入侵检测复习知识点归纳(同济大学信息安全)

1、Ch1:1.入侵检测:是指发现或检测（discover or detect）网络系统和计算机系统中出现各种的入侵活动（intrusion activities, namely attack ），或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。当IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率（False positive rate）和漏报率（False negative rate）衡量，这个是一个重要

2、的评价指标。 误报（False positive）是当一个正常活动或者合法的网络流（包）触发IDS报警。 漏报（False negative）是一个恶意的活动或网络流（包）却没有触发IDS报警。3.入侵检测系统常见的分类方法.采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。4.入侵检测系统主要组成部件和各部件的功能感应器（Sensor）: 完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。分析器（Analyzer）： 完成数据的分析，并寻找入侵特征。称为 (基于）特征入侵检（signature

3、 detection or signature-based ），也有文献称为误用检测（misuse detection ）。或者通过一些统计指标判断行为是否异常，称为(基于)异常入侵检测 （anomaly detection or anomaly-based ）。最后做出判断是正常还是攻击。 报警器（Alarm）： 若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动响应方式，则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进

4、程或用户。5.入侵防御系统(IPS): 能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发生，以免造成损失。6.IPS出现的主要原因有哪些?IPS的主要功能是什么? 7.IDS与IPS主要区别有哪些?（cf ch12)（1）主要功能不同 IDS入侵检测，IPS入侵防御（2）工作模式不同 IPS工作模式是inline mode ：Detection and Action（检测和动作），是主动防御。而IDS是sniffer mode：Detection，是被动侦听，而当发生入侵时，通知防火墙更新规则，同时TCP reset中断连接。 （3）部署位置不同（基于网络的IDS和IPS） ： ID

5、S部署在防火墙后，接入交换机的侦听端口上（将所有流经交换机的信息包复制一份给IDS），实时性差，只能间接通过防火墙采取行动。 IPS部署在防火墙外，所有实时流量都流经IPS，实时处理，可以直接采取行动（丢包，断连等）。 IDS IPS 防御方式 Passive sniffer mode Active in-line mode 防御动作 通知防火墙更新规则，同时TCP reset 中断连线 丟弃恶意包中断连线 防火墙（Firewall）不能完全替代IDS，防火墙像门卫（在大门入口处），一般通过过滤网络流量，允许或者阻止对系统和资源的访问，而IDS一般是用来监视计算机系统和网络中的活动和事件，检测

6、恶意活动的。IDS就像是房屋的安防报警系统，有多个传感器，放在各个检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。Firewall vs IDS:防火墙只能分析包的网络层和传输层，只能基于端口号和Ip 地址进行简单过滤；而IDS可以分析到应用层，不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用数据包中恶意内容（应用层）而产生的各种攻击。8、什么是入侵活动? 入侵活动主要分为哪几类? 发生入侵活动的原因有哪些?又称为攻击（Attacks），是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为，

7、是恶意的活动。如中断系统服务，未授权的访问网络和计算机系统（Unauthorized access），扩大特权（Privilege escalation）或者侦察活动（Reconnaissance）等。入侵者通常要利用网络或计算机系统的漏洞（Vulnerability），如TCP/IP网络协议软件的安全缺陷，路由软件的缺陷，以及操作系统和应用系统的Bug等。同时，也存在因为配置不当（misconfiguration）和没有及时打补丁（patch）而使应用与系统置于各种安全暴露（Exposure）中。第二章1.攻击In computer and computer networks an atta

8、ck is any attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset.US Commitee on National Security systemAny kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy information system resources or the infor

9、mation itself.攻击是针对计算机或者网络的，称为主机系统攻击和网络系统攻击。 2. Unauthorized access :Privilege Escalation 权限提升，可分为：user to super-user 普通用户利用系统漏洞获得Root用户的访问权利 : root break-in incident（突破R权） Non-user to user 非用户获得普通用户权利，或者普通甲用户获得乙用户的权利 : account break-in）3. Unauthorized use ：any attempt to destroy, expose, alter, dis

10、able, steal . 违背了信息安全的三原则CIA4.试述Howard and Longstaff 关于攻击的分类.其分类中，关于漏洞与暴漏的原因，可以归纳为哪几种情况？（设计与实现中的漏洞和使用中的不当配置）攻击手段 攻击目标（具体，硬件，软件） 漏洞与暴露的利用 攻击的后果和影响1/Virus，Worms，Trojans，Buffer overflows， Denial of service(DoS) attacks，Network attacks，Physical attacks，Password attacks，Information gathering attacks，Rout

