入侵檢測技術考點
第一章、入侵檢測概述
入侵檢測定義:入侵是指在非授權得情況下,試圖存取信息、處理信息或破壞以使系統不可靠、不可用的故意行為。
入侵檢測的基本原理:主要分為四個階段:
1、 數據收集:數據收集是入侵檢測的基礎,采用不同的方法進行分析。
2、 數據處理:從原始數據中除去冗余、雜聲,並且進行格式化以及標準化處理。
3、 數據分析:檢查數據是否正常,或者顯示是否存在入侵。
4、 響應處理:發現入侵,采取措施進行保護,保留入侵證據並且通知管理員。
1.4 入侵檢測的分類
按照入侵檢測技術:誤用入侵檢測,異常入侵檢測和協議分析三種
按照數據來源分類:基於主機的入侵檢測系統、基於網絡的入侵檢測系統、混合式入侵檢測系統、文件完整性檢查式入侵檢測系統
1.5 常用的入侵檢測方法: 1、誤用入侵檢測 2、 異常檢測
第二章、常見的入侵方法和手段
2.1 漏洞的幾個方面:
1、存儲介質不安全
2、數據的可訪問性
3、信息的聚生性
4、保密的困難性
5、介質的剩磁效應
6、電磁的泄露性
7、通信網絡的脆弱性
8、軟件的漏洞
2.2 信息系統面臨的威脅:(簡答題 6分 8個回答任意6個)
1、計算機病毒
2、黑客入侵
3、信號截取
4、介質失密
5、系統漏洞
6、非法訪問
7、人為因素
8、遙控設備
2.3 攻擊概述:
攻擊主要分為 主動攻擊和被動攻擊 (填空攻擊類別 2分)
攻擊的一般流程: (填空 4分)
1、隱藏自己
2、踩點或與攻擊探測
3、采取攻擊行為
4、清楚痕跡
主動攻擊和被動攻擊的區別:
主動攻擊:主動攻擊會造成網絡系統狀態和服務的改編。它以各種方式有選擇的破壞信息的有效性和完整性,是純粹的破壞行為。這樣的網絡侵犯者被稱為積極侵犯著。積極侵犯著截取網上的信息包,並對其進行更改使他失效,或者股已添加一些有利於自己的信息,起到信息誤導的作用,或者登陸進入系統使用並占用大量網絡資源,造成資源的消耗,損害合法用戶的利益。積極侵犯者的破壞作用最大。
被動攻擊:被動攻擊不直接改編網絡的狀態和服務。它是在不影響網絡正常工作的情況下,進行截取、竊取和破譯,以獲得重要的或機密的信息。這種竊聽而不破壞網絡中傳輸信息的攻擊者被稱為小即攻擊者。
第三章 入侵檢測系統模型
所有的入侵檢測分為三個模塊:信息采集模塊、信息分析模塊、報警與響應模塊
IDMEF指的是:入侵檢測信息交換格式(填空)
在入侵檢測系統中傳感器和事件分析器之間的通信分為兩層:OWL層和SSL層。
信息分析的三種技術手段:模式匹配、統計分析、完整性分析
第四章、 誤用與異常入侵檢測系統(重點章節)
誤用入侵檢測的基本概念:主要是通過某種方式預先定義入侵行為,然後監視系統的運行,並且從中找出符合預先定義規則的入侵行為。
誤用入侵檢測的工作模式:(簡答題 6分)
1、 從系統的不同環節收集信息
2、 分析收集的信息,找出入侵活動的特征
3、 對檢測到的入侵行為自動做出響應
4、 記錄並報告檢測結果。
誤用入侵檢測的方法:
1、基於條件概率的誤用入侵檢測方法
通過計算條件概率P(C/X)來判斷入侵是否發生,C表示假設如沁發生,X表示時間序列,根據貝葉斯頂理科的:
2、基於專家系統的誤用入侵檢測方法
3、基於模型推理的誤用入侵檢測方法
基於模型推理的誤用入侵檢測方法具有如下優點:
1、 它的推理過程有比較合理的數學理論基礎,與專家系統相比,其處理不確定性情況的能力較強。
2、 計劃模塊和解釋模塊知道需要收集什麽樣的數據,這樣大量的幹擾數據可以被輕易地過濾掉,因此大大降低了需要的數據量。
3、 計劃模式使得攻擊行為的表示與具體的審計數據相分離。
4、 模型推理系統可以利用入侵情況模型推到出攻擊者的下一步行為,這樣就可以采取一些防禦措施。
4、基於狀態轉換分析的誤用入侵檢測方法
誤用入侵檢測系統的缺陷
