1、IP欺騙的實質(zhì)：IP地址隱藏、TCP序列號重置、IP地址驗證。利用IP地址的攻擊方法：解密、竊取口令、發(fā)送病毒。信息系統(tǒng)面臨的三種威脅：非人為因素和自然力造成的數(shù)據(jù)丟失，設(shè)備失效， 線路阻斷、人為但屬于操作人員五一的失誤造成的數(shù)據(jù)丟失、來自外部或內(nèi) 部人員的惡意攻擊和入侵。信息分析的方法/技術(shù)手段：模式匹配、統(tǒng)計分析、完整性分析、數(shù)據(jù)流分析。信息分析的技術(shù)手段：模式匹配、統(tǒng)計分析、完整性分析（用于事后分析）。入侵檢測：對入侵行為的發(fā)覺，他通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的若干關(guān) 鍵點收集信息，并對其進行分析。從中發(fā)現(xiàn)是否有違反安全策略的行為和被 攻擊的跡象。入侵檢測模型的活動檔案中未定義的隨機變量

2、：事件計數(shù)器、間隔計數(shù)器、 資源計數(shù)器。入侵檢測系統(tǒng)的主體的分類：中心主體、分析主體、主機主體和網(wǎng)絡(luò)主體。 入侵檢測模型的第一階段任務(wù)：信息收集、信息分析、信息融合。入侵檢測系統(tǒng)的組成：事件產(chǎn)生器、事件分析器、響應(yīng)單元。入侵檢測性能的會受什么參數(shù)影響：檢測率、虛警率。入侵檢測的不足：有效性差、適應(yīng)性差、擴展性差、伸展性差。入侵檢測基礎(chǔ)和核心是：信息收集，信號分析。入侵攻擊6步驟：確認目標、信息收集、漏洞挖掘、實施攻擊、留下后門、 清除日志。按照檢測數(shù)據(jù)的來源可將入侵檢測系統(tǒng)分為：基于主機的IDS和基于網(wǎng)絡(luò)的 的 IDS。從技術(shù)分類入侵檢測可分為：基于標識和基于異常情況。從數(shù)據(jù)來源入侵檢測可分為

3、：基于主機的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測。從數(shù)據(jù)分析手段來看：濫用入侵檢測、異常入侵檢測。入侵檢測原理的四階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析、相應(yīng)處理。入侵檢測的模型：操作模型、方差模型、多元模型、馬爾可夫過程模型、時 間序列分析模型。入侵檢測系統(tǒng)模型的3模塊：信息收集模塊、信息分析模塊、報警與響應(yīng)模 塊。入侵檢測利用的信息來源：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中不期望的改 變、程序執(zhí)行中不期望的行為、物理形式的入侵。入侵檢測系統(tǒng)的6個作用：通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰罪 犯、檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為、檢測黑客在攻擊前 的探測行為，預先發(fā)出警告、報告計算機系統(tǒng)或網(wǎng)

4、絡(luò)中的存在的安威脅、提 供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中的安全弱點進而修補、可以提高 網(wǎng)絡(luò)安全管理的質(zhì)量。入侵檢測技術(shù)的局限性：誤報和漏報的矛盾、安全和隱私的矛盾、被動和主 動分析的矛盾、海量信息和分析代價的矛盾、功能性和可管理性的矛盾、單 一產(chǎn)品和復雜的網(wǎng)絡(luò)應(yīng)用的矛盾。入侵檢測的發(fā)展階段：入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、入侵管 理系統(tǒng)（IMS）。誤用入侵檢測的思想是：若所有的入侵行為和手段都能夠表達為一種模式或 特征，那所有已知的入侵方法都可以用模式匹配來發(fā)現(xiàn)。難點在于如何設(shè)計 模式，使其既表達入侵又不會將正常的活動包含起來。誤用入侵檢測優(yōu)缺點: 基于模式匹配原理,誤用