11、ing attacks4/ Fist dimension attack payload (攻击本身的影响) 最终的影响（eventual effect）Corruption of information (对信息的改变或损毁 Alter Or Destroy) Disclosure of information（信息泄露）Theft of service （窃取服务：未授权使用服务但未对合法用户有任何影响）Subversion（获得对目标的部分控制并使用之）5.什么是CVE(Common Vulnerabilities and Exposures)：) 公共漏洞与暴露。这是信息安全漏洞名称的标

12、准：为每个漏洞与暴露确定唯一的名称和一个标准化的描述，是已知的信息安全漏洞与暴露的词典。作用：这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞扫描评估等工具的覆盖率提供了基准参考点。6.KDD99 DATASET将攻击分为几类？定义了39种具体的攻击，这些攻击分为四大类： Probe(探测工具有6种) ,Denial of Service（10种方法）,U2R（普通用户非法而获得root特权,8种攻击方法），R2L（远程非本地帐户用户非法获得本地访问权，15种方法） 7.何谓OS Fingerprint技术？8.扫描器的功能是什么？根据扫描的目的，可以将扫描器分为哪两

13、类？（端口扫描器和漏洞扫描器）9.什么是特权提升？10.那些方法与途径可以实现特权提升？11.试述网络攻击的一般过程（1）数据收集：侦探（搜索废物箱）（2）挖掘漏洞：扫描（通过各种软件工具）（3）实施攻击：窃取访问权（4）安装后门：维护访问（安装恶意软件，修改配置，获取Root权完全控制该主机或网络设备，并为了防范其它黑客而答补丁）（5）清除日志掩盖痕迹1.Probes 探测(漏洞扫描)Probes are usually attacks scanning computer networks and computer system to gather information or find k

14、nown vulnerabilities ,which are exploited for future attacks.通过扫描网络与计算机系统 来收集信息和发现已知的漏洞，以用于今后的攻击。探测通过扫描工具(扫描器)来完成.通过向远程主机的不同端口服务发送请求访问,并记录目标的应答,来搜集目标主机的各种有用信息.具体说来扫描器有三项功能: 发现主机或者网络的状态; 一旦发现主机处于运行状态,可以进一步判断系统中那些服务正在运行; 通过测试运行中的网络服务,发现漏洞.依据扫描的目的可以分为:端口扫描器和漏洞扫描器;端口扫描器只单纯用来扫描目标系统开放的网络服务端口及与端口相关的信息.漏洞扫描

15、器检查目标主机中可能包含的已知漏洞.主要扫描技术：TCP SCAN 和UDP SCAN技术：TCP Connect scan调用套接口连接到目标主机的端口上，完成一次TCP三次握手。TCP SYN scan向目标端口发送一个SYN分组,如果收到SYN/ACK，目标端口处于监听； 如果收到RST/ACK，端口不在监听。没有一个完整的握手，目标主机不会记录。TCP FIN scan 向目标主机发送FIN分组，按RFC793，当FIN分组到达一个关闭端口时， 数据包被丢弃，并且返回一个RST分组。否则，只是简单丢弃而不回应RST分组。TCP Xmas Tree scan向目标发送FIN URG PU

16、SH 分组，目标主机当端口关闭时回应RST分组TCP Null scan 向目标主机发送一个关闭掉所有标志位的分组，目标回应RST分组。TCP ACK scan 用来侦测防火墙，判断其支持简单分组过滤还是支持基于状态的包过滤。UDP scan 向目标主机发送一个UDP分组，如果目标端口关闭，返回”ICMP port unreachable”否则，如果没有收到上述信息，可以判断端口开放。OS Fingerprint技术（操作系统指纹技术）：漏洞是和操作系统和应用密切相关的， 辨识不同版本的操作系统与应用是探测扫描的一项重要功能。识别操作系统的指纹，可以通过下面的方法： 一些端口服务的提示信息（如

17、137，138，139，445，80） Tcp/ip栈指纹( 测试远程主机的TCP/IP协议栈对不同请求的响应来探测系统) DNS泄露出OS系统主要的扫描工具有：端口扫描器IPSWeep and PortSweep 搜索哪些主机有哪些端口是打开的NMap Ip地址和端口扫描 防火墙扫描及提取操作系统指纹(OS Fingerprint)的开源免费软件.漏洞扫描器MScan 通过蛮力扫描整个域的Ip地址来发现在运行的计算机并探测他们的漏洞SAINT 收集各种网络服务（如）的信息，也包括网络服务的不适当配置，已知的网络和操作系统的漏洞。Satan是SAINT的先前版本。ISS NESSUS2 Pri

18、vilege Escalation Attacks特权提升Attaining high privileges on a system allows attackers to perform far more dangerous actions( for example: install TROJAN code or create backdoors for future covert access).利用系统或者应用程序的漏洞或者不适当配置，非法获得对在正常情况下受保护的资源的访问权 。获得系统的高特权后可以让攻击者进行跟多危险动作如安装木马或者后门。已知的这种攻击又分为两类：Vertical

