入侵检测技术期末重点总结

• 第一章、入侵检测概述

1.1入侵定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏以使系统不可靠、不可用的故意行为。入侵检测定义：对入侵行为的发觉，它通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
1.2入侵检测的基本原理：主要分为四个阶段：
1、数据收集：数据收集是入侵检测的基础，采用不同的方法进行分析。
2、数据处理：从原始数据中除去冗余、杂声，并且进行格式化以及标准化处理。
3、数据分析：检查数据是否正常，或者显示是否存在入侵。
4、响应处理：发现入侵，采取措施进行保护，保留入侵证据并且通知管理员。
1.3入侵检测的分类
按照入侵检测技术：误用入侵检测，异常入侵检测和协议分析三种
按照数据来源分类：基于主机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统、文件完整性检查式入侵检测系统
1.4常用的入侵检测方法： 1、误用入侵检测 2、 统计检测 3、专家系统
1.5入侵检测作用：
1.通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络人侵事件的发生。
2.检测其他安全措施未能阻止的攻击或安全违规行为。
3.检测黑客在攻击前的探测行为，预先给管理员发出警报。
4.报告计算机系统或网络中存在的安全威胁。
5.提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点，利于其进行修补。
6.在大型、复杂的计算机网络中布置人侵检测系统，可以显著提高网络安全管理的质量。
1.6入侵检测工作模式：
1.从系统的不同环节收集信息
2.分析该信息，试图寻找入侵活动的特征
3.自动对检测到的行为做出响应。
4.记录并报告检测过程的结果

&＃8211; 第二章、常见的入侵方法和手段

2.1 漏洞的几个方面：
1、存储介质不安全
2、数据的可访问性
3、信息的聚生性
4、保密的困难性
5、介质的剩磁效应
6、电磁的泄露性
7、通信网络的脆弱性
8、软件的漏洞
2.2 信息系统面临的威胁：
1、计算机病毒
2、黑客入侵
3、信号截取
4、介质失密
5、系统漏洞
6、非法访问
7、人为因素
8、遥控设备
2.3 攻击概述：
攻击主要分为 主动攻击和被动攻击
攻击的一般流程：
1、隐藏自己
2、踩点或欲攻击探测
3、采取攻击行为
4、清除痕迹
主动攻击和被动攻击的区别：
主动攻击：主动攻击会造成网络系统状态和服务的改变。它以各种方式有选择的破坏信息的有效性和完整性，是纯粹的破坏行为。这样的网络侵犯者被称为积极侵犯着。积极侵犯着截取网上的信息包，并对其进行更改使他失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登陆进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益。积极侵犯者的破坏作用最大。
被动攻击：被动攻击不直接改编网络的状态和服务。它是在不影响网络正常工作的情况下，进行截取、窃取和破译，以获得重要的或机密的信息。这种窃听而不破坏网络中传输信息的攻击者被称为消极攻击者。
典型的攻击技术与方法:

• 第三章 入侵检测系统模型

·所有的入侵检测分为三个模块：信息采集模块、信息分析模块、报警与响应模块

·IDMEF指的是：入侵检测信息交换格式（填空）

·在入侵检测系统中传感器和事件分析器之间的通信分为两层：OWL层和SSL层。

·信息分析的三种技术手段：模式匹配、统计分析、完整性分析

为什么要对入侵检测收集的信息进行标准化?
不同的入侵检测产品之间，或同一个入侵检测产品内部各个模块之间，通常使用各自定义的信息描述语言和格式没有一个统一的标准接口。从而使得它们之间不能很好地沟通与协作。所以要对信息进行标准化，
蜜罐技术
蜜罐是一个安全程序，设计用来观测入侵者如何探测并最终入侵系统，它安装在网络上的一台专用的计算机上，同时通过一些特殊配置，使该计算机看起来像是一个“有价值”的目标，以引诱潜在的入侵者并捕获他们的踪迹。
·蜜罐技术的特点
1.数据量小
2.减少误报率
3.捕获漏保
4.资源最小化
5.解密

&＃8211; 第四章、 误用与异常入侵检测系统

误用入侵检测的基本概念：主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并且从中找出符合预先定义规则的入侵行为。

