2022年入侵检测技术重点总结.docx

《2022年入侵检测技术重点总结.docx》由会员分享，可在线阅读，更多相关《2022年入侵检测技术重点总结.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学习好资料欢迎下载1. 黑客： 早先对运算机的非授权拜访称为“破解” ,而 hacking 俗称“黑” 就指那些娴熟使用运算机的高手对运算机技术的运用,这些运算机高手称为“黑客” ；随着个人运算机及网络的显现, “黑客”变成一个贬义词,通常指那些非法侵入他人运算机的人；2. 入侵检测 （ intrusion detection ）：就是对入侵行为的发觉,它通过从运算机网络或运算机系统中的如干关键点收集信息,并对其进行分析, 从中发觉网络或者系统中是否有违反安全策略的行为和被攻击的迹象；3. 入侵检测系统的六个作用：1）、通过检测和记录网络中的安全违规行为,惩处网络犯罪,防止网络入侵大事的发生；

2、 2）、检测其他安全措施未能阻挡的攻击或安全违规行为；3）、检测黑客在攻击前的探测行为,预先给治理员发出警报；4）、报告运算机系统或网络中 存在的安全威逼；5）、供应有关攻击的信息,帮忙治理员诊断网络中存在的安全弱点,利于其进行修补； 6）、在大型、 复杂的运算机网络中布置入侵检测系统,可以显著提高网络安全治理的质量；4. tPtD+tRd 的含义： t p:爱护安全目标设置各种爱护后的防护时间；t D:从入侵者开头发动入侵开头,系统能够检测到入侵行为所花费的时间；tR：从发觉入侵行为开头,系统能够做出足够的响应, 将系统调整到正常状态的时间；公式的含义： 防护时间大于检测时间加上响应时间,那

3、么在入侵危害安全目标之前就能检测到并准时实行防护措施；5. 入侵检测原理的四个阶段： 数据收集、数据处理,数据分析,响应处理；6. 攻击产生的缘由： 信息系统的漏洞是产生攻击的根本缘由；7. 诱发入侵攻击的主要缘由：信息系统本身的漏洞或脆弱性；8. 漏洞的概念： 漏洞是在硬件、 软件、协议的具体实现或系统安全策略上存在的缺陷,它是可以使攻击者能够在未授权的情形下拜访或破坏系统；漏洞会影响到很大范畴内的软 件及硬件设备, 包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等；漏洞是与时间紧密相关的,一般是程序员编程时的疏忽或者考虑不周导致的；9. 漏洞的具体表现： 储备介质

4、担心全,数据的可拜访性,信息的聚生性,保密的困难性, 介质的剩磁效应,电磁的泄漏性,通信网络的脆弱性,软件的漏洞；10. 漏洞 iongde 分类（按被利用的方式） ：物理接触、 主机模式、 客户机模式、 中间人模式；11. 入侵检测系统的基本原理主要分四个阶段：数据收集、数据处理、数据分析、响应处理；12. 常用的 5 种检测模型： 操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列分析模型；13. 信息系统面临的三种威逼： 非人为因素和自然力造成的数据丢失、设备失效、 线路阻断； 人为但属于操作人员无意的失误造成的数据丢失；来自外部和内部人员的恶意攻击和入侵；14. 攻击的四个步骤：

5、 攻击者都是先隐匿自己； 再踩点或预攻击探测, 检测目标机器的各种属性和具备的被攻击条件,然后实行相应的攻击行为,达到自己的目的, 最终攻击者会清除痕迹删除自己的行为日志；Ping 扫描： ping 是一个 DOS命令,它的用途是检测网络的连通状况和分析网络速度；端口扫描： 端口扫描时一种用来查找网络主机开放端口的方法, 正确的使用端口扫描, 能够起到防止端口攻击的作用；操作系统识别扫描： 黑客入侵过程的关键环节是操作系统的识别与扫描；漏洞扫描 ：主要是查找操作系统或网络当中存在什么样的漏洞, 并给出具体漏洞报告, 引导用户到相关站点下载最新系统漏洞补贴程序, 确保系统永久处在最安全的状态下,

6、 以削减被攻击的可能性；1. 欺诈攻击的类型： IP、ARP、DNS、源路由、 URL2. 拒绝服务攻击： 攻击者想方法让目标主机停止供应服务或资源拜访,它是黑客常用的攻击手段之一；3. 拒绝服务攻击的原理：SYN 洪流攻击, IP 欺诈拒绝服务攻击, UDP 洪流攻击, ping 洪流攻击,泪滴攻击, Land 攻击, Smurf 攻击, Fraggle 攻击；4. 数据库攻击： 危害最大的属于 SQL 注入式攻击；源于英文：SQL InjectionAttack, 就其本质而言, SQL 注入式攻击利用的工具是SQL 的语法,针对的是应用程序开发者编程过程中的漏洞；当攻击者能够操作数据,往