19、 privilege escalation Or user to super user (U2R)Horizontal privilege escalation or Non-use to User (N2U)下面是能够实现特权提升的方法： Buffer Overflow Attacks缓冲区是指一块内存区，对应的数据结构如数组或C语言中的指针。当一个程序或者进程试图存储超过缓冲区大小的数据时，就发生了缓冲区溢出。缓冲区数据溢出时，超出的数据会写入临近的其他缓冲区，这样就会覆盖掉其他的有效数据。如果是发生在指令堆栈区，缓冲区溢出攻击在在利用这个漏洞时，写入一段自己想执行的代码放在溢出区域，并修

20、改函数的返回地址，使其指向自己的代码，通过执行这段程序而触发一个特定的动作如生成一个具有特权的操作界面（shell），破坏文件，修改数据或者邪路敏感信息等。当然缓冲区溢出既使没有被攻击者利用，也可能因为覆盖掉其他缓冲区的内容而导致系统紊乱甚至奔溃，引起拒绝服务。避免这种攻击的方法是：建立足够大的缓冲区，监视缓冲区的使用，同时在写程序时要考虑缓冲区边界越界问题。Void func(char *str)char buffer16;strcpy(buffer,str)Void main()char large_string256;int i;for (i=0;i<255;i+)large_st

21、ringi=A;func(large_string);从buffer 开始的256个字节都被）0x41覆盖，函数的返回地址也变成0x41414141，程序执行完成后返回到上述地址指向的区域。这就为恶意程序的执行提供了条件。 Misconfiguaration Attacks各种系统不适当的配置可能被攻击者用来避开安全屏障，不适当的配置和没有对系统及时打补丁会使系统至于某种安全暴露状态，大多数安全所面临的问题。例如字典攻击（又称暴力攻击）是指攻击者通过穷举方式来猜测口令，如果系统管理员没有设置最大登陆尝试次数，就会被这种方式攻破而获得口令。 Race-condition Attacks 竞态条件

22、攻击      竞态条件 (race condition)又称为竞争危害 (race hazard) 。      该术语旨在描述一个系统或者进程的输出展现无法预测的、对事件间相对时间的排列顺序的致命相依性。该术语起源自于电信中两个讯号试著彼此竞争来影响谁先输出。现在也用于系统与应用软件里的多任务和多线程运行时可能产生的安全问题的描述中。例如在较早的Unix的Login程序的执行，当一个新的Login 进程产生时，需要完成用户验证，结束后再切换到普通用户状态。在还没有切换到普通用户状态时，会存在一个很短的

23、时间间隙（Gap），此时是处于Root 状态。如果有人不停的键入ESC键，就有可能阻止从特权态切换到普通用户状态，从而获得了特权。称为 Unix login 攻击。竞争条件攻击还常发生在对共享文件的操作时，例如在多线程的并发控制中，一个线程在向一个文件写入，另一个线程同时在对同一个文件进行读出，程序的执行结果不是确定的，与这两个线程的竞争结果有关。一个安全的程序开发者应该考虑到竞态问题，这样可以避免竞态攻击。同时作为系统管理员及时的系统补丁也是防范这种攻击的有效方法。 Man-in-the-Middle Attacks 中间人攻击是指攻击者通过控制受害者间的整个网络“谈话”，中继转发消息，并使

24、受害者相信是与另一方直接进行私密连接。强加密协议和端点验证机制能够阻止这类攻击，如用SSH代替telnet，同时采用文件加密机制或者Session checksums会话校验码等技术。 Social Engineering Attacks攻击者通过劝诱误导或者使用人机技巧使受害者泄露受保护的关键信息系统的访问信息（如口令，登陆名等）。社会工程攻击又分为两类：物理的和心理的。物理方法如在工作场所，攻击者站在受害者旁观察别人输入的口令，或者借口帮别人维护系统而套取口令，或者在废纸篓中收集有价值的信息等。心理类方法包括通过电话或者在线通讯，如致电Helpdesk假冒成内部员工寻求管理员Reset口令

25、。在线通讯包括通过EmailPhishing ,发出请求信息链接到一个验证登陆的欺骗页面等（钓鱼页面）。社会工程攻击难以检测，因为是利用了人容易欺骗的原因，防止这种攻击的最佳的办法是持续的用户安全培训，增强安全意识。3 Denial Of Service(DoS) and Distributed Denial of Service (DDos) Attacks 拒绝服务攻击和分布式拒绝服务攻击 DOS攻击是指a)误用TCP/Ip网络协议，通过伪造地址，泛洪，反射，和修改分段包的偏移等手段产生大量非常信息流（如不完整地TCP连接，异形的Ip包，僵尸主机生成的请求等）b)利用目标主机的系统与用用中

