入侵检测技术 第3章
网御入侵检测系统V3.2用户安装手册(TD3000系列)
内存 硬盘 网卡 其他设备
最低配置:2G 内存,推荐配置:4G 内存 最低 120GB 数据库专用磁盘空间 至少一块网卡,无特殊要求 光驱、键盘、鼠标、显示器
Web 浏览器,具体硬件要求
3
网御入侵检测系统用户安装手册
硬件形式 浏览器类型 处理器 内存 硬盘 网卡 其他设备
PC IE6.0/IE7.0/IE8.0/Firfox (默认允许运行 ActiveX) N/A 内存 2G 以上,建议 4G。 N/A 至少一块网卡,无特殊要求 键盘、鼠标、显示器
北京网御星云信息技术有限公司 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 售后服务热线:400 810 7766 电子邮箱:shfw@
1
网御入侵检测系统用户安装手册
目
录
第 1 章 简述 ...................................................... 1 第 2 章 安装准备 .................................................. 2
2.1.1 硬件要求
控制中心:安装在一台 PC 之上的硬件要求
硬件形式 操作系统
PC Windows 2003(支持 32 位与 64 位)/ Windows Server Standard 2008(支持 32 位与 64 位)
处理器
最低配置: Pentium (R) Dual-Core CPUE5200 @ 2.5GHz 2.50GHz 推荐配置:四核 CPU
第 3 章 开箱检查 .................................................. 7 第 4 章 软件安装 .................................................. 8
信息安全概论复习提纲
信息平安概论复习提纲第1章绪论1、信息平安的六个属性机密性、完整性、可用性、非否认性、真实性、可控性〔前三者为经典CIA模型〕机密性:能够确保敏感或机密数据的传输和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信的事实。
完整性:能够保障被传输、接受或存储的数据是完整的和未被篡改的,在被篡改的情况下能够发现篡改的事实或者篡改的设置。
可用性:即在突发事件下,依然能够保障数据和效劳的正常使用。
非否认性:能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果,这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
真实性:真实性也称可认证性,能够确保实体身份或信息、信息来源的真实性。
可控性:能够保证掌握和控制信息与信息系统的根本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。
2、从多个角度看待信息平安问题个人:隐私保护、公害事件企事业单位:知识产权保护、工作效率保障、不正当竞争军队、军工、涉密单位:失泄密、平安保密的技术强化运营商:网络运行质量、网络带宽占用〔P2P流量控制〕、大规模平安事件〔DDOS、大规模木马病毒传播〕、新商业模式冲击〔非法VOIP、带宽私接〕地方政府机关:敏感信息泄露、失泄密、网站篡改、与地方相关的网络舆情职能机关:案件侦破、网上反恐、情报收集、社会化管理国家层面:根底网络和重要信息系统的可用性、网上舆情监控与引导、失泄密问题、稳固政权、军事对抗、外交对抗、国际斗争3、威胁、脆弱点和控制(1)信息平安威胁(threat):指某人、物、事件、方法或概念等因素对某信息资源或系统的平安使用可能造成的危害。
包括信息泄露、篡改、重放、假冒、否认、非授权使用、网络与系统攻击、恶意代码、灾害故障与人为破坏。
其他分类:暴露、欺骗、打搅、占用;被动攻击、主动攻击;截取、中断、篡改、伪造。
(2)脆弱点〔Vulnerability〕,即缺陷。
(3)控制〔control〕,一些动作、装置、程序或技术,消除或减少脆弱点。
课程大纲-入侵检测与防范技术
入侵检测技术Intrusion Detection Technology课程编号:学分: 2学时: 30 (其中:讲课学时:30 实验学时:上机学时:0)先修课程:计算机网络,TCP/IP,Internet安全适用专业:信息安全教材:自编讲义开课学院:计算机科学与通信工程学院一、课程的性质与任务课程的性质:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件,其主要功能包括:(1)提供事件记录流的信息源;(2)发现入侵迹象的分析引擎;(3)基于分析引擎结果的响应。
误用检测和异常检测是入侵检测常用的方法,前者使用模式匹配技术,检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件,后者则使用统计技术检测不经常发生的事件。
随着网络应用的不断深入,网络安全问题的日显重要,入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。
课程的基本任务:1.了解入侵检测技术的基本概念、发展现状及最新动态;2.掌握入侵检测的原理及系统构成;3.掌握入侵检测的常用方法与技术;4.了解提高入侵检测率对不同用户的要求。
