信息安全课程总结(北邮)

Ithasbeenshownthatcomplexnetworksincludingtheinternetareresilienttoindepentrandomfaliluresbutfragiletointentionalatacks.什么是信息安全管理：信息的保密性、完整性和有效性，业务的永续性。有效的信息共享机制信息资产：硬件，软件，网络，通讯，资料，人员，服务信息安全：是保护资产的一种概念、技术及管理方法。是信息资产免受有意或无意的泄露、破坏、遗失、假造以及未经授权的获取、使用和修改。安全属性，通俗的说，进不来，拿不走，改不了，看不懂，跑不了从目标保护角度看信息安全：涉及机密性、完整性、可用性（信息安全金三角）。机密性：confidentiality完整性integrity可用性availability真实性Authentication不可抵赖性non-repudiationITU-T的安全框架X-80-端到端通信的安全架构，三个平面，三个层次，8个维度三个平面：p1最终用户平面，p2控制平面，p3管理平面三个层次：L1应用安全，L2服务安全，L3基础设置安全8个维度访问控制，认证，不可否认，数据保密性，通信安全，数据完整性，可用性，隐私。安全模型1）风险评估常用模型2）纵深防御模型3）（基于时间的安全体系）模型P>D+RP:protection防护手段所能支持的视觉D：detection检测手段发现入侵所需要的时间R：事件响应机制采取有效措施所需的时间安全---及时的检测和处理指导思想：快速检测、有限影响、快速溯源、快速恢复相应的安全机制。其他模型，PDRR—保护，检测，响应,恢复P2DR策略P，保护P,检测D，响应RAPT（AdvancedPersistentThreat）高级，持续的攻击攻击的分类：activeattack，主动攻击Passiveattack被动攻击攻击的一般过程：预攻击，攻击，后攻击预攻击，目的，收集新，进行进一步攻击决策。内容：获得域名及IP分布，获得拓扑及OS等，获得端口和服务获得应用系统情况跟踪新漏洞发布攻击，目的：进行攻击。内容：获得权限，进一步扩展权限，进行实质性操作后攻击,目的：消除痕迹，长期维持一定的权限内容：植入后门木马，删除日志，修补明显的漏洞，进一步渗透扩展。IP网络面临的安全威胁1）恶意攻击：网络扫描，Ddos，会话劫持，欺骗和网络钓鱼2）误用和滥用（内部和外部）配置错误、缺省配置，内部窃取，内部越权，操作行为抵赖3）恶意代码：病毒和蠕虫，木马逻辑炸弹，时间炸弹。漏洞预防：安全意识，安全审记漏洞检测：渗透测试，风险评估漏洞修复：补丁(patch)管理源代码审核（白盒），逆向工程（灰盒），FUZZing(黑盒）密码学在信息网络安全中的作用：机密性，完整性，鉴别性，抗抵赖性。密码学（cryptology）：密码编码学（cryptography）和密码分析学（cryptanalytics）密码编码学就是研究对数据进行变换的原理、手段和方法的技术和科学。密码分析学是为了取得秘密的信息，而对密系统及其流动的数据进行分析，是对密码原理、手段和方法进行分析、攻击的技术和科学。明文plaintext，cleartext：需姚秘密传送的消息密文：ciphertext:明文经过密码变换后的消息加密：Encryption:由明文到密文的变换解密：Decryption：从密文恢复出明文的过程。破译：Cryptanalysis:非法接受者视图从密文分析出明文的过程加密算法Encryptionalgorithm：对明文进行加密时采用的一组规则解密算法：DecryptionAlgorithm：对密文进行解密时采用的一组规则密钥Key:加密和解密时使用的一组秘密信息密码系统：一个密码系统可以用以下数学符号描述：S=（P，C，K，E，D）P=明文空间C=密文空间K=密钥空间E加密算法D=解密算法当给定秘钥k属于K时，加解密算法分别记作Ek、Dk，密码系统表示为：Sk={P,C,k,Ek,Dk}C=Ek(P)P=Dk(C)=Dk(Ek(P))安全性体现在：1）破译的成本超过加密信息的价值2）破译的时间超过该信息有用的生命周期无条件安全：若密文中不含明文的任何信息，则认为该密码体制是安全的，否则就认为是不安全的。