5、模式能明顯降低誤報率，但漏報率會增加，攻擊特征 細微變化，誤用檢測會無能為力。誤用入侵檢測系統(tǒng)的類型：專家系統(tǒng)、模 型推理系統(tǒng)、模式匹配系統(tǒng)、狀態(tài)轉(zhuǎn)換分析系統(tǒng)。異常入侵檢測：檢測所有從網(wǎng)絡(luò)到本地的鏈接等并發(fā)現(xiàn)不正常的、有入侵傾 向的鏈接并阻止。異常入侵檢測的優(yōu)缺點：漏報率低，誤報率高。特點：檢 測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率，不需對每種入侵行為 進行定義，能有效檢測未知的入侵，能針對用戶行為的改變進行自我調(diào)整和 優(yōu)化。異常入侵檢測方法：統(tǒng)計分析、模式預測、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、免 疫系統(tǒng)、特征選擇、貝葉斯推理、貝葉斯網(wǎng)絡(luò)、貝葉斯聚合。CIDF中，IDS各組件間通過CISL來進行入

6、侵檢測和警告信息內(nèi)容的通信。 CIDF的互操作主要有：配置互操作、語義互操作、語法互操作。IDMEF:使用TLS解決數(shù)據(jù)的安全傳輸問題！Snort： 一個網(wǎng)絡(luò)入侵檢測軟件、用C語言寫成、使用插件技術(shù)來實現(xiàn)模塊化 功能。其命令參數(shù)：-A,-a,-bSnort的工作模式：嗅探器、包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。Snort的組成：解碼器、檢測引擎、日志/報警系統(tǒng)。Sonre的優(yōu)點：自由、簡潔、快速、易于擴展。數(shù)據(jù)預處理的功能：數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)交換、數(shù)據(jù)簡化。IDWG的標準鐘。有關(guān)入侵檢測和警報的數(shù)據(jù)模型有：基于XML的數(shù)據(jù)模型、 面性對象的數(shù)據(jù)模型。攻擊/誘發(fā)入侵的根本原因：信息系統(tǒng)的漏洞是產(chǎn)生

7、攻擊的根本原因。 完整性攻擊：網(wǎng)絡(luò)安全中，截取是指對未授權(quán)的實體得到了資源的訪問權(quán) 模擬攻擊：軟件測試的表不可少的功能，由此來驗證IDS是否能夠驗檢測到 這些攻擊。入侵攻擊：確認目標、信息收集、漏洞挖掘、實施攻擊、留下后門、清除日 志。拒絕服務(wù)攻擊：利用協(xié)議或操作系統(tǒng)實現(xiàn)時的漏洞來達到攻擊的目的。 欺騙攻擊的類型：IP，ARP，DNS，源路由，URL。拒絕服務(wù)攻擊：攻擊者想辦法讓目標主機停止提供服務(wù)或資源訪問。攻擊原理：SYN洪流攻擊、IP欺騙拒絕服務(wù)攻擊、UDP洪流攻擊、ping洪流 攻擊、淚滴攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊。其他攻擊：數(shù)據(jù)庫（SQ語句注入）攻擊、木馬

8、攻擊等。Tptd+tRd:tp :保護安全目標設(shè)置各種保護后的防護時間td：系統(tǒng)檢測到入侵行為的所用時間。trd:系統(tǒng)做出防護后，恢復到正常狀態(tài)的時間。漏洞的概念：在軟件，硬件，協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷， 使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)，會影響很大范圍內(nèi)的軟件，硬 件，以及操作系統(tǒng)本身，服務(wù)器等等。漏洞的具體表現(xiàn)：存儲介質(zhì)不安全、 數(shù)據(jù)的可訪問性、信息的聚生性、保密的困難性、電磁的泄漏性、電磁的泄 漏性、通信網(wǎng)絡(luò)的脆弱性、軟件的漏洞。漏洞的分類：物理接觸、主機模式、 客戶機模式、中間人模式。漏洞掃描：查找操作系統(tǒng)的或網(wǎng)絡(luò)中存在的漏洞， 并給出詳細漏洞報告，使用戶修補漏洞

