者进程试图存储超过缓冲区大小的数据时， 就发生了缓冲区溢出。 缓冲区数据溢出时，超出的数据会写入临近的其他缓冲区，这样就会覆盖 掉其他的有效数据。如果是发生在

21、指令堆栈区，缓冲区溢出攻击在在利用 这个漏洞时，写入一段自己想执行的代码放在溢出区域，并修改函数的返 回地址，使其指向自己的代码，通过执行这段程序而触发一个特定的动作 如生成一个具有特权的操作界面（ shell ），破坏文件，修改数据或者邪路 敏感信息等。 当然缓冲区溢出既使没有被攻击者利用， 也可能因为覆盖掉其他缓冲区 的内容而导致系统紊乱甚至奔溃，引起拒绝服务。避免这种攻击的方法是： 建立足够大的缓冲区， 监视缓冲区的使用， 同时在写程序时要考虑缓冲区边 界越界问题。 Void func(char *str) char buffer16; strcpy(buffer,str) Void m

22、ain() char large_string256; int i; for (i=0;i255;i+) ? Race-condition Attacks 竞态条件攻击 func(large_string); 从 buffer 开始的 256 个字节都被) 0 x41 覆盖，函数的返回地址也变成 0 x41414141,程序执行完成后返回到上述地址指向的区域。这就为恶意 程序的执行提供了条件。 ? Misconfiguaration Attacks 各种系统不适当的配置可能被攻击者用来避开安全屏障，不适当的配置和 没有对系统及时打补丁会使系统至于某种安全暴露状态，大多数安全所面 临的问题。 例

23、如字典攻击(又称暴力攻击)是指攻击者通过穷举方式来猜测口令，如 果系统管理员没有设置最大登陆尝试次数，就会被这种方式攻破而获得口 令。 竞态条件 (race(race condition)condition)又称为竞争危害(race(race hazard)hazard)。 该术语旨在描述一个系统或者进程的输出展现无法预测的、对事件间相 对时间的排列顺序的致命相依性。 该术语起源自于电信中两个讯号试著彼此竞争来影 响谁先输出。 现在也用于系统与应用软件里的多任务和多线程运行时可能产生的安全 问题的描述中。 例如在较早的 Unix 的 Login 程序的执行，当一个新的 Login 进程产生时，

24、需要完 成用户验证，结束后再切换到普通用户状态。在还没有切换到普通用户状态时，会存 在一个很短的时间间隙（GaP），此时是处于 Root状态。如果有人不停的键入 ESC键, 就有可能阻止从特权态切换到普通用户状态， 从而获得了特权。 称为 Unix login 攻击。 竞争条件攻击还常发生在对共享文件的操作时， 例如在多线程的并发控制中， 一个 线程在向一个文件写入， 另一个线程同时在对同一个文件进行读出， 程序的执行结果不是确 定的，与这两个线程的竞争结果有关。 一个安全的程序开发者应该考虑到竞态问题， 这样可以避免竞态攻击。 同时作为系 统管理员及时的系统补丁也是防范这种攻击的有效方法。

25、? Man-in-the-Middle Attacks 中间人攻击是指攻击者通过控制受害者间的整个网络“谈话”，中继转发 消息，并使受害者相信是与另一方直接进行私密连接。强加密协议和端点 验证机制能够阻止这类攻击，如用SSH代替tel net，同时采用文件加密机 制或者 Session checksums 会话校验码等技术。 ? Social Engineering Attacks 攻击者通过劝诱误导或者使用人机技巧使受害者泄露受保护的关键信息系统 的访问信息 （如口令， 登陆名等）。社会工程攻击又分为两类： 物理的和心理的。 物理方法如在工作场所，攻击者站在受害者旁观察别人输入的口令，或者借

