入侵检测复习知识点归纳信息安全.docx

1、入侵检测复习知识点归纳信息安全Ch1:1.入侵检测:是指发现或检测（discover or detect）网络系统和计算机系统中出现各种的入侵活动（intrusion activities, namely attack ），或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。当IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率（False positive rate）和漏报率（False negative

2、rate）衡量，这个是一个重要的评价指标。 误报（False positive）是当一个正常活动或者合法的网络流（包）触发IDS报警。 漏报（False negative）是一个恶意的活动或网络流（包）却没有触发IDS报警。3.入侵检测系统常见的分类方法.采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。4.入侵检测系统主要组成部件和各部件的功能感应器（Sensor）: 完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。分析器（Analyzer）： 完成数据的分析，并寻找入侵特征。称为 (基于）

3、特征入侵检（signature detection or signature-based ），也有文献称为误用检测（misuse detection ）。或者通过一些统计指标判断行为是否异常，称为(基于)异常入侵检测 （anomaly detection or anomaly-based ）。最后做出判断是正常还是攻击。 报警器（Alarm）： 若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动响应方式，则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火墙更新过滤规则，中断连接；或

4、者通知主机系统中断某个恶意的进程或用户。5.入侵防御系统(IPS): 能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发生，以免造成损失。6.IPS出现的主要原因有哪些?IPS的主要功能是什么? 7.IDS与IPS主要区别有哪些?（cf ch12)（1）主要功能不同 IDS入侵检测，IPS入侵防御（2）工作模式不同 IPS工作模式是inline mode ：Detection and Action（检测和动作），是主动防御。而IDS是sniffer mode：Detection，是被动侦听，而当发生入侵时，通知防火墙更新规则，同时TCP reset中断连接。 （3）部署位置不同（基于网

5、络的IDS和IPS） ： IDS部署在防火墙后，接入交换机的侦听端口上（将所有流经交换机的信息包复制一份给IDS），实时性差，只能间接通过防火墙采取行动。 IPS部署在防火墙外，所有实时流量都流经IPS，实时处理，可以直接采取行动（丢包，断连等）。 IDS IPS 防御方式 Passive sniffer mode Active in-line mode 防御动作 通知防火墙更新规则，同时TCP reset 中断连线 丟弃恶意包中断连线 防火墙（Firewall）不能完全替代IDS，防火墙像门卫（在大门入口处），一般通过过滤网络流量，允许或者阻止对系统和资源的访问，而IDS一般是用来监视计算机

6、系统和网络中的活动和事件，检测恶意活动的。IDS就像是房屋的安防报警系统，有多个传感器，放在各个检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。Firewall vs IDS:防火墙只能分析包的网络层和传输层，只能基于端口号和Ip 地址进行简单过滤；而IDS可以分析到应用层，不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用数据包中恶意内容（应用层）而产生的各种攻击。8、什么是入侵活动? 入侵活动主要分为哪几类? 发生入侵活动的原因有哪些?又称为攻击（Attacks），是指穿越被保护的安全边界的活动或

7、者对违反系统的安全策略的行为，是恶意的活动。如中断系统服务，未授权的访问网络和计算机系统（Unauthorized access），扩大特权（Privilege escalation）或者侦察活动（Reconnaissance）等。入侵者通常要利用网络或计算机系统的漏洞（Vulnerability），如TCP/IP网络协议软件的安全缺陷，路由软件的缺陷，以及操作系统和应用系统的Bug等。同时，也存在因为配置不当（misconfiguration）和没有及时打补丁（patch）而使应用与系统置于各种安全暴露（Exposure）中。第二章1.攻击In computer and computer n

8、etworks an attack is any attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset.US Commitee on National Security systemAny kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy information system resourc

