网络信息安全final

本文格式为Word版，下载可任意编辑——网络信息安全final网络信息安全复习大纲(2023版)

第一章：引言

计算机安全的定义，含通用名称

（通用）用于保护数据安全和防范黑客的工具集合的通用名称便是计算机安全

（定义）对某个自动化信息系统的保护措施，其目的在于实现信息系统资源的完整性、可用性以及机密性（包括硬件、软件、固件、信息/数据、电信）。

计算机收到的要挟：窃取/篡改/伪造/重传/否认

（1）窃取：用户A发送文件给用户B。这份文件包含需要防止被泄露的敏感信息（例如，工资记录）。没有被授权阅读这份文件的用户C能够监视该文件的整个传输过程并在传输过程中获得一份文件副本。

（2）篡改：网络管理员D需要在他的管理下发送一条消息给计算机E。这条消息指示计算机E更新一份包含一系列可以访问这台计算机的新用户属性的授权文件。用户F截取了这条消息并改变了其中的内容（如添加或删除一些条目），之后把修改后的消息发送给计算机E。后者接收这份消息并认为它来自网络管理员D，之后相应地更新授权文件。

（3）伪造：用户F直接编纂了一份自己的消息而不是截取消息，并且把编纂的消息以管理员D的名义发送给计算机E。计算机E接收了消息并且相应地更新授权文件。

（4）重传：某个雇员毫无征兆地被开除了。人事经理发送一条消息给系统服务器以注销该雇员的账户信息。当注销过程完成后，服务器会向该雇员的档案中发送一份通知以确认这个过程。被开除的雇员能够截取这条消息并且将该消息延长足够长的时间以便能够最终一次访问系统并取回敏感信息。之后，这份消息被送到服务器，服务器发送确认通知。可能在相当长的时间内，都不会有人觉察到这个被开除的雇员的行为。

（5）否认：把一份包含有若干交易进行指示的消息从一个客户发送到一个股票经纪人。后来投资失败，同时客户否认曾经发送过该消息。

计算机安全核心内容，CIA三元组+两概念三元组：?机密性：

数据机密性：保证私有的机密的信息不会被泄露给未经授权的个体。

隐私性：保证个人可以控制和影响与之相关的信息，这些信息有可能被收集、存储和泄露。?完整性：

数据完整性：保证只能由某种特定的、已授权的方式来更改信息和代码。

系统完整性：保证系统正常实现其预期功能，而不会被有意或偶然的非授权操作控制。?可用性：保证系统及时运转，其服务不会拒绝已授权的用户。

两概念：

①真实性：可以被验证和信任的属性，或对于传输、信息、信息发送者的信任。这意味着要验证使用者的身份以及系统每个输入信号是否来自可靠的信息源。

②可计量性；这个安全目标要求每个实体的行为可以被唯一地追踪到。它支持不可否认、威慑、错误隔离、入侵侦测和防范、恢复和合法行为。由于真正意义上的安全系统还不是一个可以实现的目标，我们必需能够追踪安全违规的责任方。系统必需记录自己的活动，使得

以后可以用于法庭分析、追踪安全违规或者处理交易纠纷。从需求和安全损失角度，分别给出了对这三个目标的描述

①机密性：维持施加在数据访问和泄露上的授权限制，包括保护个人隐私和私有信息的措施。机密性损失是指非授权的信息泄露。

②完整性：防范不当的信息修改和破坏，包括保护信息的认证与授权。完整性损失是指未经授权的信息修改和破坏。

③可用性：保证及时且可靠地获取和使用信息。可用性损失是指对信息或信息系统访问或使用的中断。

计算机安全的设计/管理者与攻击者之间的角逐，设计者困难之处和攻击者有利之处

计算机和网络安全本质上来说是企图发现漏洞的犯罪者与企图弥补这些漏洞的设计者和管理者之间的一场智力角逐。攻击者的有利之处在于他或她只要发现一个弱点就可以了，而设计者则必需发现和堵塞所有的弱点使其达到完全安全。