7、应用程序中插入一些SQL 语句时, SQL 注入式攻击就发生了；5. 木马攻击： 特洛伊木马本质上只是一种远程治理工具,而且本身不带损害性, 也没有感染力, 所以原就上不能成为病毒； 特洛伊木马之所以被视为病毒是由于假如有人不正值的使用, 其破坏力可以比病毒更强；木马是一种基于远程掌握的黑客工具,具有隐匿性和非授权性的特点； “冰河”的开放端口是7626.6. 入侵检测系统模型分为3 个模块 ：信息收集模块、信息分析模块、报警与相应模块7. 入侵检测利用的信息来源：系统和网络日志文件； 目录和文件中不期望的转变；程序执行中的不期望行为；物理形式的入侵；8. 信息分析的四种方法：模式匹配；统计分

8、析；完整性分析；数据流分析；9. 蜜罐技术： 蜜罐是一个安全程序, 设计用来观测入侵者如何探测并最终入侵系统,其中包含一些并不威逼公司秘密的数据或应用程序,同时对于入侵者来说又具有很大诱惑力,它安装在网络上的一台专用的运算机上,同时通过一些特别配置,使该运算机看起来像是一个“有价值”的目标,以引诱潜在的入侵者并捕捉他们；10. 蜜网技术： 蜜网是一种特地设计用来让人攻击的网络,一旦被入侵者所攻破, 入侵者的一切信息、 工具等都将被用来分析和学习,其想法和蜜罐相像, 但两者之间仍是有些不同；11. 误用入侵检测的思想是： 假如全部的入侵行为和手段（及其变种） 都能够表达为一种模式或特点, 那么全

9、部已知的入侵方法就可以用匹配的方法来发觉；其难点 在于如何设计模式,使其既表达入侵又不会将正常的活动包含起来；12. 误用入侵检测系统的类型：专家系统, 模型推理系统, 模式匹配系统, 状态转换分析系统；13. 反常入侵检测： 是与误用入侵检测技术相对应的另一种入侵检测技术； 基于反常入侵检测技术的入侵检测系统第一总结正常操作应当具有的特点,如 CPU 利用率、缓存剩余空间、 用户使用运算机的习惯等, 在后续的检测过程中对操作进行监视, 一旦发觉偏离正常统计学意义上的操作模式,进行报警；14. 典型的 3 种威逼模型 ：外部入侵、内部渗透、不当行为15. 反常入侵检测方法： 统计分析、 模式猜

10、测、 数据挖掘、 神经网络、 免疫系统、 特点挑选、贝叶斯推理、贝叶斯网络、贝叶斯聚类等 9 种方法；16. 当前模式匹配问题 属于串处理（ string processing ）和模式组合匹配 （ combinatorial pattern matching ）精确模式串匹配算法检测符号序列的方式主要分为3 种模式： 前缀模式、 后缀模式、 结合模式；前缀匹配模式 KMPKnuth-Morris-Pratt ；后缀模式主要算法：单串匹配的Boyer-Moore 算法和多串匹配的Commentz-Walter 算法、 Wu-Manber 算法；结合模式： BDM（ Backward DAWG

11、Matching ）、BOMBachward Oracle Matching 、SBDMSet Backward DAWG Matching、SBOMSet Backward Oracle Matching1. 近似模式串匹配算法求解的四种途径：动态规划法、基于自动机的方法、位并行方法、过滤挑选法；2. 留意： 从理论上讲,复杂度低的算法的实现性能可能会低于复杂度高的算法；3. 串匹配算法的四种改进方法：基于自动机算法的改进、基于跳动算法的改进、 基于数值型算法的改进、基于编码算法的改进；4. 基于主机的入侵检测系统如何检测入侵？通过监视和分析主机的审计日志检测入侵,审计和日志功能对于系统来说

12、是特别重要的,可以把感爱好的造作都记录下来,供分析和检查； 日志是使系统顺当运行的重要保证；标准的日志功能不能自动过滤和检查日志 记录,并供应系统治理员所需要的信息；5. Windows NT 的日志文件分为 3 类： 系统日志、应用程序日志、安全日志；6. 在 Windows XP 操作系统里有 Ineternet 连接防火墙（ ICF）,它的日志文件分为 2 类： ICF审核通过的 IP数据包, ICF抛弃的 IP 数据包；7. Windows XP日志文件存放在 C:/WINDOWS目录下,均以.log 为文件的扩展名, 其中最重要的一个文件名就是 pfirewall.log.8. UN