26、 口帮别人维护系统而套取口令，或者在废纸篓中收集有价值的信息等。 心理类方法包括通过电话或者在线通讯，如致电 Helpdesk 假冒成内部员工 寻求管理员 Reset 口令。在线通讯包括通过 EmailPhishing , 发出请求信息链接 到一个验证登陆的欺骗页面等（钓鱼页面） 。 社会工程攻击难以检测，因为是利用了人容易欺骗的原因，防止这种攻击的 最佳的办法是持续的用户安全培训，增强安全意识。 3 Denial Of Service(DoS) an d Distributed De nial of Service (DDos) Attacks 拒绝服务攻击和分布式拒绝服务攻击 DOS攻击是

27、指a）误用TCP/lp网络协议，通过伪造地址，泛洪，反射，和修改分 段包的偏移等手段产生大量非常信息流（如不完整地TCP连接，异形的Ip包, 僵尸主机生成的请求等）b）利用目标主机的系统与用用中的各种漏洞与暴漏而 使主机或者网络设备性能降级甚至使其完全无法有效使用与提供服务。 Attacker Victim ReflectorGatewjiy Zombie - Control traffic - Attat;k traffic DDo敦击分布式拒绝服务攻击：攻击者通过分发和传播攻击脚本到多个中间主 机，然后组织这些主机一起向某个目标发起高强度攻击。这些中间主机成为 Zombie 或者 Bot。

28、 一 VictimVictim LegilrnaleLegilrnale ServersServers 一 一 AttackerAttacker卜 - DRDoS(Distnbuted Refletor Denial of Service):attacker uses a fake source IP (Target s) and send conn ecti on to several legilimate servers,whe n these servers respond they send the ACK p ackets to the attacker s target. 具体的攻

29、击举例: TCP-Syn Flood攻击：最早出现在1996年.原理是：向目标发送大量TCP-SYN青 求包，但该包的源IP地址根本不可用或者是假冒的，但目标要为其分配资源排入 等待队列.但这样的包太多后,就耗尽了服务期的资源而瘫痪.解决方案是嵌入 SYN奄没处理补丁模块来处理SYN青求包：收到请求后不分配缓存区,而是先验证 源地址是否是真实的，验证方法是发送一个含随机数的验证包的客户端，只有客 户端回复这个随机数后才进一步分配资源放入等待队列. Land攻击：精心制造的SYN数据包中的源IP和目的IP都被设置成某个服务器的 IP.这将导致收到这个数据包的服务器向自己发送 SYN-ACK肖息,

30、结果有自己回 复一个ACK而完成三次握手建立要TCP连接.且保持连接直到超时. ICMP/UDP Flood攻击：用假地址向攻击服务器大量发送UDP/ICMP包而使服务 器因为大量响应而超载。 Ping of Death攻击：发送含有超大异形ICMP请求包（大于64KB），而使目标主 机的核心缓冲区应为处理这种包而发生溢出。 Smurf攻击：假以受害主机的Ip地址作为Echo请求包的源地址（ip spoof ）， 将此信息广播，结果受害主机会收到大量来自其他地址的回答信息而使的该主 机无法正常工作。 UDP Storm攻击：攻击者在同一主机或不同主机的两个 UDP端 口间生成无法中止 的数据流

31、，结果主机不能对其他用户提供服务。 Syslogd 攻击：利用了 Solaris V2.5 的 syslogd 的一个实现中的缺陷： syslogd 收到信息后，会对源Ip地址执行DNS Lookup查找；当没有匹配有效的DNS记 录时，服务会停止。 Teardrop 攻击：利用率 Ip 协议实现中重新装配 ip 分段时，若分段有重叠会导 致系统崩溃。攻击者就故意发送两个或多个认为修改了偏移值的分段，接收端 在重新装配这些异常的分段的 Ip 包时会导致主机重启或者停机。 Mailbomb攻击：这是一个应用级的 DoS攻击。攻击者会使SMTP服艮务队列溢出 Apache2攻击：攻击者发送含有 H

