2022年入侵检测技术重点总结 .pdf
《2022年入侵检测技术重点总结 .pdf》由会员分享,可在线阅读,更多相关《2022年入侵检测技术重点总结 .pdf(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、学习好资料欢迎下载1.黑客: 早先对计算机的非授权访问称为“破解”,而 hacking(俗称“黑” )则指那些熟练使用计算机的高手对计算机技术的运用,这些计算机高手称为“黑客”。随着个人计算机及网络的出现, “黑客”变成一个贬义词,通常指那些非法侵入他人计算机的人。2.入侵检测 (intrusion detection ) :就是对入侵行为的发觉,它通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。3.入侵检测系统的六个作用: 1) 、通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生。2)
2、、检测其他安全措施未能阻止的攻击或安全违规行为。3) 、检测黑客在攻击前的探测行为,预先给管理员发出警报。4) 、报告计算机系统或网络中存在的安全威胁。5) 、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。6) 、在大型、 复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。4.tPtD+tRd的含义: tp:保护安全目标设置各种保护后的防护时间。tD:从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。tR:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。公式的含义: 防护时间大于检测时间加上响应时间,那么在入侵危害
3、安全目标之前就能检测到并及时采取防护措施。5.入侵检测原理的四个阶段:数据收集、数据处理,数据分析,响应处理。6.攻击产生的原因:信息系统的漏洞是产生攻击的根本原因。7.诱发入侵攻击的主要原因:信息系统本身的漏洞或脆弱性。8.漏洞的概念: 漏洞是在硬件、 软件、协议的具体实现或系统安全策略上存在的缺陷,它是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备, 包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的,一般是程序员编程时的疏忽或者考虑不周导致的。9.漏洞的具体表现:存储介质不安全,数据的可访问性,信息的
4、聚生性,保密的困难性,介质的剩磁效应,电磁的泄漏性,通信网络的脆弱性,软件的漏洞。10.漏洞 iongde分类(按被利用的方式) :物理接触、 主机模式、 客户机模式、 中间人模式。11.入侵检测系统的基本原理主要分四个阶段:数据收集、数据处理、数据分析、响应处理。12.常用的 5 种检测模型: 操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列分析模型。13.信息系统面临的三种威胁:非人为因素和自然力造成的数据丢失、设备失效、 线路阻断;人为但属于操作人员无意的失误造成的数据丢失;来自外部和内部人员的恶意攻击和入侵。14.攻击的四个步骤:攻击者都是先隐藏自己;再踩点或预攻击探测,检测目
5、标机器的各种属性和具备的被攻击条件,然后采取相应的攻击行为,达到自己的目的,最后攻击者会清除痕迹删除自己的行为日志。Ping扫描: ping 是一个 DOS命令,它的用途是检测网络的连通状况和分析网络速度。端口扫描: 端口扫描时一种用来查找网络主机开放端口的方法,正确的使用端口扫描,能够起到防止端口攻击的作用。操作系统识别扫描:黑客入侵过程的关键环节是操作系统的识别与扫描。漏洞扫描 :主要是查找操作系统或网络当中存在什么样的漏洞,并给出详细漏洞报告,引导用户到相关站点下载最新系统漏洞补贴程序,确保系统永远处在最安全的状态下,以减少被攻击的可能性。精品资料 - - - 欢迎下载 - - - -
6、- - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页,共 6 页 - - - - - - - - - - 学习好资料欢迎下载1.欺骗攻击的类型:IP、ARP 、DNS、源路由、 URL 2.拒绝服务攻击: 攻击者想办法让目标主机停止提供服务或资源访问,它是黑客常用的攻击手段之一。3.拒绝服务攻击的原理:SYN 洪流攻击, IP 欺骗拒绝服务攻击,UDP 洪流攻击, ping 洪流攻击,泪滴攻击,Land 攻击, Smurf 攻击, Fraggle 攻击。4.数据库攻击: 危害最大的属于SQL 注入式攻击。源于英文:SQL Injection Atta
