入侵检测复习总结

1、IP欺骗的实质：IP地址隐藏、TCP序列号重置、IP地址验证。利用IP地址的攻击方法：解密、窃取口令、发送病毒。信息系统面临的三种威胁：非人为因素和自然力造成的数据丢失，设备失效， 线路阻断、人为但属于操作人员五一的失误造成的数据丢失、来自外部或内 部人员的恶意攻击和入侵。信息分析的方法/技术手段：模式匹配、统计分析、完整性分析、数据流分析。信息分析的技术手段：模式匹配、统计分析、完整性分析（用于事后分析）。入侵检测：对入侵行为的发觉，他通过从计算机网络或计算机系统的若干关 键点收集信息，并对其进行分析。从中发现是否有违反安全策略的行为和被 攻击的迹象。入侵检测模型的活动档案中未定义的随机变量

2、：事件计数器、间隔计数器、 资源计数器。入侵检测系统的主体的分类：中心主体、分析主体、主机主体和网络主体。 入侵检测模型的第一阶段任务：信息收集、信息分析、信息融合。入侵检测系统的组成：事件产生器、事件分析器、响应单元。入侵检测性能的会受什么参数影响：检测率、虚警率。入侵检测的不足：有效性差、适应性差、扩展性差、伸展性差。入侵检测基础和核心是：信息收集，信号分析。入侵攻击6步骤：确认目标、信息收集、漏洞挖掘、实施攻击、留下后门、 清除日志。按照检测数据的来源可将入侵检测系统分为：基于主机的IDS和基于网络的 的 IDS。从技术分类入侵检测可分为：基于标识和基于异常情况。从数据来源入侵检测可分为

3、：基于主机的入侵检测和基于网络的入侵检测。从数据分析手段来看：滥用入侵检测、异常入侵检测。入侵检测原理的四阶段：数据收集、数据处理、数据分析、相应处理。入侵检测的模型：操作模型、方差模型、多元模型、马尔可夫过程模型、时 间序列分析模型。入侵检测系统模型的3模块：信息收集模块、信息分析模块、报警与响应模 块。入侵检测利用的信息来源：系统和网络日志文件、目录和文件中不期望的改 变、程序执行中不期望的行为、物理形式的入侵。入侵检测系统的6个作用：通过检测和记录网络中的安全违规行为，惩罚罪 犯、检测其他安全措施未能阻止的攻击或安全违规行为、检测黑客在攻击前 的探测行为，预先发出警告、报告计算机系统或网

4、络中的存在的安威胁、提 供有关攻击的信息，帮助管理员诊断网络中的安全弱点进而修补、可以提高 网络安全管理的质量。入侵检测技术的局限性：误报和漏报的矛盾、安全和隐私的矛盾、被动和主 动分析的矛盾、海量信息和分析代价的矛盾、功能性和可管理性的矛盾、单 一产品和复杂的网络应用的矛盾。入侵检测的发展阶段：入侵检测系统（IDS）、入侵防御系统（IPS）、入侵管 理系统（IMS）。误用入侵检测的思想是：若所有的入侵行为和手段都能够表达为一种模式或 特征，那所有已知的入侵方法都可以用模式匹配来发现。难点在于如何设计 模式，使其既表达入侵又不会将正常的活动包含起来。误用入侵检测优缺点: 基于模式匹配原理,误用

5、模式能明显降低误报率，但漏报率会增加，攻击特征 细微变化，误用检测会无能为力。误用入侵检测系统的类型：专家系统、模 型推理系统、模式匹配系统、状态转换分析系统。异常入侵检测：检测所有从网络到本地的链接等并发现不正常的、有入侵倾 向的链接并阻止。异常入侵检测的优缺点：漏报率低，误报率高。特点：检 测系统的效率取决于用户轮廓的完备性和监控的频率，不需对每种入侵行为 进行定义，能有效检测未知的入侵，能针对用户行为的改变进行自我调整和 优化。异常入侵检测方法：统计分析、模式预测、数据挖掘、神经网络、免 疫系统、特征选择、贝叶斯推理、贝叶斯网络、贝叶斯聚合。CIDF中，IDS各组件间通过CISL来进行入

6、侵检测和警告信息内容的通信。 CIDF的互操作主要有：配置互操作、语义互操作、语法互操作。IDMEF:使用TLS解决数据的安全传输问题！Snort： 一个网络入侵检测软件、用C语言写成、使用插件技术来实现模块化 功能。其命令参数：-A,-a,-bSnort的工作模式：嗅探器、包记录器、网络入侵检测系统。Snort的组成：解码器、检测引擎、日志/报警系统。Sonre的优点：自由、简洁、快速、易于扩展。数据预处理的功能：数据集成、数据清理、数据交换、数据简化。IDWG的标准钟。有关入侵检测和警报的数据模型有：基于XML的数据模型、 面性对象的数据模型。攻击/诱发入侵的根本原因：信息系统的漏洞是产生