9、es or the information itself.攻击是针对计算机或者网络的，称为主机系统攻击和网络系统攻击。 2. Unauthorized access :Privilege Escalation 权限提升，可分为：user to super-user 普通用户利用系统漏洞获得Root用户的访问权利 : root break-in incident（突破R权） Non-user to user 非用户获得普通用户权利，或者普通甲用户获得乙用户的权利 : account break-in）3. Unauthorized use ：any attempt to destroy, exp

10、ose, alter, disable, steal . 违背了信息安全的三原则CIA4.试述Howard and Longstaff 关于攻击的分类.其分类中，关于漏洞与暴漏的原因，可以归纳为哪几种情况？（设计与实现中的漏洞和使用中的不当配置）攻击手段 攻击目标（具体，硬件，软件） 漏洞与暴露的利用 攻击的后果和影响1/Virus，Worms，Trojans，Buffer overflows， Denial of service(DoS) attacks，Network attacks，Physical attacks，Password attacks，Information gatheri

11、ng attacks，Routing attacks4/ Fist dimension attack payload (攻击本身的影响) 最终的影响（eventual effect）Corruption of information (对信息的改变或损毁 Alter Or Destroy) Disclosure of information（信息泄露）Theft of service （窃取服务：未授权使用服务但未对合法用户有任何影响）Subversion（获得对目标的部分控制并使用之）5.什么是CVE(Common Vulnerabilities and Exposures)：) 公共漏洞与

12、暴露。这是信息安全漏洞名称的标准：为每个漏洞与暴露确定唯一的名称和一个标准化的描述，是已知的信息安全漏洞与暴露的词典。作用：这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞扫描评估等工具的覆盖率提供了基准参考点。6.KDD99 DATASET将攻击分为几类？定义了39种具体的攻击，这些攻击分为四大类： Probe(探测工具有6种) ,Denial of Service（10种方法）,U2R（普通用户非法而获得root特权,8种攻击方法），R2L（远程非本地帐户用户非法获得本地访问权，15种方法） 7.何谓OS Fingerprint技术？8.扫描器的功能是什么？根据扫

13、描的目的，可以将扫描器分为哪两类？（端口扫描器和漏洞扫描器）9.什么是特权提升？10.那些方法与途径可以实现特权提升？11.试述网络攻击的一般过程（1）数据收集：侦探（搜索废物箱）（2）挖掘漏洞：扫描（通过各种软件工具）（3）实施攻击：窃取访问权（4）安装后门：维护访问（安装恶意软件，修改配置，获取Root权完全控制该主机或网络设备，并为了防范其它黑客而答补丁）（5）清除日志掩盖痕迹1.Probes 探测(漏洞扫描)Probes are usually attacks scanning computer networks and computer system to gather inform

14、ation or find known vulnerabilities ,which are exploited for future attacks.通过扫描网络与计算机系统 来收集信息和发现已知的漏洞，以用于今后的攻击。探测通过扫描工具(扫描器)来完成.通过向远程主机的不同端口服务发送请求访问,并记录目标的应答,来搜集目标主机的各种有用信息.具体说来扫描器有三项功能:发现主机或者网络的状态;一旦发现主机处于运行状态,可以进一步判断系统中那些服务正在运行;通过测试运行中的网络服务,发现漏洞.依据扫描的目的可以分为:端口扫描器和漏洞扫描器;端口扫描器只单纯用来扫描目标系统开放的网络服务端口及与

15、端口相关的信息.漏洞扫描器检查目标主机中可能包含的已知漏洞.主要扫描技术：TCP SCAN 和UDP SCAN技术：TCP Connect scan调用套接口连接到目标主机的端口上，完成一次TCP三次握手。TCP SYN scan向目标端口发送一个SYN分组,如果收到SYN/ACK，目标端口处于监听； 如果收到RST/ACK，端口不在监听。没有一个完整的握手，目标主机不会记录。TCP FIN scan 向目标主机发送FIN分组，按RFC793，当FIN分组到达一个关闭端口时， 数据包被丢弃，并且返回一个RST分组。否则，只是简单丢弃而不回应RST分组。TCP Xmas Tree scan向目标