无论提供的密文有多少，由一个加密方案产生的密文中包含的信息不足以唯一地决定对应的明文对于一个加密方案，如果任意概率多项式时间（PPT）的敌手在上述游戏中的优势是可忽略的，则称该加密方案是IND-CCA,安全，建成CCA安全。对应选择明文攻击游戏，成为IND—CPA安全，简称CPA安全。CPA安全是公钥加密机制的最基本要求，CCA安全是公钥加密机制更强的安全性要求密钥的选择，1）Degreeofsecurity2)speed:加密与解密运算速度3）keylength关系到key的存储空间，算法的安全性，keyspace密钥空间4）public/private：通常公开的算法，经过了更多的测试5）专利的出口限制问题密码算法分类：1）受限制的(restricted)算法：算法的保密性基于保持算法的秘密。2)基于密钥(key-based)的算法：算法的保密性基于对密钥的保密古典密码学被传统密码学所借鉴，加解密都很简单，易被攻破，属于对称密钥算法；包括置换密码、代换密码。古典密码：1）置换密码，用加密置换去对消息进行加密2）代换密码：明文中的字幕用相应的密文字幕进行替换，单表代换密码，多表代换密码。编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这条原则成为判定密码强度的衡量标准，实际上也是古典密码和现代密码的分界线。2）其基本特点：加密和解密采用同一个缪尔3）基本技术，替换/置换和移位密码学的第一次飞跃：1949年Shannon发表了《保密通信的信息理论》论文。密码学的第二次飞跃：《密码编码学新方向》提出公开密钥的思想DES，数据加密标准，EES，密钥托管加密标准DSS数字签名标准，AES高级数据加密标准基于密钥的算法，按照密钥的特点分类1）对称密钥算法(symmetriccipher):又称传统密码算法（conventionalcipher），就是加密密钥和解密密钥相同，或实质上等同，即从一个易于退出另一个。又称秘密密钥算法或单密钥算法2）非对称密钥算法：（asymmetriccipher）：加密密钥和解密密钥不同，从一个很难推出另外一个。又称公开密钥算法(public-keycipher)。公开密钥算法用一个密钥进行加密，而用另一个进行解密，其中的加密密钥可以公开，又称为公开密钥（publickey），简称公钥。解密密钥必须保密，又称为四人密钥(privatekey)私钥，简称私钥3）混合密钥体制分组密码(blockcipher)：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。流密码（streamcipher）:又称序列密码。序列密码每次加密一位的明文。序列密码是手工和机械密码时代的主流。密码模式：以某个分组密码算法为基础，对任意长度的明文加密的方法电码本ECB(ElectronicCodeBook)密码分组链接CBC(CipherBlockChaining)密码反馈CFB(CipherFeedBack)输出反馈OFB(OutputFeedBack)计数器模式（countermode)分组链接BC（BlockChaining)扩散密码分组链接PCBC（PropagatingCipherBlockChaining)63.ECB1实现简单,2不同明文分组的加密可并行处理硬件实现3密文中的误码不会影响其它分组的解密4无法恢复同步错误5相同明文分组对应相同密文分组,因而不能隐蔽明文分组的统计规律和结构规律5不能抵抗替换攻击.（特别当明文为结构数据时），需增加完整性检查字段ECB应用：1单分组明文的加密2各明文块间无冗余信息：如随机数密码分组链接CBC加密算法的输入是当前明文组与前一密文组的异或。密码反馈(CFB-CipherFeedback)模式,CBC模式，整个数据分组需要接收完后才能进行加密。若待加密消息需按字符、字节或比特处理时，可采用CFB模式。并称待加密消息按j比特处理的CFB模式为j比特CFB模式。适用范围:适用于每次处理j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.