误用入侵检测的工作模式：
1、从系统的不同环节收集信息
2、分析收集的信息，找出入侵活动的特征
3、对检测到的入侵行为自动做出响应
4、录并报告检测结果。

误用入侵检测的方法：
1、基于条件概率的误用入侵检测方法
2、基于专家系统的误用入侵检测方法
3、基于模型推理的误用入侵检测方法

基于模型推理的误用入侵检测方法具有如下优点：
1、它的推理过程有比较合理的数学理论基础，与专家系统相比，其处理不确定性情况的能力较强。
2、计划模块和解释模块知道需要收集什么样的数据，这样大量的干扰数据可以被轻易地过滤掉，因此大大降低了需要的数据量。
3、计划模式使得攻击行为的表示与具体的审计数据相分离。
4、模型推理系统可以利用入侵情况模型推到出攻击者的下一步行为，这样就可以采取一些防御措施。
4、基于状态转换分析的误用入侵检测方法

误用入侵检测系统的缺陷
1、攻击特征的提取还没有统一的标准，特征模式库的提取和更新还需要依赖手工的模式
2、现在的多数商业如期检测系统只对已经知道的攻击手段有效，误报率和漏报率很好。
3、对系统的评估较差。
威胁的三种类型（填空3分） 外部闯入、内部渗透、不正当行为

异常入侵检测概述：首先总结正常操作应该具有的特征，在后续的检测过程中对操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警

入侵活动并不总是与一场活动相符合，这里存在4种可能性，每种情况的概率都不为零。（简答题 8分）
1、 入侵而非异常。活动具有入侵性却因为不是一场而导致不能检测到，这时候造成漏检，结果入侵检测系统不报告入侵。
2、异常而非入侵。活动不具有入侵性，但因为它是有异常的，入侵检测系统报告入侵，这时候造成虚报。
3、 非入侵且非异常。活动不具有入侵性，且未显示异常，入侵检测系统没有将活动报告为入侵，这数据正确的判断。
4、 入侵且异常。多动具有入侵性且显示为异常，入侵检测系统将其报告为入侵，这属于正确的判断。

异常入侵检测的方法（简答题）
1、基于统计分析的异常入侵检测方法
2、基于模式预测的异常入侵检测
3、基于数据挖掘的异常入侵检测
4、基于神经网络的异常入侵检测
5、基于免疫系统的异常入侵检测
6、基于特征选择的异常入侵检测
7、其它方法

基于神经网络的IDS的优点：

1. 具有学习和自适应性，能够识别未曾见过的入侵行为。
2. 能够很好地处理噪声和不完全数据。
3. 以非线性方式进行分析，处理速度快，适应性好。
4. 能够很好的处理原始数据的随机特性，即不需要对这些数据做任何统计假设，并且有较好的抗干扰能力。
   基于神经网络的IDS的缺点
5. 识别精度依赖于系统的训练数据、训练方法及训练精度。
6. 神经网络拓扑结构只有经过相当的长时候才能确定下来。
7. 样本数据难以获得。
8. 在学习阶段可能被入侵这训练。

&＃8211; 第五章、模式串匹配与入侵检测

模式串匹配算法按照功能分为3类：（填空） 精准模式串匹配算法、近似模式串匹配算法和正则表达式匹配算法

&＃8211; 第六章、基于主机的入侵检测系统

Windows NT 的日志文件分为哪三类（填空）：系统日志、应用程序日志、安全日志
入侵特征的提取（简答题 8分 一共八个方面 其中4个日志）
1、安全日志
2、系统日志
3、应用程序日志
4、系统性能日志
5、网络连接监控
6、关键文件指纹变动监控
7、Windows注册表监控
8、系统进程列表
基于主机的入侵检测系统系统模型：

基于主机的入侵检测系统优点：
1、基于主机的入侵检测系统对分析“可能的攻击行为”非常有用。
2、基于主机的入侵检测系统的误报率通常低于基于网络的入侵检测系统，这是因为检测在主机上运行的命令序列检测网络数据流更简单，系统的复杂性也低得多。
3、基于主机的入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信贷款不足的场合。基于主机的入侵检测系统在不适用注入“停止服务”、“注销用户”等响应方法是风险较低

基于主机的入侵检测系统缺点：
1、基于主机的入侵检测系统需要安装在被保护的主机上。
2、基于主机的入侵检测系统的另一个问题是它依赖于服务器固有的日至与监控能力。如果服务器没有配置日至功能，则必须重新配置，这将会给运行中的业务系统，带来不可预见的性能影响。
3、全面部署基于主机的入侵检测系统代价较高。
4、基于主机的入侵检测系统只监控本主机，根本不监控网络上的情况。
第七章、基于网络的入侵检测系统
基于网络的入侵检测系统通常也称硬件入侵系统，放置在比较重要的网段内，不停地监视网段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接
一块网卡的两种常用的用途： 普通模式、混杂模式
基于网络的入侵监测系统四个层次（填空）： 管理层、分析层、主题层、网络层。
Wincap的三个模块：包过滤模块、packet.dll模块、Wpcap.dll模块