13、IT 采纳 Syslog 工具实现日志功能；9. 入侵特点预处理： 系统收集到的原始数据特别巨大,包含很多无用的信息, 格式也各不相同,无法直接输入入侵检测系统；可以采纳如Perl 脚本等格式化原始数据,并进一步将其归一化为听从均值为0、标准差为 1 的实数,形成一个 18 维的样本矢量,作为入侵检测的输入；依据目的不同,这些样本数据可分为训练样本、校验样本、测试样本3 种,其中训练样本和校验样本是用于确定正确模式分类器,测试样本是在工作状态下的待检测数据；10. 基于主机的入侵系统的优点： 基于主机的入侵系统对分析“可能性的攻击行为”特别有用；误报率通常低于基于网络的入侵检测系统,这是由于检

14、测在主机上运行的命令序列比检测网络数据流更简洁,系统的复杂性也降低的 多；可部署在那些不需要广泛的入侵检测、传感器和掌握台之间的通信宽带不足的场合；11. 基于主机的入侵系统的缺点： 需要安装在被爱护的主机上它依靠于服务器固定有的日志与监控才能全面部署代价比较高只监控本主机,根本不监控网络上的情形；12. 基于网络的入侵检测系统（ NIDS）：也称硬件入侵检测系统,放置在比较重要的网络段,不停地监视网络段中的各种数据包,对每一个数据包或可疑的数据包进行特点分析； 基于网络的入侵检测系统是指监测整个网络流量的系统；13. 网卡的两种最常用的用途： 1、一般模式：受数据包里面的 MAC 地址打算,

15、 数据被发送到目的主机 2、混杂模式：全部可以被检测到的信息均被主机接收；14. WinPcap是 BPF模型 LibPcap函数库在 Windows 平台下包捕捉和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤器、一个底层的动态链接库（ Packet.dll）和一个高层的独立于系统的函数库（LibPcap）组成；15. 网卡的 4 种工作模式： 广播模式、多播传送、直接模式、混杂模式；16. 基于网络的入侵检测系统的优点： 成本低、检测基于主机的系统漏掉的攻击、攻击者不易转移数据、实时监测和响应、检测未胜利的攻击和不良意图、操 作系统无关性；17. 基于网络的入侵检测系统的缺点

16、： 只检测它直接连接的网络短段得通信,不能检测其他网络段得包为了性能目标通常采纳特点检测方法,可以检测出一般的一些攻击, 很难实现一些复杂的需要大量运算和分析时间的攻击检测可能会将大量的数据传回分析系统中处理加密的会话过程比较困 难；18. 为了提高系统对新型变种攻击的适应性,用 反向传播（ Back Propagation ,BP）人工神经网络技术构造反常入侵分析器；19. 对 BP神经网络实现分类模型时要考虑的问题：中间层（隐含层）数的选取、输入层和输出层维数、隐含层神经元数、权重初始化、训练样本的选取20. 比较常用的数据挖掘算法： 分类算法、关联规章挖掘算法、序列模式挖掘算法；21.

17、协议分析是新一代入侵检测系统探测攻击手法的主要技术,他利用网络协议的高度规章性快速探测攻击的存在,它的优势在于完整的协议分析使误报率降低,从而提高系统的性能；22. 基于协议分析的入侵检测的方法将高速包捕捉、协议分析和命令解析结合起来进行入侵检测, 是一种新的入侵检测技术, 它补偿了模式匹配技术的不足；23. 基于入侵容忍的入侵检测： 入侵容忍是容错方法在安全中的应用,这种方法假设系统的弱点不能被完全排除,并且,外部攻击者或内部恶意的攻击者将识别和利用这种弱点获得对系统的违法拜访；入侵容忍的目标是：在系统有些部分被入侵、性能下降的情形下仍可以维护系统的正常服务；24. 现在的入侵检测系统大多数

18、都采纳单一体系结构, 它的缺点：可扩展性较差、单点失效、系统缺乏敏捷性和可配置性；25. 分布式入侵检测系统的特点 ：分布式部署、分布分析、安全产品的联动、系统治理平台、可伸缩性和扩展性；26. 完整的入侵检测系统包含的10 个模块： 数据探测模块、主体模块、分析模块、关联与融合模块、掌握模块、决策模块、和谐与互动模块、安全响应模 块、数据库模块、人机界面；27. 分布式入侵检测体系的优点： 节点之间的相对独立性、强调了安全部件的联动、可以实现全局预警、体系结构的敏捷性和可扩展性；28. 推动基于主体系统的开放,主体技术必需解决的关键问题：主体间的通信、主体内部构造、主体生命周期治理、主体的移

