入侵检测 曹元大 考试复习资料

考试复习资料。。。

第一章P2DR: Policy(安全策略) 根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以如何实现对它们的保护。Protection(防护) 通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性。Deteciotn(检测) 在P2DR模型中，检测是非常重要的一个环节，检测是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。Response(响应)紧急响应在安全系统中占有最重要的地位，是解决安全潜在性问题最有效的办法。

入侵检测概念：所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为。而入侵检测，顾名思义，便是对入侵行为的发觉。

入侵检测作为安全技术其主要目的有：（1）识别入侵者;(2)识别入侵行为;（3）检测和监视已成功的安全突破；（4）人对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 第三章

通用入侵检测模型(Denning)模型：由6个主要部分构成，1、主体(Subjects) 主体是指系统操作的主动发起者，是在目标系统上活动的实体 2、对象(Objects) 对象是指系统所管理的资源，如文件、设备、命令 3、审计记录(Audit records) 审计记录是指主体对象实施操作时，系统产生的数据，如用户注册、命令执行和文件访问等。其格式为<Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp> 4、活动简档(Activity Profile) 活动简档定义了3种类型的随机变量 *事件计数器(Event Counter) *间隔计时器(Interval Timer) *资源计量器(Resource Measure) 5、异常记录(Anomaly Record) (1) Event: 指明导致异常的事件，(2) Time-stamp: 产生异常事件的时间戳 (3)Profile: 检测到异常事件的活动简档。6、活动规则 共有四种类型的规则: *审计记录规则(Audit-record rules): 触发新生成审计记录和动态的活动简档之间的匹配及更新活动简档和检测异常行为。*定期活动更新规则(Periodic-activity-update rules): 定期触发动态活动简档中的匹配以及更新活动简档和检测异常行为。*异常记录规则(Amomaly-record rules): 触发异常事件的产生，并将异常情况报告给安全管理员。 *定期异常分析规则(Periodic-anomaly-analysis rules) 定期触发产生当前的安全状态报告。

层次化入侵检测模型(IDM): 该模型将入侵检测系统分为6个层次，从低到高依次为：数据层(Data)、事件层(Event)、主体层(Subject)、上下文层(Context)、威胁层(Thead)和安全状态层(Security state) 1、数据层 包括主机操作系统的审计记录、局域网监视器结果和第三方审计软件包提供的数据。2、事件层 该层处理的客体是对第一层客体的扩充，该层的客体称为事件。 3、主体层 主体是一个唯一标识号，用来鉴别在网络中跨越多台主机使用的用户。 4、上下文层 上下文用来说明事件民生的所外的环境，或者给出事件产生的背景。上下文分为时间型和空间型。 5、威胁层 该层考虑事件对网络和主机构成的威胁。 6、安全状态层 IDM的最高层用1~100的数字值来表示网络的安全状态，数字越大，网络的安全性越低

管理式入侵检测模型(SNMP-IDSM) SNMP-IDSM采用五元级形式来描述攻击事件，格式为：<WHERE, WHEN, WHO, WHAT,HOW>。含义如下: (1) WHERE: 描述产生攻击的位置，包括目标所在地以及在什么地方观察到事件发生。(2)WHEN: 事件的时间戳，用来说明事件的起始时间，终止时间、信息频度或发生的次数。(3)WHO: 表明IDS观察到的事件，如果可能的话，记录哪个用户或进程触发事件。(4)WHAT：记录详细信息，例如，协议类型，协议说明数据和包的内容。(5)HOW：用来连接原始事件和抽象事件。

入侵检测系统的工作模式：四个步骤 *从系统的不同环节收集信息 *分析该信息，试图寻找入侵活动的特征 *自动对检测到的行为作出响应 *记录并报告检测过程和结果。一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器(Sensor)、分析器(Analyzer)和管理器(Manager)

入侵检测系统分类：根据目标系统的类型分类：1)基于主机的入侵检测系统 2)基于网络的入侵检测系统。 根据入侵检测系统分析分析方法分类：1)异常入侵检测系统 异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。 2)误用入侵检测系统 误用入侵检测系统根据已知入侵入侵攻击的信息来检测系统中的入侵和攻击。

第四章1.入侵检测过程可分为3个阶段: 1).信息收集 2).信息分析 3).告警与响应 2.入侵检测系统的数据源: 1).基于主机的数据源 2).基于网络的数据源 3.入侵分析的概念: 指针对用户和系统活动数据进行有效的组织,整理并提取特征,以鉴别出感兴趣的行为.4.入侵分析处理过程分为3个阶段: 1).构建分析器 2. )分析数据 3).反馈和更新

第六章 共享和交换网络环境下的数据捕获 1.将数据包捕获程序放在网关或代理服务器上，这样就可以捕获到整个局域网的数据包 2.对交换机实行端口映射，将所有端口的数据包全部映射到某个连接监控机器的端口上 3.在交换机和路由器之间连接一个Hub，这样数据将以广播的方式发送 4.实行ARP欺骗，即在负责数据包捕获的机器上实现整个网络的数据包的转发，不过会降低整个局域网的效率

windows平台下的Winpcap库 1．Winpcap的功能：1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报 2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉 3)在网络上发送原始的数据报 4)收集网络通信过程中的统计信息 2. Winpcap的基本使用步骤 1)枚举本机网卡的信息 2)打开相应网卡并设置为混杂模式 3)截获数据包并保存为文件 4)捕获数据包的完整代码

