2022年入侵检测复习知识点归纳 .pdf

Ch1: 1. 入侵检测 :是指发现或检测（discover or detect ）网络系统和计算机系统中出现各种的入侵活动（intrusion activities, namely attack ） ，或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统: 用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。当 IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率（False positive rate）和漏报率（ False negative rate）衡量，这个是一个重要的评价指标。误报（ False positive）是当一个正常活动或者合法的网络流（包）触发IDS报警。漏报（ False negative）是一个恶意的活动或网络流（包）却没有触发IDS报警。3. 入侵检测系统常见的分类方法. 采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。4. 入侵检测系统主要组成部件和各部件的功能感应器（ Sensor）: 完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。分析器（Analyzer） ： 完成数据的分析， 并寻找入侵特征。 称为(基于）特征入侵检 （signature detection or signature-based ） ，也有文献称为误用检测（misuse detection ） 。或者通过一些统 计 指 标 判 断 行 为 是 否 异 常 ， 称 为 ( 基 于 ) 异 常 入 侵 检 测（ anomaly detection or anomaly-based ） 。最后做出判断是正常还是攻击。报警器（ Alarm） ： 若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动响应方式， 则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进程或用户。5. 入侵防御系统 (IPS): 能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发生，以免造成损失。6.IPS 出现的主要原因有哪些?IPS 的主要功能是什么? 7.IDS 与 IPS 主要区别有哪些?（cf ch12)（1）主要功能不同IDS入侵检测， IPS入侵防御精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 38 页 - - - - - - - - - - （2）工作模式不同IPS工作模式是inline mode ：Detection and Action（检测和动作） ，是主动防御。而IDS是 sniffer mode ：Detection，是被动侦听，而当发生入侵时，通知防火墙更新规则，同时TCP reset中断连接。（3）部署位置不同（基于网络的IDS和 IPS ） ： IDS部署在防火墙后，接入交换机的侦听端口上（将所有流经交换机的信息包复制一份给IDS） ，实时性差，只能间接通过防火墙采取行动。IPS部署在防火墙外， 所有实时流量都流经IPS ，实时处理， 可以直接采取行动（丢包，断连等） 。IDS IPS 防御方式Passive sniffer mode Active in-line mode 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 38 页 - - - - - - - - - - 防御动作通知防火墙更新规则，同时 TCP reset 中断连线丟弃恶意包中断连线防火墙（ Firewall ）不能完全替代IDS，防火墙像门卫（在大门入口处），一般通过过滤网络流量，允许或者阻止对系统和资源的访问，而IDS 一般是用来监视计算机系统和网络中的活动和事件，检测恶意活动的。IDS 就像是房屋的安防报警系统，有多个传感器，放在各个检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。Firewall vs IDS: 防火墙只能分析包的网络层和传输层，只能基于端口号和Ip 地址进行简单过滤；而IDS 可以分析到应用层， 不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用数据包中恶意内容（应用层）而产生的各种攻击。8、什么是入侵活动? 入侵活动主要分为哪几类? 发生入侵活动的原因有哪些? 又称为攻击（ Attacks） ，是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为， 是恶意的活动。 如中断系统服务， 未授权的访问网络和计算机系统（Unauthorized access） ，扩大特权（ Privilege escalation）或者侦察活动（ Reconnaissance）等。入侵者通常要利用网络或计算机系统的漏洞（Vulnerability ） ，如 TCP/IP网络协议软件的安全缺陷，路由软件的缺陷，以及操作系统和应用系统的Bug 等。