第7章 入侵检测技术

第7章入侵检测与防御技术7.1 入侵检测系统概述7.1.1 网络攻击的层次任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵，它可以是针对安全策略的违规行为、针对授权特征的滥用行为，还可以是针对正常行为特征的异常行为。

这些攻击可分为六个层次。

1．第一层第一层次的攻击一般是基于应用层的操作，第一层的各种攻击一般应是互不相干的。

典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击，这些攻击的目的只是为了干扰目标的正常工作，化解这些攻击一般是十分容易的。

拒绝服务发生的可能性很大，对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒绝列表中，使攻击者网络中所有主机都不能对你的网络进行访问。

第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话，然后设法了解哪些目录是共享的、哪些目录没被共享，如果在网络上采取了适当的安全措施，这些行为是不会带来危险的，如果共享目录未被正确地配置或系统正在运行远程服务，那么这类攻击就能方便得手。

网络上一旦发现服务拒绝攻击的迹象，就应在整个系统中查找攻击来源，拒绝服务攻击通常是欺骗攻击的先兆或一部分，如果发现在某主机的一个服务端口上出现了拥塞现象，那就应对此端口特别注意，找出绑定在此端口上的服务；如果服务是内部系统的组成部分，那就应该特别加以重视。

许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效，真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。

2．第二层和第三层第二层是指本地用户获得不应获得的文件(或目录)读权限，第三层则上升为获得写权限。

这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。

如果某本地用户获得了访问tmp目录的权限，那么问题就是很糟糕的，可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击，甚至可能继续下去。

本地攻击和其他攻击存在一些区别，“本地用户”(Local User)是一种相对的概念。

“本地用户”是指能自由登录到网络的任何一台主机上的用户。

《企业网安全高级技术》课程进程表总计学习课时为60 课时，其中理论课时为30 课时，实验课时为30 课时，适用专业：网络技术工程师TC专业，各章节课时分配如下：章节号章节名称理论课时分配实验课时分配说明第1章网络安全概述 1 1第2章网络协议分析 2 2第3章加密与认证技术33第4章PKI组件及其应用 3 3第5章VPN技术 3 3第6章防火墙技术 3 3第7章入侵检测技术 2 2第8章主机操作系统的安全 3 3第9章计算机病毒及防治 2 2第10章木马与后门 3 3第11章无线网络安全 2 2第12章企业网安全综合应用 3 3课时小计3030课时总计60《企业网安全高级技术》课程教学大纲适用专业：网络技术工程师专业（两年制系统方向）教材：企业网安全高级技术（XHJC-091-805）出版社：新华教育集团（北京）研究院教学环境：理实一体化教室考核方法：考试-课程实践执笔人:王海军审稿人:叶伟一、课程的性质与任务《企业网安全高级技术》课程属于网络工程应用专业必修课程。

通过本课程的学习，学生可以了解构建计算机网络及信息安全的安全策略，掌握建立有效的安全机制的方法。

在课程中学生可以了解不同类型的黑客活动、黑客的攻击范围及防止和控制黑客侵入的方法，同时掌握加密和身份验证方法及过程，保护Windows 2k和Linux 系统免于受到攻击、提高安全性能，以及防火墙的技术构成、体系结构及与Internet服务的结合，通过安全审核的不同阶段，掌握审计及日志分析的方法和基于主机及网络的入侵检测的方法及软件的使用。

本课程内容主要包括：网络安全的基本理论、加密技术与认证、VPN技术、防火墙技术与应用、操作系统安全等。

本课程遵循把所学理论应用于实际的原则。

应该把所有的安全技术从理论上为学生讲解清楚，其次每一种安全理论在实际的环境中的应用，每种安全技术的优缺点，以及每种安全技术的适用范围、能实现的安全目标，及在实际网络环境中的应用。

第7章病毒防护主讲：×××7.1 病毒的基本特征7.1.1 常见的计算机的病毒7.1.2 计算机病毒的基本结构7.1.3 计算机病毒的共同特征7.1.4 计算机病毒的新特点7.1.1 入侵检测方法1.木马病毒木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒程序还是木马。

木马病毒带有黑客性质，它有强大的控制和破坏能力，可窃取密码、控制系统、7.1.1 入侵检测方法2.宏病毒宏是一系列由用户编写或录制的命令和指令，用来实现任务执行的自动化。

的具有病毒特征的宏集合。

它的危害性大，以二进制文件加密压缩格式存入.doc或.dot文件中，所有打开的Word文档都会在自动保存时被传染。

7.1.1 入侵检测方法3.宏病毒蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，网络瘫痪。

蠕虫病毒的传染目标是互联网内的所有计算机，其传播方式分为两类：一类是利用系播。

7.1.1 入侵检测方法4.宏病毒PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。

PE病毒大多数采用Win 32文件）并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，PE病毒没本身没有什么危害，但被感染的文件可能被破坏。

