入侵檢測技術(shù)總結(jié)

入侵是對信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進行的操作。

入侵檢測(IntrusionDetection)是對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程。審計數(shù)據(jù)的獲取是主機入侵檢測技術(shù)的重要基石，是進行主機入侵檢測的信息來源。網(wǎng)絡(luò)數(shù)據(jù)包的截獲是基于網(wǎng)絡(luò)的入侵檢測技術(shù)的工作基石。

根據(jù)網(wǎng)絡(luò)類型的不同，網(wǎng)絡(luò)數(shù)據(jù)截獲可以通過兩種方法實現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性，另一種是通過設(shè)置路由器的監(jiān)聽端口或者是鏡像端口來實現(xiàn)。

主機入侵檢測所要進行的主要工作就是審計數(shù)據(jù)的預(yù)處理工作，包括映射、過濾和格式轉(zhuǎn)換等操作。預(yù)處理工作的必要性體現(xiàn)在一下幾個方面：①不同目標(biāo)系統(tǒng)環(huán)境的審計記錄格式不相同，對其進行格式轉(zhuǎn)換的預(yù)處理操作形成標(biāo)準(zhǔn)記錄格式后，將有利于系統(tǒng)在不同目標(biāo)平臺系統(tǒng)之間的移植；同時，有利于形成單一格式的標(biāo)準(zhǔn)審計記錄流，便于后繼的處理模塊進行檢測工作②對于審計系統(tǒng)而言，系統(tǒng)中所發(fā)生的所有可審計活動都會生成對應(yīng)的審計記錄，因此對某個時間段而言，審計記錄的生成速度是非�？斓�，而其中往往大量充斥著對于入侵檢測而言無用的事件記錄。所以，需要對審計記錄流進行必要的映射和過濾等操作。

構(gòu)建狀態(tài)轉(zhuǎn)移圖的過程大致分為如下步驟：①分析具體的攻擊行為，理解內(nèi)在機理②確定攻擊過程中的關(guān)鍵行為點③確定初始狀態(tài)和最終狀態(tài)

④從最終狀態(tài)出發(fā)，逐步確定所需的各個中間狀態(tài)及其應(yīng)該滿足的狀態(tài)斷言組

文件完整性檢查的目的是檢查主機系統(tǒng)中文件系統(tǒng)的完整性，及時發(fā)現(xiàn)潛在的針對文件系統(tǒng)的無意或者惡意的更改。

檢測引擎的設(shè)計是基于網(wǎng)絡(luò)入侵檢測的核心問題。檢測引擎可分為兩大類：嵌入式規(guī)則檢測引擎和可編程的檢測引擎。類型優(yōu)點在小規(guī)則集合情況下，工作速度快檢測規(guī)則易于編寫、便于理解并且容易進行定制對新出現(xiàn)的攻擊手段，具備快速升級支持能力對低層的簡單腳本攻擊行為，具備良好的檢測性能對所發(fā)生的攻擊行為類型，具備確定性的解釋能力缺點隨著規(guī)則集合規(guī)模的擴大，檢查速度迅速下降各種變種的攻擊行為，易于造成過度膨脹的規(guī)則集合較易產(chǎn)生虛警信息僅能檢測到已知的攻擊類型，前提是該種攻擊類型的檢測特征已知在小規(guī)則集合情況下，初始的檢測速度相對較慢檢測規(guī)則比較復(fù)雜，難以編寫和理解并且通常是由特定廠商實現(xiàn)協(xié)議復(fù)雜性的擴展以及實際實現(xiàn)的多樣性，容易導(dǎo)致規(guī)則擴展的困難對發(fā)現(xiàn)的攻擊行為類型，缺乏明確的解釋信息特征分析協(xié)議分析具備良好的性能可擴展性，特別是在規(guī)則集合規(guī)模較大的情況下能夠發(fā)現(xiàn)最新的未知安全漏洞（Zero-DayExploits）較少出現(xiàn)虛警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵檢測系統(tǒng)主要包括3種類型的組件：主機監(jiān)控器（HostMonitor）、局域網(wǎng)監(jiān)控器（LANMonitor）和中央控制臺（Director）。