同时，也存在因为配置不当（misconfiguration ）和没有及时打补丁（patch）而使应用与系统置于各种安全暴露（Exposure）中。第二章1. 攻击In computer and computer networks an attack is any attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset. US Commitee on National Security system Any kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy information system resources or the information itself. 攻击是针对计算机或者网络的，称为主机系统攻击和网络系统攻击。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 38 页 - - - - - - - - - - 2. Unauthorized access :Privilege Escalation 权限提升，可分为：user to super-user 普通用户利用系统漏洞获得Root 用户的访问权利: root break-in incident（突破 R权）Non-user to user 非用户获得普通用户权利，或者普通甲用户获得乙用户的权利: account break-in）3. Unauthorized use ：any attempt to destroy, expose, alter, disable, steal . 违背了信息安全的三原则CIA 4. 试述 Howard and Longstaff 关于攻击的分类. 其分类中，关于漏洞与暴漏的原因，可以归纳为哪几种情况？（设计与实现中的漏洞和使用中的不当配置）攻击手段攻击目标（具体，硬件，软件）漏洞与暴露的利用攻击的后果和影响1/Virus，Worms ，Trojans ，Buffer overflows， Denial of service(DoS) attacks，Network attacks，Physical attacks，Password attacks，Information gathering attacks，Routing attacks 4/Fist dimension attack payload (攻击本身的影响) 最终的影响（eventual effect）Corruption of information (对信息的改变或损毁 Alter Or Destroy) Disclosure of information（信息泄露）Theft of service （窃取服务：未授权使用服务但未对合法用户有任何影响）Subversion （获得对目标的部分控制并使用之）5. 什么是CVE(Common Vulnerabilities and Exposures)：)公共漏洞与暴露。这是信息安全漏洞名称的标准：为每个漏洞与暴露确定唯一的名称和一个标准化的描述，是已知的信息安全漏洞与暴露的词典。作用：这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞扫描评估等工具的覆盖率提供了基准参考点。6.KDD99 DATASET 将攻击分为几类？精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 38 页 - - - - - - - - - - 定义了39 种具体的攻击，这些攻击分为四大类： Probe( 探测工具有6 种) ,Denial of Service （10 种方法） ,U2R（普通用户非法而获得root 特权 ,8 种攻击方法） ，R2L（远程非本地帐户用户非法获得本地访问权，15 种方法）7. 何谓 OS Fingerprint技术？8. 扫描器的功能是什么？根据扫描的目的，可以将扫描器分为哪两类？（端口扫描器和漏洞扫描器）9. 什么是特权提升？10. 那些方法与途径可以实现特权提升？11. 试述网络攻击的一般过程（1）数据收集：侦探（搜索废物箱）（2）挖掘漏洞：扫描（通过各种软件工具）（3）实施攻击：窃取访问权（4）安装后门：维护访问（安装恶意软件，修改配置，获取Root 权完全控制该主机或网络设备，并为了防范其它黑客而答补丁）（5）清除日志掩盖痕迹1.Probes 探测 ( 漏洞扫描 ) Probes are usually attacks scanning computer networks and computer system to gather information or find known vulnerabilities ,which are exploited for future attacks.通过扫描网络与计算机系统来收集信息和发现已知的漏洞，以用于今后的攻击。探测通过扫描工具 (扫描器 ) 来完成 . 通过向远程主机的不同端口服务发送请求访问, 并记录目标的应答 , 来搜集目标主机的各种有用信息. 具体说来扫描器有三项功能: ?发现主机或者网络的状态; ?一旦发现主机处于运行状态, 可以进一步判断系统中那些服务正在运行; ?通过测试运行中的网络服务, 发现漏洞 . 