16、发送FIN URG PUSH 分组，目标主机当端口关闭时回应RST分组TCP Null scan 向目标主机发送一个关闭掉所有标志位的分组，目标回应RST分组。TCP ACK scan 用来侦测防火墙，判断其支持简单分组过滤还是支持基于状态的包过滤。UDP scan 向目标主机发送一个UDP分组，如果目标端口关闭，返回”ICMP port unreachable”否则，如果没有收到上述信息，可以判断端口开放。OS Fingerprint技术（操作系统指纹技术）：漏洞是和操作系统和应用密切相关的， 辨识不同版本的操作系统与应用是探测扫描的一项重要功能。识别操作系统的指纹，可以通过下面的方法：一些

17、端口服务的提示信息（如137，138，139，445，80）Tcp/ip栈指纹( 测试远程主机的TCP/IP协议栈对不同请求的响应来探测系统)DNS泄露出OS系统主要的扫描工具有：端口扫描器IPSWeep and PortSweep 搜索哪些主机有哪些端口是打开的NMap Ip地址和端口扫描 防火墙扫描及提取操作系统指纹(OS Fingerprint)的开源免费软件.漏洞扫描器MScan 通过蛮力扫描整个域的Ip地址来发现在运行的计算机并探测他们的漏洞SAINT 收集各种网络服务（如）的信息，也包括网络服务的不适当配置，已知的网络和操作系统的漏洞。Satan是SAINT的先前版本。ISS NE

18、SSUS2 Privilege Escalation Attacks特权提升Attaining high privileges on a system allows attackers to perform far more dangerous actions( for example: install TROJAN code or create backdoors for future covert access).利用系统或者应用程序的漏洞或者不适当配置，非法获得对在正常情况下受保护的资源的访问权 。获得系统的高特权后可以让攻击者进行跟多危险动作如安装木马或者后门。已知的这种攻击又分为两类

19、：Vertical privilege escalation Or user to super user (U2R)Horizontal privilege escalation or Non-use to User (N2U)下面是能够实现特权提升的方法：Buffer Overflow Attacks缓冲区是指一块内存区，对应的数据结构如数组或C语言中的指针。当一个程序或者进程试图存储超过缓冲区大小的数据时，就发生了缓冲区溢出。缓冲区数据溢出时，超出的数据会写入临近的其他缓冲区，这样就会覆盖掉其他的有效数据。如果是发生在指令堆栈区，缓冲区溢出攻击在在利用这个漏洞时，写入一段自己想执行的代码放

20、在溢出区域，并修改函数的返回地址，使其指向自己的代码，通过执行这段程序而触发一个特定的动作如生成一个具有特权的操作界面（shell），破坏文件，修改数据或者邪路敏感信息等。当然缓冲区溢出既使没有被攻击者利用，也可能因为覆盖掉其他缓冲区的内容而导致系统紊乱甚至奔溃，引起拒绝服务。避免这种攻击的方法是：建立足够大的缓冲区，监视缓冲区的使用，同时在写程序时要考虑缓冲区边界越界问题。Void func(char *str)char buffer16;strcpy(buffer,str)Void main()char large_string256;int i;for (i=0;i255;i+)larg

21、e_stringi=A;func(large_string);从buffer 开始的256个字节都被）0x41覆盖，函数的返回地址也变成0x41414141，程序执行完成后返回到上述地址指向的区域。这就为恶意程序的执行提供了条件。Misconfiguaration Attacks各种系统不适当的配置可能被攻击者用来避开安全屏障，不适当的配置和没有对系统及时打补丁会使系统至于某种安全暴露状态，大多数安全所面临的问题。例如字典攻击（又称暴力攻击）是指攻击者通过穷举方式来猜测口令，如果系统管理员没有设置最大登陆尝试次数，就会被这种方式攻破而获得口令。Race-condition Attacks 竞态