9、，確保系統(tǒng)安全，較少被攻擊的可能 性。CGI漏洞的危害：緩沖區(qū)溢出攻擊、數(shù)據(jù)驗證性溢出攻擊、腳本語言錯 誤。網(wǎng)絡(luò)漏洞掃描系統(tǒng)：通過遠程檢測目標主機TCP/IP不同端口的服務(wù)，記 錄目標給予的回答。漏洞掃描系統(tǒng)：一種自動檢測遠程或本地主機安全性弱 點的程序。Ping掃描：DOS命令，監(jiān)測網(wǎng)絡(luò)的連通性和網(wǎng)絡(luò)速度。端口掃描：查找主機開放的端口，正確使用端口掃描，起到防止端口攻擊的 作用！操作系統(tǒng)識別掃描：黑客入侵過程的關(guān)鍵環(huán)節(jié)是操作系統(tǒng)的識別與掃描。 漏洞掃描：查找操作系統(tǒng)的或網(wǎng)絡(luò)中存在的漏洞，并給出詳細漏洞報告，使 用戶修補漏洞，確保系統(tǒng)安全，較少被攻擊的可能性。蜜罐技術(shù)：一種安全資源，其價值在于

10、被掃描、攻擊和攻陷，蜜罐并無其他 實際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預示了掃描、攻擊和攻 陷。核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。蜜網(wǎng)技術(shù)：在蜜罐技術(shù)上逐漸發(fā)展起來的一個新的概念，又可成為誘捕網(wǎng)絡(luò)， 構(gòu)成了一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，其主要目的是收集黑客的攻擊信息。但 與傳架構(gòu)中，可以包含一個或多個蜜罐，同時保證網(wǎng)絡(luò)的高度可控性，以及 提供多種工具以方便對攻擊信息的采集和分析。典型的三種模型威脅：外部入侵，內(nèi)部滲透，不當行為。模式匹配問題屬于串處理和模式組合匹配精確模式串匹配算法檢測符號序列 的方式主要分為三種：前綴模式（KMP算法）、后綴模式（Bpyer-moore

11、算法）、 結(jié)合模式（BDM）。WindowsNT的日志文件分為三類：系統(tǒng)日志、應(yīng)用程序日志、安全日志。串匹配算法的四種改進方法：基于自動機算法的改進、基于跳躍算法的改進、 基于數(shù)值型算法的改進、基于編碼算法的改進。Xp的Internet連接防火墻ICF，他的日志文件分為兩類：ICF審核通過的 數(shù)據(jù)包、icf拋棄的數(shù)據(jù)包。基于主機的入侵檢測系統(tǒng)（NIDS）：硬件入侵檢測系統(tǒng)，放置在重要的網(wǎng)絡(luò)段、 不斷地監(jiān)視網(wǎng)絡(luò)中的各種數(shù)據(jù)包、并對每一個或可疑的數(shù)據(jù)包進行特征分析。 基于主機的入侵檢測系統(tǒng)如何檢測入侵：通過監(jiān)視和分析主機的審計日志檢 測入侵、審計和日志其對系統(tǒng)非常重要，供分析和檢驗，日志是系統(tǒng)順利