依据扫描的目的可以分为: 端口扫描器和漏洞扫描器; 端口扫描器只单纯用来扫描目标系统开放的网络服务端口及与端口相关的信息. 漏洞扫描器检查目标主机中可能包含的已知漏洞. 主要扫描技术：TCP SCAN 和 UDP SCAN 技术：精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 38 页 - - - - - - - - - - TCP Connect scan 调用套接口连接到目标主机的端口上，完成一次TCP三次握手。TCP SYN scan向目标端口发送一个SYN 分组, 如果收到 SYN/ACK ，目标端口处于监听；如果收到 RST/ACK ，端口不在监听。没有一个完整的握手，目标主机不会记录。TCP FIN scan 向目标主机发送 FIN 分组，按 RFC793 ，当 FIN 分组到达一个关闭端口时，数据包被丢弃， 并且返回一个 RST分组。否则，只是简单丢弃而不回应RST分组。TCP Xmas Tree scan向目标发送 FIN URG PUSH 分组，目标主机当端口关闭时回应RST分组TCP Null scan 向目标主机发送一个关闭掉所有标志位的分组，目标回应RST分组。TCP ACK scan 用来侦测防火墙，判断其支持简单分组过滤还是支持基于状态的包过滤。UDP scan 向目标主机发送一个UDP 分组，如果目标端口关闭，返回”ICMP port unreachable ”否则，如果没有收到上述信息，可以判断端口开放。OS Fingerprint技术（操作系统指纹技术） ：漏洞是和操作系统和应用密切相关的， 辨识不同版本的操作系统与应用是探测扫描的一项重要功能。识别操作系统的指纹，可以通过下面的方法：?一些端口服务的提示信息（如137，138，139，445，80）?Tcp/ip 栈指纹 ( 测试远程主机的 TCP/IP 协议栈对不同请求的响应来探测系统) ?DNS 泄露出 OS系统主要的扫描工具有：精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 38 页 - - - - - - - - - - 端口扫描器IPSWeep and PortSweep 搜索哪些主机有哪些端口是打开的NMap Ip 地址和端口扫描防火墙扫描及提取操作系统指纹(OS Fingerprint)的开源免费软件 . 漏洞扫描器MScan 通过蛮力扫描整个域的Ip 地址来发现在运行的计算机并探测他们的漏洞SAINT 收集各种网络服务（如）的信息，也包括网络服务的不适当配置，已知的网络和操作系统的漏洞。Satan 是 SAINT的先前版本。ISS NESSUS 2 Privilege Escalation Attacks特权提升Attaining high privileges on a system allows attackers to perform far more dangerous actions( for example: install TROJAN code or create backdoors for future covert access). 利用系统或者应用程序的漏洞或者不适当配置，非法获得对在正常情况下受保护的资源的访问权。获得系统的高特权后可以让攻击者进行跟多危险动作如安装木马或者后门。已知的这种攻击又分为两类：Vertical privilege escalation Or user to super user (U2R) Horizontal privilege escalation or Non-use to User (N2U) 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 38 页 - - - - - - - - - - 下面是能够实现特权提升的方法：?Buffer Overflow Attacks 缓冲区是指一块内存区，对应的数据结构如数组或C语言中的指针。当一个程序或者进程试图存储超过缓冲区大小的数据时，就发生了缓冲区溢出。缓冲区数据溢出时，超出的数据会写入临近的其他缓冲区，这样就会覆盖掉其他的有效数据。如果是发生在指令堆栈区，缓冲区溢出攻击在在利用这个漏洞时，写入一段自己想执行的代码放在溢出区域，并修改函数的返回地址，使其指向自己的代码，通过执行这段程序而触发一个特定的动作如生成一个具有特权的操作界面（shell ） ，破坏文件，修改数据或者邪路敏感信息等。当然缓冲区溢出既使没有被攻击者利用，也可能因为覆盖掉其他缓冲区的内容而导致系统紊乱甚至奔溃，引起拒绝服务。避免这种攻击的方法是：建立足够大的缓冲区， 监视缓冲区的使用， 同时在写程序时要考虑缓冲区边界越界问题。