主機監(jiān)控器由主機事件發(fā)生器（HostEventGenerator,HEG）和主機代理（HostAgent）組成。

局域網(wǎng)監(jiān)控器由局域網(wǎng)事件發(fā)生器（LANEventGenerator,LEG）和局域網(wǎng)代理（LANAgent）組成�？刂婆_主要包括3個部分：通信管理器（CommunicationManager）、專家系統(tǒng)和用戶接口。入侵檢測專家系統(tǒng)（IDES,IntrusionDetectionExpertSystem）是一個混合型的入侵檢測系統(tǒng)，使用一個在當(dāng)時來說是創(chuàng)新的統(tǒng)計分析算法來檢測異常入侵行為，同時，該系統(tǒng)還用一個專家系統(tǒng)檢測模塊來對已知的入侵攻擊模式進行檢測。

人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲和處理信息機制而提出的一種智能化信息處理技術(shù)，它是由大量簡單的處理單元（神經(jīng)元）進行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。

神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測領(lǐng)域具有以下優(yōu)勢：①神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對不完整輸入信息具有一定程度的容錯處理能力。②神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。③神經(jīng)網(wǎng)絡(luò)所獨有的內(nèi)在并行計算和存儲特性。

神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的應(yīng)用還存在以下缺陷和不足：①需要解決神經(jīng)網(wǎng)絡(luò)對大容量入侵行為類型的學(xué)習(xí)能力問題。②需要解決神經(jīng)網(wǎng)絡(luò)的解釋能力不足的問題。③執(zhí)行速度問題。

數(shù)據(jù)挖掘（DataMining）是所謂“數(shù)據(jù)庫知識發(fā)現(xiàn)”（KnowledgeDiscoveryinDatabase,KDD）技術(shù)中的一個關(guān)鍵步驟，其提出的背景是解決日益增長的數(shù)據(jù)量與快速分析數(shù)據(jù)要求之間的矛盾問題，目標(biāo)是采用各種特定的算法在海量數(shù)據(jù)中發(fā)現(xiàn)有用的可理解的數(shù)據(jù)模式。

數(shù)據(jù)融合（Datafusion）是一種多層次的、多方面的處理過程，這個過程是對多源數(shù)據(jù)進行檢測、結(jié)合、相關(guān)估計和組合以達到精確的狀態(tài)估計和身份估計，以及完整、及時的態(tài)勢評估、本地資產(chǎn)評估和威脅評估。簡言之，數(shù)據(jù)融合的基本目的就是通過組合，可以比從任何單個輸入數(shù)據(jù)元素獲得更多的信息。進化計算的主要算法包括以下5中類型：遺傳算法（GeneticAlgorithm,GA）、進化規(guī)劃(EvolutionaryProgramming,EP)、進化策略(EvolutionaryStrategies,ES)、分類器系統(tǒng)(ClassifierSystem,CFS)和遺傳規(guī)劃(GeneticProgramming,GP)。

1、檢測功能需求2、響應(yīng)需求3、操作需求4、平臺范圍需求5、數(shù)據(jù)來源需求6、檢測性能需求7、可伸縮性需求8、取證和訴訟需求9、其他需求1、機制的經(jīng)濟性原則2、可靠默認原則3、完全調(diào)節(jié)原則4、開放設(shè)計原則5、特權(quán)分割原則6、最小權(quán)限原則7、最小通用原則8、心理科接受原則用戶需求分析入侵檢測系統(tǒng)的設(shè)計考慮系統(tǒng)安全設(shè)計原則系統(tǒng)設(shè)計的生命周期時鐘活動檔案（ActivityProfile）規(guī)則庫（Ruleset）事件生成器（EventGenerator）審計記錄/網(wǎng)絡(luò)數(shù)據(jù)包/應(yīng)用程序日志通用入侵檢測模型

事件生成器從給定的數(shù)據(jù)來源中（包括主機審計數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包和應(yīng)用程序的日志信息等），生成入侵檢測事件，并分別送入到活動檔案計算模塊和規(guī)則庫檢測模塊中�；顒訖n案模塊根據(jù)新生成的事件，自動更新系統(tǒng)行為的活動檔案；規(guī)則庫根據(jù)當(dāng)前系統(tǒng)活動檔案和當(dāng)前事件的情況，發(fā)現(xiàn)異�；顒忧闆r，并可以按照一定的時間規(guī)則自動地刪減規(guī)則庫中的規(guī)則集合。