OSI安全体系结构：安全攻击，安全机制，安全服务。安全服务与安全机制之间的关系安全攻击：任何可能会危及机构的信息安全的行为。

安全机制：用来检测、防范安全攻击并从中恢复系统的机制。

安全服务：一种用来加强组织的数据处理系统安全性和信息传递安全性的服务。安全服务与安全机制的关系：这些服务是用来防范安全攻击的，它们利用了一种或多种安全机制来提供服务。服务对等实体认证数据源认证访问控制机密性流量机密性数据完整性不可抵赖性可用性

主动攻击与被动攻击的类型

被动攻击：本质是窃听或监视数据传输，两种形式是消息内容泄露攻击和流量分析攻击。主动攻击：假冒、重放、改写消息和拒绝服务。

两种特定的认证服务

对等实体认证：在联系中确认对等实体的身份。对等实体是在不同系统中应用同样协议的两个实体，例如，通信系统中的两个TCP模块。此种认证使用在连接的建立阶段或者数据传输阶段中。它提供对实体的确认以保证该实体没有假冒或者重放上次连接的非授权数据。

数据源认证：提供对数据单元来源的确认。但它不提供对数据单元复制或改写的保护。这种服务类型支持像电子邮件这样在通信双方之间事先未进行交互的应用程序。

加密YYYYY数字签名YYYYY访问控制数据完整性YYYY认证交换YY流量填充YY路由控制Y公正网络安全模型

其次章：对称密码和消息机密性

对称加密方案的组成：

明文，加密算法，机要密钥，密文，解密算法。

密码体制的分类：

?明文转换成密文的操作类型：替换-明文的每个元素都映射到另外一个元素；换位-明文

的元素都被再排列。

?使用密钥数：假使发送者和接收者使用同一密钥，就是对称、单钥、机要钥匙；假使发

送者和接收者使用不同的密钥，就是不对称、双钥或者说是公钥加密。

?明文处理方式：分组密码一次处理一个输入元素分组，产生一个相应的输出分组；流密

码在运行过程中连续的处理输入元素，每次产生一个输出元素。

如何破译密码系统：5种攻击类型需要已知的信息

试图找出明文或者密钥的工作被称为密码分析或者破译。攻击类型唯密文已知明文加密算法要解密的密文加密算法要解密的密文一个或多个用密钥产生的明文-密文对加密算法要解密的密文破译者选定的明文消息，以及使用密钥产生的对应密文加密算法要解密的密文破译者选定的密文，以及使用密钥产生对应的解密明文加密算法要解密的密文破译者选定的明文消息，以及使用密钥产生的对应密文破译者选定的密文，以及使用密钥产生对应的解密明文密码破译者已知的信息选择明文选择密文选择文本

安全加密的条件：

代价：破解密文的代价超出被加密信息的价值时间：破解密文需要的时间超出信息的有用时间

DES算法描述：明文长度：64比特；密钥长度：56比特；迭代数：16轮。

3DES加密原理：（加密最终换成k3，解密第一个换成k3）

使3DES可以解密原来单重DES加密的数据。

与DES比较：由于168比特的密钥长度，战胜DES对付穷举工具的不足；3DES的底层是DES，而DES除穷举攻击以外没有发现任何有效的基于此算法的攻击，所以3DES也是对密码破解十分有抗争力。基本缺陷是算法运行相对较慢，迭代轮数是DES三倍。

AES算法描述：明文长度：128比特；密钥长度：128，192或256比特；迭代数：10每一轮四个步骤，最终一轮只包含三个步骤是为了使密码可逆。

真随机数和伪随机数，不同之处

真随机数：真随机数发生器将一个有效的随机源作为输入端，这个源被称为熵源伪随机数：伪随机数生成器采用一个不变值作为输入端，这个不变的值称为种子

流密码，RC4：

RC4是密钥大小可变的流密码，使用面向字节的操作。基于随机交换的使用。分组密码的ECB模式：

明文一次被处理b比特，而且明文的每一个分组都使用同一个密钥加密。区别：

流密码与分组密码相比几乎总是更快，使用代码更少；分组密码的优点是可以重复利用密钥什么时候用流密码，什么时候用分组密码：

对于需要加密/解密数据流的应用，譬如在数据通信信道或者浏览器/网络链路上，流密码是更好的选择；对于处理数据分组的应用，譬如文件传递、电子邮件和数据库，分组密码更适合。