22、条件攻击 竞态条件 (race condition)又称为竞争危害 (race hazard) 。 该术语旨在描述一个系统或者进程的输出展现无法预测的、对事件间相对时间的排列顺序的致命相依性。该术语起源自于电信中两个讯号试著彼此竞争来影响谁先输出。现在也用于系统与应用软件里的多任务和多线程运行时可能产生的安全问题的描述中。例如在较早的Unix的Login程序的执行，当一个新的Login 进程产生时，需要完成用户验证，结束后再切换到普通用户状态。在还没有切换到普通用户状态时，会存在一个很短的时间间隙（Gap），此时是处于Root 状态。如果有人不停的键入ESC键，就有可能阻止从特权态切换到普通用

23、户状态，从而获得了特权。称为 Unix login 攻击。竞争条件攻击还常发生在对共享文件的操作时，例如在多线程的并发控制中，一个线程在向一个文件写入，另一个线程同时在对同一个文件进行读出，程序的执行结果不是确定的，与这两个线程的竞争结果有关。一个安全的程序开发者应该考虑到竞态问题，这样可以避免竞态攻击。同时作为系统管理员及时的系统补丁也是防范这种攻击的有效方法。Man-in-the-Middle Attacks 中间人攻击是指攻击者通过控制受害者间的整个网络“谈话”，中继转发消息，并使受害者相信是与另一方直接进行私密连接。强加密协议和端点验证机制能够阻止这类攻击，如用SSH代替telnet，

24、同时采用文件加密机制或者Session checksums会话校验码等技术。Social Engineering Attacks攻击者通过劝诱误导或者使用人机技巧使受害者泄露受保护的关键信息系统的访问信息（如口令，登陆名等）。社会工程攻击又分为两类：物理的和心理的。物理方法如在工作场所，攻击者站在受害者旁观察别人输入的口令，或者借口帮别人维护系统而套取口令，或者在废纸篓中收集有价值的信息等。心理类方法包括通过电话或者在线通讯，如致电Helpdesk假冒成内部员工寻求管理员Reset口令。在线通讯包括通过EmailPhishing ,发出请求信息链接到一个验证登陆的欺骗页面等（钓鱼页面）。社会工

25、程攻击难以检测，因为是利用了人容易欺骗的原因，防止这种攻击的最佳的办法是持续的用户安全培训，增强安全意识。3 Denial Of Service(DoS) and Distributed Denial of Service (DDos) Attacks 拒绝服务攻击和分布式拒绝服务攻击 DOS攻击是指a)误用TCP/Ip网络协议，通过伪造地址，泛洪，反射，和修改分段包的偏移等手段产生大量非常信息流（如不完整地TCP连接，异形的Ip包，僵尸主机生成的请求等）b)利用目标主机的系统与用用中的各种漏洞与暴漏而使主机或者网络设备性能降级甚至使其完全无法有效使用与提供服务。DDoS攻击分布式拒绝服务攻击

26、：攻击者通过分发和传播攻击脚本到多个中间主机 ，然后组织这些主机一起向某个目标发起高强度攻击。这些中间主机成为Zombie或者Bot。DRDoS(Distributed Refletor Denial of Service):attacker uses a fake source IP (Target s) and send connection to several legilimate servers,when these servers respond they send the ACK packets to the attackers target.具体的攻击举例：TCP-Syn Fl

27、ood 攻击：最早出现在1996年.原理是:向目标发送大量TCP-SYN请求包,但该包的源IP地址根本不可用或者是假冒的,但目标要为其分配资源排入等待队列.但这样的包太多后,就耗尽了服务期的资源而瘫痪.解决方案是嵌入SYN淹没处理补丁模块来处理SYN请求包:收到请求后不分配缓存区,而是先验证源地址是否是真实的,验证方法是发送一个含随机数的验证包的客户端,只有客户端回复这个随机数后才进一步分配资源放入等待队列.Land攻击:精心制造的SYN数据包中的源IP和目的IP都被设置成某个服务器的IP.这将导致收到这个数据包的服务器向自己发送SYN-ACK消息,结果有自己回复一个ACK而完成三次握手建立要