优点:(1)适用于每次处理j比特明文块的特定需求的加密情形;(2)具有有限步的错误传播，可用于完整性认证;(3)可实现自同步功能:该工作模式本质上是将分组密码当作序列密码使用的一种方式,DES分组加密并不直接对明文加密，它产生的乱数j可作为流加密的key！缺点：加密效率低。输出反馈(OFB-OutputFeedback)模式OFB模式在结构上类似于CFB模式，但反馈的内容是DES输出的j位乱数而不是密文！优点：（1）这是将分组密码当作序列密码使用的一种方式，序列密码与明文和密文无关！（2）不具有错误传播特性！适用范围：（1）明文的冗余度特别大，信道不好但不易丢信号，明文有误码也不影响效果的情形。如图象加密，语音加密等。（2）OFB安全性分析表明，j应与分组大小相同。缺点：（1）不能实现报文的完整性认证。（2）乱数序列的周期可能有短周期现象总评：1)ECB模式简单、高速，但最弱，易受重发和替换攻击。商业软件中仍应用，可用于无结构小数据。2)低丢包率，低误码率，对明文的格式没有特殊要求的环境可选用CBC模式。需要完整性认证功能时也可选用该模式。3)高丢包率，或低误码率，对明文格式有特殊要求的环境（如字符处理），可选用CFB模式。4)低丢包率，但高误码率，或明文冗余多，可选用OFB模式。（但加密前先将明文压缩是一种安全的方法）对称加密，1)对称加密算法中加密和解密使用相同的密钥。2)对称加密算法工作原理可以用下列公式表示：加密（明文，密钥）＝密文解密（密文，密钥）＝明文对称密钥算法的优缺点,优点，加解密速度快。缺点：1）网络规模扩大后，密钥管理很困难2）无法解决消息确认问题3）缺乏自动检测密钥泄露的能力DES（DataEncryptionStandard）是第一个得到广泛应用的密码算法；DES是一个分组加密算法，它以64位为分组对数据加密。同时DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是56位分组密码设计准则1）混淆（confusion）：用于掩盖明文和密文间的关系。在加密变换过程中使明文、密钥以及密文之间的关系尽可能地复杂化，以防密码破译者采用统计分析法，通过研究密文以获取冗余度和统计模式。2）扩散（diffusion）：通过将明文冗余度分散到密文中使之分散开来。密码分析者寻求这些冗余度将会更难。（扩散函数，通过换位，亦称置换）3）迭代结构：选择某个较为简单的密码变换，在密钥控制下以迭代方式多次利用它进行加密变换，就可以实现预期的扩散和混乱效果。（轮函数）密钥编排算法ki是64bit密钥k产生的子密钥，Ki是48bit。密钥k长度：56比特，每7比特后为一个奇偶校验位（第8位），共64比特DES的破译分析：56比特密钥太短，已抵挡不住穷尽密钥搜索攻击3DES是DES算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128位（112位有效）或192位（168位有效）。其基本原理是将128位的密钥分为64位的两组，对明文多次进行普通的DES加解密操作，从而增强加密强度。AES(AdvancedEncryptionStandard)高级加密标准公钥密码学的出现使大规模的安全通信得以实现–解决了密钥分发问题；非对称密码技术又称公钥密码技术，或双钥密码技术，即加密和解密数据使用不同的密钥。RSA是一种分组密码，其理论基础是一种特殊的可逆模指数运算，其安全性基于分解大整数的困难性RSA算法的使用加密，签名，密钥交互1.加解密2.数字签名与身份认证3.加密和数字签名同时使用4.密钥交换非对称密钥算法的优缺点优点：1）可以适用网络的开放性要求，密钥管理相对简单；2）可以实现数字签名,认证鉴权和密钥交换等功能。缺点，算法一般比较复杂，加解密速度慢私有密钥法和公开密钥法比较1)加密、解密的处理效率2)密钥的分发与管理3)安全性4)数字签名和认证88.在上述流程中利用接收方公开密钥对加密信息原文的密钥P进行加密后再定点传送，这就好比用一个安全的“信封”把密钥P封装起来，所以称做数字信封。因为数字信封是用消息接收方的公钥加密的，只能用接收方的私钥解密打开，别人无法得到信封中的密钥P，好像挂号信，必须有私人签章才能获得一样。