26、的各种漏洞与暴漏而使主机或者网络设备性能降级甚至使其完全无法有效使用与提供服务。DDoS攻击分布式拒绝服务攻击：攻击者通过分发和传播攻击脚本到多个中间主机 ，然后组织这些主机一起向某个目标发起高强度攻击。这些中间主机成为Zombie或者Bot。DRDoS(Distributed Refletor Denial of Service):attacker uses a fake source IP (Target s) and send connection to several legilimate servers,when these servers respond they send the

27、 ACK packets to the attackers target.具体的攻击举例：TCP-Syn Flood 攻击：最早出现在1996年.原理是:向目标发送大量TCP-SYN请求包,但该包的源IP地址根本不可用或者是假冒的,但目标要为其分配资源排入等待队列.但这样的包太多后,就耗尽了服务期的资源而瘫痪.解决方案是嵌入SYN淹没处理补丁模块来处理SYN请求包:收到请求后不分配缓存区,而是先验证源地址是否是真实的,验证方法是发送一个含随机数的验证包的客户端,只有客户端回复这个随机数后才进一步分配资源放入等待队列.Land攻击:精心制造的SYN数据包中的源IP和目的IP都被设置成某个服务器的

28、IP.这将导致收到这个数据包的服务器向自己发送SYN-ACK消息,结果有自己回复一个ACK而完成三次握手建立要TCP连接.且保持连接直到超时.ICMP/UDP Flood 攻击：用假地址向攻击服务器大量发送UDP/ICMP包而使服务器因为大量响应而超载。Ping of Death 攻击：发送含有超大异形ICMP请求包(大于64KB)，而使目标主机的核心缓冲区应为处理这种包而发生溢出。Smurf 攻击：假以受害主机的Ip地址作为Echo请求包的源地址（ip spoof ），将此信息广播，结果受害主机会收到大量来自其他地址的回答信息而使的该主机无法正常工作。UDPStorm攻击：攻击者在同一主机或

29、不同主机的两个UDP端口间生成无法中止的数据流，结果主机不能对其他用户提供服务。Syslogd攻击：利用了Solaris V2.5的syslogd的一个实现中的缺陷：syslogd收到信息后，会对源Ip地址执行DNS Lookup查找；当没有匹配有效的DNS记录时，服务会停止。Teardrop攻击：利用率Ip协议实现中重新装配ip分段时，若分段有重叠会导致系统崩溃。攻击者就故意发送两个或多个认为修改了偏移值的分段，接收端在重新装配这些异常的分段的Ip包时会导致主机重启或者停机。Mailbomb攻击：这是一个应用级的DoS攻击。攻击者会使SMTP服务队列溢出Apache2 攻击：攻击者发送含有H

30、TTP头内容的请求给 Apache Web Server，服务器会占用大量Cpu时间来来处理这些异常内容，最终会导致DoS另一种攻击分类：（网络安全体系结构 P47）攻击结果：信息泄露，信息损坏，拒绝服务，服务被盗，访问权增大弱点的类型：软件漏洞 硬件漏洞 配置漏洞 策略漏洞和使用漏洞 读取攻击：1.嗅探攻击（SNIFF）2.侦察攻击（RECON）：数据整理攻击 探测/扫描攻击 ，拨号式扫描/移动式描3.直接进入攻击 操丛攻击：网络操纵，应用程序操纵（缓冲区溢出攻击，WEB应用程序攻击） 欺骗攻击：MAC欺骗，IP欺骗，传输欺骗（UDP欺骗和TCP欺骗），身份欺骗和无赖设备攻击 泛红攻击：MA

31、C泛红攻击，TCP SYN泛红攻击（SYN充斥），网络泛洪攻击（SMURF ，DDoS），应用程序泛洪 重定向攻击：IP重定向 L2重定向攻击（ARP重定向 STP重定向 ） 传输重定向 混合攻击：中间人攻击 ROOTKIT 远程控制软件 病毒蠕虫与特洛伊木马第三种攻击分类( 计算机网络安全的理论与实践：王杰 高等教育） 监听 破译 盗窃登陆密码 身份盗窃和欺诈 抵赖 入侵 流量分析 服务阻断：SYN充斥 恶意软件第三章：1.原理：假定入侵活动显著地不同于正常活动因而可以检测.分类：（误用检测，异常检测，基于规范的检测）2.什么是误用检测？试述其模型和工作原理及优缺点误用检测的研究最初出现在A