知識庫配置信息檢測器警報信息控制器數(shù)據(jù)收集器控制動作審計數(shù)據(jù)等目標(biāo)系統(tǒng)通用入侵檢測系統(tǒng)模型

①數(shù)據(jù)收集器（又可稱為探測器）：主要負責(zé)收集數(shù)據(jù)。探測器的輸入數(shù)據(jù)流包括任何可能包含入侵行為線索

的系統(tǒng)數(shù)據(jù)。比如網(wǎng)絡(luò)數(shù)據(jù)包、日志文件和系統(tǒng)調(diào)用記錄等。探測器將這些數(shù)據(jù)收集起來，然后發(fā)送到檢測器進行處理。②探測器（又可稱為分析器或檢測引擎）：負責(zé)分析和檢測入侵的任務(wù)，并發(fā)出警報信號。③知識庫：提供必要的數(shù)據(jù)信息支持。例如用戶歷史活動檔案，或者是檢測規(guī)則集合等。④控制器：根據(jù)警報信號，人工或者自動做出反應(yīng)動作。PDR模型是一個動態(tài)的計算機系統(tǒng)安全理論模型。PDR是Policy(策略)、Protection(防護)、Detection(檢測)和Response（響應(yīng)）的縮寫，特點是動態(tài)性和基于時間的特性。

Protection22

PolicyDetectionResponseP2DR安全模型

①策略：PDR模型的核心內(nèi)容。具體實施過程中，策略規(guī)定了系統(tǒng)所要達到的安全目標(biāo)和為達到目標(biāo)所采取的

各種具體安全措施及其實施強度等。安全措施的實施必然會影響到系統(tǒng)運行的性能，以及犧牲用戶操作的舒適度，因此安全策略必須按需而制。②防護：具體包括制定安全管理規(guī)則、進行系統(tǒng)安全配置工作以及安裝各種安全防護設(shè)備，例如防火墻、VPN

設(shè)備等。③檢測：在采取各種安全措施中，根據(jù)系統(tǒng)運行情況的變化，對系統(tǒng)安全狀態(tài)進行實時的動態(tài)監(jiān)控。④響應(yīng)：當(dāng)發(fā)現(xiàn)了入侵活動或入侵結(jié)果后，需要系統(tǒng)做出及時的反應(yīng)并采取措施，其中包括：記錄入侵行為、

通知管理員、阻斷進一步的入侵活動以及恢復(fù)系統(tǒng)正常運行等。

2

原型實現(xiàn)用戶反饋功能定義需求定義

整個周期過程是螺旋式上升過程，前一個周期的原型實現(xiàn)階段完成后，在經(jīng)過一個用戶反饋的環(huán)節(jié)后，再次進入下一個周期過程中的需求定義環(huán)節(jié)。在新的需求定義階段，將根據(jù)用戶的需求反饋意見，再次更改原有的需求定義和分析規(guī)范，形成新的需求定義文檔，從而推動下一個設(shè)計的周期過程。如此循環(huán)反復(fù)，直至滿足設(shè)定的要求。

系統(tǒng)設(shè)計的生命周期

擴展閱讀：入侵檢測技術(shù)重點總結(jié)

1.黑客：早先對計算機的非授權(quán)訪問稱為“破解”，而hacking(俗稱“黑”)則指那些熟練

使用計算機的高手對計算機技術(shù)的運用，這些計算機高手稱為“黑客”。隨著個人計算

機及網(wǎng)絡(luò)的出現(xiàn)，“黑客”變成一個貶義詞，通常指那些非法侵入他人計算機的人。2.入侵檢測（intrusiondetection）：就是對入侵行為的發(fā)覺，它通過從計算機網(wǎng)絡(luò)或計算機

系統(tǒng)中的若干關(guān)鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3.入侵檢測系統(tǒng)的六個作用：1）、通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，

防止網(wǎng)絡(luò)入侵事件的發(fā)生。2）、檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為。3）、檢測黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出警報。4）、報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。5）、提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，利于其進行修補。6）、在大型、復(fù)雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

4.tP>tD+tRd的含義：tp:保護安全目標(biāo)設(shè)置各種保護后的防護時間。tD:從入侵者開始發(fā)動入

侵開始，系統(tǒng)能夠檢測到入侵行為所花費的時間。tR：從發(fā)現(xiàn)入侵行為開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。公式的含義：防護時間大于檢測時間加上響應(yīng)時間，那么在入侵危害安全目標(biāo)之前就能檢測到并及時采取防護措施。