采用公开密钥加密法的数字信封，实质上是一个能分发、传播称密钥的安全通道。89.ABE(Attribute-BasedEncryption)基于属性的密码系统90.消息认证MAC(MessageAuthenticationCode)消息摘要MessageDigest消息摘要算法采用单向散列（hash）函数从明文产生摘要密文。摘要密文又称为数字指纹（DigitalFingerprint）、数据认证码DAC（Dataauthenticationcode）、篡改检验码MDC（Manipulationdetectioncode）消息的散列值由只有通信双方知道的秘密密钥K来控制，此时散列值称作消息认证码MAC(MessageAuthenticationCode)91.消息认证使收方能验证消息发送者及所发消息内容是否被窜改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当收者和发者之间有利害冲突时，就无法解决他们之间的纠纷。在收发双方不能完全信任的情况下，引入数字签名来解决上述问题92.传统签名的基本特点1）不可重用,与被签的文件在物理上不可分割2）不可抵赖,签名者不能否认自己的签名3）签名不能被伪造4）容易被验证数字签名是传统签名的数字化1）能与所签文件“绑定”2）签名者不能否认自己的签名3）容易被自动验证4）签名不能被伪造93.普通数字签名算法1）RSA2）ElGamal/DSS/DSA3）ECDSAEllipticCurveDigitalSignatureAlgorithm盲签名算法群签名算法94.数字签名标准DSS(DigitalSignatureStandard)DSS和DSA是有所不同的：前者是一个标准，后者是标准中使用的算法95.DSA与RSA 反对DSA的意见主要包括：1）DSA不能用于加密或密钥分配2）DSA是由NSA研制的，并且算法中可能存在陷门3）DSA比RSA要慢二者产生签名的速度相同，但验证签名时DSA要慢10至40倍，其产生密钥的速度比RSA快。4）RSA是事实上的标准5）DSA的选择过程不公开，并且提供的分析时间不充分6）DSA可能侵犯其他专利:DSA侵犯了三个专利：Diffle-Hellman、Merkle-Hellman、Schnorr，前两个1997年已到期，Schnorr专利到2008年。7）密钥长度太小96.其他签名方案：盲签名群签名环签名Ringsignature门限签名 97.数字水印（DigitalWatermark）是指永久镶嵌在其它数据（主要指宿主数据）中具有可鉴别性的数字信号或数字模式。数字水印的主要特征：1）不可感知性2）鲁棒性3）可证明性4）自恢复性5）安全保密性98.密钥管理技术是信息安全的核心技术之一。包括密钥的产生，生成，分发，验证，存储，备份，保护，吊销，更新。99.密钥的组织结构——多层密钥系统基本思想:用密钥保护密钥一个系统中常有多个密钥100．密钥分发(分配，交换）密钥分发是密钥管理中的一个关键因素，目前已有很多密钥分配协议，但其安全性是一个很重要的问。按分发的内容1)秘密密钥的分发2）公开密钥的分发101.密钥分发中的威胁1：消息重放应对：在认证交换中使用序列号，使每一个消息报文有唯一编号。仅当收到的消息序数顺序合法时才接受101.抵抗消息重放的方法1）时间戳2）挑战/应答方式103．密钥分发中的威胁2：中间人攻击对策：使用数字签名的密钥交换联锁协议是阻止中间人攻击的好办法104典型的自动密钥分配途径有两类：集中式分配方案和分布式（无中心的）分配方案。1）集中式分配是指利用网络中的“密钥管理中心”来集中管理系统中的密钥，“密钥管理中心”接受系统中用户的请求，为用户提供安全分配密钥的服务。分布式分配方案取决于它们自己的协商，不受任何其他方面的限制。105密钥管理体制主要有三种：1）适用于封闭网的技术，以传统的密钥管理中心为代表的KMI机制（KeyManagementInfrastructure，密钥管理基础设施）；2）适用于开放网的PKI机制（PublicKeyInfrastructure，公开密钥基础设施）；3）适用于规模化专用网的SPK106PublicKeyinfrastructure，公钥基础设施。