二、课程的基本内容及要求第一章入侵检测技术概述1.基本内容(1)入侵检测的概念(2)入侵检测技术产生的原因(3)入侵检测技术的功能、发展历史及分类(4)入侵检测技术的基本构成和体系结构2.基本要求(1)掌握入侵检测的基本概念(2)掌握入侵检测系统的基本构成(2)了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1.基本内容(1)计算机网络的主要漏洞(2)缓冲区溢出攻击(3)拒绝服务攻击(4)攻击分类2.基本要求(1)掌握缓冲区溢出攻击和拒绝服务攻击的原理(2)了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1.基本内容(1)信息源在入侵系统中的重要地位(2)基于主机的信息源(3)基于网络的信息源(4)基于网络的信息源的获取2.基本要求(1)掌握入侵检测的信息源获取的基本途径(2)了解信息源的作用第四章入侵检测方法1.基本内容(1)入侵检测的基本原理和主要方法(2)基于数据挖掘技术的入侵检测模型(3)基于数据融合技术的入侵检测模型2.基本要求(1)掌握入侵检测的基本原理(2)掌握异常检测与滥用检测常用的检测技术与相应的模型建立(3)掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1.基本内容(1)入侵检测系统原型产品介绍(2)入侵检测系统商业产品介绍(3)免费入侵检测系统产品介绍(4)入侵检测系统产品的选择2.基本要求(1)了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1.基本内容(1)入侵检测系统的脆弱性分析(2)入侵检测系统体系结构的局限性2.基本要求(1)掌握网络系统脆弱性分析的基本方法(2)了解入侵检测系统的局限性第七章入侵检测系统的评价1.基本内容(1)入侵检测系统的评价标准(2)对入侵检测系统的测试与评估2.基本要求(1)掌握入侵检测系统的评价标准(2)掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1.基本内容(1)未来的信息社会(2)未来的技术趋势(3)未来的安全趋势2.基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学;2、为学生提供丰富的参考资料;五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人:韩牟审定人:批准人:日期:2013年5月10日课程简介课程编码:课程名称:入侵检测技术英文名称:Intrusion Detection Technology学分: 2学时: 3 0(其中:讲课学时2 6 实验学时: 0 上机学时:4 )课程内容:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
网络安全防范及快速响应计划
网络安全防范及快速响应计划第1章网络安全防范基础 (3)1.1 网络安全概述 (3)1.2 防范策略与措施 (3)1.3 安全意识培训 (3)1.4 常见网络安全威胁 (4)第2章组织安全策略制定 (4)2.1 安全政策与法规 (4)2.2 风险评估与安全需求分析 (5)2.3 安全策略制定与实施 (5)2.4 安全策略的持续改进 (6)第3章网络边界安全防范 (6)3.1 防火墙技术与应用 (6)3.1.1 防火墙技术原理 (6)3.1.2 防火墙部署策略 (6)3.1.3 防火墙配置与管理 (6)3.2 入侵检测与防御系统 (6)3.2.1 入侵检测技术 (7)3.2.2 入侵防御技术 (7)3.2.3 IDS/IPS部署与管理 (7)3.3 虚拟专用网(VPN)技术 (7)3.3.1 VPN技术原理 (7)3.3.2 VPN应用场景 (7)3.3.3 VPN设备选型与管理 (8)3.4 边界安全设备的管理与维护 (8)3.4.1 设备配置管理 (8)3.4.2 设备状态监控 (8)3.4.3 设备维护与保养 (8)第4章内部网络防护 (8)4.1 网络架构优化 (8)4.1.1 网络分区 (8)4.1.2 网络设备选型与部署 (9)4.1.3 网络冗余与负载均衡 (9)4.2 访问控制与身份认证 (9)4.2.1 访问控制策略 (9)4.2.2 身份认证机制 (9)4.3 安全审计与监控 (9)4.3.1 安全审计 (9)4.3.2 网络监控 (9)4.4 数据加密与防护 (9)4.4.1 数据加密 (9)4.4.2 数据防护 (10)第5章应用层安全防范 (10)5.1 应用层攻击手段与防范策略 (10)5.1.1 应用层攻击手段 (10)5.1.2 防范策略 (10)5.2 Web安全防护 (11)5.3 邮件安全 (11)5.4 数据库安全 (11)第6章移动与云计算安全 (11)6.1 移动设备安全 (11)6.1.1 设备管理 (12)6.1.2 数据保护 (12)6.1.3 应用安全 (12)6.2 移动应用安全 (12)6.2.1 开发安全 (12)6.2.2 应用审核 (12)6.2.3 应用加固 (12)6.3 云计算安全挑战与应对 (13)6.3.1 数据安全 (13)6.3.2 安全合规 (13)6.3.3 安全防护 (13)6.4 云安全服务与解决方案 (13)6.4.1 云安全防护服务 (13)6.4.2 云安全解决方案 (13)第7章恶意代码防范 (14)7.1 恶意代码概述 (14)7.2 防病毒软件与防护策略 (14)7.3 特洛伊木马防范 (14)7.4 勒索软件防范与应对 (15)第8章网络安全事件响应 (15)8.1 安全事件分类与识别 (15)8.2 事件响应流程与策略 (15)8.3 事件调查与分析 (16)8.4 应急响应与恢复 (16)第9章安全合规与审计 (16)9.1 安全合规概述 (17)9.2 安全审计标准与法规 (17)9.3 安全合规性评估与审计 (17)9.4 合规性改进与持续监督 (17)第10章安全培训与意识提升 (18)10.1 安全培训计划与目标 (18)10.1.1 培训计划目标 (18)10.1.2 培训计划要素 (18)10.2 安全培训内容与方法 (18)10.2.1 培训内容 (18)10.2.2 培训方法 (19)10.3 员工安全意识提升策略 (19)10.3.1 建立安全文化 (19)10.3.2 安全意识培训 (19)10.3.3 安全意识评估 (19)10.4 安全培训效果评估与改进 (19)10.4.1 评估方法 (19)10.4.2 改进措施 (19)第1章网络安全防范基础1.1 网络安全概述网络安全是保护计算机网络及其组成部分免受意外或恶意行为侵害的过程。
电子商务安全技术实用教程第3章
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题