5.入侵檢測原理的四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理，數(shù)據(jù)分析，響應(yīng)處理。

6.攻擊產(chǎn)生的原因：信息系統(tǒng)的漏洞是產(chǎn)生攻擊的根本原因。7.誘發(fā)入侵攻擊的主要原因：信息系統(tǒng)本身的漏洞或脆弱性。

8.漏洞的概念：漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它

是可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞會影響到很大范圍內(nèi)的軟件及硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件、網(wǎng)絡(luò)客戶和服務(wù)器軟件、網(wǎng)絡(luò)路由和安全防火墻等。漏洞是與時間緊密相關(guān)的，，一般是程序員編程時的疏忽或者考慮不周導(dǎo)致的。

9.漏洞的具體表現(xiàn)：存儲介質(zhì)不安全，數(shù)據(jù)的可訪問性，信息的聚生性，保密的困難性，

介質(zhì)的剩磁效應(yīng)，電磁的泄漏性，通信網(wǎng)絡(luò)的脆弱性，軟件的漏洞。10.漏洞iongde分類（按被利用的方式）：物理接觸、主機模式、客戶機模式、中間人模式。11.入侵檢測系統(tǒng)的基本原理主要分四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析、響應(yīng)處

理。

12.常用的5種檢測模型：操作模型、方差模型、多元模型、馬爾柯夫過程模型、時間序列

分析模型。

13.信息系統(tǒng)面臨的三種威脅：非人為因素和自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；

人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失；來自外部和內(nèi)部人員的惡意攻擊和入侵。

14.攻擊的四個步驟：攻擊者都是先隱藏自己；再踩點或預(yù)攻擊探測，檢測目標(biāo)機器的各種

屬性和具備的被攻擊條件，然后采取相應(yīng)的攻擊行為，達到自己的目的，最后攻擊者會清除痕跡刪除自己的行為日志。

Ping掃描：ping是一個DOS命令，它的用途是檢測網(wǎng)絡(luò)的連通狀況和分析網(wǎng)絡(luò)速度。

端口掃描：端口掃描時一種用來查找網(wǎng)絡(luò)主機開放端口的方法，正確的使用端口掃描，能夠起到防止端口攻擊的作用。

操作系統(tǒng)識別掃描：黑客入侵過程的關(guān)鍵環(huán)節(jié)是操作系統(tǒng)的識別與掃描。

漏洞掃描：主要是查找操作系統(tǒng)或網(wǎng)絡(luò)當(dāng)中存在什么樣的漏洞，并給出詳細漏洞報告，引導(dǎo)用戶到相關(guān)站點下載最新系統(tǒng)漏洞補貼程序，確保系統(tǒng)永遠處在最安全的狀態(tài)下，以減少被攻擊的可能性。1.欺騙攻擊的類型：IP、ARP、DNS、源路由、URL2.拒絕服務(wù)攻擊：攻擊者想辦法讓目標(biāo)主機停止提供服務(wù)或資源訪問，它是黑客常用的攻

擊手段之一。

3.拒絕服務(wù)攻擊的原理：SYN洪流攻擊，IP欺騙拒絕服務(wù)攻擊，UDP洪流攻擊，ping洪

流攻擊，淚滴攻擊，Land攻擊，Smurf攻擊，F(xiàn)raggle攻擊。

4.數(shù)據(jù)庫攻擊：危害最大的屬于SQL注入式攻擊。源于英文：SQLInjectionAttack,就其

本質(zhì)而言，SQL注入式攻擊利用的工具是SQL的語法，針對的是應(yīng)用程序開發(fā)者編程過程中的漏洞。當(dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些SQL語句時，SQL注入式攻擊就發(fā)生了。

5.木馬攻擊：特洛伊木馬本質(zhì)上只是一種遠程管理工具，而且本身不帶傷害性，也沒有感

染力，所以原則上不能成為病毒。特洛伊木馬之所以被視為病毒是因為如果有人不正當(dāng)?shù)氖褂�，其破壞力可以比病毒更強。木馬是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。“冰河”的開放端口是7626.