32、nderson 1980年的报告:入侵检测是将审计又称为基跟踪中的实际行为记录与已知的可疑模式匹配.基于特征的入侵检测技术。它假设所有入侵行为和手段都能够表达为一种模式或特征，并对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或者攻击签名，通过系统当前状态与攻击模式或者攻击签名的匹配，判定入侵行为 优点:误检率低 缺点：1，对还没有获得特征的未知攻击和攻击的新形式是无效的 2、对已知的攻击,要定义包含各种可能的变形的攻击特征是困难的.定义特征中的任何错误都会导致误报率的上升.3.实现误用检测的主要技术有哪些？（四种：模式匹配,基于规则的专家系统技术,基于状态的技术和数据挖掘技术）4.

33、什么是异常检测？试述其模型和工作原理及优缺点异常检测方法是假设:正常用户可以表现可预测的,一致的系统使用模式.异常检测试图用定量的方式来描述常规或可接受的行为,而对超过规定阈值的则标记为现在的入侵行为.异常检测系统由四个功能部件组成:数据收集部件,正常系统轮廓,异常检测部件和响应部件.数据收集部件获取和保存用户行为或者网络数据,采用建模技术来创建正常系统轮廓.异常检测部件决定现在的活动偏离正常系统轮廓多远以及达到一定百分比后才标记为异常.响应部件报告入侵和可能相关的定时信息.优点:能发现新攻击(这是误用检测的最大限制)缺点:误报率高. 5.实现异常检测的方法有哪些？基于高级统计的模型;基于规则

34、的模型;基于生物的模型(如基于免疫系统的方法,基于遗传算法. 基于智能学习的模型(如基于神经网络方法,基于簇的算法); 基于规范的检测(Specification-based Detection)；混合检测法（Hybrid Detection)Ch4:数据收集1.入侵检测系统的可以从哪些地方收集数据？（主机，网络和应用）2.基于主机的可以从哪些方面收集数据？（系统日志,系统审计数据，网络包或数据流, 应用程序日志收集数据.）所收集到的数据要进行哪些预处理？采集所得数据需要进行预处理，包括数据集成，数据清理，数据变换，数据简化和融合3.基于网络的收集数据具有何优缺点？不存在数据异构性问题；不仅可

35、以分析数据包头,还可以数据包的内容 缺点：文和其真实的发出者之间没有办法验证,导致难以确定入侵者；当数据采取加密方式无法分析数据包的内容 4.如何实现网络数据的捕获？BPF模型原理捕获机制：在数据链路层增加一个旁路处理，对发送和接收到的数据包进行过滤或缓冲，再传送到应用程序。在内核态处理数据包，提高网络监控程序运行性能.组成：Network Tap+Packet Filter 。网络分接头从网络设备驱动程序处收集数据包 进行复制，并传递给正在捕获数据包的应用程序。过滤器决定决定是否接受数据包， 以及数据包的哪些部分复制给应用程序。缓存是为了提高效率。BPF工作过程：网卡驱动程序接受到一个数据包

36、后，将其提交给协议栈。如果有进程用BPF进行网络侦听，网卡驱动程序先调用BPF，复制一份数据给BPF的过滤器，过滤器根据用户定义的规则决定是否接收此数据包。再判断这个数据包是否发给本机（从目的MAC地址判断），如果不是发给本机，则网卡驱动程序从中断返回，继续接收数据；如果这个数据包是发给本机，驱动程序再把它提交给协议栈，然后返回。 BPF过滤方式：BPF 在过滤算法有很大进步，它使用无环控制流图（CFG control flow graph）,而不是老式的布尔表达式树（boolean expression tree）。布尔表达式树理解上比较直观，它的每一个叶子节点即是一个谓词判断，而非叶子节点

37、则为 AND 操作或 OR操作。BPF 使用的CFG 算法实际上是一种特殊的状态机，每一节点代表了一个谓词判断，而左右边分别对应了判断失败和成功后的跳转，跳转后又是谓词判断，这样反复操作，直到到达成功或失败的终点。CFG算法的优点在于把对数据包的分析信息直接建立在图中，从而不需要重复计算。直观的看，CFG 是一种"快速的、一直向前"的算法。Ch5:入侵分析1. 入侵分析:对用户与系统活动数据进行有效的组织整理并提取特征或者正常行为的轮廓,以鉴别(检测)出感兴趣的行为(攻击行为）2.分析方法有哪些（模式匹配(实时分析)统计分析(实时分析)完整性分析(事后分析)3.作用：检测入