7、攻击的根本原因。 完整性攻击：网络安全中，截取是指对未授权的实体得到了资源的访问权 模拟攻击：软件测试的表不可少的功能，由此来验证IDS是否能够验检测到 这些攻击。入侵攻击：确认目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日 志。拒绝服务攻击：利用协议或操作系统实现时的漏洞来达到攻击的目的。 欺骗攻击的类型：IP，ARP，DNS，源路由，URL。拒绝服务攻击：攻击者想办法让目标主机停止提供服务或资源访问。攻击原理：SYN洪流攻击、IP欺骗拒绝服务攻击、UDP洪流攻击、ping洪流 攻击、泪滴攻击、Land攻击、Smurf攻击、Fraggle攻击。其他攻击：数据库（SQ语句注入）攻击、木马

8、攻击等。Tptd+tRd:tp :保护安全目标设置各种保护后的防护时间td：系统检测到入侵行为的所用时间。trd:系统做出防护后，恢复到正常状态的时间。漏洞的概念：在软件，硬件，协议的具体实现或系统安全策略上存在的缺陷， 使攻击者在未授权的情况下访问或破坏系统，会影响很大范围内的软件，硬 件，以及操作系统本身，服务器等等。漏洞的具体表现：存储介质不安全、 数据的可访问性、信息的聚生性、保密的困难性、电磁的泄漏性、电磁的泄 漏性、通信网络的脆弱性、软件的漏洞。漏洞的分类：物理接触、主机模式、 客户机模式、中间人模式。漏洞扫描：查找操作系统的或网络中存在的漏洞， 并给出详细漏洞报告，使用户修补漏洞

9、，确保系统安全，较少被攻击的可能 性。CGI漏洞的危害：缓冲区溢出攻击、数据验证性溢出攻击、脚本语言错 误。网络漏洞扫描系统：通过远程检测目标主机TCP/IP不同端口的服务，记 录目标给予的回答。漏洞扫描系统：一种自动检测远程或本地主机安全性弱 点的程序。Ping扫描：DOS命令，监测网络的连通性和网络速度。端口扫描：查找主机开放的端口，正确使用端口扫描，起到防止端口攻击的 作用！操作系统识别扫描：黑客入侵过程的关键环节是操作系统的识别与扫描。 漏洞扫描：查找操作系统的或网络中存在的漏洞，并给出详细漏洞报告，使 用户修补漏洞，确保系统安全，较少被攻击的可能性。蜜罐技术：一种安全资源，其价值在于

10、被扫描、攻击和攻陷，蜜罐并无其他 实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻 陷。核心价值就在于对这些攻击活动进行监视、检测和分析。蜜网技术：在蜜罐技术上逐渐发展起来的一个新的概念，又可成为诱捕网络， 构成了一个黑客诱捕网络体系架构，其主要目的是收集黑客的攻击信息。但 与传架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及 提供多种工具以方便对攻击信息的采集和分析。典型的三种模型威胁：外部入侵，内部渗透，不当行为。模式匹配问题属于串处理和模式组合匹配精确模式串匹配算法检测符号序列 的方式主要分为三种：前缀模式（KMP算法）、后缀模式（Bpyer-moore

11、算法）、 结合模式（BDM）。WindowsNT的日志文件分为三类：系统日志、应用程序日志、安全日志。串匹配算法的四种改进方法：基于自动机算法的改进、基于跳跃算法的改进、 基于数值型算法的改进、基于编码算法的改进。Xp的Internet连接防火墙ICF，他的日志文件分为两类：ICF审核通过的 数据包、icf抛弃的数据包。基于主机的入侵检测系统（NIDS）：硬件入侵检测系统，放置在重要的网络段、 不断地监视网络中的各种数据包、并对每一个或可疑的数据包进行特征分析。 基于主机的入侵检测系统如何检测入侵：通过监视和分析主机的审计日志检 测入侵、审计和日志其对系统非常重要，供分析和检验，日志是系统顺利

12、运 行的保障。基于主机的入侵检测系统的优点：对分析的“可能性攻击非常有用”，误报率 通常低于基于网络的入侵检测系统，这是因为检测在主机上运行命令序列化 比检测网络数据流更艰难但，系统的复杂性也降低的多。可部署在哪些不需 要广泛的入侵检测、传感器和控制台之间的通信带宽不足的场合。基于主机的入侵检测系统的缺点：需要安装在被保护的主机上、依赖服务器 固定有的日志与监控能力、全面部署代价比较高、只监控本机，根本不监控 网络上的情况。网卡的常用用途：普通模式：受数据包里面的MAC地址决定，数据被发送到目标主机 混杂模式：所有可以被检测到的信息均被主机接收。工作模式：广播模式、多播传送、直接模式、混杂模式