7.1.1 入侵检测方法5.宏病毒脚本病毒通常是用JavaScript或者VBScript 通过网页进行传播，一旦用户运行了带有病毒的给用户使用计算机带来不便。

VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为典型代表。

VBS脚本病毒编写简单，破坏力大，感染力强。

这类病毒通传播范围大。

7.1.1 入侵检测方法5.恶意网页病毒网页病毒主要是利用软件或系统操作平台等本标记语言）内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件、格式化硬盘。

入侵检测习题答案第一章习题答案１.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答：计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个，它们分别是什么？答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征：太高，那么用户的合法行为就会经常性地被打断或者被禁止。

这样，不仅使得系统的可用性降低，而且也会使合法用户对系统失去信心。

1.3 描述并解释Anderson在１９７２年提出的计算机安全模型．答：Anderson在1972年提出了计算机安全模型，如图1.1所示。

图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。

授权数据库并不是安全参考监视器的一部分，但是安全参考监视器要完成控制功能需要授权数据库的帮助。

识别与认证系统识别主体和对象。

审计系统用来记录系统的活动信息。

该模型的实现采用访问控制机制来保证系统安全。

访问控制机制识别与认证主体身份，根据授权数据库的记录决定是否可以允许主体访问对象。

1.4 描述并解释P2DR模型.P2DR模型(Policy——策略，Protection—防护，Detection——检测，Response——响应)是一种动态的、安全性高的网络安全模型，如图1.3所示。

图1.3 P2DR模型它的基本思想是：以安全策略为核心，通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供了依据，当发现系统有异常时，根据系统安全策略快速作出响应，从而达到了保护系统安全的目的。

网络安全防护基础指南第1章网络安全基础概念 (3)1.1 网络安全的重要性 (3)1.2 常见网络安全威胁 (4)1.3 网络安全防护策略 (4)第2章网络硬件安全 (4)2.1 网络设备的选择与部署 (5)2.1.1 设备选型原则 (5)2.1.2 设备部署策略 (5)2.2 网络设备的安全配置 (5)2.2.1 基本安全配置 (5)2.2.2 高级安全配置 (5)2.3 网络设备的管理与维护 (5)2.3.1 设备管理 (6)2.3.2 设备维护 (6)第3章操作系统安全 (6)3.1 操作系统安全基础 (6)3.1.1 操作系统安全概述 (6)3.1.2 操作系统安全风险 (6)3.2 操作系统的安全配置 (7)3.2.1 更新操作系统 (7)3.2.2 关闭不必要的服务 (7)3.2.3 配置防火墙 (7)3.2.4 设置强密码 (7)3.2.5 限制用户权限 (7)3.3 操作系统补丁管理 (7)3.3.1 补丁概述 (7)3.3.2 补丁获取途径 (7)3.3.3 补丁安装策略 (7)第4章应用程序安全 (8)4.1 应用程序漏洞分析 (8)4.1.1 漏洞类型 (8)4.1.2 漏洞成因与影响 (8)4.1.3 漏洞检测与评估 (8)4.2 应用程序安全防护策略 (8)4.2.1 输入验证 (8)4.2.2 访问控制 (8)4.2.3 加密与安全通信 (8)4.2.4 安全编码规范 (8)4.3 应用程序安全开发实践 (9)4.3.1 安全开发原则 (9)4.3.2 安全开发流程 (9)4.3.4 安全培训与意识提升 (9)4.3.5 安全评估与持续改进 (9)第5章数据安全 (9)5.1 数据加密技术 (9)5.1.1 对称加密 (9)5.1.2 非对称加密 (9)5.1.3 混合加密 (10)5.2 数据备份与恢复 (10)5.2.1 数据备份 (10)5.2.2 数据恢复 (10)5.3 数据安全防护策略 (10)5.3.1 访问控制 (10)5.3.2 数据加密 (10)5.3.3 数据脱敏 (11)5.3.4 安全审计 (11)第6章网络边界安全 (11)6.1 防火墙技术 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙的类型 (11)6.1.3 防火墙的部署 (11)6.2 入侵检测与防御系统 (11)6.2.1 入侵检测系统（IDS） (11)6.2.2 入侵防御系统（IPS） (11)6.2.3 入侵检测与防御技术的应用 (12)6.3 虚拟私人网络（VPN） (12)6.3.1 VPN概述 (12)6.3.2 VPN的关键技术 (12)6.3.3 VPN的应用场景 (12)第7章网络入侵检测与防范 (12)7.1 网络入侵手段与检测方法 (12)7.1.1 网络入侵手段 (12)7.1.2 网络入侵检测方法 (13)7.2 入侵防范策略 (13)7.2.1 防范原则 (13)7.2.2 防范措施 (13)7.3 安全事件应急响应 (13)7.3.1 应急响应流程 (13)7.3.2 应急响应措施 (14)第8章网络安全审计与评估 (14)8.1 网络安全审计概述 (14)8.1.1 定义与作用 (14)8.1.2 审计标准与法规 (14)8.2 安全评估方法与工具 (15)8.2.2 安全评估工具 (15)8.3 安全审计与评估的实施 (15)第9章网络安全法律法规与标准 (16)9.1 我国网络安全法律法规体系 (16)9.1.1 法律层面 (16)9.1.2 行政法规与部门规章 (16)9.1.3 地方性法规、规章与政策 (16)9.2 国际网络安全标准与法规 (16)9.2.1 国际组织及标准 (16)9.2.2 欧盟网络安全法规 (16)9.2.3 美国网络安全法规 (16)9.3 网络安全合规性管理 (16)9.3.1 合规性评估 (16)9.3.2 合规性建设 (17)9.3.3 合规性监督与检查 (17)9.3.4 合规性风险管理 (17)第10章网络安全防护实践与案例分析 (17)10.1 网络安全防护体系建设 (17)10.1.1 防护策略制定 (17)10.1.2 防护技术选择 (17)10.1.3 安全设备部署 (17)10.1.4 安全运维与管理 (18)10.2 常见网络安全防护案例分析 (18)10.2.1 DDoS攻击防护案例 (18)10.2.2 数据泄露防护案例 (18)10.2.3 社交工程攻击防护案例 (18)10.2.4 内部威胁防护案例 (18)10.3 企业网络安全防护实践建议 (18)10.3.1 制定完善的安全政策和规章制度 (19)10.3.2 加强安全设备部署与管理 (19)10.3.3 增强数据安全保护 (19)10.3.4 定期进行安全检查与风险评估 (19)10.3.5 建立应急响应机制 (19)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保护计算机网络免受非法侵入和破坏，保证网络数据完整、机密和可用性的重要措施。