6.入侵檢測系統(tǒng)模型分為3個模塊：信息收集模塊、信息分析模塊、報警與相應(yīng)模塊7.入侵檢測利用的信息來源：系統(tǒng)和網(wǎng)絡(luò)日志文件；目錄和文件中不期望的改變；程序執(zhí)

行中的不期望行為；物理形式的入侵。

8.信息分析的四種方法：模式匹配；統(tǒng)計分析；完整性分析；數(shù)據(jù)流分析。

9.蜜罐技術(shù)：蜜罐是一個安全程序，設(shè)計用來觀測入侵者如何探測并最終入侵系統(tǒng)，其中

包含一些并不威脅公司機密的數(shù)據(jù)或應(yīng)用程序，同時對于入侵者來說又具有很大誘惑力，它安裝在網(wǎng)絡(luò)上的一臺專用的計算機上，同時通過一些特殊配置，使該計算機看起來像是一個“有價值”的目標(biāo)，以引誘潛在的入侵者并捕獲他們。

10.蜜網(wǎng)技術(shù)：蜜網(wǎng)是一種專門設(shè)計用來讓人攻擊的網(wǎng)絡(luò)，一旦被入侵者所攻破，入侵者的

一切信息、工具等都將被用來分析和學(xué)習(xí)，其想法和蜜罐相似，但兩者之間還是有些不同。

11.誤用入侵檢測的思想是：如果所有的入侵行為和手段（及其變種）都能夠表達為一種模

式或特征，那么所有已知的入侵方法就可以用匹配的方法來發(fā)現(xiàn)。其難點在于如何設(shè)計模式，使其既表達入侵又不會將正常的活動包含起來。

12.誤用入侵檢測系統(tǒng)的類型：專家系統(tǒng)，模型推理系統(tǒng)，模式匹配系統(tǒng)，狀態(tài)轉(zhuǎn)換分析系

統(tǒng)。

13.異常入侵檢測：是與誤用入侵檢測技術(shù)相對應(yīng)的另一種入侵檢測技術(shù)�；�于異常入侵檢

測技術(shù)的入侵檢測系統(tǒng)首先總結(jié)正常操作應(yīng)該具有的特征，如CPU利用率、緩存剩余空間、用戶使用計算機的習(xí)慣等，在后續(xù)的檢測過程中對操作進行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學(xué)意義上的操作模式，進行報警。

14.典型的3種威脅模型：外部入侵、內(nèi)部滲透、不當(dāng)行為

15.異常入侵檢測方法：統(tǒng)計分析、模式預(yù)測、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、免疫系統(tǒng)、特征選擇、

貝葉斯推理、貝葉斯網(wǎng)絡(luò)、貝葉斯聚類等9種方法。16.當(dāng)前模式匹配問題屬于串處理（stringprocessing）和模式組合匹配（combinatorialpattern

matching）

精確模式串匹配算法檢測符號序列的方式主要分為3種模式：前綴模式、后綴模式、結(jié)合模式。

前綴匹配模式KMP(Knuth-Morris-Pratt)。后綴模式主要算法：單串匹配的Boyer-Moore算法和多串匹配的Commentz-Walter算法、Wu-Manber算法。結(jié)合模式：BDM（BackwardDAWGMatching）、BOM(BachwardOracleMatching)、SBDM(SetBackwardDAWGMatching)、SBOM(SetBackwardOracleMatching)1.近似模式串匹配算法求解的四種途徑：動態(tài)規(guī)劃法、基于自動機的方法、位并行方法、

過濾篩選法。

2.注意：從理論上講，復(fù)雜度低的算法的實現(xiàn)性能可能會低于復(fù)雜度高的算法。

3.串匹配算法的四種改進方法：基于自動機算法的改進、基于跳躍算法的改進、基于數(shù)值

型算法的改進、基于編碼算法的改進。

4.基于主機的入侵檢測系統(tǒng)如何檢測入侵？通過監(jiān)視和分析主機的審計日志檢測入侵，

審計和日志功能對于系統(tǒng)來說是非常重要的，可以把感興趣的造作都記錄下來，供分析和檢查。日志是使系統(tǒng)順利運行的重要保障。標(biāo)準(zhǔn)的日志功能不能自動過濾和檢查日志記錄，并提供系統(tǒng)管理員所需要的信息。

