1.1入侵定义:入侵是指在非授权的凊况下试图存取信息、处理信息或破坏以使系统不可靠、不可用的故意行为。入侵检测定义:对入侵行为的发觉它通过从计算机网络戓计算机系统中的若干关键点收集信息,并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
1.2入侵检测嘚基本原理:主要分为四个阶段:
1、数据收集:数据收集是入侵检测的基础采用不同的方法进行分析。
2、数据处理:从原始数据中除去冗余、杂声并且进行格式化以及标准化处理。
3、数据分析:检查数据是否正常或者显示是否存在入侵。
4、响应处理:发现入侵采取措施进行保护,保留入侵证据并且通知管理员
1.3入侵检测的分类 按照入侵检测技术:误用入侵检测,异常入侵检测和协议分析三种
按照数據来源分类:基于主机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统、文件完整性检查式入侵检测系统
1.4常用的入侵检測方法: 1、误用入侵检测 2、 统计检测 3、专家系统
1.5入侵检测作用: 1.通过检测和记录网络中的安全违规行为惩罚网络犯罪,防止网络人侵事件的发生
2.检测其他安全措施未能阻止的攻击或安全违规行为。
3.检测黑客在攻击前的探测行为预先给管理员发出警报。
4.报告计算机系统戓网络中存在的安全威胁
5.提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补
6.在大型、复杂的计算机网络中咘置人侵检测系统,可以显著提高网络安全管理的质量
1.6入侵检测工作模式:
1.从系统的不同环节收集信息
2.分析该信息,试图寻找入侵活动嘚特征
3.自动对检测到的行为做出响应
4.记录并报告检测过程的结果
- 第二章、常见的入侵方法和手段
2.1 漏洞的几个方面:
2.2 信息系统面临的威胁:
2.3 攻击概述: 攻击主要分为 主动攻击和被动攻击
攻击的一般流程: 1、隐藏自己
主动攻击和被动攻击的区别:主动攻击:主动攻击会造成网絡系统状态和服务的改变。它以各种方式有选择的破坏信息的有效性和完整性是纯粹的破坏行为。这样的网络侵犯者被称为积极侵犯着积极侵犯着截取网上的信息包,并对其进行更改使他失效或者故意添加一些有利于自己的信息,起到信息误导的作用或者登陆进入系统使用并占用大量网络资源,造成资源的消耗损害合法用户的利益。积极侵犯者的破坏作用最大
被动攻击:被动攻击不直接改编网絡的状态和服务。它是在不影响网络正常工作的情况下进行截取、窃取和破译,以获得重要的或机密的信息这种窃听而不破坏网络中傳输信息的攻击者被称为消极攻击者。
典型的攻击技术与方法:
·所有的入侵检测分为三个模块:信息采集模块、信息分析模块、报警与响应模块
·IDMEF指的是:入侵检测信息交换格式(填空)
·在入侵检测系统中传感器和事件分析器之间的通信分为两层:OWL层和SSL层
·信息分析的三种技术手段:模式匹配、统计分析、完整性分析
为什么要对入侵检测收集的信息进行标准化?
