返回
入侵检测复习知识点归纳(信息安全)

入侵检测复习知识点归纳(信息安全)

ID:6007178

大小:1.56 MB

页数:34页

时间:2017-12-30

入侵检测复习知识点归纳(信息安全)_第1页
入侵检测复习知识点归纳(信息安全)_第2页
入侵检测复习知识点归纳(信息安全)_第3页
入侵检测复习知识点归纳(信息安全)_第4页
入侵检测复习知识点归纳(信息安全)_第5页
资源描述:

《入侵检测复习知识点归纳(信息安全)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Ch1:1.入侵检测:是指发现或检测(discoverordetect)网络系统和计算机系统中出现各种的入侵活动(intrusionactivities,namelyattack),或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件,软件或者组合。当IDS检测出入侵时,还能对入侵做出响应:被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率(Falsepositiverate)和漏报率(Falsene

2、gativerate)衡量,这个是一个重要的评价指标。误报(Falsepositive)是当一个正常活动或者合法的网络流(包)触发IDS报警。漏报(Falsenegative)是一个恶意的活动或网络流(包)却没有触发IDS报警。3.入侵检测系统常见的分类方法.采集数据来源,检测方法(数据分析方法),从响应方式,体系结构和实现。4.入侵检测系统主要组成部件和各部件的功能感应器(Sensor):完成网络,主机和应用程序相关数据(网络包或流,主机审计日志与系统调用,以及具体应用程序相关的日志)采集,并转化成分析器所要求的格式。分析器(An

3、alyzer):完成数据的分析,并寻找入侵特征。称为(基于)特征入侵检(signaturedetectionorsignature-based),也有文献称为误用检测(misusedetection)。或者通过一些统计指标判断行为是否异常,称为(基于)异常入侵检测(anomalydetectionoranomaly-based)。最后做出判断是正常还是攻击。报警器(Alarm):若检测到攻击,报警器除了要报告网络或系统管理员外(由控制台界面发出声色警报,同时邮件或短信息通知),若是被动响应方式,则有管理员去处理;若是主动响应方式,则

4、会自动查表找与攻击对应的具体响应,即采取相应的响应动作:或者通知防火墙更新过滤规则,中断连接;或者通知主机系统中断某个恶意的进程或用户。5.入侵防御系统(IPS):能够预先对入侵活动或攻击性网络流量进行拦截,终止攻击继续发生,以免造成损失。6.IPS出现的主要原因有哪些?IPS的主要功能是什么?7.IDS与IPS主要区别有哪些?(cfch12)(1)主要功能不同IDS入侵检测,IPS入侵防御(2)工作模式不同IPS工作模式是inlinemode:DetectionandAction(检测和动作),是主动防御。而IDS是sniffer

5、mode:Detection,是被动侦听,而当发生入侵时,通知防火墙更新规则,同时TCPreset中断连接。(3)部署位置不同(基于网络的IDS和IPS):IDS部署在防火墙后,接入交换机的侦听端口上(将所有流经交换机的信息包复制一份给IDS),实时性差,只能间接通过防火墙采取行动。IPS部署在防火墙外,所有实时流量都流经IPS,实时处理,可以直接采取行动(丢包,断连等)。IDSIPS防御方式PassivesniffermodeActivein-linemode防御动作通知防火墙更新规则,同时TCPreset中断连线丟弃恶意包中断连

6、线防火墙(Firewall)不能完全替代IDS,防火墙像门卫(在大门入口处),一般通过过滤网络流量,允许或者阻止对系统和资源的访问,而IDS一般是用来监视计算机系统和网络中的活动和事件,检测恶意活动的。IDS就像是房屋的安防报警系统,有多个传感器,放在各个检测点(各个网络和主机的关键点),与报警主机相连,通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。FirewallvsIDS:防火墙只能分析包的网络层和传输层,只能基于端口号和Ip地址进行简单过滤;而IDS可以分析到应用层,不仅能够检测能够检测利用网络

7、层和传输层的知识的攻击,还能检测利用数据包中恶意内容(应用层)而产生的各种攻击。8、什么是入侵活动?入侵活动主要分为哪几类?发生入侵活动的原因有哪些?又称为攻击(Attacks),是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为,是恶意的活动。如中断系统服务,未授权的访问网络和计算机系统(Unauthorizedaccess),扩大特权(Privilegeescalation)或者侦察活动(Reconnaissance)等。入侵者通常要利用网络或计算机系统的漏洞(Vulnerability),如TCP/IP网络协议软件的

8、安全缺陷,路由软件的缺陷,以及操作系统和应用系统的Bug等。同时,也存在因为配置不当(misconfiguration)和没有及时打补丁(patch)而使应用与系统置于各种安全暴露(Exposure)中。第二章1.攻击Incomput

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。