入侵检测复习知识点归纳(同济大学信息安全)

Ch1:1.入侵检测:是指发现或检测（discoverordetect）网络系统和计算机系统中出现各种的入侵活动（intrusionactivities,namelyattack），或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。当IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率（Falsepositiverate）和漏报率（Falsenegativerate）衡量，这个是一个重要的评价指标。误报（Falsepositive）是当一个正常活动或者合法的网络流（包）触发IDS报警。漏报（Falsenegative）是一个恶意的活动或网络流（包）却没有触发IDS报警。3.入侵检测系统常见的分类方法.采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。4.入侵检测系统主要组成部件和各部件的功能感应器（Sensor）:完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。分析器（Analyzer）：完成数据的分析，并寻找入侵特征。称为(基于）特征入侵检（signaturedetectionorsignature-based），也有文献称为误用检测（misusedetection）。或者通过一些统计指标判断行为是否异常，称为(基于)异常入侵检测（anomalydetectionoranomaly-based）。最后做出判断是正常还是攻击。报警器（Alarm）：若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动响应方式，则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进程或用户。5.入侵防御系统(IPS):能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发生，以免造成损失。6.IPS出现的主要原因有哪些?IPS的主要功能是什么?7.IDS与IPS主要区别有哪些?（cfch12)（1）主要功能不同IDS入侵检测，IPS入侵防御（2）工作模式不同IPS工作模式是inlinemode：DetectionandAction（检测和动作），是主动防御。而IDS是sniffermode：Detection，是被动侦听，而当发生入侵时，通知防火墙更新规则，同时TCPreset中断连接。（3）部署位置不同（基于网络的IDS和IPS）：IDS部署在防火墙后，接入交换机的侦听端口上（将所有流经交换机的信息包复制一份给IDS），实时性差，只能间接通过防火墙采取行动。IPS部署在防火墙外，所有实时流量都流经IPS，实时处理，可以直接采取行动（丢包，断连等）。IDSIPS防御方式PassivesniffermodeActivein-linemode防御动作通知防火墙更新规则，同时TCPreset中断连线丟弃恶意包中断连线防火墙（Firewall）不能完全替代IDS，防火墙像门卫（在大门入口处），一般通过过滤网络流量，允许或者阻止对系统和资源的访问，而IDS一般是用来监视计算机系统和网络中的活动和事件，检测恶意活动的。IDS就像是房屋的安防报警系统，有多个传感器，放在各个检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。FirewallvsIDS:防火墙只能分析包的网络层和传输层，只能基于端口号和Ip地址进行简单过滤；而IDS可以分析到应用层，不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用数据包中恶意内容（应用层）而产生的各种攻击。8、什么是入侵活动?入侵活动主要分为哪几类?发生入侵活动的原因有哪些?又称为攻击（Attacks），是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为，是恶意的活动。如中断系统服务，未授权的访问网络和计算机系统（Unauthorizedaccess），扩大特权（Privilegeescalation）或者侦察活动（Reconnaissance）等。入侵者通常要利用网络或计算机系统的漏洞（Vulnerability），如TCP/IP网络协议软件的安全缺陷，路由软件的缺陷，以及操作系统和应用系统的Bug等。同时，也存在因为配置不当（misconfiguration）和没有及时打补丁（patch）而使应用与系统置于各种安全暴露（Exposure）中。第二章1.攻击Incomputerandcomputernetworksanattackisanyattempttodestroy,expose,alter,disable,stealorgainunauthorizedaccesstoormakeunauthorizeduseofanasset.USCommiteeonNationalSecuritysystemAnykindofmaliciousactivitythatattemptstocollect,disrupt,deny,degrade,ordestroyinformationsystemresourcesortheinformationitself.攻击是针对计算机或者网络的，称为主机系统攻击和网络系统攻击。2.Unauthorizedaccess:PrivilegeEscalation权限提升，可分为：usertosuper-user普通用户利用系统漏洞获得Root用户的访问权利:rootbreak-inincident（突破R权）Non-usertouser非用户获得普通用户权利，或者普通甲用户获得乙用户的权利:accountbreak-in）3.Unauthorizeduse：anyattempttodestroy,expose,alter,disable,steal.