入侵檢測(cè)技術(shù)

1、重要章節(jié)：3、4、5、6、7、9第一章入侵檢測(cè)概述1 .入侵檢測(cè)的概念：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。2 .傳統(tǒng)安全技術(shù)的局限性：（1）防火墻無(wú)法阻止內(nèi)部人員所做的攻擊（2）防火墻對(duì)信息流的控制缺乏靈活性（3）在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證。3 .入侵檢測(cè)系統(tǒng)的基本原理主要分為4個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。4 .入侵檢測(cè)的分類：（1）按照入侵檢測(cè)系統(tǒng)所采用的技術(shù)：誤用入侵檢測(cè)、異常入侵檢測(cè)和協(xié)議分析（2）按照數(shù)據(jù)來(lái)源可以分為：基于主機(jī)的ids、基于網(wǎng)絡(luò)的ids

2、、混合式ids、文件完整性檢查式ids第二章常見的入侵方法與手段1 .漏洞的具體表現(xiàn)：（1）存儲(chǔ)介質(zhì)的不安全（2）數(shù)據(jù)的可訪問(wèn)性（3）信息的聚生性（4） 保密的困難性（5）介質(zhì)的剩磁效應(yīng)（6）電磁的泄露性（7）通信網(wǎng)絡(luò)的脆弱性（8）軟件的 漏洞2 .攻擊的概念和分類：根據(jù)攻擊者是否直接改變網(wǎng)絡(luò)的服務(wù)，攻擊可以分為被動(dòng)攻擊和主動(dòng)攻擊。主動(dòng)攻擊會(huì)造成網(wǎng)絡(luò)系統(tǒng)狀態(tài)和服務(wù)的改變。被動(dòng)攻擊不直接改變網(wǎng)絡(luò)的狀態(tài)和服務(wù)。3 .攻擊的一般流程：（1）隱藏自己（2）踩點(diǎn)或預(yù)攻擊探測(cè)（3）采取攻擊行為（4）清除痕 跡第三章入侵檢測(cè)系統(tǒng)模型1 .入侵檢測(cè)系統(tǒng)模型的 3個(gè)模塊：信息收集模塊、信息分析魔力和報(bào)警與響應(yīng)模

3、塊2 .入侵檢測(cè)發(fā)展至今，先后出現(xiàn)了基于主機(jī)的和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，基于模式匹配、異常行為、協(xié)議分析等檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)。第四代入侵檢測(cè)系統(tǒng)是基于主機(jī)+網(wǎng)絡(luò)+安全管理+ 協(xié)議分析+模式匹配+異常統(tǒng)計(jì)的系統(tǒng)，它的優(yōu)點(diǎn)在于入侵檢測(cè)和多項(xiàng)技術(shù)協(xié)同工 作，建立全局的主動(dòng)保障體系，誤報(bào)率、漏報(bào)率較低，效率高，可管理性強(qiáng)，并實(shí)現(xiàn)了多級(jí) 的分布式監(jiān)測(cè)管理，基于網(wǎng)絡(luò)的和基于主機(jī)的入侵檢測(cè)與協(xié)議分析和模式匹配以及異常統(tǒng)計(jì) 相結(jié)合，取長(zhǎng)補(bǔ)短，可以進(jìn)行更有效的入侵檢測(cè)。3 .入侵檢測(cè)信息的來(lái)源一般來(lái)自以下的4個(gè)方面：（1）系統(tǒng)和網(wǎng)路日志文件（2）目錄和文件中不期望的改變（3）程序執(zhí)行中的不期望行為（4）物理