Void func(char *str) char buffer16; strcpy(buffer,str) Void main() char large_string256; int i; for (i=0;i192.168.1.0/24 111( content: ” |00 01 86 a5| ” ; msg: “external mountd access”;)对任何非 192.16.1.0 子网的任何端口到本地网络111 端口的 TCP连接 ,数据部分有”|00 01 86 a5|”（16 进制） ,就触发报警 ,报警信息为 “external mountd access”以上例子是一个activate/dynamic 对，当上面检测到IMAP 缓冲区益处攻击时，触发下面的日志规则，且记录接下143 端口的 50 个数据包头（当activate 规则不起作用时， dynamic 也不起作用Snort 规则的制定根据：以端口号为特征以标志位或协议字段为特征（如flags:PA）以数据段的内容出现特定字符串为特征（如content:” ” ）举例： log tcp any any192.168.1.1/32 23 日志记录所有到192.168.1.1 的 23 号端口的数据包log icmp any any 192.168.1.0/24 any 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 29 页，共 38 页 - - - - - - - - - - 日志记录所有到192.168.1.0 的 24 号端口的数据包pass tcp any 80192.168.1.0/24 any 允许双上的HTTP数据通过alert tcp any any192.168.1.0/24 any(msg:” SYN-FIN scan!” ;flags:SF;) 发现有 SYN FIN 扫描就报警alert tcp any any192.168.1.0/24 80(msg:” PHF attempt” ;content:” /cgi-bin/phf” ;)发现 PHF攻击后就报警(检测特征是数据载荷中有字符串”/cgi -bin/phf ”)alert udp any any192.168.1.0/24 0(msg:” Traceroute” ;ttl:1:)发现到本地主机的ICMP包就报警alert tcp any any192.168.1.0/24 21(msg ” FTP root login” ;content:” USER root ” :) 发现远程 root 用户登录就报警Ch10: 1、什么是CIDF ? 它包含哪些内容? 通用入侵检测框架。为解决IDS之间的互操作和共存问题,1997 年 3 月由 DARPA开始制定CIDF. CIDF 是一套规范 ,它定义了IDS 表达检测信息的标准语言及IDS 组件之间的通信协议.符合CIDF规范的 IDS可以共享检测信息,相互通信与协同工作,还可以与其他系统配合实施统一的配置响应和恢复策略。CIDF文档由四个部分组成：体系结构：描述IDS的通用模型通信机制：描述各个组件之间的连接与通信的标准写规范语言：定义了一个用来描述各种检测信息的标准语言-入侵规范语言（CISL ）应用程序接口API ：提供了一套标准的应用程序接口2.什么是 Gido?它和 S-表达式的关系是什么?如何生成Gido? 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 30 页，共 38 页 - - - - - - - - - - IDS体系结构Gidos(Generalized intrusion detection objects): 四个部件之间交换数据的形式，即通用入侵检测对象事件发生器 :又成为探测器或传感器,从计算环境中收集事件(需要分析的数据成为事件),将其转换成Gido 格式传送给其他组件.事件分析器 :也称检测引擎 ,负责分析从其他组件收到的Gidos, 并将产生的分析结果传送给其他组件. 响应单元 :负责处理收到的,Gidos 并根据分析结果作出反应.如简单报警或者切断连接等事件数据库 :存储 Gidos,以备查询和使用. 通用入侵检测规范语言(CISL) CISL语言使用符号表达式（简称 S-表达式）， 类似于 LISP语言。关系 (S-表达式的编码与Gidos树型结构 ):在计算机内部处理CISL时,为了节省空间和提高运行效率必须 ,必对 ASCII形式的 S- 表达式进行编码,将其转换成二进制字节流,编码后的S-表达式就是 Gidos(Generalized intrusion detection objects). Gidos是 S-表达式的二进制形式,是 CIDF 各组件统一的信息表达格式,也是组件之间信息数据交换的统一形式. Gidos的生成分为两个步骤: 第一 ,表达 Gidos成树型结构 ; 第二 ,将此结构编码成字节流. Gido树型结构 :在构造树型结构时,SID被分成两组 :一组为动词SID,副词 SID, 角色 SID, 连接词 SID;一组为原子SID.这样就可以把一个完整的句子表达成一棵树了.最高层的是动词SID(树根 ),然后是角色SID,最底层是原子SID(叶子 ). 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 31 页，共 38 页 - - - - - - - - - - 编码规则 :对树的编码就是一个深度优先遍历和对各个节点依次编码.如果是复合句,现将简单句编码 ,让后按连接词将简单句连接. (V V (R1 R1 R2 (A1 data1) A1 A2 A3 (A2 data2) | | | ) data1 data2 data3 (R2 (A3 data3) . ) ) CIDF定义了和Gidos相关的编码 ,解码以及传输所使用的API(应用程序编程接口)：Gidos编码解码 API 消息层 API Gidos动态附加 API 签名 API 顶层 CIDF的 API CIDF的 API为是实现者和应用开发者提供了方便,每类 API均包含数据结构定义,调用函数定义和出错代码定义等. 