基于网络的入侵监测系统的优点：
1.成本较低
2.检测基于主机的系统漏掉的攻击
3.攻击者不易转移证据
4.实时检测和响应
5.检测未成功的攻击和不良意图
6.操作系统无关性
基于网络的入侵监测系统的缺点：
1.基于网络的入侵检测系统只检查他直接连接的网段的通信，不能检测其他网段的包。在使用交换技术的以太网环境中就会暴露出其检测方位的局限性。而安装多个基于网络的入侵检测系统的传感器会使部署整个系统的成本大大增加。
2. 基于网络的入侵检测系统为了性能目标通常采用特征检测方法，他可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
3. 基于网络的入侵检测系统可能将会大量的数据传回分析系统中。在一些系统中监听特定的包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，关于入侵判断的决策由传感器来实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。在这样的系统中传感器的协同工作能力较弱。
4. 基于网络的入侵检测系统处理加密的会话过程较困难。目前通过加密通道的攻击上不多，但随着IPV6的普及，这个问题会越来越突出
&＃8211; 第八章、典型的入侵检测系统

遗传算法设计的五大要素：
参数编码、初始群体的设定、适应度函数的设计、遗传操作的设计和控制参数的设定。
解释说明数据挖掘的过程
主要分为三个过程：数据准备、数据挖掘和结果表达

数据挖掘算法：分类算法、关联规则挖掘算法、序列模式挖掘算法

基于门限的多级入侵容忍入侵检测系统由五级构成
第一级：防御体制。
第二级：代理服务器。
第三级：COST应用服务器组
第四级：数据管理系统（DBMS）组
第五级：数据库

• 第九章、基于主机的入侵检测系统

分布式入侵检测系统的特征 （5个特征必须理解 P141）
1、分布式部署
2、分布分析
3、安全产品的联动
4、胸膛管理平台
5、可伸缩性和扩展性
分布式入侵检测系统（DIDS）的体系结构模型由“分散采集、分布分析、动态协调、区域管理”组成（背下来 P144）

分布式入侵检测体系的结构优点（记住）
1、节点之间的相对独立性
2、强调了安全部件的联动
3、可以实现全局预警
4、体系结构的灵活性和扩展性
知识查询和操纵语言（P154）

知识查询和操纵语言具有以下三大属性：
KQML独立于网络传输协议（如TCP、SMTP等）
KQML独立于内容语言（如SQL、OWL、PROLOG等）
KQML独立于内容实体
KQML可分为三个层次：通信层、消息层和内容层。
&＃8211; 第十章、入侵检测系统的相关标准与评估

描述入侵检测消息交换格式：
IDMEF描述了表述入侵检测系统输出信息的数据模型，并解释了使用此模型的基本原理。
公共入侵检测框架：（15分 画图描述 P 165）
CIDF在入侵检测专家系统和网络入侵检测专家系统的基础上提出了一个通用模型，将入侵检测系统分为4个基本组建：时间产生器、时间分析器、相应单元和时间数据库，
（1）事件产生器
事件产生器的任务是从入侵检测系统之外的计算机环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件。
（2）事件分析器
事件分析器从其他组件收到的GIDO，并将产生的信GIDO再传送给其他组件。
（3）事件数据库
时间数据库用来存储GIDO，以备系统需要的时候使用。
（4）响应单元
响应单元处理收到的GIDO，并据此采用相应的措施，如杀死相关进程、将连接复位、修改文件权限等。
CIDF语言：CIDF的首要目标是定一种应用层的语言CISL，用来描述IDR组件之间出传送的信息，以及制定一套对这些信息进行编码的协议。
入侵检测系统的测试和评估：
主要考虑 有效性、效率和可用性。

&＃8211; 第十三章、使用Snort进行入侵检测

Snort的工作模式：

1. 嗅探器
2. 包记录器
3. 网络入侵监测系统

Snort 的入侵检测特点：

1. Snort功能虽然强大，但其代码简洁、短小，可移植性非常好。
2. Snort具有实时流量分析和记录IP网数据包的能力
3. Snort能够进行协议分析、内容的搜索与匹配
4. Snort的日志格式可以是tcpdump格式也可以是ASCII格式。
5. 使用TCP流插件。
6. 使用SPADE插件
7. 很强的系统防护能力
8. 扩展性能好
9. Snort支持插件
10. 规则语言非常简单，能够对新的网络攻击做出很快的反应。