4、形式的入侵4 .在入侵檢測(cè)系統(tǒng)中，傳感器和事件分析器之間的通信分為兩層：ow層和ssl層。ow層負(fù)責(zé)使用ow造言將傳感器收集到的信息轉(zhuǎn)換成統(tǒng)一的 ow曲言字符串。ssl層使用ssl協(xié) 議進(jìn)行通信。5 .信息分析的技術(shù)手段：模式匹配、統(tǒng)計(jì)分析和完整性分析。6 .根據(jù)入侵檢測(cè)系統(tǒng)處理數(shù)據(jù)的方式，可以將入侵檢測(cè)系統(tǒng)分為分布式入侵檢測(cè)系統(tǒng)和集中式入侵檢測(cè)系統(tǒng)。分布式：在一些與受監(jiān)視組件相應(yīng)的位置對(duì)數(shù)據(jù)進(jìn)行分析的入侵檢測(cè)系統(tǒng)。集中式：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對(duì)數(shù)據(jù)進(jìn)行分析的入侵檢測(cè)系統(tǒng)。7 .分布式入侵檢測(cè)系統(tǒng)和集中式入侵檢測(cè)系統(tǒng)的特點(diǎn)比較如下：1.可靠性集e僅需運(yùn)行較少的組件分體式需要運(yùn)

5、行較多的組件2.容錯(cuò)性集e容易使系統(tǒng)從崩潰中恢復(fù)，但也容易被故障中斷一分體式由于分布特性，數(shù)據(jù)存儲(chǔ)時(shí)很難保持一致性和可恢復(fù)性3.增加額外的系 統(tǒng)開銷集中式：僅在分析組件中增加了一些開銷，那些被賦予了大量負(fù)載的主 機(jī)專門用作分析分布式：由于運(yùn)行的組件不大，主機(jī)上增加的開銷很小，但對(duì)大部分被 監(jiān)視的主機(jī)增加了額外的開銷4.可擴(kuò)充性集中式：入侵檢測(cè)系統(tǒng)的組件數(shù)量被限定，當(dāng)被監(jiān)視主機(jī)的數(shù)量增加時(shí)，需要更多的計(jì)算和存儲(chǔ)資源處埋新增的負(fù)載分布式：分布式系統(tǒng)可以通過(guò)增加組件的數(shù)量來(lái)監(jiān)視更多的主機(jī)，但擴(kuò) 容將會(huì)受到新增的組件之間需要相互通信的制約5.平緩地降低服 務(wù)等級(jí)集中式：如果有一個(gè)分析組件停止了工作，一

6、部分程序和主機(jī)就不再被 監(jiān)視，但整個(gè)入侵檢測(cè)系統(tǒng)仍可繼續(xù)工作分布式：如果一個(gè)分析組件停止了工作，整個(gè)入侵檢測(cè)系統(tǒng)就有可能停 止工作6.動(dòng)態(tài)的重新配 置集中式：使用很少的組件來(lái)分析所有的數(shù)據(jù)，如果重新配置它們需要重 新啟動(dòng)入侵檢測(cè)系統(tǒng)分布式：很容易進(jìn)行重新配置，不會(huì)影響剩余部分的性能8 .響應(yīng)包括（1）被動(dòng)響應(yīng)：系統(tǒng)僅僅簡(jiǎn)單地記錄和報(bào)告所檢測(cè)出的問(wèn)題（2）主動(dòng)響應(yīng)：系統(tǒng)（自動(dòng)地或與用戶配合）為組織或影響正在發(fā)生的攻擊進(jìn)程而采取的行動(dòng)。9 .“蜜罐”技術(shù)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（nids）相比較具有以下特點(diǎn)：（1）數(shù)據(jù)量?。?）減少誤報(bào)率（3）捕獲漏報(bào)（4）資源最小化（5）解密第四章誤用和異常檢測(cè)