12、運 行的保障。基于主機的入侵檢測系統(tǒng)的優(yōu)點：對分析的“可能性攻擊非常有用”，誤報率 通常低于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，這是因為檢測在主機上運行命令序列化 比檢測網(wǎng)絡(luò)數(shù)據(jù)流更艱難但，系統(tǒng)的復雜性也降低的多。可部署在哪些不需 要廣泛的入侵檢測、傳感器和控制臺之間的通信帶寬不足的場合。基于主機的入侵檢測系統(tǒng)的缺點：需要安裝在被保護的主機上、依賴服務(wù)器 固定有的日志與監(jiān)控能力、全面部署代價比較高、只監(jiān)控本機，根本不監(jiān)控 網(wǎng)絡(luò)上的情況。網(wǎng)卡的常用用途：普通模式：受數(shù)據(jù)包里面的MAC地址決定，數(shù)據(jù)被發(fā)送到目標主機 混雜模式：所有可以被檢測到的信息均被主機接收。工作模式：廣播模式、多播傳送、直接模式、混雜模式

13、。常見的數(shù)據(jù)挖掘算法：分類算法、關(guān)聯(lián)規(guī)則挖掘算法、序列模式挖掘算法。對BP神經(jīng)網(wǎng)絡(luò)實現(xiàn)分類模型時要考慮的問題：中間層數(shù)的選取、輸入/輸出層維數(shù)、隱含層神經(jīng)元數(shù)、權(quán)重初始化、訓練樣本的選取。協(xié)議分析：新一代入侵檢測系統(tǒng)探測攻擊手法的主要技術(shù)，利用網(wǎng)絡(luò)協(xié)議的 高度規(guī)則性快速探測攻擊的存在，優(yōu)勢在于完整的協(xié)議分析使誤報率降低， 從而提高系統(tǒng)的性能。協(xié)議分析的入侵檢測方法：將告訴包捕獲、協(xié)議分析、命令解析結(jié)合起來進 行入侵檢測，一種新的入侵檢測技術(shù)，彌補了模式匹配的不足。入侵容忍：溶骨從方法在安全中的應(yīng)用，此方法假設(shè)系統(tǒng)的弱點不能被完全 消除，且外部/內(nèi)部攻擊者將識別且利用此弱點獲得對系統(tǒng)的違法訪問。

14、其目標:系統(tǒng)一些被入侵、性能下降的情況下，還能維持系統(tǒng)的正常服務(wù)。分布式入侵檢測系統(tǒng)的特征：分布式部署、分布分析、安全產(chǎn)品聯(lián)動、系統(tǒng) 管理平臺、可伸縮性和擴展性。分布式入侵檢測體系的有點：節(jié)點相互獨立、安全部件相互聯(lián)動、可以實施 全面預警、靈活性擴展性較好。知識查詢操縱語言的三大屬性：KQML獨立網(wǎng)絡(luò)傳輸協(xié)議、KQML獨立于內(nèi)容語 言、KQLM獨立于內(nèi)容實體。Web服務(wù)器支持的兩種日志：通用日志格式、擴展日志文件格式。BSM安全審計子系統(tǒng)的概念：審計日志、審計文件、審計記錄、審計令牌。操作系統(tǒng)的系統(tǒng)日志和其審計記錄的對比：系統(tǒng)日志：由軟件以及應(yīng)用程序生成，容易受到修改的攻擊。審計記錄：存儲在不

15、受保護的文件目錄里，容易受到篡改和刪除。審計數(shù)據(jù)的獲取數(shù)量和質(zhì)量：決定了主機入侵檢測工作的有效程度。審計數(shù)據(jù)的獲取工作主要考慮以下問題：確定審計數(shù)據(jù)的來源和類型、審計 數(shù)據(jù)的預處理工作（包括記錄標準格式的設(shè)計、過濾和映射操作）、審計數(shù)據(jù) 的獲取方式（獲取模塊的結(jié)構(gòu)設(shè)計和傳輸協(xié)議）審計數(shù)據(jù)獲取模塊的主要作用：獲取目標系統(tǒng)的審計數(shù)據(jù)，并經(jīng)過預處理工 作后，最終目標是入侵。基于狀態(tài)轉(zhuǎn)移分析的檢測模型：將攻擊者的入侵行為描繪為一系列的特征操 作以及一系列的系統(tǒng)轉(zhuǎn)換過程，從而使得目標系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到攻擊所 期望的狀態(tài)。優(yōu)點：1.直接采用審計記錄序列來表示攻擊行為的方法不具備 直觀性。而STAT采用高