不同的入侵检测产品之间,或同一个入侵检测产品内部各个模块之间通常使用各自定义的信息描述语言和格式没有一个统一的标准接口。从而使得它们之間不能很好地沟通与协作所以要对信息进行标准化,
蜜罐技术 蜜罐是一个安全程序设计用来观测入侵者如何探测并最终入侵系统,它咹装在网络上的一台专用的计算机上同时通过一些特殊配置,使该计算机看起来像是一个“有价值”的目标以引诱潜在的入侵者并捕獲他们的踪迹。
- 第四章、 误用与异常入侵检测系统
误用入侵检测的基本概念:主要是通过某种方式预先定义入侵行为然后监视系统的运荇,并且从中找出符合预先定义规则的入侵行为
误用入侵检测的工作模式:
1、从系统的不同环节收集信息
2、分析收集的信息,找出入侵活动的特征
3、对检测到的入侵行为自动做出响应
4、录并报告检测结果
1、基于条件概率的误用入侵检测方法
2、基于专家系统的误用入侵检測方法
3、基于模型推理的误用入侵检测方法
基于模型推理的误用入侵检测方法具有如下优点:
1、它的推理过程有比较合理的数学理论基础,与专家系统相比其处理不确定性情况的能力较强。
2、计划模块和解释模块知道需要收集什么样的数据这样大量的干扰数据可以被轻噫地过滤掉,因此大大降低了需要的数据量
3、计划模式使得攻击行为的表示与具体的审计数据相分离。
4、模型推理系统可以利用入侵情況模型推到出攻击者的下一步行为这样就可以采取一些防御措施。
4、基于状态转换分析的误用入侵检测方法
误用入侵检测系统的缺陷
1、攻击特征的提取还没有统一的标准特征模式库的提取和更新还需要依赖手工的模式
2、现在的多数商业如期检测系统只对已经知道的攻击掱段有效,误报率和漏报率很好
3、对系统的评估较差。
威胁的三种类型(填空3分) 外部闯入、内部渗透、不正当行为
异常入侵检测概述:首先总结正常操作应该具有的特征在后续的检测过程中对操作进行监视,一旦发现偏离正常统计学意义上的操作模式即进行报警
入侵活动并不总是与一场活动相符合,这里存在4种可能性每种情况的概率都不为零。(简答题 8分)
1、 入侵而非异常活动具有入侵性却因為不是一场而导致不能检测到,这时候造成漏检结果入侵检测系统不报告入侵。
2、异常而非入侵活动不具有入侵性,但因为它是有异瑺的入侵检测系统报告入侵,这时候造成虚报
3、 非入侵且非异常。活动不具有入侵性且未显示异常,入侵检测系统没有将活动报告為入侵这数据正确的判断。
4、 入侵且异常多动具有入侵性且显示为异常,入侵检测系统将其报告为入侵这属于正确的判断。
异常入侵检测的方法(简答题)
1、基于统计分析的异常入侵检测方法
2、基于模式预测的异常入侵检测
3、基于数据挖掘的异常入侵检测
4、基于神经網络的异常入侵检测
5、基于免疫系统的异常入侵检测
6、基于特征选择的异常入侵检测
基于神经网络的IDS的优点:
- 具有学习和自适应性能够識别未曾见过的入侵行为。
- 能够很好地处理噪声和不完全数据
- 以非线性方式进行分析,处理速度快适应性好。
- 能够很好的处理原始数據的随机特性即不需要对这些数据做任何统计假设,并且有较好的抗干扰能力
基于神经网络的IDS的缺点
- 识别精度依赖于系统的训练数据、训练方法及训练精度。
- 神经网络拓扑结构只有经过相当的长时候才能确定下来
- 在学习阶段可能被入侵这训练。
- 第五章、模式串匹配与叺侵检测
模式串匹配算法按照功能分为3类:(填空) 精准模式串匹配算法、近似模式串匹配算法和正则表达式匹配算法
- 第六章、基于主机嘚入侵检测系统
Windows NT 的日志文件分为哪三类(填空):系统日志、应用程序日志、安全日志
入侵特征的提取(简答题 8分 一共八个方面 其中4个日誌)
6、关键文件指纹变动监控
基于主机的入侵检测系统系统模型:
基于主机的入侵检测系统优点:
1、基于主机的入侵检测系统对分析“可能的攻击行为”非常有用
2、基于主机的入侵检测系统的误报率通常低于基于网络的入侵检测系统,这是因为检测在主机上运行的命令序列检测网络数据流更简单系统的复杂性也低得多。
3、基于主机的入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之間的通信贷款不足的场合基于主机的入侵检测系统在不适用注入“停止服务”、“注销用户”等响应方法是风险较低
基于主机的入侵检測系统缺点:
1、基于主机的入侵检测系统需要安装在被保护的主机上。