7、系統(tǒng)1 .誤用入侵檢測(cè)技術(shù)的基本概念：誤用入侵檢測(cè)技術(shù)主要是通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，并從中找出符合預(yù)先定義規(guī)則的入侵行為。誤用入侵檢測(cè)系統(tǒng)假設(shè)入侵活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。誤用入侵檢測(cè)的關(guān)鍵在于特征信息庫(kù)的升級(jí)和特征的匹配搜索，需要不斷的更新特征庫(kù)。但是它的特征庫(kù)中只存儲(chǔ)了當(dāng)前已知的攻擊模式和系統(tǒng)的脆弱性，對(duì)新攻擊卻無(wú)能為力。誤用入侵檢測(cè)的難點(diǎn)在于如何設(shè)計(jì)模式，使其既表達(dá)入侵又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。2 .誤用入侵檢測(cè)的模型3 .誤用入侵檢測(cè)系統(tǒng)的基本工作模式如下：（1）從系統(tǒng)的不同環(huán)節(jié)收集信息（2）分析收集的信息，找出入侵

8、活動(dòng)的特征（3）對(duì)檢測(cè)到的入侵行為為自動(dòng)做出響應(yīng)（4）記錄并報(bào)告檢測(cè)結(jié)果4 .誤用入侵檢測(cè)系統(tǒng)的類型：（1）專家系統(tǒng)（2）模式推理模型（3）模式匹配系統(tǒng)（4）狀態(tài)轉(zhuǎn)換分析系統(tǒng)5 .誤用入侵檢測(cè)的缺陷：（1）由于很大一部分是利用了系統(tǒng)和應(yīng)用軟件的缺陷和系統(tǒng)配置錯(cuò)誤，所以誤用入侵檢測(cè)難以檢測(cè)出內(nèi)部用戶的入侵行為（2）只能檢測(cè)已知的攻擊，當(dāng)出現(xiàn)針對(duì)新漏洞的攻擊手段或針對(duì)漏洞的新攻擊方式時(shí)，需要由人工或者其他機(jī)械學(xué)習(xí)系統(tǒng)提取新攻擊的特征模式，添加到特征庫(kù)中，才能使系統(tǒng)具備檢測(cè)新的攻擊手段的能力。6 .當(dāng)前誤用入侵檢測(cè)系統(tǒng)的發(fā)展在技術(shù)方面的困難主要有：（1）攻擊特征的提取還沒有統(tǒng)一的標(biāo)準(zhǔn)，特征模式庫(kù)的提

9、取和更新還依賴于手工模式。（2）現(xiàn)有的多數(shù)商業(yè)入侵檢測(cè)系統(tǒng)只對(duì)已知的攻擊手段有效，而且誤報(bào)率和漏報(bào)率較高。當(dāng)前非技術(shù)方面挑戰(zhàn)主要有：（1）攻擊者不斷研究新的攻擊模式，同時(shí)碎著新的安全技術(shù)的普及，會(huì)有越來(lái)越多的人嘗試進(jìn)行入侵攻擊。（2）各種機(jī)構(gòu)對(duì)包括入侵檢測(cè)系統(tǒng)在內(nèi)的安全技術(shù)的認(rèn)識(shí)不足，或缺乏足夠熟練的安全管理員。7 .典型的威脅模型將威脅分為外部闖入、內(nèi)部滲透和不當(dāng)行為3種類型。8 .入侵活動(dòng)和異?；顒?dòng)相符合，存在4種可能性：（1）入侵而非異常（2）異常而非入侵（3）非入侵且非異常（4）入侵且異常9 .異常入侵檢測(cè)的方法：（1）基于統(tǒng)計(jì)分析的異常入侵檢測(cè)方法（2）基于模式預(yù)測(cè)的異常入侵檢測(cè)（3

