入侵检测技术重点总结

1.黑客：早先对计算机的非授权访问称为“破解”，而hacking(俗称“黑”)则指那些熟练

使用计算机的高手对计算机技术的运用，这些计算机高手称为“黑客”。随着个人计算机及网络的出现，“黑客”变成一个贬义词，通常指那些非法侵入他人计算机的人。2.入侵检测（intrusion detection）：就是对入侵行为的发觉，它通过从计算机网络或计算机

系统中的若干关键点收集信息，并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

3.入侵检测系统的六个作用：1）、通过检测和记录网络中的安全违规行为，惩罚网络犯罪，

防止网络入侵事件的发生。2）、检测其他安全措施未能阻止的攻击或安全违规行为。3）、检测黑客在攻击前的探测行为，预先给管理员发出警报。4）、报告计算机系统或网络中存在的安全威胁。5）、提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。6）、在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

4.t P>t D+t Rd的含义：t p:保护安全目标设置各种保护后的防护时间。t D:从入侵者开始发动入

侵开始，系统能够检测到入侵行为所花费的时间。t R：从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。公式的含义：防护时间大于检测时间加上响应时间，那么在入侵危害安全目标之前就能检测到并及时采取防护措施。

5.入侵检测原理的四个阶段：数据收集、数据处理，数据分析，响应处理。

6.攻击产生的原因：信息系统的漏洞是产生攻击的根本原因。

7.诱发入侵攻击的主要原因：信息系统本身的漏洞或脆弱性。

8.漏洞的概念：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它

是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备，包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的，，一般是程序员编程时的疏忽或者考虑不周导致的。

9.漏洞的具体表现：存储介质不安全，数据的可访问性，信息的聚生性，保密的困难性，

介质的剩磁效应，电磁的泄漏性，通信网络的脆弱性，软件的漏洞。

10.漏洞iongde分类（按被利用的方式）：物理接触、主机模式、客户机模式、中间人模式。

11.入侵检测系统的基本原理主要分四个阶段：数据收集、数据处理、数据分析、响应处

理。

12.常用的5种检测模型：操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列

分析模型。

13.信息系统面临的三种威胁：非人为因素和自然力造成的数据丢失、设备失效、线路阻断；

人为但属于操作人员无意的失误造成的数据丢失；来自外部和内部人员的恶意攻击和入侵。

14.攻击的四个步骤：攻击者都是先隐藏自己；再踩点或预攻击探测，检测目标机器的各种

属性和具备的被攻击条件，然后采取相应的攻击行为，达到自己的目的，最后攻击者会清除痕迹删除自己的行为日志。

Ping扫描：ping是一个DOS命令，它的用途是检测网络的连通状况和分析网络速度。

端口扫描：端口扫描时一种用来查找网络主机开放端口的方法，正确的使用端口扫描，能够起到防止端口攻击的作用。

操作系统识别扫描：黑客入侵过程的关键环节是操作系统的识别与扫描。

漏洞扫描：主要是查找操作系统或网络当中存在什么样的漏洞，并给出详细漏洞报告，引导用户到相关站点下载最新系统漏洞补贴程序，确保系统永远处在最安全的状态下，以减少被攻击的可能性。

1.欺骗攻击的类型：IP、ARP、DNS、源路由、URL

2.拒绝服务攻击：攻击者想办法让目标主机停止提供服务或资源访问，它是黑客常用的攻

击手段之一。

3.拒绝服务攻击的原理：SYN洪流攻击，IP欺骗拒绝服务攻击，UDP洪流攻击，ping洪

流攻击，泪滴攻击，Land攻击，Smurf攻击，Fraggle攻击。

4.数据库攻击：危害最大的属于SQL注入式攻击。源于英文：SQL Injection Attack,就其

本质而言，SQL注入式攻击利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入式攻击就发生了。

5.木马攻击：特洛伊木马本质上只是一种远程管理工具，而且本身不带伤害性，也没有感

染力，所以原则上不能成为病毒。特洛伊木马之所以被视为病毒是因为如果有人不正当的使用，其破坏力可以比病毒更强。木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。“冰河”的开放端口是7626.

6.入侵检测系统模型分为3个模块：信息收集模块、信息分析模块、报警与相应模块

7.入侵检测利用的信息来源：系统和网络日志文件；目录和文件中不期望的改变；程序执

行中的不期望行为；物理形式的入侵。

8.信息分析的四种方法：模式匹配；统计分析；完整性分析；数据流分析。

9.蜜罐技术：蜜罐是一个安全程序，设计用来观测入侵者如何探测并最终入侵系统，其中

包含一些并不威胁公司机密的数据或应用程序，同时对于入侵者来说又具有很大诱惑力，它安装在网络上的一台专用的计算机上，同时通过一些特殊配置，使该计算机看起来像是一个“有价值”的目标，以引诱潜在的入侵者并捕获他们。

10.蜜网技术：蜜网是一种专门设计用来让人攻击的网络，一旦被入侵者所攻破，入侵者的

一切信息、工具等都将被用来分析和学习，其想法和蜜罐相似，但两者之间还是有些不同。

11.误用入侵检测的思想是：如果所有的入侵行为和手段（及其变种）都能够表达为一种模

式或特征，那么所有已知的入侵方法就可以用匹配的方法来发现。其难点在于如何设计模式，使其既表达入侵又不会将正常的活动包含起来。

12.误用入侵检测系统的类型：专家系统，模型推理系统，模式匹配系统，状态转换分析系

统。

13.异常入侵检测：是与误用入侵检测技术相对应的另一种入侵检测技术。基于异常入侵检

测技术的入侵检测系统首先总结正常操作应该具有的特征，如CPU利用率、缓存剩余空间、用户使用计算机的习惯等，在后续的检测过程中对操作进行监视，一旦发现偏离正常统计学意义上的操作模式，进行报警。

14.典型的3种威胁模型：外部入侵、内部渗透、不当行为

15.异常入侵检测方法：统计分析、模式预测、数据挖掘、神经网络、免疫系统、特征选择、

贝叶斯推理、贝叶斯网络、贝叶斯聚类等9种方法。

16.当前模式匹配问题属于串处理（string processing）和模式组合匹配（combinatorial pattern

matching）

精确模式串匹配算法检测符号序列的方式主要分为3种模式：前缀模式、后缀模式、结合模式。

前缀匹配模式KMP(Knuth-Morris-Pratt)。后缀模式主要算法：单串匹配的Boyer-Moore算法和多串匹配的Commentz-Walter算法、Wu-Manber算法。

结合模式：BDM（Backward DAWG Matching）、BOM(Bachward Oracle Matching)、SBDM(Set Backward DAWG Matching)、SBOM(Set Backward Oracle Matching)