32、TTP头内容的请求给 Apache Web Server，服 务器会占用大量Cpu时间来来处理这些异常内容，最终会导致DoS 另一种攻击分类：（网络安全体系结构 P47） 攻击结果：信息泄露，信息损坏，拒绝服务，服务被盗，访问权增大 弱点的类型：软件漏洞 硬件漏洞 配置漏洞 策略漏洞和使用漏洞 ? 读取攻击： 1.嗅探攻击（ SNIFF） 2.侦察攻击（RECO）数据整理攻击 探测/扫描攻击，拨号式扫描/移动式描 3.直接进入攻击 ?操丛攻击：网络操纵，应用程序操纵（缓冲区溢出攻击，WEB应用程序攻 击） ?欺骗攻击：MAO骗，IP欺骗，传输欺骗（UDPt骗和TCP欺骗），身份 欺骗和无赖设备

33、攻击 ?泛红攻击：MAC乏红攻击，TCPSYN乏红攻击（SYN充斥），网络泛洪攻击 （SMURF DDoS,应用程序泛洪 ? 重定向攻击：IP重定向L2重定向攻击（ARPS定向STP重定向）传 输重定向 ?混合攻击：中间人攻击 ROOTKIT远程控制软件 病毒蠕虫与特洛伊木马 第三种攻击分类（计算机网络安全的理论与实践：王杰高等教育） ?监听 ?破译 ?盗窃登陆密码 ?身份盗窃和欺诈 ?抵赖 ?入侵 ?流量分析 ?服务阻断：SYN充斥 ?恶意软件 第三章: 1.原理：假定入侵活动显著地不同 于正常活动因而可以检测.分类：（误用检测，异常检 测，基于规范的检测） 2.什么是误用检测？试述其模型和

34、工作原理及优缺点. 误用检测的研究最初出现在Anderson 1980年的报告：入侵检测是将审计又称为基跟踪中的 实际行为记录与已知的可疑模式匹配. 基于特征的入侵检测技术。它假设所有入侵行为和手段都能够表达为一种模式或特征， 并对 已知的入侵行为和手段进行分析， 提取检测特征，构建攻击模式或者攻击签名， 通过系统当 前状态与攻击模式或者攻击签名的匹配，判定入侵行为 2、对已优点：误检率低 缺点：1对还没有获得特征的未知攻击和攻击的新形式是无效的 知的攻击，要定义包含各种可能的变形的攻击特征是困难的.定义特征中的任何错误都会导致 误报率的上升. 3.实现误用检测的主要技术有哪些？（ 四种：模式

35、匹配，基于规则的专家系统技术 ，基于状态 的技术和数据挖掘技术 ） 4.什么是异常检测？试述其模型和工作原理及优缺点. 异常检测方法是假设：正常用户可以表现可预测的，一致的系统使用模式.异常检测试图用定 量的方式来描述常规或可接受的行为，而对超过规定阈值的则标记为现在的入侵行为. 异常检测系统由四个功能部件组成：数据收集部件，正常系统轮廓，异常检测部件和响应部件 数据收集部件获取和保存用户行为或者网络数据，采用建模技术来创建正常系统轮廓 检测部件决定现在的活动偏离正常系统轮廓多远以及达到一定百分比后才标记为异常 部件报告入侵和可能相关的定时信息. .异常 .响应 优点:能发现新攻击（这是误用检

36、测的最大限制） 缺点:误报率高. 5.实现异常检测的方法有哪些? 基于高级统计的模型；基于规则的模型；基于生物的模型（如基于免疫系统的方法，基于遗传算 法.基于智能学习的模型（如基于神经网络方法,基于簇的算法）;基于规范的检测 (Specification-based Detection);混合检测法(Hybrid Detection) Ch4:数据收集 1.入侵检测系统的可以从哪些地方收集数据？（主机，网络和应用） 2.基于主机的IDS可以从哪些方面收集数据？ 据流，应用程序日志收集数据.）所收集到的数据要进行哪些预处理？ 进行预处理，包括数据集成，数据清理，数据变换，数据简化和融合 （系统

