(完整word版)期末复习计算机安全自总结

1、第七章：1 1计算机病毒的三个组成部分：感染机制：指病毒传播和使病毒能够自我复制的方法，也被称感染向量触发条件：指激活或交付病毒有效载荷的事件或条件有效载荷：指病毒除传播之外的活动， 有效载荷可能包括破坏活动， 也可能包括无破坏但值 得注意的活动。2 2在计算机病毒生命周期内会经历以下四个阶段：潜伏阶段：病毒处于休眠状态，最后病毒会被某些事件激活，并不是所有病毒都 有这个阶段传播阶段：病毒将自身的拷贝插入其他程序或硬盘上某个与系统相关的区域，这个拷贝也许和原来的版本不完全一样，病毒经常通过变异来逃避检测触发阶段：病毒被激活以执行其预先设定的功能， 和潜伏阶段一样，病毒进入触 发阶段可以由多种系

2、统事件引起执行阶段：执行病毒功能，有的功能是无害的，有些功能是破坏性的3 3病毒执行过程中压缩的作用：由于感染后的程序比感染之前的程序长， 所以普通的病毒很容易被检测到，防止 这种检测方法的手段是对执行文件压缩， 使得无论是否被感染，其长度都是相同 的。4 4病毒执行过程中加密的作用：为了病毒在生成副本时可以随机插入独立指令或者交换一些独立指令的顺序。 一种更有效的方法是采用密码学技术，此技术中，通常将病毒中某一部分称为突 变引擎，该部分生成一个随机加密秘钥来对病毒中的其他部分进行加密。因对每一个病毒实例都使用不同的秘钥进行加密，所以在病毒代码中很难找出用于模式 匹配的固定字节5 5行为阻断软

3、件的工作机理是什么？行为阻断软件与主机操作系统相结合，实时监控恶意的程序和行为，在检测恶意行为后， 行为阻断软件将在潜在的恶意行为对系统实施仅供之前将其阻止。行为组织软件同时在服务器和桌面计算机上运行，根据网络管理员制定的策略工作，让正常的程序行为得到执行，但当出现非授权或可疑行为时，要予以处理，该模块将组织任何可疑的软件运行，行为阻断软件会将可疑程序隔离到沙箱中，以限制其对操作系统的各种资源和其他应用程序的访问，然后向管理员发出警报1. 管理员设置可接受发软件行为策略并上传到服务器上，这些策略也可以上传到桌面计算机2. 恶意软件设法通过防火墙3.服务器上的行为阻断软件标记可疑的代码，并将其放

4、入“沙箱”，以阻止其继续运行4服务器提醒管理员已经识别出可疑代码并放入沙箱，等待管理员决定是清除代码还是允许其执行。5蠕虫传播模型 P1546.Bot6.Bot 和 rootkitrootkit 有什么不同？BotBot 也叫做僵尸机，它会秘密地控制一台连接因特网的计算机，并利用所控制的 计算机发动攻击，经常被“种植”在属于可信的第三方的成百上千计算机上，大 量的 bobot t能够以一种协调的方式行动，这样一大群 botbot 就组成了僵尸网络 RootkitRootkit 是通过破坏系统对进程、 文件、 注册表的监控和报告机制而实现隐藏的，与 botbot 软件不同， rootkiroot

5、kit t并不直接依靠漏洞来安装在计算机上，其安装方式一 种是通过木马程序：先引诱用户装载木马程序安装 rootkitrootkit，另一种是通过黑客入 侵活动实现。第六章：1. 列出并简要定义三类入侵者（黑客、骇客）：假冒者：未经授权就使用某计算机的人和穿透系统的访问控制机制而冒用合法用 户账户的人（外部用户）违法者：未经授权的数据、程序或资源的合法用户，或者虽被授予访问权限，但 却错误地使用这些特权的合法用户（内部用户）秘密用户：获取了对系统的超级控制权，并使用此控制权逃避审计和访问控制或 者阻止生成审计记录的个人（可以是外部或者内部用户）2. 描述 IDS （入侵检测系统）的三个逻辑组件

6、：传感器：传感器负责收集数据，传感器的输入可以是包含入侵证据的系统的任何 一部分。传感器输入的类型包括网络数据包、日志文件、系统调用迹。传感器收 集并向分析器转发这些信息分析器：分析器从一个或多个传感器或者其他分析器接收输入，分析器负责确定是否发生了入侵。此组件的输出表明是否发生了入侵。输出可以包含支持入侵发 生结论的证据。分析器可以提供指导，用于判断什么活动是入侵导致的结果 用户接口：利用 IDSIDS 的用户接口，用户可以查看系统输出或控制系统的行为。在 某些系统中，用户接口可以看作是经理、主管或者控制台组件3. 说明基于主机的 IDS 和基于网络的 IDS 的不同：基于主机的 IDSID

7、S 监测一台主机的特征和该主机发生的与可疑活动相关的事件 基于网络的 IDS:IDS:监测特定的网段或设备的流量并分析网络、传输和应用协议，用以识别可疑的活动4. IDS 的优点：（防火墙的优点，两者的区别）1 1如果能快速地检测到入侵，就可以在损害发生或者数据受到威胁之前，将入侵 者识别出来并将其逐出系统。即使不能非常及时地检测出入侵者， 也是越早检测 到入侵，对系统造成的损失越小，而且越容易进行快速的恢复2.2.有效的 IDSIDS 可以作为一个威慑，从而达到阻止入侵的目的3 3 入侵检测可以收集关于入侵技术的信息，用于增强入侵防护系统的防护能力5. 列出 IDS 的一些理想特征：1 1）