19、动、主体的代理功能、主体的安全、身份和相关策略、系统的软件开发方法；29. 入侵检测系统主体分为三类： 中心主体；分析主体；主机主体和网络主体；30. 学问查询和操纵语言 （KQML）的三大属性： KQML 独立于网络传输协议 （如： TCP、STMP）；KQML独立于内容语言（如： SQL、OWL、PROLOG、）； KQLM独立于内容实体；31. 美国国防高级讨论方案署（ DARPA）提出的建议草案是：公共入侵检测框架（CIDF）,最早由加州高校戴维斯分校安全试验室主持起草工作；32. IDWG（入侵检测工作组）提出的草案包括3 个部分：入侵检测消息交换格式（ IDMEF）、入侵检测交换协

20、议（ IDXP）、隧道轮廓（ tunnel profile ）；33. 入侵检测系统分维个基本组件：大事产生器、大事分析器、响应单元、大事数据库；34. 公共入侵检测框 （CIDF）的通信机制主要涉及消息的封装和传递,共4 个方面：配对服务、路由、消息层、消息层处理；35. 入侵检测系统的性能指标简介：数据流量、每秒抓包数、每秒能监控的网络连接数、每秒能够处理的大事数；36. 入侵检测系统的测试步骤 ：创建或挑选一些测试工具或测试脚本；确定运算机环境所要求的条件, 比如背景运算机活动的级别； 配置运行入侵检测系统； 运行测试工具或测试脚本；分析入侵检测系统的检测结果；37. DIDS（Dist

21、ributed Interusion Dection System）由美国加州高校 Davis 分校提出,初衷是：将基于主机和基于网络的入侵检测系统结合起来,用来追踪使用者在网络中的移动和行为； DIDS采纳“分布采集、集中处理”的策略；38. CSM（Cooperating Security Managers）由美国 TexasA&M高校提出,设计初衷：克服 DIDS集中分析的缺点,采纳对等（ Peer to Peer）机制来组织系统；39. AAFIAutonomous Agents for Intrusion Detection 由普渡高校设计的一种分布式入侵检测系统,首次在入侵检测中提

22、出来自治代理的概念；40. NetSTAT 入侵检测系统是由美国加州高校圣塔芭芭拉分校（UCSB）的牢靠软件小组讨论、开发的,该系统将STAT转台转移技术扩展应用到网络环境中；41. MAIDSMobile Agents Intrusion Detection System由美国 Iowa 州高校提出,它提出来一整套的理论和实现技术, 将“需求工程”（Requirement Engineering） 和代理系统结构结合起来；42. 入侵检测系统产品的特点： 市场连续增长、一线厂商稳固进展、二线厂商竞争猛烈、外国厂商表现平平、格局猜测；43. 入侵检测系统产品的易用性包括5 个方面： 界面易用、

23、帮忙易用、策略简洁编辑、日志报告敏捷、报警大事优化技术；44. Snort 是由 MartinRoesch 等人开发的,它具有实时数据流量分析和记录IP网络数据包的才能,能够进行协议分析,对内容进行搜寻/ 匹配；45. Snort 的 3 种工作模式 ：嗅探器、包记录器和网络入侵检测系统；在嗅探模式下, Snort 仅是从网络上读取包,并作为连续不断的流显示在终端上；在包记录器模式下, Snort 把包记录到硬盘上；网络入侵检测系统模式是最复杂的,而且是可配置的；可以让Snort 分析网络数据流以匹配用户定义的一些规章,并依据检测结果实行肯定的动作；46. Snort 入侵检测系统概述： Sn

24、ort 可以是一个基于 libpcap 的轻量级网络入侵检测系统； Snort 采纳一种易于扩展的模块化体系结构；Snort 是一个自由、简洁、快速、易于扩展的入侵检测系统；47. Snort的各个组成部分 ：解码器、检测引擎、日志 / 报警系统；48. 现有入侵检测技术的局限性 ：误报和漏报的冲突、隐私和安全的冲突、被动分析与主动分析的冲突、海量信息与分析代价的冲突、功能性和可治理性的冲突、单一产品与复杂的网络应用的冲突；49. 入侵技术的进展与演化主要表现的方面：入侵或攻击的综合化与复杂化；入侵主机的间接化；入侵或攻击的规模扩大；入侵或攻击技术的分布化；攻击 对象的转移；50. 网络入侵技术的进展经受的 3 个阶段： 入侵检测系统（ IDS）；入侵防备系统（IPS）；入侵治理系统（ IMS）；51. 为了防止 Apacap 监听端口与 web 服务器默认的端口发生冲突,必需更换监听端口；方法是：打开配置文件C:Apache2confheepd.conf,将其中监听端口 8080 更换为不常用的端口 50080；