(3)不能防止受病毒感染的文件的传输
(4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。 防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。 (3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。 (4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。 (5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
(2)一切未被禁止的都是允许的(宽松政策)
3.2.2 防火墙的分类与技术
1.防火墙的分类
(1)软件防火墙与硬件防火墙
(2)主机防火墙与网络防火墙
(1)包过滤技术 (2)代理服务技术 (3)状态检测技术
2.防火墙的技术
(4)NAT技术
第3章 入侵检测系统
活动简档
保存主体正常活动的有关信息,具体实现依赖 于检测方法 随机变量:
1. 事件计数器(Event Counter):简单地记录特定事件的发 (Event Counter): 生次数 2. 间隔计时器(Interv计量器(Resource Measure):记录某个时间内特定 动作所消耗的资源量
代理
代理应该安装在像数据库、Web服务器、DNS 服务器和文件服务器等重要的资源上 适合放置代理资源的列表
1 1、账号、人力资源和研发数据库 2、局域网和广域网的骨干,包括路由器和交换机 3、临时工作人员的主机 4、SMTP,HTTP和FTP服务器 5、Modem池服务器和交换机、路由器、集线器 6、文件服务器 7、新的网络连接设备
管理式入侵检测模型
基于SNMP的IDS模型,简称SNMP-IDSM
攻击者采取的步骤
使用端口扫描、操作系统检测或者其他黑客工 具收集目标有关信息 寻找系统漏洞并利用这些漏洞 攻击成功,清除日志记录或隐藏自己 安装后门 使用已攻破的系统作为跳板入侵其他主机
SNMP-IDSM的五元组
<WHERE, WHEN, WHO, WHAT, HOW> WHERE:描述产生攻击的位置 WHEN:事件的时间戳 WHO:表明IDS观察到的事件 WHAT:记录详细信息,如协议类型、协议说明 数据等 HOW:用来连接原始事件和抽象事件
异常记录
用以表示异常事件的发生情况 格式为: <Event, Time-stamp, Profile>,含义: 1. Event: 指明导致异常的事件,如审计数据 2. Time-stamp: 产生异常事件的时间戳 3. Profile: 检测到异常事件的活动简档
活动规则
入侵检测习题答案
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。
这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。
1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。
图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。
授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。
识别与认证系统识别主体和对象。
审计系统用来记录系统的活动信息。
该模型的实现采用访问控制机制来保证系统安全。
访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。
1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。
图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。
入侵检测技术-课后答案
. ..页脚第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第3章 入侵检测系统模型
3.2 信息收集
• 3.2.2 信息源的获取 • 入侵检测利用的信息源一般来自以下四个方面: • 1. 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利 用系统和网络日志文件信息是检测入侵的必要条件。日志中包 含发生在系统和网络上的不寻常和不期望活动的证据,这些证 据可以指出有人正在入侵或已成功入侵了系统。通过查看日志 文件,能够发现成功的入侵或入侵企图,并很快地启动相应的 应急响应程序。日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型的日志,就包含 登录、用户ID改变、用户对文件的访问、授权和认证信息等内 容。很显然地,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的企图访问 重要文件等等。
3.1 入侵检测系统模型概述
• 图:
3.2 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、 数据及用户活动的状态和行为。而且,需要在计算机网络 系统中的若干不同关键点(不同网段和不同主机)收集信 息,这除了尽可能扩大检测范围的因素外,还有一个重要 的因素就是从一个源来的信息有可能看不出疑点,但从几 个源来的信息的不一致性却是可疑行为或入侵的最好标识。
3.1 入侵检测系统模型概述
美中不足的是, IDS 普遍存在误报问题,导致入侵检 测的实用性大打折扣,采用智能处理模块解决这个问题, 智能处理模块包括下面功能: • 1. 全面集成入侵检测技术,将多个代理传送到管理器的数 据整合起来,经过智能处理,将小比例的多个事件整合形 成一个放大的全面事件图。 • 2. 对于一个特定的漏洞和攻击方法, IDS 先分析系统是 否会因为这个缺陷而被入侵,然后再考虑与入侵检测的关 联(报警)。
3.2 信息收集
网络安全防护策略研究