5.WindowsNT的日志文件分為3類：系統(tǒng)日志、應(yīng)用程序日志、安全日志。

6.在WindowsXP操作系統(tǒng)里有Ineternet連接防火墻（ICF），它的日志文件分

為2類：ICF審核通過的IP數(shù)據(jù)包，ICF拋棄的IP數(shù)據(jù)包。

7.WindowsXP日志文件存放在C:/WINDOWS目錄下，均以.log為文件的擴展名，

其中最重要的一個文件名就是pfirewall.log.8.UNIT采用Syslog工具實現(xiàn)日志功能。

9.入侵特征預(yù)處理：系統(tǒng)收集到的原始數(shù)據(jù)非常龐大，包含許多無用的信息，

格式也各不相同，無法直接輸入入侵檢測系統(tǒng)�？梢圆捎萌鏟erl腳本等格式化原始數(shù)據(jù)，并進一步將其歸一化為服從均值為0、標(biāo)準(zhǔn)差為1的實數(shù)，形成一個18維的樣本矢量，作為入侵檢測的輸入。根據(jù)目的不同，這些樣本數(shù)據(jù)可分為訓(xùn)練樣本、校驗樣本、測試樣本3種，其中訓(xùn)練樣本和校驗樣本是用于確定最佳模式分類器，測試樣本是在工作狀態(tài)下的待檢測數(shù)據(jù)。10.基于主機的入侵系統(tǒng)的優(yōu)點：基于主機的入侵系統(tǒng)對分析“可能性的攻擊行

為”非常有用；誤報率通常低于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，這是因為檢測在主機上運行的命令序列比檢測網(wǎng)絡(luò)數(shù)據(jù)流更簡單，系統(tǒng)的復(fù)雜性也降低的多；可部署在那些不需要廣泛的入侵檢測、傳感器和控制臺之間的通信寬帶不足的場合。

11.基于主機的入侵系統(tǒng)的缺點：①需要安裝在被保護的主機上②它依賴于服務(wù)

器固定有的日志與監(jiān)控能力③全面部署代價比較高④只監(jiān)控本主機，根本不監(jiān)控網(wǎng)絡(luò)上的情況。

12.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）：也稱硬件入侵檢測系統(tǒng)，放置在比較重

要的網(wǎng)絡(luò)段，不停地監(jiān)視網(wǎng)絡(luò)段中的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析�；�于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是指監(jiān)測整個網(wǎng)絡(luò)流量的系統(tǒng)。

13.網(wǎng)卡的兩種最常用的用途：1、普通模式：受數(shù)據(jù)包里面的MAC地址決定，

數(shù)據(jù)被發(fā)送到目的主機2、混雜模式：所有可以被檢測到的信息均被主機接收。

14.WinPcap是BPF模型LibPcap函數(shù)庫在Windows平臺下包捕獲和網(wǎng)絡(luò)狀態(tài)分

析的一種體系結(jié)構(gòu)，這個體系結(jié)構(gòu)是由一個核心的包過濾器、一個底層的動態(tài)鏈接庫（Packet.dll）和一個高層的獨立于系統(tǒng)的函數(shù)庫（LibPcap）組成。15.網(wǎng)卡的4種工作模式：廣播模式、多播傳送、直接模式、混雜模式。16.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點：成本低、檢測基于主機的系統(tǒng)漏掉的攻擊、

攻擊者不易轉(zhuǎn)移數(shù)據(jù)、實時監(jiān)測和響應(yīng)、檢測未成功的攻擊和不良意圖、操作系統(tǒng)無關(guān)性。

17.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的缺點：①只檢測它直接連接的網(wǎng)絡(luò)短段得通信，不能檢測其他網(wǎng)絡(luò)段得包②為了性能目標(biāo)通常采用特征檢測方法，可以檢測出普通的一些攻擊，很難實現(xiàn)一些復(fù)雜的需要大量計算和分析時間的攻擊檢測③可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中④處理加密的會話過程比較困難。

18.為了提高系統(tǒng)對新型變種攻擊的適應(yīng)性，用反向傳播（BackPropagation,BP）

人工神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)造異常入侵分析器。

19.對BP神經(jīng)網(wǎng)絡(luò)實現(xiàn)分類模型時要考慮的問題：中間層（隱含層）數(shù)的選取、

輸入層和輸出層維數(shù)、隱含層神經(jīng)元數(shù)、權(quán)重初始化、訓(xùn)練樣本的選取20.比較常用的數(shù)據(jù)挖掘算法：分類算法、關(guān)聯(lián)規(guī)則挖掘算法、序列模式挖掘算