4.CIDF定义的 3 种互操作类型（配置互操作，语法互操作和语义互操作）7、IDWG 由哪几部分组成?IDMEF的作用是什么 ?IDXP的作用是什么? 7.Internet 网络工程部IETF （Internet Engineering Task Force ）的入侵检测工作组（Internet Detection Working Group，简称 IDWG）负责进行入侵检测响应系统之间共享信息数据格式和交换信息方式的标准制订，制订了入侵检测信息交换格式（Intrusion Detection Message Exchange Format，缩写为IDMEF）和入侵检测交换协议(Intrusion Detection Exchange Protocol,IDXP) 。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 32 页，共 38 页 - - - - - - - - - - i.入侵检测消息交换格式ii.侵检测交换协议iii.隧道轮廓IDWG 先后提出了连个消息交换协议:入侵报警协议(Intrusion Alert Protocol,IAP) 和入侵检测交换协议 (Intrusion Detection eXchange Protocol,IDXP).IAP是 IDWG 提出的第一个通信协议,但其功能并不是很强大而且灵活性比较差,其安全性必须有TLS(Transport Layer Security)的支持,每对入侵检测实体之间只能有一个连接,不支持并发连接.为此 ,IDWG 又提出了一个新的通信协议 -入侵检测交换协议(IDXP),IDXP是基于 BEEP(Blocks Extensible Exchange Protocol)协议. 作用： IDXP 是一个用于入侵检测实体之间交换数据的应用层协议,能够实现IDMEF 消息 ,非结构文本和二进制数据之间的交换,并提供面向连接协议之上的双向认证,完整性和保密性等安全特征 . 使用 IDXP来交换数据一般要经过三个步骤:建立连接 ,传输数据和关闭连接. 6. 比较两种标准草案:IDWG 和 CIDF. IDWG 提出的草案很多工作是在CIDF的基础上展开的,是对 CIDF的继承和发展: 1.CIDF主要定义了一种语言,以及交换报警和反映信息的协议. 2.CIDF的 CISL语言 ,过于复杂 ,编程借助于API.IDWG 的草案则提出了面向对象的方法描述入侵检测 ,使得编程更加便捷. 3.检测器和分析器不一定能可靠理解CISL 表达的含义 ,而 IDWG 的草案使用文件类型定义(DTD)描述 XML文档 ,用严格的语法和语义对交换格式作出规范,表达不会产生歧义. 4.CIDF 框架在提出之初就开始讨论IDS 各部件之间的通信,但该框架没有在工业界得到广泛的认同 ,其中的通信协议也没有作为标准提出,后来的工作大部分由IDWG 承担 ,IDWG 的工作是在 CIDF基础上完善和发展. Ch11: 1.IDS的评估指标有哪些?精确性 (检测率 ,误报率 ,漏报率 ,检测可信度 )处理性能完备性或覆盖率及时性 (实时响应性 ) 入侵容错与抗攻击能力2、什么是 ROC曲线?其作用是什么 ? 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 33 页，共 38 页 - - - - - - - - - - ROC(Receiver Operating Characterstics 接收器操作特性)曲线以虚警率（假阳性率）为横轴，以检测率（真阳性率）为纵轴。同一算法在各种不同的阈值时，得到不同的虚警值和检测值，为别作为横纵座标，就会得到一条ROC 曲线。同时，若采用不同的算法(A,B 与 C)，就得到不同的ROC曲线了。(0,0) 表示检测系统的报警门限太高,根本无法检测出入侵活动(1,1) 表示检测系统的报警门限为0,将所有的活动都当成是入侵活动(0,1) 表示没有虚警的条件下,检测出所有的入侵活动 ,这是一个理想的情况. ROC曲线下方的区域越大，IDS的准确率越高。如右图所示，IDSB的准确性高于IDSC IDSA在所有的 IDS中具有最高的准确性。1.什么是误报 ?如何计算 ?什么是漏报 ? 如何计算 ? 漏报 (FN-假阴性 ):实际的数据是异常,但检测结果去是正常. 即检测系统对部分入侵活动不能识别. 误(虚)报(FP-假阳性 ):实际的数据是正常,但检测的结果却认为是异常. 即检测系统把正常行为作为异常行为进行报警. 误报率 (虚报率 ):所有的正常行为误当入侵的概率.FP/(TN+FP) 漏报率 :指所有的入侵中未报警的概率, FN/(TP+FN) IDS 分类 :本质上 ,IDS是一个数据分类器.当分类结果只有两种情况时(正确 True 和错误 False),实际会出现四种组合:TP ,TN,FP ,FN. 真报警 (TP-真阳性 ):实际的数据是异常的,检测的结果也是异常. 即检测系统的能识别出真实攻击. 正常 (TN-真阴性 ):实际的数据是正常的,检测的结果也是正常的. 