13、。常见的数据挖掘算法：分类算法、关联规则挖掘算法、序列模式挖掘算法。对BP神经网络实现分类模型时要考虑的问题：中间层数的选取、输入/输出层维数、隐含层神经元数、权重初始化、训练样本的选取。协议分析：新一代入侵检测系统探测攻击手法的主要技术，利用网络协议的 高度规则性快速探测攻击的存在，优势在于完整的协议分析使误报率降低， 从而提高系统的性能。协议分析的入侵检测方法：将告诉包捕获、协议分析、命令解析结合起来进 行入侵检测，一种新的入侵检测技术，弥补了模式匹配的不足。入侵容忍：溶骨从方法在安全中的应用，此方法假设系统的弱点不能被完全 消除，且外部/内部攻击者将识别且利用此弱点获得对系统的违法访问。

14、其目标:系统一些被入侵、性能下降的情况下，还能维持系统的正常服务。分布式入侵检测系统的特征：分布式部署、分布分析、安全产品联动、系统 管理平台、可伸缩性和扩展性。分布式入侵检测体系的有点：节点相互独立、安全部件相互联动、可以实施 全面预警、灵活性扩展性较好。知识查询操纵语言的三大属性：KQML独立网络传输协议、KQML独立于内容语 言、KQLM独立于内容实体。Web服务器支持的两种日志：通用日志格式、扩展日志文件格式。BSM安全审计子系统的概念：审计日志、审计文件、审计记录、审计令牌。操作系统的系统日志和其审计记录的对比：系统日志：由软件以及应用程序生成，容易受到修改的攻击。审计记录：存储在不

15、受保护的文件目录里，容易受到篡改和删除。审计数据的获取数量和质量：决定了主机入侵检测工作的有效程度。审计数据的获取工作主要考虑以下问题：确定审计数据的来源和类型、审计 数据的预处理工作（包括记录标准格式的设计、过滤和映射操作）、审计数据 的获取方式（获取模块的结构设计和传输协议）审计数据获取模块的主要作用：获取目标系统的审计数据，并经过预处理工 作后，最终目标是入侵。基于状态转移分析的检测模型：将攻击者的入侵行为描绘为一系列的特征操 作以及一系列的系统转换过程，从而使得目标系统从初始状态转移到攻击所 期望的状态。优点：1.直接采用审计记录序列来表示攻击行为的方法不具备 直观性。而STAT采用高

16、层的状态转移表示方法来表示攻击方式，避免这一问 题。2.对于同一种攻击行为可能对应着不同的审计记录序列，这些不同审计 记录序列可能仅仅因为一些细微的差别而无法被采用直接匹配技术的检测系 统察觉，而Stat可以很好的处理这个问题。Vs协议：特征分析的优点：小规则集合下工作速度快，检测规则易于编写和 理解且容易定制，对新出现的攻击手段具备快速升级支持能力，对低层的简 单脚本具有良好的检测性能，对所发生的攻击行为类型，具备确定性的解释 能力。特征分析的缺点：集合规模扩大后检测速度下降，各种变种攻击行为 易于造成过度膨胀规则集合，易产生虚假信息，仅能检测出已知行为，前提 是该种攻击类型的特征已知。协议

17、分析的优点：规则集合规模大的情况下扩 展性良好，能够发现新漏洞，较少出现虚假信息。协议分析的缺点：小规则 集合情况下，初始检测速度慢，检测规则比较复杂，难以编写和理解，协议 愈加复杂和多样性，缺乏对攻击行为的明确解释信息。混合型入侵检测技术：采用多种信息输入源的入侵检测技术、采用多种不同 类型的入侵检测方法。入侵检测专家系统（IDES ）模型分为：目标系统域、邻域接口、处理引擎、 用户接口。实际上由：邻域接口、统计异常检测器、专家系统异常检测器和 用户接口。NIDES系统的三种服务器：SOUI服务器，Analysis服务器、Arpool服务器。神经网络技术：具有概括和抽象能力，对不完整输入信息

18、具有一定程度的容 错处理能力、具备高度的学习和自适应能力、独有的内在并行计算和存储特 性。不足和缺陷：需要解决对大容量入侵行为类型的学习能力问题、解释能 力不足的问题、执行速度的问题。数据挖掘：数据库知识发现技术中的关键一步，目的是解决日益增上的数据 流与快速分析数据要求之间矛盾问题，其目标是采用各种特定的算法在海量 数据中发现有可用的可理解的数据模式。进化计算的主要算法：遗传算法、进化规划、进化策略、分类器系统、遗传 规划。系统设计的需求分析和入侵响应及其相应类型：检测功能需求、响应需求、 操作需求、平台范围需求、数据来源需求、检测性能需求、可伸缩性需求、 取证和诉讼需求、其他需求。相应紧急程度划分：紧急行动、及时行动、本 地的长期行动、全局的长期行动。响应类型：主动响应和被动响应。常见的攻击及其原理：TCP报文攻击、地址猜测攻击。典型的拒绝服务攻击的手