37、日志，系统审计数据，网络包或数 采集所得数据需要 3.基于网络的IDS收集数据具有何优缺点？不存在数据异构性问题； 包头,还可以数据包的内容缺点：文和其真实的发出者之间没有办法验证 侵者；当数据采取加密方式无法分析数据包的内容 不仅可以分析数据 ,导致难以确定入 4.如何实现网络数据的捕获？BPF模型原理 捕获机制：在数据链路层增加一个旁路处理，对发送和接收到的数据包进行过滤或缓冲, 传送到应用程序。 在内核态处理数据包，提高网络监控程序运行性能 组成：Network Tap+P acket Filter。网络分接头从网络设备驱动程序处收集数据包 进行复制，并传递给正在捕获数据包的应用程序。过

38、滤器决定决定是否接受数据包, 以及数据包的哪些部分复制给应用程序。缓存是为了提高效率。 BPF工作过程：网卡驱动程序接受到一个数据包后，将其提交给协议栈。 如果有进程用 BPF 进行网络侦听，网卡驱动程序先调用BPF,复制一份数据给 BPF的过滤器，过滤器根据用 户定义的规则决定是否接收此数据包。再判断这个数据包是否发给本机（从目的MAC地址 判断），如果不是发给本机，则网卡驱动程序从中断返回，继续接收数据；如果这个数据包 是发给本机，驱动程序再把它提交给协议栈，然后返回。 BPF过滤方式：BPF在过滤算法有很大进步，它使用无环控制流图（CFGcontrol flow graph）, 而不是老

39、式的 布尔表达式树 （boolean expression tree）。布尔表达式树理解上比较直观， 它的每一个叶子节点即是一个谓词判断，而非叶子节点则为AND操作或OR操作。BPF使 用的CFG算法实际上是一种特殊的状态机，每一节点代表了一个谓词判断，而左右边分别 对应了判断失败和成功后的跳转，跳转后又是谓词判断，这样反复操作，直到到达成功或失 败的终点。CFG算法的优点在于把对数据包的分析信息直接建立在图中，从而不需要重复计 算。直观的看，CFG是一种”快速的、一直向前”的算法。 Ch5:入侵分析 1.入侵分析：对用户与系统活动数据进行有效的组织整理并提取特征或者正常行为的轮廓 以鉴别（检

40、测）出感兴趣的行为（攻击行为） 信息来自基烧$身或指 运的相 H H处理AMAM 2.分析方法有哪些（模式匹配（实时分析）统计分析（实时分析）完整性分析（事后分析） 3.作用：检测入侵行为 对入侵者形成威胁 发现安全漏洞与暴露获取入侵证据 4.统计分析法分为哪两类？并解释。（统计分析法又分为两类：阈值检测技术与基于行为模式 的检测技术。）阈值检测技术：包括在一段时间里对特定事件的发生次数进行记录，当记录超岀 了预期的一个认为正常数值时，就认为发生了入侵。阈值检测技术可能产生大量的误报和漏报。 基于行为模式的异常检测技术的核心是对单个用户或相关的一组用户以往的行为特征进 行描述（轮廓），当发现明

41、显的偏离时，认为发生入侵。行为模式包括一组数据，使用一组定量的 尺度来描述用户的行为，这些尺度包括：计数器、标尺、间隔计时器、资源利用率等。 5.构建分析器 收集并生成事件信息，包括: 系统正常运行时产生的信息 实验环境下产生的信息 对信息进行预处理 将收集到的信息转换成通用的或规范的格式 结构化处理 构建行为分析引擎 按设计规则建立一个数据区分器，它能够区分入侵指示数据和非入侵指示数据 将事件数据输入引擎 保存已输入数据的模型 逞用检测 牧集入最信总; itmitm财啲一姗e,e,过理和 转换师在某碾中的事韩 信專： 话期皿 ItIt女行为分 折引9 9 ,采用完整性分析方法，可以发现 6.