1、 攻擊特征的提取還沒有統一的標準,特征模式庫的提取和更新還需要依賴手工的模式
2、 現在的多數商業如期檢測系統只對已經知道的攻擊手段有效,誤報率和漏報率很好。
3、 對系統的評估較差。
威脅的三種類型(填空3分) 外部闖入、內部滲透、不正當行為
入侵活動並不總是與一場活動相符合,這裏存在4種可能性,每種情況的概率都不為零。(簡答題 8分)
1、 入侵而非異常。活動具有入侵性卻因為不是一場而導致不能檢測到,這時候造成漏檢,結果入侵檢測系統不報告入侵。
2、 異常而非入侵。活動不具有入侵性,但因為它是有異常的,入侵檢測系統報告入侵,這時候造成虛報。
3、 非入侵且非異常。活動不具有入侵性,且未顯示異常,入侵檢測系統沒有將活動報告為入侵,這數據正確的判斷。
4、 入侵且異常。多動具有入侵性且顯示為異常,入侵檢測系統將其報告為入侵,這屬於正確的判斷。
異常入侵檢測的方法(簡答題)
1、基於統計分析的異常入侵檢測方法
2、基於模式預測的異常入侵檢測
3、基於數據挖掘的異常入侵檢測
4、基於神經網絡的異常入侵檢測
5、基於免疫系統的異常入侵檢測
6、基於特征選擇的異常入侵檢測
7、其它方法
基於神經網絡的IDS的優點和缺點(簡答 8分)
基於神經網絡的IDS的優點:
1) 具有學習和自適應性,能夠識別未曾見過的入侵行為。
2) 能夠很好地處理噪聲和不完全數據。
3) 以非線性方式進行分析,處理速度快,適應性好。
4) 能夠很好的處理原始數據的隨機特性,即不需要對這些數據做任何統計假設,並且有較好的抗幹擾能力。
基於神經網絡的IDS的缺點
1) 識別精度依賴於系統的訓練數據、訓練方法及訓練精度。
2) 神經網絡拓撲結構只有經過相當的長時候才能確定下來。
3) 樣本數據難以獲得。
4) 在學習階段可能被入侵這訓練。
第五章、模式串匹配與入侵檢測
模式串匹配算法按照功能分為3類:(填空) 精準模式串匹配算法、近似模式串匹配算法和正則表達式匹配算法
第六章、基於主機的入侵檢測系統
Windows NT 的日誌文件分為哪三類(填空):系統日誌、應用程序日誌、安全日誌
入侵特征的提取(簡答題 8分 一共八個方面 其中4個日誌)
1、安全日誌
2、系統日誌
3、應用程序日誌
4、系統性能日誌
5、網絡連接監控
6、關鍵文件指紋變動監控
7、Windows註冊表監控
8、系統進程列表
基於主機的入侵檢測系統優缺點(簡答題 8分)
基於主機的入侵檢測系統優點:
1、基於主機的入侵檢測系統對分析“可能的攻擊行為”非常有用。
2、基於主機的入侵檢測系統的誤報率通常低於基於網絡的入侵檢測系統,這是因為檢測在主機上運行的命令序列檢測網絡數據流更簡單,系統的復雜性也低得多。
3、基於主機的入侵檢測系統可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信貸款不足的場合。基於主機的入侵檢測系統在不適用註入“停止服務”、“註銷用戶”等響應方法是風險較低
基於主機的入侵檢測系統缺點:
1、基於主機的入侵檢測系統需要安裝在被保護的主機上。
2、基於主機的入侵檢測系統的另一個問題是它依賴於服務器固有的日至與監控能力。如果服務器沒有配置日至功能,則必須重新配置,這將會給運行中的業務系統,帶來不可預見的性能影響。
3、全面部署基於主機的入侵檢測系統代價較高。
4、基於主機的入侵檢測系統只監控本主機,根本不監控網絡上的情況。
第七章、基於網絡的入侵檢測系統
基於網絡的入侵檢測系統是指監測整的網絡流量的系統
一塊網卡的兩種常用的用途: 普通模式、混雜模式
基於網絡的入侵監測系統四個層次(填空): 管理層、分析層、主題層、網絡層。
Wincap的三個模塊:包過濾模塊、packet.dll模塊、Wpcap.dll模塊
基於網絡的入侵監測系統的優缺點:(簡答 8 分)
基於網絡的入侵監測系統的優點:
1. 成本較低