第三章：公钥密码和消息认证

用常规加密作为认证的好处害处(可逆)

非加密消息认证(MAC/HASH)一致与不同处(不可逆)

单向散列函数（HASH）是MAC（消息认证法）的一种替代方法，宛如MAC，散列函数接收变长的消息M作为输入，生成定长的消息摘要H(M)作为输出。与MAC不同的是，散列函数不需要密钥输入。为了认证消息，消息摘要随消息一起以可信的形式传送。

消息和摘要，与加密非加密组合：消息整个加密：常规加密的消息认证消息不加密摘要加密：消息认证码

消息不加密摘要也不加密：摘要的生产使用一种散列函数

用DES生成MAC方法：DES密文的最终16或32比特作为MAC

消息认证的三种方法(传统加密/公钥加密/机要值)

a使用传统加密：消息在散列函数的作用下产生一个散列值，对散列值进行传统加密后附加到消息上传送，解密时，把消息上附带的加密散列值解密得到散列值与消息产生的散列值比较假使不一样则消息被篡改为伪消息。

b使用公钥加密：过程与传统加密相像，只是在对散列值加密时采用了公钥加密方式。

c使用机要值：把机要值与消息连接，再经过散列函数产生一个散列值，把散列值附加到消息上传送，解密时，把机要值与消息连接块经过散列函数产生的散列值与接收的加密散列值解密后的散列值比较，若一样，则不是伪消息，否则是伪消息。

散列函数的性质(6个)

1.H可用于任意长度的数据块2.H能生成固定长度的输出

3.任意给定的x，计算H(x)相对简单，并且可用于软/硬件方式实现

4.对于任意给定值h,找到满足H（x）=h的x在计算上不可行。满足这一特性的散列函数称为具有单向性，或具有抗原像攻击性。

5.对于任意给定的数据块x,找到满足H（y）=H（x）的y≠x在计算上是不可行的。满足这一特性的散列函数被称为具有抗其次原像攻击性，有时也具有抗弱碰撞攻击性。

6.找到满足H（x）=H（y）的任意一对（x,y）在计算上是不可行的。满足这一特性的散列函数就称为抗碰撞性，有时也被称为抗强碰撞性。

SHA安全散列函数

SHA-1（加密散列码）的摘要/消息/块/字/步骤/大小摘要大小：160消息大小：?可度量的服务：监视和控制资源的使用，并告知供应商和用户，达到透明化

?按需自助服务：①消费者单方面自动获取计算能力，免去交互过程；②由于服务是按需

的，资源不是永久保存在IT基础设施上

?资源共享：提供多客户共享模型，根据客户需求动态分派资源

服务模型:

?软件即服务（SaaS:SoftasaService）:运行在云基础设施上的应用程序（如WEB浏览器）?平台即服务（PasS:PlatformaaService）:建立在云基础设施上的编程应用程序（数据库、

组件服务等）

?基础设施即服务（IaaS:InfrastractureaaService）：提供系统基础功能及运算资源，使用

户能够组建更高级的有适应能力的计算机系统

部署模型：

?公有云：对群众或大型行业组织公开可用?私有云：被一个组织独立操作

?社区云：有共同利益且共享基础设施的组织共同创立

?混合云：两个或两个以上的云用绑定在一起，实现数据和应用程序的可移植性

云安全受到的要挟：

?滥用和恶意使用云计算：轻松注册后，发送垃圾邮件、恶意代码攻击等?担忧全的API：设计防意外和逃避政策企图的安全接口?恶意的内部人员：规范合同、报告透明、内部管理?共享技术问题：加强监测改变或授权的活动