7、ck, 就其本质而言, SQL 注入式攻击利用的工具是SQL 的语法,针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据,往应用程序中插入一些SQL 语句时, SQL 注入式攻击就发生了。5.木马攻击: 特洛伊木马本质上只是一种远程管理工具,而且本身不带伤害性,也没有感染力,所以原则上不能成为病毒。特洛伊木马之所以被视为病毒是因为如果有人不正当的使用, 其破坏力可以比病毒更强。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 “冰河”的开放端口是7626. 6.入侵检测系统模型分为3 个模块 :信息收集模块、信息分析模块、报警与相应模块7.入侵检测利用的信息来源:系统和
8、网络日志文件;目录和文件中不期望的改变;程序执行中的不期望行为;物理形式的入侵。8.信息分析的四种方法:模式匹配;统计分析;完整性分析;数据流分析。9.蜜罐技术: 蜜罐是一个安全程序,设计用来观测入侵者如何探测并最终入侵系统,其中包含一些并不威胁公司机密的数据或应用程序,同时对于入侵者来说又具有很大诱惑力,它安装在网络上的一台专用的计算机上,同时通过一些特殊配置,使该计算机看起来像是一个“有价值”的目标,以引诱潜在的入侵者并捕获他们。10.蜜网技术: 蜜网是一种专门设计用来让人攻击的网络,一旦被入侵者所攻破,入侵者的一切信息、 工具等都将被用来分析和学习,其想法和蜜罐相似,但两者之间还是有些不
9、同。11.误用入侵检测的思想是:如果所有的入侵行为和手段(及其变种) 都能够表达为一种模式或特征, 那么所有已知的入侵方法就可以用匹配的方法来发现。其难点 在于如何设计模式,使其既表达入侵又不会将正常的活动包含起来。12.误用入侵检测系统的类型:专家系统, 模型推理系统, 模式匹配系统, 状态转换分析系统。13.异常入侵检测: 是与误用入侵检测技术相对应的另一种入侵检测技术。基于异常入侵检测技术的入侵检测系统首先总结正常操作应该具有的特征,如CPU 利用率、缓存剩余空间、 用户使用计算机的习惯等,在后续的检测过程中对操作进行监视,一旦发现偏离正常统计学意义上的操作模式,进行报警。14.典型的
10、3 种威胁模型 :外部入侵、内部渗透、不当行为15.异常入侵检测方法:统计分析、 模式预测、 数据挖掘、 神经网络、 免疫系统、 特征选择、贝叶斯推理、贝叶斯网络、贝叶斯聚类等9 种方法。16.当前模式匹配问题属于串处理(string processing) 和模式组合匹配 (combinatorial pattern matching)精确模式串匹配算法检测符号序列的方式主要分为3 种模式: 前缀模式、 后缀模式、 结合模式。前缀匹配模式KMP(Knuth-Morris-Pratt) 。后缀模式主要算法:单串匹配的Boyer-Moore 算法和多串匹配的Commentz-Walter 算法、
11、 Wu-Manber 算法。结合模式: BDM(Backward DAWG Matching ) 、BOM(Bachward Oracle Matching) 、SBDM(Set Backward DAWG Matching)、SBOM(Set Backward Oracle Matching) 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页,共 6 页 - - - - - - - - - - 学习好资料欢迎下载1.近似模式串匹配算法求解的四种途径:动态规划法、基于自动机的方法、位并行方法、过滤筛
12、选法。2.注意: 从理论上讲,复杂度低的算法的实现性能可能会低于复杂度高的算法。3.串匹配算法的四种改进方法:基于自动机算法的改进、基于跳跃算法的改进、基于数值型算法的改进、基于编码算法的改进。4.基于主机的入侵检测系统如何检测入侵?通过监视和分析主机的审计日志检测入侵,审计和日志功能对于系统来说是非常重要的,可以把感兴趣的造作都记录下来,供分析和检查。 日志是使系统顺利运行的重要保障。标准的日志功能不能自动过滤和检查日志记录,并提供系统管理员所需要的信息。5.Windows NT 的日志文件分为3 类:系统日志、应用程序日志、安全日志。6.在 Windows XP 操作系统里有 Ineter
13、net 连接防火墙( ICF ) ,它的日志文件分为 2 类:ICF审核通过的 IP数据包, ICF抛弃的 IP 数据包。7.Windows XP 日志文件存放在 C:/WINDOWS目录下, 均以.log为文件的扩展名,其中最重要的一个文件名就是pfirewall.log. 8.UNIT 采用 Syslog工具实现日志功能。9.入侵特征预处理: 系统收集到的原始数据非常庞大,包含许多无用的信息,格式也各不相同,无法直接输入入侵检测系统。可以采用如Perl脚本等格式化原始数据,并进一步将其归一化为服从均值为0、标准差为 1 的实数,形成一个 18 维的样本矢量,作为入侵检测的输入。根据目的不同
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年入侵检测技术重点总结 2022 入侵 检测 技术 重点 总结
限制150内