42、什么是完整性分析？文件完整性分析如何实现? 原理：通常入侵者在入侵时都会对一些文件或对象进行改动 入侵. 完整性分析主要关注某个文件或对象是否被更改，包括文件 和目录的内容及属性 完整性分析在发现被更改的、被安装木马的应用程序方面特别有效，但不利于实时 响应，是事后检测. 文件的完整性检验根据用户定制的配置文件对需要校验的文件系统内容进行散列计 算，将生成的散列值与文件完整性数据库中存储的预先计算好的文件内容的散列值 进行比较.若不一致，说明文件被非法更改，并可判定为入侵. 完整性校验：对主机 A上的重要文件，私有文件，软件以及数据文件等建立完整性数 据库，该数据库包括了各种属性和文件内容的散

43、列值.主机B存储了主机A上的文件 系统备份.检测时主机A首先与文件备份主机 B认证，然后对A上的配置文件和预先 生成的文件完整性数据库的内容分别进行散列值计算，将生成的散列值传输给 B进 行校验.如果该散列值不一致，则B将存储的配置文件和文件完整性数据库的备份加 密传输给，进行文件恢复，然后再进行完整性验证。 Ch6: 1、IDS主要体系结构有哪些？画图说明IDS的体系结构（集中式分层式分布式） 集中式：所有监视, ,检测和响应都由中心控制台 （中央检测服务器）完成 分散式数据收集，集中式数据处理 IDSIDS这些IDSIDS不分等级，各 分层式：将监控区域分成若干监控区域，每个区域的IDSI

44、DS控制台收集本地传感器的报告，然后 发送给上一级或者中心控制台。分区域监控，分层次上报 分布式：将中心监控服务器的任务分配给各个基于主机或网络的 自运行。分布式信息收集，分布式处理 MoniTontiAMoniTontiA Rcpitiai;Rcpitiai; RcppcmsirRcppcmsir WcTiitprinsWcTiitprins ReiKMiiiQEReiKMiiiQE 4 4 H.cspoaseH.cspoase 2.基于主机的分布式IDS OSOS auditaudit informetkminformetkm FUtcrFUtcr : :CentralCentral :

45、: I I ManagerManager 192J6SJ/I/24 111 (coiitctir： I 0() ()1 S6 1|; msgi external moLiiitcd icccss 规则选项 规则头包含规则匹配时所触发的动作、所检测数据包的协议类型、源和目标地址与 子网掩码（用 CIDR表示）、端口号和、方向操作符；规则选项部分包含报警消息内 容，特定标识位以及要检查的包数据内容部分是否含特定信息，目前有42个选项（详 见SNORT使用手册），今后还可能进一步增加. 规则选项中可能有一个或多个选项，不同选项之间使用“；”分隔开了，它们之间为 “与”的关系。选项由关键字和参数组成，

46、每个关键字和它的参数问使用冒号“：” 分隔。 规则头的五要素：触发动作，协议，IP地址，端口号和方向 触发动作: Alert-使用选择的报警方式生成一个报警，然后记录这个包（Log）； Log -记录这个包； P ass 忽略这个包（不做任何处理让其通过） 有” |00 01 86 a5| 1 $HOME_NET any - $HOME_NET 143 (flags： PA； |BBCOFFFFFF|/bin activates： 1； activate tcp content: msg： IMA P buffer overflow! ；) SHOME_NEr any - dynamic tc

47、p SHOHE_NET 143 activated_by： L； count: SO J) 以上例子是一个 下面的日志规则， 时，dynamic也不起作用 activate/dynamic 对，当上面检测到IMAP缓冲区益处攻击时， 且记录接下143端口的50个数据包头（当activate规则不起作用 触发 Activate 一报警并激活另一条 Dynamic规则; Dynamic -保持空闲直到被另一条Activate规则激活，被激活后就作 为一条Log规则执行; 协议：数据包的协议有 4种：TCPUDRICMP和IP IP地址：ip地址和子网掩码， 子网掩码用 CIDR表示，如/24表示C