法。

21.協(xié)議分析是新一代入侵檢測系統(tǒng)探測攻擊手法的主要技術(shù)，他利用網(wǎng)絡(luò)協(xié)議

的高度規(guī)則性快速探測攻擊的存在，它的優(yōu)勢在于完整的協(xié)議分析使誤報率降低，從而提高系統(tǒng)的性能。

22.基于協(xié)議分析的入侵檢測的方法將高速包捕獲、協(xié)議分析和命令解析結(jié)合起

來進行入侵檢測，是一種新的入侵檢測技術(shù)，它彌補了模式匹配技術(shù)的不足。23.基于入侵容忍的入侵檢測：入侵容忍是容錯方法在安全中的應(yīng)用，這種方法

假設(shè)系統(tǒng)的弱點不能被完全消除，并且，外部攻擊者或內(nèi)部惡意的攻擊者將識別和利用這種弱點獲得對系統(tǒng)的違法訪問。入侵容忍的目標(biāo)是：在系統(tǒng)有些部分被入侵、性能下降的情況下還可以維持系統(tǒng)的正常服務(wù)。24.現(xiàn)在的入侵檢測系統(tǒng)大多數(shù)都采用單一體系結(jié)構(gòu)，它的缺點：可擴展性較差、

單點失效、系統(tǒng)缺乏靈活性和可配置性。

25.分布式入侵檢測系統(tǒng)的特征：分布式部署、分布分析、安全產(chǎn)品的聯(lián)動、系

統(tǒng)管理平臺、可伸縮性和擴展性。

26.完整的入侵檢測系統(tǒng)包含的10個模塊：數(shù)據(jù)探測模塊、主體模塊、分析模

塊、關(guān)聯(lián)與融合模塊、控制模塊、決策模塊、協(xié)調(diào)與互動模塊、安全響應(yīng)模塊、數(shù)據(jù)庫模塊、人機界面。

27.分布式入侵檢測體系的優(yōu)點：節(jié)點之間的相對獨立性、強調(diào)了安全部件的聯(lián)

動、可以實現(xiàn)全局預(yù)警、體系結(jié)構(gòu)的靈活性和可擴展性。

28.推動基于主體系統(tǒng)的開放，主體技術(shù)必須解決的關(guān)鍵問題：主體間的通信、

主體內(nèi)部構(gòu)造、主體生命周期管理、主體的移動、主體的代理功能、主體的安全、身份和相關(guān)策略、系統(tǒng)的軟件開發(fā)方法。

29.入侵檢測系統(tǒng)主體分為三類：中心主體；分析主體；主機主體和網(wǎng)絡(luò)主體。30.知識查詢和操縱語言（KQML）的三大屬性：KQML獨立于網(wǎng)絡(luò)傳輸協(xié)議（如：

TCP、STMP）；KQML獨立于內(nèi)容語言（如：SQL、OWL、PROLOG、）；KQLM獨立于內(nèi)容實體。

31.美國國防高級研究計劃署（DARPA）提出的建議草案是：公共入侵檢測框架

（CIDF），最早由加州大學(xué)戴維斯分校安全試驗室主持起草工作。

32.IDWG（入侵檢測工作組）提出的草案包括3個部分：入侵檢測消息交換格

式（IDMEF）、入侵檢測交換協(xié)議（IDXP）、隧道輪廓（tunnelprofile）。

33.入侵檢測系統(tǒng)分維個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件

數(shù)據(jù)庫。

34.公共入侵檢測框（CIDF）的通信機制主要涉及消息的封裝和傳遞，共4個方

面：配對服務(wù)、路由、消息層、消息層處理。

35.入侵檢測系統(tǒng)的性能指標(biāo)簡介：數(shù)據(jù)流量、每秒抓包數(shù)、每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)。

36.入侵檢測系統(tǒng)的測試步驟：創(chuàng)建或選擇一些測試工具或測試腳本；確定計算

機環(huán)境所要求的條件，比如背景計算機活動的級別；配置運行入侵檢測系統(tǒng)；運行測試工具或測試腳本；分析入侵檢測系統(tǒng)的檢測結(jié)果。37.DIDS（DistributedInterusionDectionSystem）由美國加州大學(xué)Davis分校提出，

初衷是：將基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)合起來，用來追蹤使用者在網(wǎng)絡(luò)中的移動和行為。DIDS采用“分布采集、集中處理”的策略。