网络安全防护策略研究第1章绪论 (2)1.1 研究背景与意义 (2)1.2 国内外研究现状分析 (3)1.3 研究目标与内容 (3)第2章网络安全概述 (4)2.1 网络安全基本概念 (4)2.2 网络安全威胁与攻击手段 (4)2.3 网络安全防护体系架构 (4)第3章密码学基础 (5)3.1 密码学基本概念 (5)3.1.1 加密算法 (5)3.1.2 加密密钥 (5)3.1.3 密码分析 (5)3.2 对称密码体制 (5)3.2.1 基本概念 (6)3.2.2 加密算法 (6)3.2.3 应用 (6)3.3 非对称密码体制 (6)3.3.1 基本概念 (6)3.3.2 加密算法 (6)3.3.3 应用 (6)3.4 混合密码体制 (6)3.4.1 基本原理 (6)3.4.2 优势 (6)第4章认证技术 (7)4.1 认证技术概述 (7)4.2 数字签名技术 (7)4.3 身份认证协议 (7)4.4 认证技术在网络安全中的应用 (8)第5章访问控制策略 (8)5.1 访问控制基本概念 (8)5.2 自主访问控制 (8)5.3 强制访问控制 (9)5.4 基于角色的访问控制 (9)第6章网络安全防护技术 (9)6.1 防火墙技术 (9)6.2 入侵检测与防御系统 (10)6.3 虚拟专用网络 (10)6.4 网络隔离技术 (10)第7章恶意代码防范 (10)7.1 恶意代码概述 (10)7.2 计算机病毒防护策略 (10)7.2.1 预防措施 (10)7.2.2 检测与清除 (11)7.3 蠕虫防护策略 (11)7.3.1 预防措施 (11)7.3.2 检测与防御 (11)7.4 木马防护策略 (11)7.4.1 预防措施 (11)7.4.2 检测与清除 (11)第8章网络安全监测与预警 (12)8.1 网络安全监测技术 (12)8.1.1 入侵检测技术 (12)8.1.2 流量监测技术 (12)8.1.3 协议分析技术 (12)8.2 网络安全态势感知 (12)8.2.1 安全态势评估 (12)8.2.2 安全态势预测 (12)8.3 网络安全预警体系 (12)8.3.1 预警体系结构 (12)8.3.2 预警流程 (13)8.3.3 预警技术 (13)8.4 网络安全事件应急响应 (13)8.4.1 应急响应体系 (13)8.4.2 应急响应流程 (13)8.4.3 应急响应技术 (13)第9章信息安全管理体系 (13)9.1 信息安全管理体系概述 (13)9.2 信息安全策略制定 (13)9.3 信息安全风险管理 (14)9.4 信息安全审计与评估 (14)第10章网络安全防护策略发展趋势与展望 (15)10.1 网络安全防护技术发展趋势 (15)10.2 我国网络安全防护策略挑战与机遇 (15)10.3 网络安全防护策略创新方向 (15)10.4 未来网络安全防护策略展望 (16)第1章绪论1.1 研究背景与意义信息技术的飞速发展,互联网已深入到社会生活的各个领域,对人们的工作、学习和生活产生深远影响。
网络安全课后习题答案
第一章绪论1.1.1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
1.3.1计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
计算机网络安全选择题
计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。
2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。
3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。
4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。
5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。
6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。
7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。
8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。
9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。
10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。
第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。
C.5D.6标准答案是:A。
3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。
《网络安全技术》习题与答案
答:攻击者意图在两组合同中各选一份使得其杂凑值相同,既非 弱碰撞攻击也非强碰撞攻击,而是介于两者之间的一种形式。为 计算成功概率,先考虑 M 组中的一份合同均不与 M-组中任一份合 同杂凑值相同的概率:ρ1=(1-1/264)^232;其次,当 M 组中的任 一份合同都满足这一条件时,攻击者才会失败,对应概率为:ρ 2=ρ1^232=((1-1/264)^232)^232=(1-1/264)^264;最后,攻击者成功的 概率则为:ρ=1-ρ2=1-(1-1/264)^264。其中^表示乘方运算。
PDRR 模型在 P2DR 模型的基础上把恢复环节提到了和防护、检测、 响应等环节同等的高度,保护、检测、恢复、响应共同构成了完 整的安全体系。PDRR 也是基于时间的动态模型,其中,恢复环节 对于信息系统和业务活动的生存起着至关重要的作用,组织只有 建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难 事件中尽快恢复并延续业务。
WPDRRC 模型全面涵盖了各个安全因素,突出了人、策略、管理的 重要性,反映了各个安全组件之间的内在联系。该模型主要由六 个元素构成:预警、保护、检测、响应、恢复、反击。
6. 试分析古典密码和现代密码的异同?
