入侵检测复习知识点归纳(信息安全) 下载本文

内容发布更新时间 : 2024/12/25 22:48:03星期一 下面是文章的全部内容请认真阅读。

Ch1:

1.入侵检测:

是指发现或检测(discover or detect)网络系统和计算机系统中出现各种的入侵活动(intrusion activities, namely attack ),或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。 2、入侵检测系统:

用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件,软件或者组合。当IDS检测出入侵时,还能对入侵做出响应:被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率(False positive rate)和漏报率(False negative rate)衡量,这个是一个重要的评价指标。

误报(False positive)是当一个正常活动或者合法的网络流(包)触发IDS报警。 漏报(False negative)是一个恶意的活动或网络流(包)却没有触发IDS报警。 3.入侵检测系统常见的分类方法.

采集数据来源,检测方法(数据分析方法),从响应方式,体系结构和实现。 4.入侵检测系统主要组成部件和各部件的功能

感应器(Sensor):完成网络,主机和应用程序相关数据(网络包或流,主机审计日志与系统调用,以及具体应用程序相关的日志)采集,并转化成分析器所要求的格式。 分析器(Analyzer):完成数据的分析,并寻找入侵特征。称为 (基于)特征入侵检(signature detection or signature-based ),也有文献称为误用检测(misuse detection )。或者通过一些统计指标判断行为是否异常,称为(基于)异常入侵检测 (anomaly detection or anomaly-based )。最后做出判断是正常还是攻击。 报警器(Alarm):若检测到攻击,报警器除了要报告网络或系统管理员外(由控制台界面发出声色警报,同时邮件或短信息通知),若是被动响应方式,则有管理员去处理;若是主动响应方式,则会自动查表找与攻击对应的具体响应,即采取相应的响应动作:或者通知防火墙更新过滤规则,中断连接;或者通知主机系统中断某个恶意的进程或用户。

5.入侵防御系统(IPS): 能够预先对入侵活动或攻击性网络流量进行拦截,终止攻击继续发生,以免造成损失。

6.IPS出现的主要原因有哪些?IPS的主要功能是什么? 7.IDS与IPS主要区别有哪些?(cf ch12)

(1)主要功能不同 IDS入侵检测,IPS入侵防御

(2)工作模式不同 IPS工作模式是inline mode :Detection and Action(检测和动作),是主动防御。而IDS是sniffer mode:Detection,是被动侦听,而当发生入侵时,通知防火墙更新规则,同时TCP reset中断连接。

(3)部署位置不同(基于网络的IDS和IPS) : IDS部署在防火墙后,接入交换机的侦听端口上(将所有流经交换机的信息包复制一份给IDS),实时性差,只能间接通过防火墙采取行动。 IPS部署在防火墙外,所有实时流量都流经IPS,实时处理,可以直接采取行动(丢包,断连等)。

IDS IPS Active in-line mode 丟弃恶意包 中断连线 防御方式 Passive sniffer mode 防御动作 通知防火墙更新规则,同时TCP reset 中断连线 防火墙(Firewall)不能完全替代IDS,防火墙像门卫(在大门入口处),一般通过过滤网络流量,允许或者阻止对系统和资源的访问,而IDS一般是用来监视计算机系统和网络中的活动和事件,检测恶意活动的。IDS就像是房屋的安防报警系统,有多个传感器,放在各个检测点(各个网络和主机的关键点),与报警主机相连,通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。

Firewall vs IDS:

防火墙只能分析包的网络层和传输层,只能基于端口号和Ip 地址进行简单过滤;而IDS可以分析到应用层,不仅能够检测能够检测利用网络层和传输层的知识的攻击,还能检测利用数据包中恶意内容(应用层)而产生的各种攻击。 8、什么是入侵活动?

入侵活动主要分为哪几类? 发生入侵活动的原因有哪些?

又称为攻击(Attacks),是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为,是恶意的活动。如中断系统服务,未授权的访问网络和计算机系统(Unauthorized access),扩大特权(Privilege escalation)或者侦察活动(Reconnaissance)等。入侵者通常要利用网络或计算机系统的漏洞(Vulnerability),如TCP/IP网络协议软件的安全缺陷,路由软件的缺陷,以及操作系统和应用系统的Bug等。同时,也存在因为配置不当(misconfiguration)和没有及时打补丁(patch)而使应用与系统置于各种安全暴露(Exposure)中。

第二章 1.攻击

In computer and computer networks an attack is any attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset. US Commitee on National Security system

Any kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy information system resources or the information itself.

攻击是针对计算机或者网络的,称为主机系统攻击和网络系统攻击。 2. Unauthorized access :Privilege Escalation 权限提升,可分为:

user to super-user 普通用户利用系统漏洞获得Root用户的访问权利 : root break-in incident(突破R权)

Non-user to user 非用户获得普通用户权利,或者普通甲用户获得乙用户的权利 : account break-in)

3. Unauthorized use :any attempt to destroy, expose, alter, disable, steal . 违背了信息安全的三原则CIA

4.试述Howard and Longstaff 关于攻击的分类.其分类中,关于漏洞与暴漏的原因,可以归纳为哪几种情况?(设计与实现中的漏洞和使用中的不当配置)

攻击手段 攻击目标(具体,硬件,软件) 漏洞与暴露的利用 攻击的后果和影响

1/Virus,Worms,Trojans,Buffer overflows,Denial of service(DoS) attacks,Network attacks,Physical attacks,Password attacks,Information gathering attacks,Routing attacks

4/Fist dimension attack payload (攻击本身的影响) 最终的影响(eventual effect)

Corruption of information (对信息的改变或损毁 Alter Or Destroy) Disclosure of information(信息泄露)

Theft of service (窃取服务:未授权使用服务但未对合法用户有任何影响) Subversion(获得对目标的部分控制并使用之)

5.什么是CVE(Common Vulnerabilities and Exposures):)公共漏洞与暴露。这是信息安全漏洞名称的标准:为每个漏洞与暴露确定唯一的名称和一个标准化的描述,是已知的信息安全漏洞与暴露的词典。

作用:这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞扫描评估等工具的覆盖率提供了基准参考点。 6.KDD99 DATASET将攻击分为几类?

定义了39种具体的攻击,这些攻击分为四大类: Probe(探测工具有6种) ,Denial of Service(10种方法),U2R(普通用户非法而获得root特权,8种攻击方法),R2L(远程非本地帐户用户非法获得本地访问权,15种方法)