?数据丢失或泄露：数据保护、加密及认证完整性等

?账户或服务劫持：原理:证书被盗解决方法：双因素认证技术、屏蔽账户证书共享

?未知的风险：如：雇员非法部署程序和资源解决方法：部分公开信息和细节、监控和警

惕必要信息

第六章：传输层安全

Web安全需求，安全要挟

Web安全需求（P133自己总结的，和书上有点不一样）：①提高Web服务器抵御来自互联网攻击的能力②防止Web服务器遭到破坏③防止来自底层软件的安全攻击

④加强本地站点服务器的保护和验证机制

⑤向Web用户推广或培训防范安全风险的知识和工具

Web安全要挟（P134）：

①按主动攻击和被动攻击划分：

主动攻击：用户假冒、在客户和服务器的传输过程中替换消息、更改Web站点的信息。被动攻击：浏览器和服务器通信时窃听、获取Web站点上受限访问信息的访问权。②按地域分：Web服务器、浏览器、浏览器与服务器之间的网络通信。

SSL体系结构，工作层次，四个协议的各自功能作用SSL（安全套接字层）SSL作用（P135）：使用TCP提供一种可靠的端对端的安全服务

SSL体系结构：由两层协议组成：①SSL记录协议②SSL握手协议、SSL密码变更协议、SSL报警协议

SSL工作层次：TCP层之上

四个协议的功能作用（P136了解就好）：?SSL记录协议：机密性、消息完整性

?SSL密码变更协议：使挂起状态变为当前状态，用于更新此连接使用的密码套件?SSL警报协议：传递警报给对等实体

?SSL握手协议：允许客户端和服务器相互认证，协商加密和MAC算法，保护密钥通过

SSL记录传送。握手协议在任何应用数据被传输前使用。

HTTPS所加密的元素加密元素：

?要求文件的URL?文件的内容

?浏览器表单的内容（浏览器使用者填写）

?从浏览器发送到服务器和从服务器发送到浏览器的Cookie?HTTP报头的内容

除了HPPTS中IP地址不加密

SSH工作层次，三个通信协议组成工作层次（P151）：运行在TCP层之上

三个通信协议组成（P151具体：P151-159）：?传输层协议

?用户身份验证协议?连接协议

第七章：无线网络安全

无线网络与有线网络相比，只会要挟无限的因素

①信道：典型的无线网络包括广播通信，与有线网络相比，更易受监听和干扰的影响。特别当攻击者利用通信协议中的漏洞发动攻击时，无线网络更是不堪一击。

②移动性：无线设备，相较有线设备，更具有移动性和便捷性。移动性造成好多安全隐患。③资源：一些无线设备只有有限的空间和资源供我们抗争诸如拒绝服务和恶意软件的攻击。④易接近性：单独放置在遥远、敌方的环境中的无线设备更简单受到物理攻击。

无线安全措施：无线传输/无线接入点/无线网络，各自采取的安全措施无线安全措施：无线传输/无线接入点/无线网络，各自采取的安全措施

①无线传输：信息隐蔽技术：采取诸如取消广播服务、设置SSID，给SSID分派加密名称等隐蔽信息。

加密：对所有无线传输加密，前提是密钥是安全的。

②无线接入点：通过IEEE802.1x对基于端口的网络访问进行控制

③无线网络：使用加密手段：无线路由内部加密使用杀毒软件、反间谍软件和防火墙

关闭标识符广播：假使网络被配置成标识符广播模式，认证设备就会知道路由器身份，关闭这种功能可以防卫攻击者。

改变路由器标识符，不使用默认值改变路由器预设密码，不使用预设值只允许专用计算机访问

802.11i协议架构

①认证：一种定义了用户和认证服务器之间交换的协议，能够相互认证，并产生暂时密钥用于通过无线连接的用户和访问接入点之间。

②访问控制：该功能迫使认证功能的使用，合理安排信息，帮助密钥交换，能够在一系列的认证协议下工作。

③信号完整性加密：MAC层数据与信号完整性字段一起加密，以确保数据没有被篡改

WEP、WPA、WPA2安全技术WEP（有线等效保密协议）：40位或104位密钥，兼容旧版本的IEEE802.11操作WPA（Wi-Fi网络安全存取）：一系列的安全机制，能够消除大部分802.11安全问题，并且基于现行的802.11i标准。