数字证书（DigitalCertificate）提供一种在Internet上验证身份的方式，是用来标志和证明网络通信双方身份的数字信息文件。使公钥系统得以提供认证、数据完整性、机密性和不可否认等安全服务107数字证书的内容，最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名107数字证书格式。1）证书的版本号2）数字证书的序列号3）证书拥有者的姓名4）证书拥有者的公开密钥5）公开密钥的有效期6）签名算法7）颁发数字证书的验证108证书机构CertificationAuthority(CA)证书机构就是可以签发数字证书的信任机构109公钥密码标准PKCSpkcs7包括6种数据内容：数据(data),签名数据（sign），数字信封数据（enveloped），签名数字信封数据（signed_and_enveloped），摘要数据（digest），加密数据（encrypted）110CMP(CertificateManagementProtocol)证书管理协议CMC（CertificateManagementMessages)证书管理信息111证书吊销1）CA在证书过期之前使证书失效2）CA需要两种方法来吊销证书并通知吊销的终端实体–CRL（CertificateRevocationList）–OCSP，，CRL，CertificateRevocationList，证书吊销列表112OnlineCertificateStatusProtocol，在线证书状态协议1）请求-响应模式2）客户发送OCSP请求（证书有效吗？）3）服务器发送OCSP响应（证书有效/无效/不确定）112交叉证明指CA之间互相证明以建立一种横向信任关系，这是一种对等信任模型113混合（Hybrid）模型是证书层次结构同交叉证明的结合。交叉证明可以在两个层次结构的任何两个CA间进行，信任仅存在于这两个CA及其下面的子CA之间114.PMI授权管理基础设施1）授权服务管理2）访问控制机制115PMI系统主要分为授权管理中心（又称AA中心）和资源管理中心（又称RM中心）两部分。116PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要区别在于：1）PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么。2）PMI（授权管理基础设施）需要PKI（公钥基础设施）为其提供身份认证。PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立身份认证系统和属性特权机构。1）在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；2）在PMI中，由有关部门建立授权源SOA，下设分布式的AA和其它机构。1、误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。2、有时也被称为特征分析(SignatureAnalysis)或基于知识的检测(Knowledge-basedDetection).异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（NormalUsageProfile)），当用户活动与正常行为有重大偏离时即被认为是入侵（度量及门限）入侵检测系统，通常来说包括三个主要功能部件（1）信息收集（2）信息分析（3）结果处理信息收集的来源：系统或网络的日志文件、系统目录和文件的异常变化、程序执行中的异常行为、网络流量数据预处理模块：从各种数据源采集上来的数据，需要经过预处理才能够加以分析。分析模块:分析模块是入侵检测系统的核心模块，它完成对事件的分析和处理。分析模块可以采用现有的各种方法对事件进行分析，在对事件进行分析后，确定该事件是否是攻击，如果是就产生报警，如果不能够确定，也要给出一个怀疑值。分析模块根据分析的结果，决定自己怀疑的数据是否要送给关联模块进行数据融合。关联模块:关联模块进行数据融合的主要目的就是综合不同分析模块送报上来的已给出怀疑值的事件，判断是否存在分布式攻击。