48、类地址，/16表示 B类地址，/32表示特定单个地址等 如 /24 代表 -55 地址前还可以用非操作符“！”，例如: alert tcp !/24 any -/24 111( content: ” |00 01 86 a5| ” msg： “ external mountd access” ;) 对任何非子网的任何端口到本地网络111端口的TCP连接，数据部分 ”6进制），就触发报警，报警信息为“external mountd access Snort规则的制定根据

49、: 以端口号为特征 以标志位或协议字段为特征（如flags: PA） 以数据段的内容出现特定字符串为特征（如 content: ”） 举例：log tcp any any /32 23 Log -记录这个包； 日志记录所有到的23号端口的数据包 log icmp any any /24 any 日志记录所有到的24号端口的数据包 pass tcp any 80/24 any 允许双上的HTTP数据通过 alert tcp any any /24 any(msg:

50、” SFIN N scan!f ；flags:SF;) 发现有SYN FIN扫描就报警 alert tcp any any /24 80(msg:” PHF attempt” ；contenbin/phf /cgi ;) 发现PHF攻击后就报警（检测特征是数据载荷中有字符串 /cgbin/phf ”) alert udp any any/24 0(msg: ” Traceroute 发现到本地主机的ICMP包就报警 alert tcp any any 192.168. 1.0/24 21(msg ” FTP root login f content:

51、” USER root ” :) 3 3月由DARPADARPA开始制定 -入侵规范语言（CISLCISL 发现远程root用户登录就报警 Ch10: 1 1什么是CIDFCIDF龙包含哪些内容？ 通用入侵检测框架。为解决IDSIDS之间的互操作和共存问题，佃9797年 CIDF.CIDF. CIDFCIDF是一套规范，它定义了 IDSIDS表达检测信息的标准语言及IDSIDS组件之间的通信协议. .符合 CIDFCIDF规范的IDSIDS可以共享检测信息，相互通信与协同工作，还可以与其他系统配合实施统一的 配置响应和恢复策略。 CIDFCIDF文档由四个部分组成: 体系结构：描述IDSIDS

52、的通用模型 通信机制：描述各个组件之间的连接与通信的标准写 规范语言：定义了一个用来描述各种检测信息的标准语言 应用程序接口 API:API:提供了一套标准的应用程序接口 2.2.什么是Gido?Gido?它和S-S-表达式的关系是什么 ？如何生成Gido?Gido? IDS体系结构 Gidos（Generalizedintrusion detection objects）:四个部件之间交换数据的形式，即通用入侵检 测对象 事件发生器：又成为探测器或传感器，从计算环境中收集事件（需要分析的数据成为事 件）,将其转换成Gido格式传送给其他组件. . 事件分析器：也称检测引擎，负责分析从其他组件

53、收到的Gidos,并将产生的分析结果 传送给其他组件. 响应单元：负责处理收到的，Gidos并根据分析结果作出反应.如简单报警或者切断连 接等 事件数据库：存储Gidos,以备查询和使用. 通用入侵检测规范语言（CISLCISL）CISLCISL语言使用符号表达式（简称S-S-表达式），类似于LISPLISP语言。 关系（S-S-表达式的编码与 GidosGidos树型结构）：）：在计算机内部处理CISLCISL时，为了节省空间和提高 运行效率必须，必对ASCIIASCII形式的S S表达式进行编码，将其转换成二进制字节流，编码后的S-S-表 达式就是 GidosGidos（Generaliz

54、edGeneralized intrusionintrusion detectiondetection objectsobjects）. . GidosGidos是S S表达式的二进制形式，是CIDFCIDF各组件统一的信息表达格式，也是组件之间信息数据 交换的统一形式. . GidosGidos的生成分为两个步骤： 第一，表达GidosGidos成树型结构； 第二，将此结构编码成字节流. . GidoGido树型结构：在构造树型结构时，SIDSID被分成两组：一组为动词 SID,SID,副词SID,SID, 角色SIDSID连接词SID;SID;一组为原子SIDSID这样就可以把一个完整的句