8、能够不间断地运行，而且人的参与尽可能少。2 2）具有容错功能，系统崩溃时，它必须能够很快恢复和重新初始化3 3）抵御破坏。IDSIDS 必须能够检测自身，检测是否已被攻击者修改4 4）对于正运行的系统增加最小的开销5 5）能够根据被检测系统的安全策略进行配置6 6）能够自动适应系统和用户行为变化7 7）能够扩展以监测更多的主机8 8）能够提供很好的服务降级，也就是说，如果 IDSIDS 的某些组件停止工作，无 论出于何种原因，其余部分都应受到尽可能少的影响9 9）允许动态重新配置，即能够重新配置 IDSIDS 而不必重新启动6. 异常检测和特征检测之间的区别：异常检测：采集有关的合法用户在某段

9、时间内的行为数据，然后统计检验被监测的行为，以较高的置信度确定该行为是否不是合法用户的行为，两种方法：阈值检测（特殊事件发生的次数，超过次数认为是入侵，会产生误报和漏报）和基于 配置文件的检测 （归纳出单个用户或相关用户组的历史行为特征， 发现有重大偏 差的行为，单个参数上的偏差可能无法引发警报）（试图定义正常的或者成为预期的行为）（统计异常检测：依据对正常、合法的行为进行检测，当检测超出 正常范围时就认为发生了入侵行为；基于规则的检测：对非法行为进行检测， 发现非法的行为即认为发生了入侵行为） 特征检测：涉及试图定义一组规则或者攻击的模式，可用于确定一个给定的行为 是入侵的行为（试图定义入侵

10、特有的行为）；通过观察系统内的事件，运用规则 集来判断一个给定的活动模式是否可疑。7. 基于规则的异常检测和基于规则的渗透识别之间的区别：1.1. 基于规则的异常检测： 对历史审计记录的分析用来识别使用模式并自动生成描 述这些模式的规则集规则用来表示用户、程序、特权、时隙、终端等 过去行为的 模式，然后，观测当前行为，将其与规则集进行匹配，来确定每个行为是否与某个历史行为模式相匹配（误报率增加，漏报率减少）2.2. 基于规则的渗透识别：使用规则来识别已知的渗透或将利用已知弱点的渗透（异常检测是建立一个用户过去的行为规则统计库，以这个数据库为标准，不 满足该数据库的行为都是入侵行为，渗透检测则是

11、建立一个入侵（即渗透）行 为数据库，满足该数据库的行为都是入侵行为 。8. 基于主机的分布式 IDS 和 NIDS（基于网络的 IDS）之间的区别：基于网络的 IDSIDS 监控的是一个网络或多个多个相互连接的网络上选定位置的网 络流量，NIDSNIDS 实时地或接近于实时地分析数据包，以试图发现入侵模式。NIDSNIDS 检测：网络上 流向潜在的易受攻击的计算机系统的数据包流量；基于主机的 IDIDS S系统检测的是：主机上的用户和软件活动9. 描述可被用于 NIDS 的传感器类型：内嵌传感器 将被插入到网络段，以使正在监控的流量必须通过传感器（方法： NIDNIDS S传感器与另一个网络设

12、备进行逻辑组合，优势：不需要额外的单独硬件设 备；使用独立的内嵌 NIDSNIDS 传感器，有检测和防护功能） 被动传感器监控网络流量的备份，实际的流量并没有通过这个设备（比内嵌更有 效，因为它不会添加一个额外的处理步骤，额外步骤会导致数据包延迟）10. N IDS 传感器部署：（与入侵检测对比）P127，图 6-511. 蜜罐的含义：入侵检测技术中的一个比较近的创新是蜜罐，蜜罐是障人耳目的系统，是为引诱潜在的攻击 者远离关键系统而设计的，蜜罐的功能包括：转移攻击者对重要系统的访问 收集有关攻击者活动的信息 鼓励攻击者在系统中逗留足够长的时间，以便于管理员对此攻击做出响应这些系统填满了看起来有

13、价值但系统的合法用户不会访问的伪造信息。因此，任何对蜜罐的访问都是可疑的，蜜罐系统装备了敏感的监控器和事件记录器，用于检测这些访问并收集有关攻击者的活动信息蜜罐是一种没有产出的资源。网络以外的任何人与蜜罐进行交互都没有合法的理由。因此任何与系统通信的尝试都可能是一个探测、扫描或者攻击。相反如果一个蜜罐发起对外通信，则系统可能已被破坏第一章：1 1计算机安全的定义：为自动化信息系统提供的保护，以达到保持信息系统资源（包括硬件、软件、固件、信息/ /数据、通信）的完整性、可用性、机密性的目标。2 2被动攻击：其本质是窃听或监视数据传输。 攻击者的目标 是获取传输的数据信息。两 种形式是消息内容泄露和流量分析3.3.主动攻击：包含对数据流进行篡改或伪造数据流，可以划分为四类：重放、假冒、篡改消息、拒绝服务（禁止所有发向目的地如安全审计服务的消息；破坏整个网络是网络失 效或过载，从而降低其性能）4.4.0SI0SI 安全体系结构：安全攻击、安全机制、安全服务P15P15 表 1-51-5第二章：1 1公钥证书：公钥证书解决其他人伪造公钥进行通