管理模块:管理模块接到报警等信息后，决定是否采取响应，采取何种响应。入侵检测技术可分为两类：误用检测(MisuseDetection)：首先定义违背安全策略的事件的特征，检测主要判别这类特征是否在所收集到的数据中出现。异常检测(AnomalyDetection)：建立系统“正常”情况的模型，后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。入侵检测的常用方法专家系统、统计分析、利用人工智能自动规则发现：神经网络，模糊系统，遗传算法，免疫系统，数据挖掘，深度学习模式匹配的方法用于误用检测。它建立一个攻击特征库，然后检查发过来的数据是否包含这些攻击特征，判断它是不是攻击。算法简单，准确率相对异常检测高。缺点只能检测已知攻击，对于无经验知识的入侵与攻击行为无能为力模式库需要不断更新，且模式更复杂（实时性，误报率）对于高速大规模网络，由于要处理分析大量的数据包，这种方法的速度成问题。基于统计分析的检测技术根据系统中特征变量（如：事件的数量、间隔时间、资源消耗、流量等）的历史数据建立统计模型historicalstatisticalprofile)对正常数据的各个特征进行统计，根据统计结果对每一个特征设定一个正常范围的门限。这些特征和相应的门限组成检测的统计模型动态更新:模式向量随时间衰减，并将新的用户行为所产生的审计数据嵌入到知识库中，计算出新的模式向量存储在知识库中。运用该模型对特征变量未来的取值进行预测和检验偏离，从而判断是否发生入侵。(异常检测）统计检测1、操作模型:假设异常可通过测量结果与一些固定指标相比较得到，固定指标根据经验值或一段时间内的统计平均得到，例：短时间内的多次失败的登录可能是口令尝试攻击；2、多元模型，操作模型的扩展，同时分析多个参数实现检测；3、方差模型，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；4、马尔柯夫Markov过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。优点：•不需要很多先验知识，有较为成熟的统计方法可以应用•动态性好，用户行为改变时，相对应的度量能产生一致性的变化，保证行为模式的更新问题：•难以提供实时检测和自动响应功能：大多数统计分析系统是以批处理的方式对审计记录进行分析的，因此检测系统总是滞后于审计记录的产生•对入侵发生的顺序不敏感：许多预示着入侵行为的系统异常都依赖于事件的发生顺序，但是统计分析的特性导致了它不能反映事件在时间顺序上的前后相关性，因此事件发生的顺序通常不作为分析引擎所考察的系统属性;•阈值难以确定：门限值如选择得不当，就会导致系统出现大量的错误报警。专家系统入侵的特征抽取与表达，是入侵检测专家系统的关键。基于规则的入侵检测技术：在系统实现中，将有关入侵的知识转化为if-then结构，条件部分为入侵特征，then部分是系统防范措施。基于状态转移图的入侵检测技术：状态转移图用来描述复杂和动态入侵过程的时序模式特征，可以表示入侵事件发生的时序关系和相关性，使入侵的行为、状态、上下文环境背景和发生的过程与步骤得到直观的描述。基于专家系统的检测技术的特点：•误报少准确性高•只能发现已知攻击，难以准确识别同一种攻击的变种，对未知的攻击不具备检测的能力。同时规则库的建立及维护代价高，且容易出现冗余、矛盾、蕴含等问题。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。基于生物系统模拟的检测技术基于神经网络：由神经元通过突触连接。如BP网络是一种多层前馈神经网络，包括输入层、隐层和输出层。当学习样本提供给网络后，在输出层得到对输入的响应，按照减少目标输出与实际输出误差的方向，从输出层经过各隐层逐层修正各连接权值，以达到神经网络的实际输出与期望输出的最大拟和，从而实现分类。特点：•需要学习训练，系统有可能趋向于形成某种不稳定的网络结构，不能从训练数据中学习到特定的知识•不使用固定的系统属性集来定义用户行为，具备了非参量化统计分析的优点•通常无法对判断为异常的事件提供任何解释或说明信息，不利于对入侵进行分析并采取相应对策人工免疫的检测技术：生物免疫系统具有健壮性、记忆能力、容错能力、动态稳定性以及异常检测等良好特性”这些特性与一个合格的网络入侵检测系统有很高的相似性遗传算法：基于选择、交叉和变异等基因操作。