答:在 1949 年之前,是密码发展的第一阶段—古典密码体制。古 典密码体制是通过某种方式的文字置换和移位进行,这种置换或 移位一般是通过某种手工或机械变换方式进行转换,同时简单地 使用了数学运算。古典密码的安全性主要依赖对算法本身的保密, 密钥的地位和作用并不十分突出。虽然在古代加密方法中已体现 了密码学的若干要素,但它只是一门艺术,而不是一门科学。
4. 何谓业务填充技术?主要用途如何?
答:所谓的业务填充即使在业务闲时发送无用的随机数据,增加 攻击者通过通信流量获得信息的困难,是一种制造假的通信、产
僵尸网络攻击的检测和防范研究
僵尸网络攻击的检测和防范研究第一章僵尸网络攻击概述在互联网时代,网络安全问题已经成为了各行各业都必须面对的问题,因为网络攻击随着网络化的发展而日益猖獗,其中最为常见的攻击方式是僵尸网络攻击。
僵尸网络攻击指的是利用大量被感染的计算机,自动化发起攻击,从而影响受害者的机器或者网络资源的正常使用,以达到攻击者的目的。
传统的反病毒软件需要及时升级才能发现新型病毒,而僵尸网络攻击在策略和技术上都具有灵活性和隐蔽性,因此,如何检测和防范僵尸网络攻击是一个亟待解决的问题。
第二章僵尸网络攻击的类型僵尸网络攻击主要分为以下几种类型:1.拒绝服务攻击(DoS)拒绝服务攻击旨在使受害者的网络或系统资源不可用,以达到攻击者的目的。
攻击者通过发送大量的请求,消耗网络或系统的资源,从而导致其崩溃。
该类型的攻击最常见的形式是分布式拒绝服务攻击(DDoS),攻击者会利用大量感染机器同时向一个目标发起攻击,因而更加有威力和难以抵御。
2.数据窃取攻击攻击者通过感染用户计算机,获取其敏感信息等。
数据窃取攻击可以利用用户误操作、漏洞等多种方式进行攻击。
3.恶意软件攻击攻击者通过在计算机中植入病毒、木马等恶意软件,实现获取计算机信息、窃取敏感信息等目的。
常用的攻击手段包括邮件附件、下载网站等。
4.网络钓鱼攻击网络钓鱼攻击是攻击者通过伪装成合法机构的方式,欺骗受害者的账号密码、信用卡等敏感信息,造成财产损失等危害。
第三章僵尸网络攻击的检测技术1.数据分析技术数据分析技术可以根据僵尸网络攻击活动对用户网络流量、网络行为等进行分析,以便发现僵尸网络攻击的痕迹。
该技术主要应用于实时监控和日志分析等方面。
2.特征分析技术特征分析技术可以根据已知的僵尸网络攻击特征,对用户网络行为、攻击流量等进行比对和分析。
该技术除了能够提前识别攻击外,还能够为网络管理者提供针对性防护手段。
3.机器学习技术机器学习技术主要包括监督学习、无监督学习和半监督学习等。
通过统计数据分析、聚类、分类等方法,学习识别僵尸网络攻击行为和攻击特征,提高检测的准确率和发现率。
网络安全威胁检测与防御技术
网络安全威胁检测与防御技术第一章引言随着互联网的普及和发展,网络安全问题变得日益突出。
网络安全威胁对个人、企业和国家的信息资产造成了巨大的威胁。
为了保护网络安全,各界人士不断探索网络安全威胁检测与防御技术,以应对日益复杂和高级的网络攻击。
第二章网络安全威胁的分类与特点网络安全威胁可以根据其来源、性质和影响程度进行分类。
常见的网络安全威胁包括计算机病毒、网络蠕虫、黑客攻击、病毒木马、网络钓鱼等。
这些威胁具有隐藏性强、传播速度快、破坏力大等特点,给网络安全带来了巨大的挑战。
第三章网络安全威胁检测技术网络安全威胁检测技术是指通过监测和分析网络流量,识别出潜在的安全风险和威胁。
常见的网络安全威胁检测技术包括入侵检测系统(IDS)、入侵防御系统(IPS)、行为分析等。
IDS可以实时监控网络流量,检测出潜在的攻击活动。
IPS则可以根据检测到的攻击行为采取相应的防御措施。
行为分析则是通过分析用户的行为模式,识别出异常行为可能引发的安全威胁。
第四章网络安全威胁防御技术网络安全威胁防御技术旨在建立完善的网络安全防护体系,保护网络免受各种威胁的侵害。
常见的网络安全威胁防御技术包括访问控制、加密技术、安全认证等。
访问控制通过限制用户对网络资源的访问权限,防止未经授权的访问。
加密技术可以对敏感数据进行加密,确保数据在传输和存储过程中的安全性。
安全认证则是通过身份验证机制,确保只有合法用户可以访问网络资源。
第五章网络安全威胁检测与防御技术的发展趋势随着网络安全威胁的日益增多和复杂化,网络安全威胁检测与防御技术也在不断发展。
未来的网络安全威胁检测与防御技术将更加注重实时性和自动化、智能化。
机器学习、人工智能等技术将逐渐应用于网络安全领域,提高检测精度和防御效果。
同时,网络安全威胁检测与防御技术也需要与法律法规相结合,形成完善的网络安全法律体系。
第六章结论网络安全威胁对个人、企业和国家的信息资产构成了巨大的威胁。
网络安全威胁检测与防御技术的发展对于保护网络安全具有重要意义。
入侵检测技术在网络安全中的应用
第一章绪论1.1入侵检测和网络安全研究现状网络技术给生产和生活带来了方便,人们之间的距离也因网络的存在而变得更近。
同时,计算机系统和网络也面临着日益严重的安全问题。