入侵检测习题答案————————————————————————————————作者：————————————————————————————————日期：2第一章习题答案１.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答：计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个，它们分别是什么？答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征：●机密性（confidentiality）：机密性是指数据不会泄漏给非授权的用户、实体，也不会被非授权用户使用，只有合法的授权用户才能对机密的或受限的数据进行存取。

●完整性（Integrity）：完整性是指数据未经授权不能被改变。

也就是说，完整性要求保持系统中数据的正确性和一致性。

不管在什么情况下，都要保护数据不受破坏或者被篡改。

●可用性（Availability）：计算机资源和系统中的数据信息在系统合法用户需要使用时，必须是可用的。

即对授权用户，系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。

●可控性（Controliability）：可控性是指可以控制授权范围内的信息流向及行为方式，对信息的访问、传播以及具体内容具有控制能力。

同时它还要求系统审计针对信息的访问，当计算机中的泄密现象被检测出后，计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者，入侵者对此不能够抵赖。

网络安全与入侵检测技术研究第一章：引言近年来，随着互联网的快速发展和普及，网络安全问题也越来越引起人们的关注。

网络安全涉及到个人隐私保护、数据泄露、网络入侵等诸多问题，而网络入侵检测技术作为网络安全的重要组成部分，发挥着重要的作用。

本文将围绕网络安全与入侵检测技术展开研究。

第二章：网络安全的背景与概念2.1 网络安全的背景发展2.2 网络安全的概念与要求第三章：入侵检测技术概述3.1 入侵检测技术的定义与分类3.2 入侵检测技术的原理与流程第四章：基于统计方法的入侵检测技术4.1 统计方法的原理与特点4.2 统计方法在入侵检测中的应用第五章：基于机器学习的入侵检测技术5.1 机器学习的基本概念与算法5.2 机器学习在入侵检测中的应用第六章：基于深度学习的入侵检测技术6.1 深度学习的原理与特点6.2 深度学习在入侵检测中的应用第七章：入侵检测技术的评估与优化7.1 入侵检测技术的评估指标7.2 入侵检测技术的优化方法第八章：网络安全与入侵检测技术的发展趋势8.1 云计算与大数据对网络安全的影响8.2 AI技术在入侵检测中的应用前景第九章：结论总结本文的研究内容和所得结果，对网络安全与入侵检测技术的发展提出展望，并指出未来研究的方向与重点。

以上就是关于网络安全与入侵检测技术的研究的章节划分，通过对网络安全的背景与概念的介绍，对入侵检测技术的概述，以及基于统计方法、机器学习和深度学习等方法的应用，对入侵检测技术的评估与优化等方面的研究，我们可以更好地理解网络安全与入侵检测技术的相关内容，以及其在实际应用中的意义和价值。

同时，通过对未来网络安全与入侵检测技术的发展趋势的展望，也可以为相关研究者提供一定的指导和启示，进一步推动该领域的研究和发展。

网络安全必将成为未来互联网发展的重要组成部分，而入侵检测技术的研究和创新将起到关键的推动作用。