2. 檢測基於主機的系統漏掉的攻擊
3. 攻擊者不易轉移證據
4. 實時檢測和響應
5. 檢測未成功的攻擊和不良意圖
6. 操作系統無關性
基於網絡的入侵監測系統的缺點:
1. 基於網絡的入侵檢測系統只檢查他直接連接的網段的通信,不能檢測其他網段的包。在使用交換技術的以太網環境中就會暴露出其檢測方位的局限性。而安裝多個基於網絡的入侵檢測系統的傳感器會使部署整個系統的成本大大增加。
2. 基於網絡的入侵檢測系統為了性能目標通常采用特征檢測方法,他可以檢測出普通的一些攻擊,而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。
3. 基於網絡的入侵檢測系統可能將會大量的數據傳回分析系統中。在一些系統中監聽特定的包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量,關於入侵判斷的決策由傳感器來實現,而中央控制臺成為狀態顯示與通信中心,不再作為入侵行為分析器。在這樣的系統中傳感器的協同工作能力較弱。
4. 基於網絡的入侵檢測系統處理加密的會話過程較困難。目前通過加密通道的攻擊上不多,但隨著IPV6的普及,這個問題會越來越突出
第八章、典型的入侵檢測系統
遺傳算法設計的五大要素:(填空)
參數編碼、初始群體的設定、適應度函數的設計、遺傳操作的設計和控制參數的設定。
解釋說明數據挖掘的過程(大題15分)
主要分為三個過程:數據準備、數據挖掘和結果表達(P127有圖)
數據挖掘算法(填空 6分):分類算法、關聯規則挖掘算法、序列模式挖掘算法
基於們顯得多級入侵容忍入侵檢測系統由五級構成
第一級:防禦體制。
第二級:代理服務器。
第三級:COST應用服務器組
第四級:數據管理系統(DBMS)組
第五級:數據庫
第九章、基於主機的入侵檢測系統
分布式入侵檢測系統的特征 (5個特征必須理解 P141)
1、分布式部署
2、分布分析
3、安全產品的聯動
4、胸膛管理平臺
5、可伸縮性和擴展性
分布式入侵檢測系統(DIDS)的體系結構模型由“分散采集、分布分析、動態協調、區域管理”組成(背下來 P144)
分布式入侵檢測體系的結構優點(記住)
1、節點之間的相對獨立性
2、強調了安全部件的聯動
3、可以實現全局預警
4、體系結構的靈活性和擴展性
知識查詢和操縱語言(P154)
知識查詢和操縱語言具有以下三大屬性:
1. KQML獨立於網絡傳輸協議(如TCP、SMTP等)
2. KQML獨立於內容語言(如SQL、OWL、PROLOG等)
3. KQML獨立於內容實體
KQML可分為三個層次:通信層、消息層和內容層。
第十章、入侵檢測系統的相關標準與評估
描述入侵檢測消息交換格式:
IDMEF描述了表述入侵檢測系統輸出信息的數據模型,並解釋了使用此模型的基本原理。
公共入侵檢測框架:(15分 畫圖描述 P 165)
CIDF在入侵檢測專家系統和網絡入侵檢測專家系統的基礎上提出了一個通用模型,將入侵檢測系統分為4個基本組建:時間產生器、時間分析器、相應單元和時間數據庫,
(1)事件產生器
事件產生器的任務是從入侵檢測系統之外的計算機環境中收集事件,並將這些事件轉換成CIDF的GIDO格式傳送給其他組件。
(2)事件分析器
事件分析器從其他組件收到的GIDO,並將產生的信GIDO再傳送給其他組件。
(3)事件數據庫
時間數據庫用來存儲GIDO,以備系統需要的時候使用。
(4)響應單元
響應單元處理收到的GIDO,並據此采用相應的措施,如殺死相關進程、將連接復位、修改文件權限等。
CIDF語言:CIDF的首要目標是定一種應用層的語言CISL,用來描述IDR組件之間出傳送的信息,以及制定一套對這些信息進行編碼的協議。
入侵檢測系統的測試和評估:
主要考慮 有效性、效率和可用性。
入侵檢測技術考點