WPA2（Wi-Fi联盟对采用IEEE802.11i安全加强功能的产品的认证计划。简单一点理解，WPA2是基于WPA的一种新的加密方式）

802.11i操作阶段：发现/认证/密钥/传输

①发现：访问接入点使用信标和探测响应信息来发布其IEEE802.11i安全策略。站点通过这些来确认希望进行通信的无线局域网访问接入点的身份。站点连接访问接入点，当信标和探测响应提供选择时，选择加密套件和认证机制。②认证：站点和认证服务器相互证明各自的身份。③密钥的产生及配送：访问接入点和站点执行几种操作之后产生加密密钥，并配送到访问接入点和站点。

④保密数据传输：数据帧在站点和终端站点之间通过访问接入点进行交换。⑤连接终止：访问接入点和站点交换数据帧。

第八章：电子邮件安全

PGP服务：签名/加密/压缩/兼容

签名：消息的散列码利用SHA-1产生，将此消息摘要和消息一起用发送方的私钥按DSS或RSA加密并附上消息本身。

加密：将消息用发送方生成的一次性会话密钥加密。用接收方公钥加密会话密钥。压缩：消息在传送或存储中用ZIP压缩

兼容：为对电子邮件应用程序提供透明性，一个加密信息可以用BASE-64转换为ASCII串

基-64转换作用，

将原始8比特二进制流转换为ASCII字符的功能

S/MIME与PGP应用场合至不同处

S/MIME适用于商业和团体使用的工业标准，PGP适用于个人邮件的安全MIME结构原理

MIME是多用途网际邮件扩展的英文缩写。老师说了解即可了解DKIM

DKIM是一种电子邮件信息密码签名规范，通过签名域对邮件流中的某个邮件负责。

第九章：IP安全

IPsec好处，功能，服务

IPSec提供了在LAN、专用和公用WAN以及互联网中安全通信的性能。用途如下：?通过互联网安全分支机构接入：?通过互联网进行安全远程访问：

?与合建立企业间网和企业内联网接入：?加强电子商务安全性：好处：

?当在路由器和防火墙中使用ipsec时，它对其边界的所有通信流提供了强安全性。公司

或则工作组内部的通信不会引起与安全相关的开销。

?防火墙内的ipsec能在所有的外部流量必需使用ip时阻止旁路，由于防火墙是从互联网

进入组织内部的唯一通道。

?ipsec位于传输层（TCP、UDP）之下，所以对所有的应用都是透明的。因此当防火墙或

则路由器使用ipsec时。没有必要对用户系统和服务器系统的软件做任何改变。即使终端系统中使用ipsec，上层软件和应用也不会受到影响。

?ipsec可以对终端用户是透明的。不需要对用户进行安全机制的培训，如分发基于每个

用户的密钥资料吗，或在用户离开组织时撤销密钥资料。

?若有必要，ipsec能给个人用户提供安全性，这对网外员工十分有用，它对在敏感的应

用领域中建一个安全虚拟子网络也是有用的。

功能：认证、机密性和密钥管理。

服务：

?访问控制?无连接完整性?数据源认证

?拒绝重放包（一种部分顺序完整的格式）?保密性（加密）?受限制的流量保密性

IPsec的AH、ESP、IKEAH（认证报头）：AH是一种用于提供消息认证的扩展头，由于消息认证是由ESP提供的，所以AH使用的是透明的。

ESP（封装安全在和）:ESP包含了一个封装的头和尾用来提供加密或则机密和认证的结合。IKE:（因特网密钥交换）：这是描述用于ipsec中的密钥交换方案的问答集合。