CIDF做的主要工作：提出了一个通用的入侵检测框架，然后进行这个框架中各个部件之间通信协议和API的标准化，以达到不同IDS组件的通信和管理。CIDF是一套规范，目前，CIDF的规格文档由以下4部分组成。：Architechure,Communication,Language,API CIDF的体系结构

CIDF的互操作有下面3类: 1)互操作，可相互发现并交换数据 2)语法互操作，可正确识别交换的数据 3)语义互操作，可相互正确理解交换的数据

CIDF定义了IDS系统的6种协同方式:

·)分析方式·)互补方式·)互纠方式·)核实方式·)调整方式·)相应方式

第七章：1.评价入侵检测系统的性能的标准（评价入侵检测系统系能的porras3（debar增加5）个因素）

答：准确性(accuracy)：指入侵检测系统能正确的检测出系统入侵活动。当一个入侵检测系统的检测不准确时，他就可能把系统中的合法活动当做入侵检测行为并标识为异常。 处理性能（performance）：指一个入侵检测系统处理系统审计数据的速度。显然，当入侵检测系统的处理性能较差时，它就不可能实现实时的入侵检测。 完备性（completeness）：指入侵检测系统能够检测出所有攻击行为的能力。如果存在一个攻击，无法被检测出来，那么就不具备有完备性。 容错性（fault tolerance）：入侵检测系统自身必须能够抵御对他自身的攻击，特别是拒绝服务攻击。 及时性（Timeliness）：及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。它不仅要求入侵检测系统的处理速度尽可能的快，而且要求传播反应检测结果信息的时间尽可能少。 2.影响入侵检测系统性能的参数 答：I（入侵行为），-I（目标系统的正常行为），A（检测系统发出的入侵警报），-A(检测系统没有警报) 检测率：指被监控系统受到入侵攻击时检测系统能够正确报警的概率，可表示为P(A|I)。 虚警率：指检测系统在检测时出现虚警的概率P(A|-I)。

关系：给定检测率的条件下，报警信息的可信度将随着检测系统虚警率的增大而减小。而在给定虚警率的条件下，报警信息的可信度将随着检测率的增大而增大。 第八章：

1.Snort的组成：

数据包解码器：主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。

检测引擎：snort用一个二维列表存储它的检测规则，其中一维称为规则头，另一维称为规则选项。规则头中放置一些公共的属性特征，而规则选项中放置的是一些入侵特征。

日志与报警系统：它可以在运行snort的时候以命令行交互的方式进行选择，现在可供选择是日志形式有三种，报警形式有五种。

2.Snort的工作模式：

嗅探器：该模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。 数据包记录器：该模式把数据包记录在硬盘上。

网络入侵检测系统：该模式是最复杂的，是可配置的。用户可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 3.snort的配置：

1.设置网络相关变量 2.配置预处理器 3.配置输出插件 4.定制snort规则集。

会写规则头，自己看书P177

选择题

一般来讲，网络入侵者入侵的步骤有确定目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日志。 Ip欺骗的实质是信任关系的破坏。

在通用入侵检测模型的活动简档中定义的随机变量是事件计数器、间隔计时器、资源计数器。

在入侵检测模型中，假定所有入侵行为都是与正常行为不同的（用户表现为可预测的，一致的系统使用模式）。 1. 入侵检测过程包括三个阶段：信息收集阶段，信息分析阶段，告警与响应阶段。 2. 入侵分析处理过程的三个阶段：构件分析器，分析数据，反馈和更新。 3. 数据预处理功能：数据集成，数据清理，数据交换，数据简化，数据融合。 4. IDF定义了IDS系统和应急系统之间的交换数据方式，CIDF互操作主要有3类：配置互操作，语义互操作，语法互操作。 5. 在CIDF中，IDS个组件间通过CISL来进行入侵和警告等信息内容的通信。 6. 在IDWG的标准中，目前已经制定出来的有关入侵检测信息的数据模型有面向对象的数据模型和基于XML的数据模型。 7. IDMEF使用IAP解决数据的安全传输问题。 8. 影响入侵检测性能的参数主要有检测率和虚警率。 9. 误用检测失效的三个方面：系统活动记录未能为IDS提供足够的信息用来检测入侵，入侵签名数据库中没有某种入侵攻击签名，模式匹配算法不能从系统活动记录中识别出入侵签名。 10. 性能测试也功能有所不同，因而测试的网络环境以局域网为主，这样可以尽最大可能的产生大的网络流量，避免路由器的设备对网络流量的约束。 11. 模拟攻击是测试软件的一个比不可少的功能，通过运行攻击来验证IDS是否能够检测到这些攻击。 12. Snort是一个网络入侵检测软件，snort是有3个子系统构成，snort是用C语音编写的，snort使用插件技术来实现模块化功能。 13. Snort的三个子系统是数据包解码器，检测引擎，日志与报警系统。 14. 目前入侵检测产品存在的大多问题有误报和漏报的矛盾，隐私和安全的矛盾，被动分析和主动发现的矛盾，海量信息与分析代价的矛盾，功能性和可管理型的矛盾，单一产品和复杂的网络应用的矛盾。 15. 现有的入侵检测矛盾的不足主要有适应性差和扩展性差。

1

第1页