38.CSM（CooperatingSecurityManagers）由美國TexasA&M大學(xué)提出，設(shè)計初

衷：克服DIDS集中分析的缺點，采用對等（PeertoPeer）機制來組織系統(tǒng)。39.AAFI(AutonomousAgentsforIntrusionDetection)由普渡大學(xué)設(shè)計的一種分布

式入侵檢測系統(tǒng)，首次在入侵檢測中提出來自治代理的概念。

40.NetSTAT入侵檢測系統(tǒng)是由美國加州大學(xué)圣塔芭芭拉分校（UCSB）的可靠軟

件小組研究、開發(fā)的，該系統(tǒng)將STAT轉(zhuǎn)臺轉(zhuǎn)移技術(shù)擴展應(yīng)用到網(wǎng)絡(luò)環(huán)境中。41.MAIDS(MobileAgentsIntrusionDetectionSystem)由美國Iowa州大學(xué)提出，它

提出來一整套的理論和實現(xiàn)技術(shù)，將“需求工程”（RequirementEngineering）和代理系統(tǒng)結(jié)構(gòu)結(jié)合起來。

42.入侵檢測系統(tǒng)產(chǎn)品的特征：市場持續(xù)增長、一線廠商穩(wěn)定發(fā)展、二線廠商競

爭激烈、外國廠商表現(xiàn)平平、格局預(yù)測。

43.入侵檢測系統(tǒng)產(chǎn)品的易用性包括5個方面：界面易用、幫助易用、策略容易

編輯、日志報告靈活、報警事件優(yōu)化技術(shù)。

44.Snort是由MartinRoesch等人開發(fā)的，它具有實時數(shù)據(jù)流量分析和記錄IP

網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容進行搜索/匹配。

45.Snort的3種工作模式：嗅探器、包記錄器和網(wǎng)絡(luò)入侵檢測系統(tǒng)。在嗅探模

式下，Snort僅是從網(wǎng)絡(luò)上讀取包，并作為連續(xù)不斷的流顯示在終端上。在包記錄器模式下，Snort把包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測系統(tǒng)模式是最復(fù)雜的，而且是可配置的；可以讓Snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。

46.Snort入侵檢測系統(tǒng)概述：Snort可以是一個基于libpcap的輕量級網(wǎng)絡(luò)入侵

檢測系統(tǒng)；Snort采用一種易于擴展的模塊化體系結(jié)構(gòu)；Snort是一個自由、簡潔、快速、易于擴展的入侵檢測系統(tǒng)。

47.Snort的各個組成部分：解碼器、檢測引擎、日志/報警系統(tǒng)。

48.現(xiàn)有入侵檢測技術(shù)的局限性：誤報和漏報的矛盾、隱私和安全的矛盾、被動

分析與主動分析的矛盾、海量信息與分析代價的矛盾、功能性和可管理性的矛盾、單一產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾。

49.入侵技術(shù)的發(fā)展與演化主要表現(xiàn)的方面：入侵或攻擊的綜合化與復(fù)雜化；入

侵主機的間接化；入侵或攻擊的規(guī)模擴大；入侵或攻擊技術(shù)的分布化；攻擊對象的轉(zhuǎn)移。

50.網(wǎng)絡(luò)入侵技術(shù)的發(fā)展經(jīng)歷的3個階段：入侵檢測系統(tǒng)（IDS）；入侵防御系統(tǒng)

（IPS）；入侵管理系統(tǒng)（IMS）。

51.為了避免Apacap監(jiān)聽端口與web服務(wù)器默認的端口發(fā)生沖突，必須更改監(jiān)聽端口。方

法是：打開配置文件C:\\Apache2\\conf\\heepd.conf，將其中監(jiān)聽端口8080更改為不常用的端口50080。

友情提示：本文中關(guān)于《入侵檢測技術(shù)總結(jié)》給出的范例僅供您參考拓展思維使用，入侵檢測技術(shù)總結(jié)：該篇文章建議您自主創(chuàng)作。

來源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問題，請聯(lián)系我們及時刪除。

《入侵檢測技術(shù)總結(jié)》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址：http://www.weilaioem.com/gongwen/713320.html

• 上一篇：建筑給排水工程量計算經(jīng)驗總結(jié)
• 下一篇：C語言實訓(xùn)總結(jié)