传输模式，隧道模式，各自的工作原理，两者的区别传输模式：主要为上层协议提供保护，也就是说，传输模式保护加强了对ip包载荷的保护，如对TCP段，UDP段或ICMP包的保护（这些均运行在主机协议栈的ip地址之上），一般的额传输模式用于在两个主机（如客户端和服务器、两个工作站）之间进行端对端的通信。隧道模式：隧道模式对整个ip包提供保护。隧道模式被使用在当SA的一段或则两端为安全网关时，譬如使用ipsec的防火墙和路由器。AH传输模式SA对ip载荷和报头的选中部分、ipv6的扩展报头进行认证对ip载荷和跟在ESP报头后面的任何扩展ipv6的报头进行认证对ip载荷和跟在ESP报头后面的任何扩展ipv6的报头进行认证。认证ip载荷但不认证ip报头隧道模式SA对整个内部ip包（内部报头和ip载荷）和外部ip报头的选中部分、外部ipv6的扩展报头进行认证加密整个内部ip包加密整个内部ip包。认证内部ip包ESP带认证的ESPAH与ESP的格式，两者一致/不同之处

ESP图中的下是指下一跳，

AH和ESP的最大区别有两个：一个是AH不提供加密服务，另一个是它们验证的范围不同，ESP不验证IP报头，而AH同时验证部分报头，所以需要结合使用AH和ESP才能保证IP报头的机密性和完整性。AH为IP报头提供尽可能多的验证保护，验证失败的包将被丢弃，不交给上层协议解密，这种操作模式可以减少拒绝服务攻击成功的机遇。

IP安全策略的组成：SA、SAD、SPD相互关系SA（安全关联）：安全关联是发送端和接收端之间用于对它们之间传递的数据流提供安全服务的一个单向规律连接。

一个安全关联由如下三个参数唯一地确定：?安全参数索引（SPI）：赋给此SA的一个仅在本地有意义的比特串。此SPI由AH和ESP

报头携带，使得接受系统能选择适合的SA（接收到的数据包将在此SA下处理）

?ip目的地址：目前仅允许使用单播地址，这是SA的目的端点地址，可以是终端用户系

统或则防火墙、路由器这样的网络系统。

?安全协议标识：它标识关联是一个AH安全关联还是一个ESP安全关联。SAD（安全关联数据库）：它定义了与每个SA相关联的参数。SPD（安全策略数据库）：ip流量与特定的SA相关联（不需要ipsec保护时没有SA）的方法在名义上是安全策略数据库（SPD）

第十章：恶意软件

病毒、蠕虫、木马的描述定义病毒：当执行时，向可执行代码传播自身副本的恶意代码；传播成功时，可执行程序被感染。当被感染代码执行时，病毒也执行。

蠕虫：可独立执行的计算机程序，并可以向网络中的其他主机传播自身副本。

木马：貌似有用的计算机程序，当也包含了能够规避安全机制的潜藏恶意功能，有事利用系统的合法授权引发特洛伊木马程序。病毒、蠕虫、木马的感染机制

病毒：病毒散布或传播的方法，能使病毒复制。这种机制也被称作感染载体。蠕虫：蠕虫挖掘用户或服务程序中的软件漏洞从而获得每个新系统的访问权限。木马：利用某些软件漏洞使得自身能够自动安装并执行，从而不再需要用户的辅助。

病毒、蠕虫、木马的结构不同之处病毒：是寄生的蠕虫：可自我复制的

木马：需要有两端，两部分，服务器端/客户端。黑客操纵客户端，被害电脑装服务器端木马组成：两部分，服务器端/客户端。黑客操纵客户端，被害电脑装服务器端

第十一章：

入侵者分为三类：

假冒用户：未授权使用计算机的个体，或潜入系统的访问控制来获得合法用户的账户。违法用户：系统的合法用户访问未授权的数据，程序，或者资源，或者授权者误用其权限。隐秘用户：通过某些方法夺取系统的管理控制权限，并使用这种控制权躲避审计机制和访问控制，或者取消审计集合的个体。

