入侵检测技术 第3章

信息平安概论复习提纲第1章绪论1、信息平安的六个属性机密性、完整性、可用性、非否认性、真实性、可控性〔前三者为经典CIA模型〕机密性：能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

完整性：能够保障被传输、接受或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的设置。

可用性：即在突发事件下，依然能够保障数据和效劳的正常使用。

非否认性：能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

真实性：真实性也称可认证性，能够确保实体身份或信息、信息来源的真实性。

可控性：能够保证掌握和控制信息与信息系统的根本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、从多个角度看待信息平安问题个人：隐私保护、公害事件企事业单位：知识产权保护、工作效率保障、不正当竞争军队、军工、涉密单位：失泄密、平安保密的技术强化运营商：网络运行质量、网络带宽占用〔P2P流量控制〕、大规模平安事件〔DDOS、大规模木马病毒传播〕、新商业模式冲击〔非法VOIP、带宽私接〕地方政府机关：敏感信息泄露、失泄密、网站篡改、与地方相关的网络舆情职能机关：案件侦破、网上反恐、情报收集、社会化管理国家层面：根底网络和重要信息系统的可用性、网上舆情监控与引导、失泄密问题、稳固政权、军事对抗、外交对抗、国际斗争3、威胁、脆弱点和控制（1）信息平安威胁(threat)：指某人、物、事件、方法或概念等因素对某信息资源或系统的平安使用可能造成的危害。

包括信息泄露、篡改、重放、假冒、否认、非授权使用、网络与系统攻击、恶意代码、灾害故障与人为破坏。

其他分类：暴露、欺骗、打搅、占用；被动攻击、主动攻击；截取、中断、篡改、伪造。

（2）脆弱点〔Vulnerability〕，即缺陷。

（3）控制〔control〕，一些动作、装置、程序或技术，消除或减少脆弱点。

入侵检测技术Intrusion Detection Technology课程编号：学分： 2学时： 30 （其中：讲课学时：30 实验学时：上机学时：0）先修课程：计算机网络，TCP/IP，Internet安全适用专业：信息安全教材：自编讲义开课学院：计算机科学与通信工程学院一、课程的性质与任务课程的性质：相比于静态安全技术，如防火墙技术、数据加密技术、访问控制技术等，起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件，其主要功能包括：（1）提供事件记录流的信息源；（2）发现入侵迹象的分析引擎；（3）基于分析引擎结果的响应。

误用检测和异常检测是入侵检测常用的方法，前者使用模式匹配技术，检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件，后者则使用统计技术检测不经常发生的事件。

随着网络应用的不断深入，网络安全问题的日显重要，入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。

课程的基本任务：1．了解入侵检测技术的基本概念、发展现状及最新动态；2．掌握入侵检测的原理及系统构成；3．掌握入侵检测的常用方法与技术；4．了解提高入侵检测率对不同用户的要求。

二、课程的基本内容及要求第一章入侵检测技术概述1．基本内容（1）入侵检测的概念（2）入侵检测技术产生的原因（3）入侵检测技术的功能、发展历史及分类（4）入侵检测技术的基本构成和体系结构2．基本要求（1）掌握入侵检测的基本概念（2）掌握入侵检测系统的基本构成（2）了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1．基本内容（1）计算机网络的主要漏洞（2）缓冲区溢出攻击（3）拒绝服务攻击（4）攻击分类2．基本要求（1）掌握缓冲区溢出攻击和拒绝服务攻击的原理（2）了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1．基本内容（1）信息源在入侵系统中的重要地位（2）基于主机的信息源（3）基于网络的信息源（4）基于网络的信息源的获取2．基本要求（1）掌握入侵检测的信息源获取的基本途径（2）了解信息源的作用第四章入侵检测方法1．基本内容（1）入侵检测的基本原理和主要方法（2）基于数据挖掘技术的入侵检测模型（3）基于数据融合技术的入侵检测模型2．基本要求（1）掌握入侵检测的基本原理（2）掌握异常检测与滥用检测常用的检测技术与相应的模型建立（3）掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1．基本内容（1）入侵检测系统原型产品介绍（2）入侵检测系统商业产品介绍（3）免费入侵检测系统产品介绍（4）入侵检测系统产品的选择2．基本要求（1）了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1．基本内容（1）入侵检测系统的脆弱性分析（2）入侵检测系统体系结构的局限性2．基本要求（1）掌握网络系统脆弱性分析的基本方法（2）了解入侵检测系统的局限性第七章入侵检测系统的评价1．基本内容（1）入侵检测系统的评价标准（2）对入侵检测系统的测试与评估2．基本要求（1）掌握入侵检测系统的评价标准（2）掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1．基本内容（1）未来的信息社会（2）未来的技术趋势（3）未来的安全趋势2．基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学；2、为学生提供丰富的参考资料；五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人：韩牟审定人：批准人：日期：2013年5月10日课程简介课程编码：课程名称：入侵检测技术英文名称：Intrusion Detection Technology学分： 2学时： 3 0（其中：讲课学时2 6 实验学时： 0 上机学时：4 ）课程内容：相比于静态安全技术，如防火墙技术、数据加密技术、访问控制技术等，起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