利用漏洞,攻击者可能简单地得到系统的控制权;利用病毒、蠕虫或木马,攻击者可以让攻击自动进行,控制数量众多的主机;甚至发起拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击。
不少攻击工具功能比过去完善,攻击者在使用时不需要编程知识,使得网络攻击的门槛变低。
攻击者的目的性比过去更为明确,经济利益驱使他们在网络中进行诈骗、盗窃、获取秘密等犯罪行为。
面对网络中海量的、转瞬即逝的数据,发现攻击并对其取证的工作十分困难。
目前,网络安全设备种类繁多,功能强大,但配置仍然相对复杂。
常见的安全设备有防火墙、反病毒设备、入侵检测/防御、虚拟专用网及与审计相关的认证、授权系统。
只有建立完整的网络安全系统,才有可能保证网络的安全。
如果网络安全体系没有在网络建设的开始就加以考虑,而是在完成网络结构的设计后再向网络中添加安全设备,可能会造成更大的安全漏洞和隐患。
入侵检测作为网络安全技术中最重要的分支之一,入侵检测系统能够及时发现攻击并采取相应措施,它有着传统的防火墙、安全审计工具所没有的特点。
通过对网络关键节点中的数据进行收集和分析检测,发现可能的攻击行为。
1.2本课题的研究意义网络安全关乎国家安全,建立网络安全体系结构需要可靠的入侵检测系统。
对国外优秀的开源入侵检测系统进行分析和研究,并对其加以改进,对开发拥有自主知识产权的入侵检测系统有着积极的意义。
第二章入侵检测和网络安全概述2.1入侵检测系统概述2.1.1入侵和入侵检测的概念入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。
入侵是一个广义的概念,不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等危害计算机和网络的行为。
入侵行为主要有以下几种:①外部渗透指既未被授权使用计算机,又未被授权使用数据或程序资源的渗透;②内部渗透指虽被授权使用计算机,但是未被授权使用数据或程序资源的渗透;③不法使用指利用授权使用计算机、数据和程序资源的合法用户身份的渗透。
网络安全期末备考必备——填空题打印
第1章网络安全概论(1) 计算机网络安全是一门涉及、、、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。
答案: 计算机科学、网络技术、信息安全技术(2) 网络安全的 5 大要素和技术特征,分别是 ______、______、______、______、______。
答案: 机密性、完整性、可用性、可控性、不可否认性(3) 计算机网络安全所涉及的内容包括是、、、、等五个方面。
答案: 实体安全、运行安全、系统安全、应用安全、管理安全(4) 网络信息安全保障包括、、和四个方面。
(5) 网络安全关键技术分为、、、、、、和八大类。
(6) 网络安全技术的发展具有、、、的特点。
(7) TCSEC是可信计算系统评价准则的缩写,又称网络安全橙皮书,将安全分为、、和文档四个方面。
(8)通过对计算机网络系统进行全面、充分、有效的安全评测,能够快速查出、、。
答案:(4) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力第2章网络安全技术基础2. 填空题(1)应用层安全分解成、、的安全,利用各种协议运行和管理。
解答: (1)网络层、操作系统、数据库、TCP/IP(2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。
解答:(2)保密性、可靠性、SSL 记录协议、SSL握手协议(3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。
解答:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层(4)ISO对OSI规定了、、、、五种级别的安全服务。
解答: 对象认证、访问控制、数据保密性、数据完整性、防抵赖(5)一个VPN连接由、和三部分组成。
一个高效、成功的VPN具有、、、四个特点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2. Windows 2000 Windows 2000以事件日志机制形式提供数据源, 使用事件查看器进行查看和管理。可以根据事件的日 志记录来识别和跟踪安全性事件、资源使用情况,以 及系统和应用程序中发生的错误等。 Windows 2000事件日志机制收集3种类型的系统事 件: 应用程序日志、安全日志和系统日志,如图3-3 所示。右击某个记录,在“属性”中可以看到关于此 记录的详细说明。记录本身又分为几种情况: “错 误”是指比较严重的问题,通常是出现了数据丢失或 功能丢失;“警告”则表明情况暂时不严重,但可能 会在将来引起错误,比如磁盘空间太小等;“信息” 是记录运行成功的事件。
第3章 入侵检测技术的分类 章
