入侵检测复习总结

1.IP欺骗的实质：IP地址隐藏、TCP序列号重置、IP地址验证。

利用IP地址的攻击方法：解密、窃取口令、发送病毒。

2.信息系统面临的三种威胁：非人为因素和自然力造成的数据丢失，设备失效，

线路阻断、人为但属于操作人员五一的失误造成的数据丢失、来自外部或内部人员的恶意攻击和入侵。

信息分析的方法/技术手段：模式匹配、统计分析、完整性分析、数据流分析。

信息分析的技术手段：模式匹配、统计分析、完整性分析（用于事后分析）。

3.入侵检测：对入侵行为的发觉，他通过从计算机网络或计算机系统的若干关

键点收集信息，并对其进行分析。从中发现是否有违反安全策略的行为和被攻击的迹象。

入侵检测模型的活动档案中未定义的随机变量：事件计数器、间隔计数器、资源计数器。

入侵检测系统的主体的分类：中心主体、分析主体、主机主体和网络主体。

入侵检测模型的第一阶段任务：信息收集、信息分析、信息融合。

入侵检测系统的组成：事件产生器、事件分析器、响应单元。

入侵检测性能的会受什么参数影响：检测率、虚警率。

入侵检测的不足：有效性差、适应性差、扩展性差、伸展性差。

入侵检测基础和核心是：信息收集，信号分析。

入侵攻击6步骤：确认目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日志。

按照检测数据的来源可将入侵检测系统分为：基于主机的IDS和基于网络的的IDS。

从技术分类入侵检测可分为：基于标识和基于异常情况。

从数据来源入侵检测可分为：基于主机的入侵检测和基于网络的入侵检测。

从数据分析手段来看：滥用入侵检测、异常入侵检测。

入侵检测原理的四阶段：数据收集、数据处理、数据分析、相应处理。

入侵检测的模型：操作模型、方差模型、多元模型、马尔可夫过程模型、时间序列分析模型。

入侵检测系统模型的3模块：信息收集模块、信息分析模块、报警与响应模块。

入侵检测利用的信息来源：系统和网络日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵。

入侵检测系统的6个作用：通过检测和记录网络中的安全违规行为，惩罚罪犯、检测其他安全措施未能阻止的攻击或安全违规行为、检测黑客在攻击前的探测行为，预先发出警告、报告计算机系统或网络中的存在的安威胁、提供有关攻击的信息，帮助管理员诊断网络中的安全弱点进而修补、可以提高网络安全管理的质量。

入侵检测技术的局限性：误报和漏报的矛盾、安全和隐私的矛盾、被动和主动分析的矛盾、海量信息和分析代价的矛盾、功能性和可管理性的矛盾、单一产品和复杂的网络应用的矛盾。

入侵检测的发展阶段：入侵检测系统（IDS）、入侵防御系统（IPS）、入侵管理系统（IMS）。

4.误用入侵检测的思想是：若所有的入侵行为和手段都能够表达为一种模式或

特征，那所有已知的入侵方法都可以用模式匹配来发现。难点在于如何设计

模式，使其既表达入侵又不会将正常的活动包含起来。误用入侵检测优缺点:基于模式匹配原理,误用模式能明显降低误报率，但漏报率会增加，攻击特征细微变化，误用检测会无能为力。误用入侵检测系统的类型：专家系统、模型推理系统、模式匹配系统、状态转换分析系统。

异常入侵检测：检测所有从网络到本地的链接等并发现不正常的、有入侵倾向的链接并阻止。异常入侵检测的优缺点：漏报率低，误报率高。特点：检测系统的效率取决于用户轮廓的完备性和监控的频率，不需对每种入侵行为进行定义，能有效检测未知的入侵，能针对用户行为的改变进行自我调整和优化。异常入侵检测方法：统计分析、模式预测、数据挖掘、神经网络、免疫系统、特征选择、贝叶斯推理、贝叶斯网络、贝叶斯聚合。

5.CIDF中，IDS各组件间通过CISL来进行入侵检测和警告信息内容的通信。

CIDF的互操作主要有：配置互操作、语义互操作、语法互操作。

6.IDMEF：使用TLS解决数据的安全传输问题！

7.Snort：一个网络入侵检测软件、用C语言写成、使用插件技术来实现模块化

功能。其命令参数：-A,-a,-b

Snort的工作模式：嗅探器、包记录器、网络入侵检测系统。

Snort的组成：解码器、检测引擎、日志/报警系统。

Sonre的优点：自由、简洁、快速、易于扩展。

8.数据预处理的功能：数据集成、数据清理、数据交换、数据简化。

9.IDWG的标准钟。有关入侵检测和警报的数据模型有：基于XML的数据模型、

面性对象的数据模型。

10.攻击/诱发入侵的根本原因：信息系统的漏洞是产生攻击的根本原因。

完整性攻击：网络安全中，截取是指对未授权的实体得到了资源的访问权模拟攻击：软件测试的表不可少的功能，由此来验证IDS是否能够验检测到这些攻击。

入侵攻击：确认目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日志。

拒绝服务攻击：利用协议或操作系统实现时的漏洞来达到攻击的目的。

欺骗攻击的类型：IP，ARP，DNS，源路由，URL。

拒绝服务攻击：攻击者想办法让目标主机停止提供服务或资源访问。

攻击原理：SYN洪流攻击、IP欺骗拒绝服务攻击、UDP洪流攻击、ping洪流攻击、泪滴攻击、Land攻击、Smurf攻击、Fraggle攻击。

其他攻击：数据库（SQ语句注入）攻击、木马攻击等。

11.Tp>td+tRd:

tp：保护安全目标设置各种保护后的防护时间

td：系统检测到入侵行为的所用时间。

trd:系统做出防护后，恢复到正常状态的时间。

12.漏洞的概念：在软件，硬件，协议的具体实现或系统安全策略上存在的缺陷，

使攻击者在未授权的情况下访问或破坏系统，会影响很大范围内的软件，硬件，以及操作系统本身，服务器等等。漏洞的具体表现：存储介质不安全、数据的可访问性、信息的聚生性、保密的困难性、电磁的泄漏性、电磁的泄漏性、通信网络的脆弱性、软件的漏洞。漏洞的分类：物理接触、主机模式、客户机模式、中间人模式。漏洞扫描：查找操作系统的或网络中存在的漏洞，并给出详细漏洞报告，使用户修补漏洞，确保系统安全，较少被攻击的可能