38、侵行为 对入侵者形成威胁 发现安全漏洞与暴露 获取入侵证据 4. 统计分析法分为哪两类？并解释。（统计分析法又分为两类：阈值检测技术与基于行为模式的检测技术。）阈值检测技术：包括在一段时间里对特定事件的发生次数进行记录，当记录超出了预期的一个认为正常数值时，就认为发生了入侵。阈值检测技术可能产生大量的误报和漏报。 基于行为模式的异常检测技术的核心是对单个用户或相关的一组用户以往的行为特征进行描述(轮廓)，当发现明显的偏离时,认为发生入侵。行为模式包括一组数据，使用一组定量的尺度来描述用户的行为，这些尺度包括：计数器、标尺、间隔计时器、资源利用率等。5.构建分析器l 收集并生成事件信息,包括:u

39、 系统正常运行时产生的信息 u 实验环境下产生的信息 l 对信息进行预处理 u 将收集到的信息转换成通用的或规范的格式 u 结构化处理 u 构建行为分析引擎 按设计规则建立一个数据区分器,它能够区分入侵指示数据和非入侵指示数据 l 将事件数据输入引擎 保存已输入数据的模型6.什么是完整性分析？文件完整性分析如何实现？原理:通常入侵者在入侵时都会对一些文件或对象进行改动,采用完整性分析方法,可以发现入侵.l 完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性.完整性分析在发现被更改的、被安装木马的应用程序方面特别有效，但不利于实时响应,是事后检测.l 文件的完整性检验根据用户

40、定制的配置文件对需要校验的文件系统内容进行散列计算,将生成的散列值与文件完整性数据库中存储的预先计算好的文件内容的散列值进行比较.若不一致,说明文件被非法更改,并可判定为入侵. l 完整性校验：对主机A上的重要文件,私有文件,软件以及数据文件等建立完整性数据库,该数据库包括了各种属性和文件内容的散列值.主机B存储了主机A上的文件系统备份.检测时主机A首先与文件备份主机B认证,然后对A上的配置文件和预先生成的文件完整性数据库的内容分别进行散列值计算,将生成的散列值传输给B进行校验.如果该散列值不一致,则B将存储的配置文件和文件完整性数据库的备份加密传输给，进行文件恢复，然后再进行完整性验证。 C

41、h6:1、主要体系结构有哪些？画图说明的体系结构（集中式分层式分布式）集中式：所有监视,检测和响应都由中心控制台(中央检测服务器)完成分散式数据收集,集中式数据处理分层式：将监控区域分成若干监控区域,每个区域的IDS控制台收集本地传感器的报告,然后发送给上一级或者中心控制台。分区域监控,分层次上报分布式：将中心监控服务器的任务分配给各个基于主机或网络的IDS,这些IDS不分等级,各自运行。分布式信息收集,分布式处理 2. 基于主机的分布式IDS基于网络的IDS传感器部署位置什么叫入侵响应？何谓主动响应？主动响应的方案有哪些？响应类型： 被动报警与人工响应：记录并报告管理员检测到的入侵,由人工作

42、出响应。检测出入侵到人工作出响应有一段时间间隔，这个间隔可能使入侵导致严重后果。 主动响应：立即且自动地对攻击做出响应（如阻塞连接与中断进程等），进一步分为：反应式响应（Reaction response)和先发制人式响应(Proactive response)。反应式响应是当检测到攻击后触发而执行相应的动作。先发制人式响应是指为了阻止预期攻击而采取的一组先发制人的动作。其缺陷是对合法用户可能导致附带损害。 （反应式响应（Reaction response)和先发制人式响应(Proactive response)2、什么叫蜜罐系统？有何作用？l 定义：蜜罐系统，也就是诱骗系统，它是一个包含漏洞

43、的系统，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标（转移黑客的攻击目标）。由于蜜罐没有其它任务需要完成，所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。通过“诱捕” ，使真正的攻击目标受到了保护，同时为起诉恶意黑客搜集证据。 l 作用：转移攻击目标（真正目标得到保护），稳住黑客，收集信息（攻击来源，特征等） l 蜜罐系统上除了人为可被利用的漏洞外，还要伪造一些“有价值”的信息（鱼饵） l 早期的蜜罐系统是的单机蜜罐系统，现在则是构建完整的蜜罐网络（多个蜜罐主机部署）。Ch7:1、什么是报警关联？为何需要报警关联？报

44、警关联有何作用？原因：随着攻击攻击的分布化和复杂化,以往的入侵检测系统存在如下问题:误报漏报率高:单一误用检测及异常检测都存在高漏报与误报问题.冗余报警问题:同一攻击或者复杂的多步骤攻击会产生大量重复报警,使得安全管理员无法区分出哪些是重要的,哪些是重复的,因而无准确法响应. 低级报警问题:复杂的攻击是由多个攻击步骤完成的,但入侵检测系统会产生多次报警,且认为这些报警是孤立的.这样使得管理员或者响应系统无法识别攻击意图,也无法准确响应.报警关联通过识别和收集不同来源的报警，规范为统一的格式，通过数据融合等减少报警数量,并通过关联方法发现不同报警之间联系，重建攻击场景，产生综合报警。作用：关联报