口令文件的保护方法：两种：单向函数，访问控制

单向函数：系统只保存一个基于用户口令的函数值。当用户输入口令的时候，系统计算该口令的函数值并且和系统内部存储的值相比较。实际应用中，系统寻常执行单向变换（不可逆），在这个变换中，口令被用于产生单向函数的密钥并产生固定长度的输出。访问控制：访问口令文件的权限仅授予一个或者十分有限的几个账户。

破译者获取口令的方法：8种方法

1.尝试标准账户使用的系统默认口令。大量管理员为了便利并没有更改这些默认值2.穷举尝试所有短口令（只包含一到三个字符的口令）

3.尝试系统在线字典中的词汇或者可能的口令列表。例如那些在黑客公告栏上很简单得

到的词汇

4.收集用户的相关信息，例如全名，配偶及子女的名字，办公室的图片以及与用户业余

爱好有关的书籍等

5.尝试用户的电话号码，社会保险号码以及门派号码等。6.尝试该州所有的合法牌照号码7.使用特洛伊木马绕开对访问的限制8.在远程用户和主机系统之间搭线窃听。

入侵检测的基本工具：审计

入侵检测的基本工具就是审计记录，对用户当前行为的记录可以用作入侵检测系统中的输入参量以检测攻击行为是否发生。有两种审计记录：

原始审计记录：事实上所用的多用户操作系统都包含了收集用户活动信息的账户统计软件。使用这些信息的优点是不需要额外的收集软件，缺点是原始审计记录并不包含所需要的信息或者包含的信息格式不便于直接应用。

面向检测的审计记录：这是一种收集工具，只生成入侵检测系统所需信息的审计记录。这种方法的一个优点是它采用第三方的审计记录收集机制，适用于多种类型的系统。其缺点是在于需要额外的处理开销，由于这种方法使得系统内部同时运行两种账户统计工具包。

统计异常检测，基于规则的入侵检测，两者的工作模式，区别，误报和漏报统计异常检测：包括在一定时间内与合法用户的行为相关的数据集合。然后使用统计学测试方法对观测到的用户行为进行测试，以便能够更加确定判断该行为是否是合法用户行为阈值检测：这个方法包括对各种事件的出现频率定义独立于个体用户的阈值。（详细：阈值检测包括在一定时间间隔内对某种特定类型事件出现的次数进行统计。假使统计结果超出了预先定义的阈值，则认为出现了入侵行为，阈值分析，从其自身看来，即使对于繁杂度一般的攻击行为来说也是一种效率低下的粗糙检测方案。阈值和时间间隔二者都必需是确定的。由于不同的访问用户之间行为变化很大，从而使得阈值检测可能产生较多的“误报警〞（阈值较低的时候）或者“漏报警〞（阈值较高的时候）。然而简单的阈值检测技术和其他繁杂

检测技术结合起来会有更好的结果。基于行为曲线：为每个用户建立行为曲线，之后可以用来检测个体账户的行为变化。（详情：基于用户行为曲线的异常检测的焦点是建立单个用户或者相关用户群的行为模型，然后检测当前用户模型与该模型是否有较大的偏离。行为曲线可能包含一组参数，因此仅仅单个参数发生偏离对其自身来说是不足以发出报警信号的。

基于规则的检测：包括尝试定义一套能够用于判断某种行为是否是入侵者行为的规则。异常检测：定义了一个规则集，用于检测当前行为模式和历史行为模式的偏离。（详情：从起采用的方法和所具有的能力来看，和统计异常检测很相像。在基于规则的方法中，对历史审计记录的分析被用来识别使用模式，并自动生成描述这些模式的规则集。这些规则代表了用户以前的行为方式，程序，权限，时间槽和访问终端等实体的历史行为模式，然后将当前行为和这些规则进行匹配，并且根据匹配状况来判断当前行为是否和某条规则所代表的行为一致）