16、層的狀態(tài)轉(zhuǎn)移表示方法來表示攻擊方式，避免這一問 題。2.對于同一種攻擊行為可能對應(yīng)著不同的審計記錄序列，這些不同審計 記錄序列可能僅僅因為一些細微的差別而無法被采用直接匹配技術(shù)的檢測系 統(tǒng)察覺，而Stat可以很好的處理這個問題。Vs協(xié)議：特征分析的優(yōu)點：小規(guī)則集合下工作速度快，檢測規(guī)則易于編寫和 理解且容易定制，對新出現(xiàn)的攻擊手段具備快速升級支持能力，對低層的簡 單腳本具有良好的檢測性能，對所發(fā)生的攻擊行為類型，具備確定性的解釋 能力。特征分析的缺點：集合規(guī)模擴大后檢測速度下降，各種變種攻擊行為 易于造成過度膨脹規(guī)則集合，易產(chǎn)生虛假信息，僅能檢測出已知行為，前提 是該種攻擊類型的特征已知。協(xié)議

17、分析的優(yōu)點：規(guī)則集合規(guī)模大的情況下擴 展性良好，能夠發(fā)現(xiàn)新漏洞，較少出現(xiàn)虛假信息。協(xié)議分析的缺點：小規(guī)則 集合情況下，初始檢測速度慢，檢測規(guī)則比較復雜，難以編寫和理解，協(xié)議 愈加復雜和多樣性，缺乏對攻擊行為的明確解釋信息。混合型入侵檢測技術(shù)：采用多種信息輸入源的入侵檢測技術(shù)、采用多種不同 類型的入侵檢測方法。入侵檢測專家系統(tǒng)（IDES ）模型分為：目標系統(tǒng)域、鄰域接口、處理引擎、 用戶接口。實際上由：鄰域接口、統(tǒng)計異常檢測器、專家系統(tǒng)異常檢測器和 用戶接口。NIDES系統(tǒng)的三種服務(wù)器：SOUI服務(wù)器，Analysis服務(wù)器、Arpool服務(wù)器。神經(jīng)網(wǎng)絡(luò)技術(shù)：具有概括和抽象能力，對不完整輸入信息

18、具有一定程度的容 錯處理能力、具備高度的學習和自適應(yīng)能力、獨有的內(nèi)在并行計算和存儲特 性。不足和缺陷：需要解決對大容量入侵行為類型的學習能力問題、解釋能 力不足的問題、執(zhí)行速度的問題。數(shù)據(jù)挖掘：數(shù)據(jù)庫知識發(fā)現(xiàn)技術(shù)中的關(guān)鍵一步，目的是解決日益增上的數(shù)據(jù) 流與快速分析數(shù)據(jù)要求之間矛盾問題，其目標是采用各種特定的算法在海量 數(shù)據(jù)中發(fā)現(xiàn)有可用的可理解的數(shù)據(jù)模式。進化計算的主要算法：遺傳算法、進化規(guī)劃、進化策略、分類器系統(tǒng)、遺傳 規(guī)劃。系統(tǒng)設(shè)計的需求分析和入侵響應(yīng)及其相應(yīng)類型：檢測功能需求、響應(yīng)需求、 操作需求、平臺范圍需求、數(shù)據(jù)來源需求、檢測性能需求、可伸縮性需求、 取證和訴訟需求、其他需求。相應(yīng)緊急程度劃分：緊急行動、及時行動、本 地的長期行動、全局的長期行動。響應(yīng)類型：主動響應(yīng)和被動響應(yīng)。常見的攻擊及其原理：TCP報文攻擊、地址猜測攻擊。典型的拒絕服務(wù)攻擊的手