45、警可以建立攻击图,也可用于协同入侵检测和跟踪攻击源.，对原始报警事件进行关联分析,可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图.1、关联报警由哪些部件组成？试述报警关联的过程关联报警由10个部件组成,包括数据标准化，预处理，报警融合，报警验证,线索重构，攻击会话重构,焦点识别,多步攻击关联，影响分析，优先级区分,见下图。 报警关联过程分为三个阶段：预处理，处理和后处理 u 预处理包括数据标准化，去处冗余并处理无报问题。 u 处理过程就是采用多种报警关联技术进行关联分析,重构攻击场景.u 后处理是一种关联报警的高层次分析,包括优化和意图识别.3.报警关联的技术有哪些？l  

46、; 报警虽然由IDSs独立产生，但彼此间有逻辑连接。这些相关联的报警可能代表从探测到损害与特权提升多阶段攻击，或者是一个大规模的协作攻击。 u 基于报警属性（特征）相似性的关联技术 u 基于已知场景的关联技术 u 基于攻击前提与后果的关联技术 Ch8:防火墙1、什么是防火墙？防火墙产品的发展经历了几代？l 最重要的安全设备，是保障网络安全的第一道防线。可以实现部分入侵检测的功能（采用误用入侵检测技术发现部分基于网络的入侵） 防火墙是设置在内部网络和外部网络之间，为了防范外来安全威胁而实施访问控制策略的一个或者一组系统的总称。 防火墙可以只用路由器来实现，也可以通过主机甚至子网来实现。

47、设置防火墙的目的是隔离内部网络和外部网络，通过限制外部网络访问来保护内部网络。 l 发展到第四代 第一代：包过滤型防火墙 第二代：代理网关 第三代：状态检测型防火墙 第四代：同时集成了包过滤，代理服务，入侵检测和病毒检测防治等等功能的防火墙 防火墙是指设置在被保护的网络(内部网)或与公共网络(如INTERNET)或其它网络之间,位于被保护网络的边界,对进出被保护网络的信息实施”通过/阻断/丢弃”的设备。 从逻辑上讲，防火墙既是一个分析器又是一个限制器，它要求所有进出内部网络的数据流都必须符合安全策略，并在逻辑上实现内外网络的分离，从而保证了内部网络的安全。 防火墙的特性： 所有从外部到内部，或

48、者内部到外部的通信流都需经过防火墙（防火墙就像有围墙的单位的大门警卫,而IDS就像单位内散布在各个监控点的检测报警系统） 只有通过安全策略允许的通信流才能通过防火墙(就像只有出示相关证件的人才能通过门卫进入单位,或者出示相关证明才能将单位物品带出大门)。这个安全策略一般是通过防火墙的访问控制列表（ACL）来定义,访问控制表定义了进出防火墙的通信流遵循的规则。 1、防火墙采用的技术主要有哪些？包过滤型防火墙,根据从网络层提取的特征，建立过滤规则 代理防火墙,根据代理工作的层分进一步分为:应用层代理防火墙/应用网关 回路层代理防火墙/电路网关 状态检测型防火墙 1. 什么叫代理防火墙？其工作原理和

49、作用是什么？可以分为几类？代理防火墙的特点:外部客户机与内部主机之间没有直接连接，必须通过它们之间的“代理”（又称网关）“间接”连接，即由两个代理模块分别代替双方来进行数据交换。 根据“代理”工作所在的协议层的不同，进一步分为应用层代理（应用网关）和传输层代理（电路网关）。 优点：代理防火墙对数据包的检测能力较强，可以对网络侧，传输层和应用层等多层协议进行分析，具备一定审计跟踪和报警功能。 缺点：一般通过软件实现，效率较差；配置复杂；不同的应用服务采用不同代理模块，伸缩性较差。 2. 什么叫状态检测性防火墙？其优缺点是什么？l 状态检测型防火墙,又称为动态包过滤防火墙 这类防火墙将静态包过滤中

50、各个孤立的IP包看成是有联系的数据流,采用状态检测方法，从网络层及传输层中提取相关的状态信息，将相关状态和状态之间的关联信息存储到动态连接表中，并在动态连接表中进行状态及上下文信息的存储和更新。在分析数据包的当前和历史状态的基础上，有效地判断出各层的非法入侵。 l 状态检测防火墙不仅分析网络层数据的信息,还会分析传输层中的有关与连接状态有关的信息,如TCP中的SYN/ACK,FIN等.对于无连接的协议UDP,状态检测防火墙会将UDP分组识为一个虚连接,当反向应答分组送达时,就认为一个虚连接已经建立.因此能够提供基于无连接协议（UDP）的应用（如DNS）及基于端口动态分配协议（如RPC）的应用（