渗透检测：建立一个用来探寻可疑行为的专用系统。（详情：是一种基于专家系统技术的检测方法，和之前提到的入侵检测技术有很大不同。这种方法的关键特征是它利用规则集识别已知的渗透模式和可能发生的对系统安全漏洞进行的渗透模式。它还可以定义规则集，使其能够识别可疑的行为—即使该行为并没有超出已建立的可用模式范围。寻常来说，这些系统所用的规则是机器和系统所特有的。获取这种规则最有效的方法是对网络上搜集到的攻击工具和记录进行分析。对有经验的安全人员提出的规则也是这种规则集的补充。对形成规则集的后一种状况，寻常的制定是采访系统管理员和安全分析员从而收集到一组已知的渗透场景和要挟目标系统的重要事件。

区别：简单而言，统计方法用来定义普通的或者期望的行为，而基于规则的方法则致力于定义正确的行为。根据之前列出的攻击类型，统计异常检测是检测假冒用户的有效手段，这是由于假冒用户不能完全正确地模仿合法用户的行为。另外，统计异常检测却不能用来有效检测违规用户。对于这种攻击来说，基于规则的检测方法则可以有效地检测出代表渗透攻击行为的时间或者动作序列。实际应用中，系统必需把两种异常检测方法结合起来，使其能更有效检测到更多类型的攻击

蜜罐原理，DMZ区设置

蜜罐：是一个诱骗系统，用来把潜在的攻击者从重要系统中引诱开（并不能防止攻击），其目的如下：

?转移攻击者对重要系统的访问?收集有关攻击者活动的信息

?勉励攻击者停留在系统中足够长时间以便管理员做出反应

DMZ区设置：外部网络可用服务，如wed，邮件，寻常称为DMZ（非军事区），是另一个可以防止蜜罐的候选地点（位置2）。加盐的原理和目的

原理：为了加载一个新的口令到系统中，用户选择或者被分派一个口令。口令跟固定长度的加盐值结合使用。在比较老的实现中，加盐值跟将口令分派给用户时的时间相关。较新的实现中，使用伪随机数或真随机数。口令和加盐值作为散列函数的输入，产生一个固定长度的散列码，散列算法被设计成慢速执行以便阻止攻击。然后将用户散列后的口令和加盐值的明文副本保存在口令文件中。

目的:

?防止在口令文件中的口令副本可见。即使两个用户选取了一致的口令，但由于这些口令

分派时间不同，他们经过salt扩展后的口令也将不同。

?极大增加了离线字典攻击的难度。对长度为b比特的加盐值，可能的口令熟练增加了

2^b，从而增加了在字典攻击中猜测口令的难度。

?找出一个用户是否在两个或多个系统上使用了同一口令变得不可能了。

防止暴力破解口令的技术：如，加盐，慢速散列算法等。（如上）口令选择策略：教育，计算机生成，后验，先验?用户教育

?由计算机生成口令（并不简单被用户接受）

?后验口令检验（大量消耗资源，在检查出易于猜测的口令之前，该口令一直存在，其脆

弱性给系统带来了很大的安全隐患）

?先验口令检验（目前最为认可的一种提高口令安全的方法）

第十二章：防火墙

防火墙设计目的，4种机制，局限性目的：

?所有入站和出站的网络流量都必需通过防火墙。?只有经过授权的网络流量才允许通过。?防火墙本身不能被攻破。机制：

?服务控制?方向控制?用户控制?行为控制局限性：

?防火墙不能阻止那些绕开防火墙的攻击?防火墙不能完全防止内部要挟

?一个安全性不当的无线局域网可能会受到来自该系统外的访问

?笔记本电脑，掌上电脑或者掌上存储设备可能会被使用中的网络外部利用，感染，然后

再被接入到内网和在内网中被使用。

包过滤防火墙原理，状态检测防火墙原理，堡垒主机概念包过滤防火墙原理：

对每个接收和发送的IP包应用一些规则，然后决定传递或者丢弃此包。防火墙一般会配置成双向过滤（来自内部网或从内部网发送出去）。过滤规则基于网络包中所包含的信息：?源IP地址?目的IP地址

?源端和目的端传输层地址?I