28、TCP连接.且保持连接直到超时.ICMP/UDP Flood 攻击：用假地址向攻击服务器大量发送UDP/ICMP包而使服务器因为大量响应而超载。Ping of Death 攻击：发送含有超大异形ICMP请求包(大于64KB)，而使目标主机的核心缓冲区应为处理这种包而发生溢出。Smurf 攻击：假以受害主机的Ip地址作为Echo请求包的源地址（ip spoof ），将此信息广播，结果受害主机会收到大量来自其他地址的回答信息而使的该主机无法正常工作。UDPStorm攻击：攻击者在同一主机或不同主机的两个UDP端口间生成无法中止的数据流，结果主机不能对其他用户提供服务。Syslogd攻击：利用了So

29、laris V2.5的syslogd的一个实现中的缺陷：syslogd收到信息后，会对源Ip地址执行DNS Lookup查找；当没有匹配有效的DNS记录时，服务会停止。Teardrop攻击：利用率Ip协议实现中重新装配ip分段时，若分段有重叠会导致系统崩溃。攻击者就故意发送两个或多个认为修改了偏移值的分段，接收端在重新装配这些异常的分段的Ip包时会导致主机重启或者停机。Mailbomb攻击：这是一个应用级的DoS攻击。攻击者会使SMTP服务队列溢出Apache2 攻击：攻击者发送含有HTTP头内容的请求给 Apache Web Server，服务器会占用大量Cpu时间来来处理这些异常内容，最终

30、会导致DoS另一种攻击分类：（网络安全体系结构 P47）攻击结果：信息泄露，信息损坏，拒绝服务，服务被盗，访问权增大弱点的类型：软件漏洞 硬件漏洞 配置漏洞 策略漏洞和使用漏洞读取攻击：1.嗅探攻击（SNIFF）2.侦察攻击（RECON）：数据整理攻击 探测/扫描攻击 ，拨号式扫描/移动式描3.直接进入攻击操丛攻击：网络操纵，应用程序操纵（缓冲区溢出攻击，WEB应用程序攻击）欺骗攻击：MAC欺骗，IP欺骗，传输欺骗（UDP欺骗和TCP欺骗），身份欺骗和无赖设备攻击泛红攻击：MAC泛红攻击，TCP SYN泛红攻击（SYN充斥），网络泛洪攻击（SMURF ，DDoS），应用程序泛洪重定向攻击：IP

31、重定向 L2重定向攻击（ARP重定向 STP重定向 ） 传输重定向混合攻击：中间人攻击 ROOTKIT 远程控制软件 病毒蠕虫与特洛伊木马第三种攻击分类( 计算机网络安全的理论与实践：王杰 高等教育）监听破译盗窃登陆密码身份盗窃和欺诈抵赖入侵流量分析服务阻断：SYN充斥 恶意软件第三章：1.原理：假定入侵活动显著地不同于正常活动因而可以检测.分类：（误用检测，异常检测，基于规范的检测）2.什么是误用检测？试述其模型和工作原理及优缺点误用检测的研究最初出现在Anderson 1980年的报告:入侵检测是将审计又称为基跟踪中的实际行为记录与已知的可疑模式匹配.基于特征的入侵检测技术。它假设所有入侵行为和手段都能够表达为一种模式或特征，并对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或者攻击签名，通过系统当前状态与攻击模式或者攻击签名的匹配，判定入侵行为 优点:误检率低 缺点：1，对还没有获得特征的未知攻击和攻击的新形式是无效的 2、对已知的攻击,要定义包含各种可能的变形的攻击特征是困难的.定义特征中的任何错误都会导致误报率的上升.3.实现误用检测的主要技术有哪些？（四种：模式匹配,基于规则的专家系统技术,基于状态的技术和数据挖掘技术）4