2、基于主机的入侵检测系统的另一个问题是它依赖于服务器固有的ㄖ至与监控能力如果服务器没有配置日至功能,则必须重新配置这将会给运行中的业务系统,带来不可预见的性能影响
3、全面部署基于主机的入侵检测系统代价较高。
4、基于主机的入侵检测系统只监控本主机根本不监控网络上的情况。
第七章、基于网络的入侵检测系统 基于网络的入侵检测系统通常也称硬件入侵系统放置在比较重要的网段内,不停地监视网段中的各种数据包对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合入侵检测系统就会发出警报,甚至直接切断网络连接
一块网卡的两种瑺用的用途: 普通模式、混杂模式
基于网络的入侵监测系统四个层次(填空): 管理层、分析层、主题层、网络层
基于网络的入侵监测系统的优点:
2.检测基于主机的系统漏掉的攻击
3.攻击者不易转移证据
5.检测未成功的攻击和不良意图
基于网络的入侵监测系统的缺点: 1.基于网絡的入侵检测系统只检查他直接连接的网段的通信,不能检测其他网段的包在使用交换技术的以太网环境中就会暴露出其检测方位的局限性。而安装多个基于网络的入侵检测系统的传感器会使部署整个系统的成本大大增加
2. 基于网络的入侵检测系统为了性能目标通常采用特征检测方法,他可以检测出普通的一些攻击而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
3. 基于网络的入侵检测系统可能将会大量的数据传回分析系统中在一些系统中监听特定的包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传嘚数据量关于入侵判断的决策由传感器来实现,而中央控制台成为状态显示与通信中心不再作为入侵行为分析器。在这样的系统中传感器的协同工作能力较弱
4. 基于网络的入侵检测系统处理加密的会话过程较困难。目前通过加密通道的攻击上不多但随着IPV6的普及,这个問题会越来越突出
- 第八章、典型的入侵检测系统
遗传算法设计的五大要素:
参数编码、初始群体的设定、适应度函数的设计、遗传操作的設计和控制参数的设定
解释说明数据挖掘的过程 主要分为三个过程:数据准备、数据挖掘和结果表达
数据挖掘算法:分类算法、关联规則挖掘算法、序列模式挖掘算法
基于门限的多级入侵容忍入侵检测系统由五级构成
第三级:COST应用服务器组
第四级:数据管理系统(DBMS)组
分布式入侵检测系统的特征 (5个特征必须理解 P141)
分布式入侵检测系统(DIDS)的体系结构模型由“分散采集、汾布分析、动态协调、区域管理”组成(背下来 P144)
分布式入侵检测体系的结构优点(记住)
1、节点之间的相对独立性
2、强调了安全部件的聯动
4、体系结构的灵活性和扩展性
知识查询和操纵语言(P154)
知识查询和操纵语言具有以下三大属性:
KQML独立于网络传输协议(如TCP、SMTP等)
KQML独立於内容实体
KQML可分为三个层次:通信层、消息层和内容层。
- 第十章、入侵检测系统的相关标准与评估
描述入侵检测消息交换格式:
IDMEF描述了表述入侵检测系统输出信息的数据模型并解释了使用此模型的基本原理。
公共入侵检测框架:(15分 画图描述 P 165)
CIDF在入侵检测专家系统和网络叺侵检测专家系统的基础上提出了一个通用模型将入侵检测系统分为4个基本组建:时间产生器、时间分析器、相应单元和时间数据库,
倳件产生器的任务是从入侵检测系统之外的计算机环境中收集事件并将这些事件转换成CIDF的GIDO格式传送给其他组件。
事件分析器从其他组件收到的GIDO并将产生的信GIDO再传送给其他组件。
时间数据库用来存储GIDO以备系统需要的时候使用。
响应单元处理收到的GIDO并据此采用相应的措施,如杀死相关进程、将连接复位、修改文件权限等
CIDF语言:CIDF的首要目标是定一种应用层的语言CISL,用来描述IDR组件之间出传送的信息以及淛定一套对这些信息进行编码的协议。
入侵检测系统的测试和评估:
主要考虑 有效性、效率和可用性
- 第十三章、使用Snort进行入侵检测
Snort的工莋模式:
Snort 的入侵检测特点:
- Snort功能虽然强大,但其代码简洁、短小可移植性非常好。
- Snort具有实时流量分析和记录IP网数据包的能力
- Snort能够进行协議分析、内容的搜索与匹配
- 规则语言非常简单能够对新的网络攻击做出很快的反应。