网络安全防范及快速响应计划第1章网络安全防范基础 (3)1.1 网络安全概述 (3)1.2 防范策略与措施 (3)1.3 安全意识培训 (3)1.4 常见网络安全威胁 (4)第2章组织安全策略制定 (4)2.1 安全政策与法规 (4)2.2 风险评估与安全需求分析 (5)2.3 安全策略制定与实施 (5)2.4 安全策略的持续改进 (6)第3章网络边界安全防范 (6)3.1 防火墙技术与应用 (6)3.1.1 防火墙技术原理 (6)3.1.2 防火墙部署策略 (6)3.1.3 防火墙配置与管理 (6)3.2 入侵检测与防御系统 (6)3.2.1 入侵检测技术 (7)3.2.2 入侵防御技术 (7)3.2.3 IDS/IPS部署与管理 (7)3.3 虚拟专用网（VPN）技术 (7)3.3.1 VPN技术原理 (7)3.3.2 VPN应用场景 (7)3.3.3 VPN设备选型与管理 (8)3.4 边界安全设备的管理与维护 (8)3.4.1 设备配置管理 (8)3.4.2 设备状态监控 (8)3.4.3 设备维护与保养 (8)第4章内部网络防护 (8)4.1 网络架构优化 (8)4.1.1 网络分区 (8)4.1.2 网络设备选型与部署 (9)4.1.3 网络冗余与负载均衡 (9)4.2 访问控制与身份认证 (9)4.2.1 访问控制策略 (9)4.2.2 身份认证机制 (9)4.3 安全审计与监控 (9)4.3.1 安全审计 (9)4.3.2 网络监控 (9)4.4 数据加密与防护 (9)4.4.1 数据加密 (9)4.4.2 数据防护 (10)第5章应用层安全防范 (10)5.1 应用层攻击手段与防范策略 (10)5.1.1 应用层攻击手段 (10)5.1.2 防范策略 (10)5.2 Web安全防护 (11)5.3 邮件安全 (11)5.4 数据库安全 (11)第6章移动与云计算安全 (11)6.1 移动设备安全 (11)6.1.1 设备管理 (12)6.1.2 数据保护 (12)6.1.3 应用安全 (12)6.2 移动应用安全 (12)6.2.1 开发安全 (12)6.2.2 应用审核 (12)6.2.3 应用加固 (12)6.3 云计算安全挑战与应对 (13)6.3.1 数据安全 (13)6.3.2 安全合规 (13)6.3.3 安全防护 (13)6.4 云安全服务与解决方案 (13)6.4.1 云安全防护服务 (13)6.4.2 云安全解决方案 (13)第7章恶意代码防范 (14)7.1 恶意代码概述 (14)7.2 防病毒软件与防护策略 (14)7.3 特洛伊木马防范 (14)7.4 勒索软件防范与应对 (15)第8章网络安全事件响应 (15)8.1 安全事件分类与识别 (15)8.2 事件响应流程与策略 (15)8.3 事件调查与分析 (16)8.4 应急响应与恢复 (16)第9章安全合规与审计 (16)9.1 安全合规概述 (17)9.2 安全审计标准与法规 (17)9.3 安全合规性评估与审计 (17)9.4 合规性改进与持续监督 (17)第10章安全培训与意识提升 (18)10.1 安全培训计划与目标 (18)10.1.1 培训计划目标 (18)10.1.2 培训计划要素 (18)10.2 安全培训内容与方法 (18)10.2.1 培训内容 (18)10.2.2 培训方法 (19)10.3 员工安全意识提升策略 (19)10.3.1 建立安全文化 (19)10.3.2 安全意识培训 (19)10.3.3 安全意识评估 (19)10.4 安全培训效果评估与改进 (19)10.4.1 评估方法 (19)10.4.2 改进措施 (19)第1章网络安全防范基础1.1 网络安全概述网络安全是保护计算机网络及其组成部分免受意外或恶意行为侵害的过程。

入侵检测习题答案第一章习题答案１.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答：计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个，它们分别是什么？答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征：太高，那么用户的合法行为就会经常性地被打断或者被禁止。

这样，不仅使得系统的可用性降低，而且也会使合法用户对系统失去信心。

1.3 描述并解释Anderson在１９７２年提出的计算机安全模型．答：Anderson在1972年提出了计算机安全模型，如图1.1所示。

图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。

授权数据库并不是安全参考监视器的一部分，但是安全参考监视器要完成控制功能需要授权数据库的帮助。

识别与认证系统识别主体和对象。

审计系统用来记录系统的活动信息。

该模型的实现采用访问控制机制来保证系统安全。

访问控制机制识别与认证主体身份，根据授权数据库的记录决定是否可以允许主体访问对象。

1.4 描述并解释P2DR模型.P2DR模型(Policy——策略，Protection—防护，Detection——检测，Response——响应)是一种动态的、安全性高的网络安全模型，如图1.3所示。

图1.3 P2DR模型它的基本思想是：以安全策略为核心，通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供了依据，当发现系统有异常时，根据系统安全策略快速作出响应，从而达到了保护系统安全的目的。

. ..页脚第1章入侵检测概述思考题：（1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。

（2）入侵检测作用体现在哪些方面？答：一般来说，入侵检测系统的作用体现在以下几个方面：●监控、分析用户和系统的活动；●审计系统的配置和弱点；●评估关键系统和数据文件的完整性；●识别攻击的活动模式；●对异常活动进行统计分析；●对操作系统进行审计跟踪管理，识别违反政策的用户活动。

（3）为什么说研究入侵检测非常必要？答：计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话，就要求所有的用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看，这根本是不可能的。

因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。