55、子表达成一棵树了. .最高 层的是动词SIDSID（树根），），然后是角色SIDSID最底层是原子 SIDSID叶子）. . . .如果是复合句，现将简 (R1(R1R1R1 R2R2 (A1(A1 datal)datal)A1A1 A2A2A3A3 CIDFCIDF定义了和 编码规则：对树的编码就是一个深度优先遍历和对各个节点依次编码 单句编码，让后按连接词将简单句连接 (V(V (A2(A2 data2)data2) dataldatal data2data2 data3data3 (R2(R2 (A3(A3 data3)data3) GidosGidos相关的编码，解码以及传输所使用的A

56、PAP 1 1（应用程序编程接口 ）： GidosGidos编码解码APIAPI 消息层APIAPI GidosGidos动态附加APIAPI 签名APIAPI 顶层CIDFCIDF的APIAPI CIDFCIDF的APIAPI为是实现者和应用开发者提供了方便，每类APIAPI均包含数据结构定义，调用函数定 义和出错代码定义等. . 4.CIDF4.CIDF定义的3 3种互操作类型（配置互操作，语法互操作和语义互操作） 7 7、IDWGIDWG由哪几部分组成?IDMEF?IDMEF的作用是什么?IDXP?IDXP的作用是什么？ 7.7. InternetInternet 网络工程部 IETFI

57、ETF（ InternetInternet EngineeringEngineering TaskTask ForeFore）的入侵检测工作组（InternetInternet DetectionDetection WorkingWorking GroupGroup,简称IDWGIDWG）负责进行入侵检测响应系统之间共享信息数据 格式和交换信息方式的标准制订，制订了入侵检测信息交换格式（IntrusionIntrusion DetectionDetection MessageMessage ExchangeExchange FormatFormat，缩写为 IDMEFIDMEF)和入侵检测交换

58、协议(Intrusion(Intrusion DetectionDetection ExchangeExchange P P rotocol,IDXR)rotocol,IDXR) ii.ii. i i . . 入侵检测消息交换格式 iii.iii. 隧道轮廓 侵检测交换协议 IDWGIDWG先后提出了连个消息交换协议：入侵报警协议(Intrusion(Intrusion AlertAlert Protocol,IAPProtocol,IAP和入侵检测 交换协议(Intrusion(Intrusion DetectionDetection exchangeexchange ProtocolPro

59、tocol，IDXP).IAPIDXP).IAP是 IDWGIDWG 提出的第一个通信协议 ， 但其功能并不是很强大而且灵活性比较差，其安全性必须有 TLS(TransTLS(Trans portport LayerLayer Security)Security)支 持，每对入侵检测实体之间只能有一个连接，不支持并发连接. .为此，IDWGIDWG又提出了一个新的 通信协议-入侵检测交换协议 (IDXP)(IDXP)，IDXPIDXP是基于 BEEP(BlocksBEEP(Blocks ExtensibleExtensible ExchangeExchange ProtocProtoc协) )

60、 议. . 作用：IDXPIDXP是一个用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEFIDMEF消息，非 结构文本和二进制数据之间的交换，并提供面向连接协议之上的双向认证，完整性和保密性 等安全特征. . 使用IDXPIDXP来交换数据一般要经过三个步骤：建立连接，传输数据和关闭连接. . 6.比较两种标准草案：IDWGIDWG和CIDF.CIDF. IDWGIDWG提出的草案很多工作是在CIDFCIDF的基础上展开的，是对CIDFCIDF的继承和发展： 1.CIDF1.CIDF主要定义了一种语言，以及交换报警和反映信息的协议 2.CIDF2.CIDF的CISLCISL语言，过于