3.1 入侵检测的信息源 3.2 分类方法 3.3 具体的入侵检测系 统
3.1 入侵检测的信息源
对于入侵检测系统而言,输入数据的选择是首先需 要解决的问题: ⑴ 入侵检测的输出结果,首先取决于所能获得的 输入数据的数量和质量。 ⑵ 具体采用的入侵检测技术类型,也常常因为所 选择的输入数据的类型不同而各不相同。
图3-3 ws 2000事件查看器
① 应用程序日志记载应用程序运行方面的错误。 ② 安全日志记录与安全性相关的事件,例如与资 源使用有关的事件,还包括合法和非法的登录企图。 管理员可以指定将哪些事件记录在安全日志中。安全 性事件根据审计策略被记录在安全性日志中。注意, Windows 2000的默认安装是不打开任何安全日志审 核的,需要在“本地安全设置”→“本地策 略”→“审核策略”中打开相应的审核,如图3-4所 示。 ③ 系统日志包括由Windows 2000系统组件记录的 事件,系统事件由Windows 2000自动配置,并记录 在系统日志中。 所有用户都能够查看应用程序日志和系统日志,但 安全性日志只能由系统管理员访问。
当前根目录、工作目录及其绝对路径
请求(系统调用)返回值
图3-1 BSM审计记录格式
Header Token token ID record size event type * time of queue * Process Token token ID audit ID * user ID * feal user ID real group ID* process ID*
syslog可以记录系统事件,可以写消息到一个文件 或设备,或是直接给用户发送一个信息。它能记录本 地日志或通过网络记录另一个主机上的日志。syslog 设备包括两个重要元素: /etc/syslogd(守护程序) 和/etc/syslog.conf 配置文件。 syslogd可以处理的消息类型在 /usr/include/sys/syslog.h中进行定义。一个消息可以 分成两个部分: “设备”和“优先级”。“设备” 标识发出消息的子系统,这是内核定义的所有的设备, 如表3-2所示。 下面是在内核头文件中定义的所有消息优先级。 “优先级”表示消息的重要性,其范围从7(最低) 到0(最高)。
1. Sun Solaris BSM Sun公司的Solaris操作系统是目前流行的服务器 UNIX操作系统,其中包含的BSM安全模块使得 Solaris系统满足TCSEC标准的C2级审计功能要求。 BSM安全审计子系统的主要概念包括审计日志、审 计文件、审计记录和审计令牌等,其中审计日志由一 个或多个审计文件组成,每个审计文件包含多个审计 记录,而每个审计记录则由一组审计令牌(audit token)构成。 图3-1所示为BSM审计记录的格式。 每个审计令牌包括若干字段,如图3-2所示。
Path Token token ID size of root current root size of dir current dir size of path path argument * Attribute Token token ID vnode mode * vnode uid * vnode gid * vnode fsid * vnode nodeid * vnode rdev *
右击每条日志,选择属性,可以看见对此日志条目 的具体描述。描述信息清晰地说明了此事件相关的情 况,如图3-5所示。 利用事件查看器可以根据特定需求快速地查看和筛 选事件日志。事件查看器还可以管理事件日志。 通过查看和分析事件日志,可以检测出需要系统管 理员加以重点考虑的事件。根据对这些事件日志的分 析,可能需要解决相关的安全问题、系统问题,或者 对资源进行重新分配等。另外,可能还需要就审核策 略、监视设置值、安全性设置值、应用程序配置,以 及系统配置问题等提供改进建议。
Header* Process* [Argumnet]* [Attribute]* [Data] [In_addr] [Ip] [Ipc_perm] [Ipc] [Iport] [Path]* [Text] [Groups] [Opaque] [Return]* [Trailer]
首令牌字段 审计进程信息 系统调用参数信息 属性信息
③ 时间: 事件产生的详细时间,精确到秒。 ④ 来源: 事件的生成者,有很多种类的来源。例 如disk、Srv、SNMP、Windows File Protection等, 这其中有来自操作系统内部程序的,也有来自应用程 序的。 ⑤ 分类: 对事件的分类,如系统事件、特权使用、 登录/注销、Firing Agent等。 ⑥ 事件: 事件ID。Windows 2000用不同的ID来表 明惟一的事件。 ⑦ 用户: 用户名称。包括N/A、SYSTEM、 Administrator等。 ⑧ 计算机: 计算机名称。可以是本地计算机,也 可以是远程计算机。