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 34 页，共 38 页 - - - - - - - - - - 漏报 (FN-假阴性 ):实际的数据是异常,但检测结果去是正常. 即检测系统对部分入侵活动不能识别. 4.IDS的测试包含哪些内容?功能测试和性能测试的内容是什么? 功能测试性能测试可用性测试功能：攻击识别协议包头攻击能力分析：IDS能够识别与IP包头相关的攻击能力,如 LAND攻击重装攻击分析的能力：IDS能够重装多个IP包的分段并从中发现攻击能力如 Teardrop 和 Ping of Death 攻击数据载荷攻击能力：IDS能够发现数据载荷中的攻击特征的能力. 如 HTTP的 phf 攻击 (CGI程序攻击 ) 抗攻击性抗御拒绝服务攻击的能力对重复攻击的能识别且能抑制不比要的重复报警. 信息过滤一般要求 IDS的过滤器具有如下能力: 创建简单的字符规则使用工具创建复杂规则规则的修改或调整性能测试： IDS引擎的吞吐性：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。包的重装速度：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过 Ping of Death 攻击，IDS的入侵标签名库只有单一的Ping of Death 标签，这时来测试 IDS的响应情况。过滤效率 :测试的目标是评估IDS 在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址。5. 导致误用检测失效的原因有哪些?导致异常检测的失效的原因有哪些? 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 35 页，共 38 页 - - - - - - - - - - 系统活动记录未能为IDS提供足够的信息用来检测入侵；入侵签名数据库中没有某种入侵攻击签名；模式匹配算法不能从系统活动记录中识别出入侵签名。异常阈值定义不合适；用户轮廓模板不足以描述用户的行为；异常检测算法设计错误。Ch12: 1.什么是容侵 ?容侵的基本思想是什么? 2.IPS :是一种竭力阻止外界入侵网络，保护信息系统网络系统安全的一种安全措施。入侵防御泛指为阻止来自敌方的网络入侵，保护自己计算机网络与信息系统安全而采取的一切保护行动。防御分为主动防御和被动防御。被动防御是指消极等待的防御措施，而主动防御是指与网络攻击相配合，采取各种积极主动的防御措施，如检测，追踪，应急响应和灾难恢复等，从而了解敌方动向，以采取相应的措施。容侵 ,即容忍入侵技术,又称可生存技术,就是系统在攻击，故障和意外事故已发生的情况下，在限定时间内完成使命的能力。容侵的宗旨是如何在入侵发生的情况下，使系统能为合法的用户提供预期的有效的服务。容侵产生的原因是,任何入侵检测系统,都无法做到百分百精确,即总会产生漏报警.既然总有攻击躲过IDS进入到内部系统,不如将内部系统作成是在攻击下可生存的系统,即容侵系统 .容侵把系统受到入侵和攻击后的不正确行为,也当作一种系统故障. 利用 容错技术 ,来保证系统的正确执行. 这实质上 ,是着重于运行结果,而不纠缠于错误原因.容侵依赖于冗余技术和一些分布式系统的复杂协议.2. 试述容侵系统的五层结构. 防御 -诱骗 -检测 -容侵 -取证追踪防御检测容侵其中 防御 是各种传统的安全措施和产品,如防火墙 , 认证与访问控制与信息过滤等检测 是通过入侵检测系统(IDS)完成 ,IDS采用多 Agent技术 .关键服务驻留的每个服务器上都分布多个Agent ,以监视服务器的运行状态和其中关键数据的机密性,完整性和可用性. 容侵 :在入侵存在时系统的生存能力和提供连续服务的能力。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 36 页，共 38 页 - - - - - - - - - - 具体举例 :一个以容侵为中心的纵深防御结构模型其特点是 :“外层防御 +中间层的入侵检测与响应+内层的入侵容忍”3.什么是容错 ? 资源冗余有哪些方式? 容错： 故障是 意外或随即产生 （原因可能是硬软件在设计时的缺陷，或者是长时间使用导致部件老化），表现形式是结果显示的错误，通过采取资源冗余 ，故障屏蔽 ，重构 / 恢复 技术和故障安全 技术来实现。容侵：是攻击者利用漏洞故意有预谋地 攻击系统且表现形式有可能不是一种显示的错误（譬如信息泄露而非篡改） ， 通过采用融合了密码技术和容错技术的新方式来实现。资源冗余： 利用冗余的资源来克服故障影响的技术。资源冗余的方式包括：硬件冗余， 软件冗余，信息冗余和时间冗余。Ch13 : 试述四代网络安全技术的特点. （预防入侵，检测并响应入侵，容忍入侵和自恢复）安全失效的三道屏障是什么？（攻击预防，入侵防范和入侵容忍）精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 37 页，共 38 页 - - - - - - - - - - 文档编码：KDHSIBDSUFVBSUDHSIDHSIBF-SDSD587FCDCVDCJUH 欢迎下载 精美文档欢迎下载 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 38 页，共 38 页 - - - - - - - - - -