51、如NFS、NIS等）的安全支持。 l 优点:高安全型,能够发现部分已知特征的网络攻击(如部分DoS); l 缺点:它允许外部客户和内部主机之间的直接连接，也不提供用户身份认证。 3. 什么叫双宿主机？有何作用？a) 不同的防火墙以及应用时在网络安装位置不同，会起到不同的保护作用与目的： 包过滤路由器 ，双宿主机网关，主机过滤，子网过滤，内联网防火墙 双宿主机：具有两个网络接口的通用计算机，配置上代理服务器软件，就是双宿主机。代理服务可以是应用级或者回路级网关。 4. 画图说明子网过滤防火墙和主机过滤防火墙的结构并加以说明过滤主机：具有两个网络结口的通用计算机，配置上代理服务器软件，就是双宿主机

52、。代理服务可以是应用级或者回路级网关。 *路由器R起到包过滤作，双宿主机可以起到屏蔽内网主机的作用子网过滤：由两个防火墙构成一个隔离区，非军事区（DMZ),又称中间区，往里就是军事区（内部网络区）。 在此区域可以防止应用网关主机，WEB服务器，邮件服务 *阻塞服务器只转发来自堡垒主机的数据流而禁止其他任 何数据流，保证内部安全 5. 什么叫？可以分为几类？l NAT(Network Address Translation)功能 NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用 NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全

53、性。 NAT 的另一个显而易见的用途是解决 IP 地址匮乏问题,通过NAT将私有地址(保留地址 ,,开始的块地址内)转化为合法的IP地址。 NAT有三种类型:静态NAT(Static NAT):为内部网络的每个主机被永久映射成外部网络的某个合法地址. 动态NAT(Pool NAT):为内部主机分配一个临时的外部IP地址.如远程拨号用户,每次连接后零时分配一个地址,断开后释放 网络地址端口转换(Port Address Translation) 将内部不同主机映射到外部一个IP地址的不同端口上.Ch9:6. 1，的规则是如何构成的？规则头

54、由哪些要素组成，并举例说明下图中，捕包程序完成从网络数据流中捕获数据包，然后传递给snort,该程序单独存在，且先于snort 安装，Unix和Windows采用不同程序。 l Snort是基于规则匹配的网络入侵检测器。在检测时，snort对规则文件中定义的规则进行解析，并在内存中建立规则树。检测时，每读入一个数据包，首先对数据包进行解码处理；然后将解码的数据包与规则树进行匹配，若找到相应的匹配规则，就触发该规则指定的报警或日志动作。定义与建立准确与完备的规则集(RuleSet)，是Snort有效检测出入侵的前提。 l 入侵检测规则的目的是描述入侵行为特征。规则由规则头和规则选项两部分组成。

55、l 规则头包含规则匹配时所触发的动作、所检测数据包的协议类型、源和目标地址与子网掩码（用CIDR表示）、端口号和、方向操作符；规则选项部分包含报警消息内容，特定标识位以及要检查的包数据内容部分是否含特定信息，目前有42个选项（详见SNORT使用手册），今后还可能进一步增加.l 规则选项中可能有一个或多个选项，不同选项之间使用“；”分隔开了，它们之间为“与”的关系。选项由关键字和参数组成，每个关键字和它的参数问使用冒号“：”分隔。 l 规则头的五要素：触发动作，协议，IP地址，端口号和方向 u 触发动作： Alert-使用选择的报警方式生成一个报警，然后记录这个包(Log)； Log -记录这个

56、包;u Pass -忽略这个包（不做任何处理让其通过）； u Activate -报警并激活另一条Dynamic规则； u Dynamic -保持空闲直到被另一条Activate 规则激活，被激活后就作 为一条Log规则执行； l 协议：数据包的协议有4种：TCP,UDP,ICMP和IPl IP地址：ip地址和子网掩码，子网掩码用CIDR表示，如/24表示C类地址，/16表示B类地址，/32表示特定单个地址等 如/24 代表55地址前还可以用非操作符“！”，例如： alert tcp !/24 any ->/24 111( content: ”|00 01 86 a5|”; msg: “external mountd access”;)对任何非子网的任何端口到本地网络111端口的TCP连接,数据部分 有”|00 01 86 a5|”（16进制）,就触发报警,报警信息为“external mountd access”以上例子是