以适应度函数fittestfunction为启发式搜索函数，通常以分类正确率为度量，确定能表达某一类攻击的各参数特征。基于数据挖掘数据挖掘(datamining)也称为知识发现技术，其目的是要从海量数据中提取出我们所感兴趣的数据信息（知识）：统计学的数学理论+机器学习的计算机实践•预测：根据数据其他属性的值来预测特定属性的值•分类的任务是对数据集进行学习，从而构造拥有预测功能的分类函数或分类模型（分类器），把未知样本标注为某个预先定义的类别。•离群点分析（outliermining）：发现离群点并对其进行处理的过程。离群点是与数据集中大部分数据的观测值明显不同的数据。•描述：发现概括数据中潜在的联系模式•聚类分析特别适合用来讨论样本间的相互关联，在事先对数据集的分布没有任何了解的情况下，按照数据之间的相似性度量标准将数据集自动划分为多个簇。•关联分析用于寻找数据集中不同项之间的潜在的联系。例如，通过关联规则挖掘发现数据间的关系，或通过序列分析发现有序事物间的先后关系。入侵检测系统中的数据挖掘算法，目前主要包括3种:：•数据分类(dataclassification)：连接(会话)记录的误用检测•关联分析(associationanalysis)：用户行为模式的异常检测•序列挖掘(sequencemining)：用户行为模式的异常检测MADAMID(MiningAuditDataforAutomatedModelforIntrusionDetection)•误用检测，离线检测，利用规则分类算法RIPPER对审计数据进行归纳学习来得到描述类的模型ADAM(AuditDataAnalysisandMining)项目•异常检测，关联规则与分类告警融合网络入侵检测系统分析的数据源是网络数据包，在一些情况下很容易突然产生大量相似的警报，称之为警报洪流。例如攻击者可以通过发送大量经过精心设计的数据包使得入侵检测系统出现警报洪流，或是所检测的网络中某些服务器提供的一些固有服务产生的数据可能被误检测为入侵数据从而出现警报洪流。在出现警报洪流时，入侵检测系统检测到的真正入侵行为所产生的警报就会被淹没，很难被管理员发现。因此有必要实现告警融合。研究：关联分析方法对IDS产生的告警进行关联告警聚集由于警报洪流中的警报一般是相似的，相似的报警在一个较短时间内多次出现是没有必要的，因此可以通过将多条相似的警报合并成为一条警报从而避免出现警报洪流或降低警报洪流的规模。这就叫做告警聚类，将特征相似的警报合并在一起，聚类（cluster)算法所依据的规则是警报的相似规则。通过事先定义好的攻击过程进行事件关联：通过机器学习或人类专家来得到各种攻击过程，将这些攻击过程作为模板输入到系统中去，然后系统就可以将新的报警同这些攻击过程模板相比较，进行实时关联。通过事件的前因和后果进行事件关联：任何一个攻击都具有前因和后果。所谓前因就是攻击要实施所必须具有的前提条件，后果就是攻击成功实施后所造成的结果。在一个有多个攻击动作组成的入侵过程中，一个攻击的后果就是下一个攻击前因。基于这一思想，首先定义每一个单独攻击的前因、后果，然后就可以将具有因果关系的攻击关联在一起，重现整个攻击过程。大题：一. 攻击的分类：1）activeattack，主动攻击包括：网络扫描、拒绝服务攻击、缓冲区溢出、欺骗和网络钓鱼（Phishing）、信息篡改、会话劫持、隐密通道（covertchannel)等攻击方法2）Passiveattack被动攻击包括：嗅探、流量分析、信息收集等攻击方法1）从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；2）从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；3）从攻击的纵向实施过程来看，有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；4）从攻击的目标来看，包括对各种应用系统的攻击（系统攻防）、