违背了信息安全的三原则CIA4.试述HowardandLongstaff关于攻击的分类.其分类中，关于漏洞与暴漏的原因，可以归纳为哪几种情况？（设计与实现中的漏洞和使用中的不当配置）攻击手段攻击目标（具体，硬件，软件）漏洞与暴露的利用攻击的后果和影响1/Virus，Worms，Trojans，Bufferoverflows，Denialofservice(DoS)attacks，Networkattacks，Physicalattacks，Passwordattacks，Informationgatheringattacks，Routingattacks4/Fistdimensionattackpayload(攻击本身的影响)最终的影响（eventualeffect）Corruptionofinformation(对信息的改变或损毁AlterOrDestroy)Disclosureofinformation（信息泄露）Theftofservice（窃取服务：未授权使用服务但未对合法用户有任何影响）Subversion（获得对目标的部分控制并使用之）5.什么是CVE(CommonVulnerabilitiesandExposures)：)公共漏洞与暴露。这是信息安全漏洞名称的标准：为每个漏洞与暴露确定唯一的名称和一个标准化的描述，是已知的信息安全漏洞与暴露的词典。作用：这个标准是的不同安全产品之间的数据交换成为可能,并为评价入侵检测系统与漏洞扫描评估等工具的覆盖率提供了基准参考点。6.KDD99DATASET将攻击分为几类？定义了39种具体的攻击，这些攻击分为四大类：Probe(探测工具有6种),DenialofService（10种方法）,U2R（普通用户非法而获得root特权,8种攻击方法），R2L（远程非本地帐户用户非法获得本地访问权，15种方法）7.何谓OSFingerprint技术？8.扫描器的功能是什么？根据扫描的目的，可以将扫描器分为哪两类？（端口扫描器和漏洞扫描器）9.什么是特权提升？10.那些方法与途径可以实现特权提升？11.试述网络攻击的一般过程（1）数据收集：侦探（搜索废物箱）（2）挖掘漏洞：扫描（通过各种软件工具）（3）实施攻击：窃取访问权（4）安装后门：维护访问（安装恶意软件，修改配置，获取Root权完全控制该主机或网络设备，并为了防范其它黑客而答补丁）（5）清除日志掩盖痕迹1.Probes探测(漏洞扫描)Probesareusuallyattacksscanningcomputernetworksandcomputersystemtogatherinformationorfindknownvulnerabilities,whichareexploitedforfutureattacks.通过扫描网络与计算机系统来收集信息和发现已知的漏洞，以用于今后的攻击。探测通过扫描工具(扫描器)来完成.通过向远程主机的不同端口服务发送请求访问,并记录目标的应答,来搜集目标主机的各种有用信息.具体说来扫描器有三项功能:•发现主机或者网络的状态;•一旦发现主机处于运行状态,可以进一步判断系统中那些服务正在运行;•通过测试运行中的网络服务,发现漏洞.依据扫描的目的可以分为:端口扫描器和漏洞扫描器;端口扫描器只单纯用来扫描目标系统开放的网络服务端口及与端口相关的信息.漏洞扫描器检查目标主机中可能包含的已知漏洞.主要扫描技术：TCPSCAN和UDPSCAN技术：TCPConnectscan调用套接口连接到目标主机的端口上，完成一次TCP三次握手。TCPSYNscan向目标端口发送一个SYN分组,如果收到SYN/ACK，目标端口处于监听；如果收到RST/ACK，端口不在监听。没有一个完整的握手，目标主机不会记录。TCPFINscan向目标主机发送FIN分组，按RFC793，当FIN分组到达一个关闭端口时，数据包被丢弃，并且返回一个RST分组。否则，只是简单丢弃而不回应RST分组。TCPXmasTreescan向目标发送FINURGPUSH分组，目标主机当端口关闭时回应RST分组TCPNullscan向目标主机发送一个关闭掉所有标志位的分组，目标回应RST分组。TCPACKscan用来侦测防火墙，判断其支持简单分组过滤还是支持基于状态的包过滤。UDPscan向目标主机发送一个UDP分组，如果目标端口关闭，返回”ICMPportunreachable”否则，如果没有收到上述信息，可以判断端口开放。OSFingerprint技术（操作系统指纹技术）：漏洞是和操作系统和应用密切相关的，辨识不同版本的操作系统与应用是探测扫描的一项重要功能。识别操作系统的指纹，可以通过下面的方法：•一些端口服务的提示信息（如137，138，139，445，80）•Tcp/ip栈指纹(测试远程主机的TCP/IP协议栈对不同请求的响应来探测系统)•DNS泄露出OS系统主要的扫描工具有：端口扫描器IPSWeepandPortSweep搜索哪些主机有哪些端口是打开的NMapIp地址和端口扫描防火墙扫描及提取操作系统指纹(OSFingerprint)的开源免费软件.漏洞扫描器MScan通过蛮力扫描整个域的Ip地址来发现在运行的计算机并探测他们的漏洞SAINT收集各种网络服务（如）的信息，也包括网络服务的不适当配置，已知的网络和操作系统的漏洞。Satan是SAINT的先前版本。ISSNESSUS2PrivilegeEscalationAttacks特权提升Attaininghighprivilegesonasystemallowsattackerstoperformfarmoredangerousactions(forexample:installTROJANcodeorcreatebackdoorsforfutureco