utmp、wtmp和lastlog是二进制文件,不能用普通 文本查看器查看,只能通过系统命令来查看,主要包 括用户名、终端、登录ip、CPU使用时间、正在运行 的进程、登录时间和退出时间等内容。 UNIX可以跟踪每个用户运行的每条命令。该功能 (称为进程日志)对于跟踪系统问题十分有用。它还 对跟踪特定入侵者(或恶意用户)的活动很有帮助, 但它的缺点是不能记录命令的参数。进程日志文件的 名称和位置在不同UNIX 版本中有所不同。 与连接日志不同,进程日志默认时并不激活,它必 须显式地启动。 lastcomm命令报告以前执行的命令。sa命令报告、 清理并维护进程日志文件。
3.1.1 操作系统的审计记录
在入侵检测技术的发展历史中,最早采用的用于入 侵检测任务的输入数据源就是操作系统的审计记录。 操作系统的审计记录是由操作系统软件内部的专门审 计子系统所产生的,其目的是记录当前系统的活动信 息,并将这些信息按照时间顺序组织成为一个或多个 审计文件。 不同的系统在审计事件的选择、审计记录的选择和 内容组织等诸多方面都存在着兼容性的问题。另外一 个存在的问题是,操作系统审计机制的设计和开发的 初始目标,并不是为了满足后来才出现的入侵检测技 术的需求目的。
LOG_EMERG 0 /* system is unusable */ LOG_ALERT 1 /* action must be taken immediately */ LOG_CRIT 2 /* critical conditions */ LOG_ERR 3 /* error conditions */ LOG_WARNING 4 /* warning conditions */ LOG_NOTICE 5 /* normal but significant condition */ LOG_INFO 6 /* informational */ LOG_DEBUG 7 /* debug-level messages */
图3-5 事件属性信息
3.1.2 系统日志
系统使用日志机制记录下主机上发生的事情,无论 是对日常管理维护,还是对追踪入侵者的痕迹都非常 关键。日志可分为操作系统日志和应用程序日志两部 分。操作系统日志从不同的方面记录了系统中发生的 事情,对于入侵检测而言具备重要的价值。 系统日志的安全性与操作系统的审计记录比较而言, 要差一些,其原因如下: ⑴ 产生系统日志的软件通常是在内核外运行的应 用程序,因而这些软件容易受到恶意的修改或攻击。 ⑵ 系统日志通常是存储在普通的不受保护的文件 目录里,容易受到恶意的篡改和删除等操作。
操作系统审计记录被认为是基于主机入侵检测技术 的首选数据源: ⑴ 操作系统的审计系统在设计时,就考虑了审计 记录的结构化组织工作以及对审计记录内容的保护机 制,因此操作系统审计记录的安全性得到了较好的保 护。 ⑵ 操作系统审计记录提供了在系统内核级的事件 发生情况,反映的是系统底层的活动情况并提供了相 关的详尽信息,为发现潜在的异常行为特征奠定了良 好的基础。 下面分别介绍两种流行的操作系统Sun Solaris和 Windows 2000的审计系统机制及审计记录格式。
图3-2 BSM审计令牌格式
每个BSM审计记录都揭示了一次审计事件(audit event)的发生。BSM审计机制中定义了若干审计事 件类型,而通常的入侵检测系统仅使用了其中部分事 件类型,其他则丢弃。不同的审计事件类型所生成的 审计记录,都会包含不同的审计令牌组合。一般而言, Header、Process、Return和Trailer令牌字段是固定 字段。 BSM审计记录以二进制的形式进行存储,其字段结 构和数据结构大小都实现了预先定义,从而提供了在 不同平台系统间进行移植的兼容性。
图3-4 审核策略的指定
Windows 2000的事件日志由多个事件记录组成, 如图3-3所示,事件查看器中的3种类型日志,其所包 含的事件日志的格式统一如下所示。 ① 类型: 事件查看器显示以下5种事件类型。 ● 错误: 重要的问题,如数据丢失或功能丧失。 ● 警告: 不是非常重要但将来可能出现的问题的 事件。 ● 信息: 描述应用程序、驱动程序或服务的成功 操作的事件。 ● 成功审核: 审核安全访问尝试成功。 ● 失败审核: 审核安全访问尝试失败。 ② 日期: 事件产生的详细日期。
③syslogd日志,由syslogd生成并维护。各种系统 守护进程、内核、模块使用syslogd记录下自己发出 的消息。 另外还有许多UNIX程序创建日志,像http 或ftp这 样提供网络服务的服务器也保持详细的日志。常用的 日志文件如表3-1所示。 utmp、wtmp和lastlog日志文件是多数主要UNIX日 志子系统的关键——保持用户登录进入和退出的记录。 数据交换、关机和重启也记录在wtmp文件中。所有 的记录都包含时间戳。这些文件的规模(除了lastlog) 在拥有大量用户的繁忙系统中,将会增长得非常迅速。 许多系统以天或周为单位把wtmp配置成循环使用。