10、）基于數(shù)據(jù)挖掘的異常入侵檢測(cè)（4）基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測(cè)（5）基于免疫系統(tǒng)的異常入侵檢測(cè)（6）基于特征選擇的異常入侵檢測(cè)（7）其他方法第五章模式串匹配與入侵檢測(cè)1 .模式串匹配算法按照其功能可分為3類：精確模式串匹配算法、 近似模式串匹配算法和正則表達(dá)式匹配算法。第六章基于主機(jī)的入侵檢測(cè)系統(tǒng)2 .基于主機(jī)的入侵檢測(cè)系統(tǒng)通過(guò)監(jiān)視與分析主機(jī)的審計(jì)日志檢測(cè)入侵。3 .windows日志分為3類：系統(tǒng)日志、應(yīng)用程序日志、安全日志。4 .以下8個(gè)方面的資源中提取了 18項(xiàng)入侵特征：（1）安全日志（2）系統(tǒng)日志（3）應(yīng)用程 序日志| （4）系統(tǒng)性能日志（5）網(wǎng)絡(luò)連接監(jiān)控（6）關(guān)鍵文件指紋變動(dòng)監(jiān)控（7）

11、 windows 注冊(cè)表監(jiān)控（8）系統(tǒng)進(jìn)程列表5 .基于主機(jī)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)：（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)分析“可能攻擊行為”非常有用（2）基于主機(jī)的入侵檢測(cè)系統(tǒng)的誤報(bào)率通常于基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（3）基于主機(jī)的入侵檢測(cè)系統(tǒng)可部署子啊那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的場(chǎng)合。第七章基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)1 .一塊網(wǎng)卡可能會(huì)有兩種最常用的用途（1）普通模式（2）混雜模式2 .基于代理的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)結(jié)構(gòu)：管理層、分析層、主體層、網(wǎng)絡(luò)層。3 .網(wǎng)絡(luò)層的作用是接收從網(wǎng)絡(luò)和系統(tǒng)主機(jī)傳輸?shù)奖緦臃诸惼鞯膶徲?jì)數(shù)據(jù)主體層是整個(gè)結(jié)構(gòu)的核心。分析層中包含一個(gè)分析模塊、一個(gè)控制模塊

12、和一個(gè)通信模塊。分析模塊對(duì)多個(gè)主題傳輸來(lái)的單獨(dú)懷疑值進(jìn)行分析，組合為一個(gè)整體的懷疑報(bào)告。管理層是系統(tǒng)的決策與響應(yīng)部分。第八章典型的入侵檢測(cè)技術(shù)1 .基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)； 基于遺傳算法的入侵檢測(cè)技術(shù)； 基于數(shù)據(jù)挖掘的入侵檢測(cè) 技術(shù)；基于數(shù)據(jù)融合的入侵檢測(cè)技術(shù)； 基于協(xié)議分析的入侵檢測(cè)技術(shù)； 基于入侵容忍的入侵 檢測(cè)技術(shù)。（自我發(fā)揮論述，主觀題）第九章基于主機(jī)的分布式入侵檢測(cè)技術(shù)2 .分布式入侵檢測(cè)系統(tǒng)的特征：（1）分布式部署（2）分布分析（3）安全產(chǎn)品聯(lián)動(dòng)（4）系統(tǒng)管理平臺(tái)（5）可伸縮性和擴(kuò)展性3 .一個(gè)完整的入侵檢測(cè)系統(tǒng)應(yīng)該包括如下模塊：（1）數(shù)據(jù)探測(cè)模塊（2）主體模塊（3）分析模塊（4）關(guān)聯(lián)和融合模塊（5）控制模塊（6）決策模塊（7）協(xié)調(diào)和互動(dòng)模塊（8）安全響 應(yīng)模塊（9）數(shù)據(jù)庫(kù)模塊（10）人機(jī)界面4 .基于主體的4層分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)模型中，自上而下依次是：數(shù)據(jù)采集層、主體層、分析層和管理層。5 .入侵檢測(cè)系統(tǒng)中的主體分為3類：（1）中心主體（2）分析主體（3）主機(jī)主體和網(wǎng)絡(luò)主體6 .知識(shí)查詢和操縱語(yǔ)言 （kqml具有一下三大屬性：（1） kqml蟲立于網(wǎng)絡(luò)傳輸協(xié)議 （2） kqml 獨(dú)立于內(nèi)容語(yǔ)言（3） kqml蟲立于內(nèi)