文章目錄
- 一、入侵檢測概述
- 二、入侵系統的分類
- 三、入侵檢測的分析方法
- 1、特征檢測(濫用檢測、誤用檢測)
- 2、異常檢測
- 四、Snort入侵檢測系統
- 五、網絡欺詐技術
- 1、蜜罐
- 2、蜜網
- 3、網絡欺騙防御
- 六、簡答題
- 1. 入侵檢測系統對防火墻的安全彌補作用主要體現在哪些方面?6點
- 2. 從信息源的角度看,以操作系統的審計記錄作為入侵檢測的信息源存在哪些缺陷?
- 3. 以應用程序的運行記錄作為入侵檢測系統的信息源,對于檢測針對應用的攻擊活動存在哪些優勢?
- 4. 請分析基于網絡的入侵檢測系統的優點和缺點。
- 5. 什么是基于異常和基于誤用的入侵檢測方法?它們各有什么特點?
- 6. 為什么說異常檢測所發現的異常未必是攻擊活動?
- 7. 如何對入侵檢測系統的效能進行評估。
- 8. 入侵檢測技術主要存在哪些方面的局限性。
- 9. 談談你對蜜罐、蜜網、網絡欺騙防御這三個概念的理解。
一、入侵檢測概述
定義:通過從計算機系統或網絡的關鍵點收集信息并進行分析,從中發現系統或網絡中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測意義:防火墻之后的第二道安全防線,是防火墻的必要補充。
數據源:應用、主機、網絡。
二、入侵系統的分類
根據檢測方法來分:
(1)基于特征(誤用)的入侵檢測
(2)基于異常的入侵檢測
(3)混合的入侵檢測
根據數據源來分:
(1)基于應用的入侵檢測系統(Application-based IDS, AIDS)
(2)基于主機的入侵檢測系統(Host-based IDS, HIDS)
(3)基于網絡的入侵檢測系統(Network-based IDS, NIDS)
(4)混合的入侵檢測系統(Hybrid IDS)
三、入侵檢測的分析方法
兩種主要的檢測方法:
特征檢測、異常檢測
1、特征檢測(濫用檢測、誤用檢測)
??定義:收集非正常操作的行為特征(靜態、動態特征、特征描述),建立相關的特征庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。檢測率取決于:攻擊特征庫的
正確性與完備性。
??檢測實現方法:模式匹配法(將收集到的入侵特征轉換成模式,存放在模式數據庫中,檢測時匹配即可)、專家系統法(通過條件匹配判斷是否出現了入侵并采取相應動作,專家系統采用的是說明性的表達方式,需要解釋器來實現,速度慢)、狀態遷移法(利用狀態轉換圖描述并檢測已知的入侵模式)
2、異常檢測
定義:首先總結正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。
檢測實現方法:
統計分析法(條件熵越小,這樣數據集建立的模型的準確性越好)、人工免疫法(先中招,才有抗體)、機器學習法
四、Snort入侵檢測系統
??Snort主要采用
特征檢測的工作方式,由數據包解析器、檢測引擎、日志與報警子系統組成
五、網絡欺詐技術
1、蜜罐
蜜罐是一種安全資源,其價值在于被探測、攻擊或突破。可用于取證,誘導攻擊者攻擊。
根據交互程度或逼真程度的高低可以分為
低交互蜜罐(功能:攻擊數據捕獲與處理、攻擊行為分析)、中交互蜜罐和高交互蜜罐(功能:網絡欺騙、攻擊捕獲、數據控制、數據分析)。
根據部署方式可以分為
生產型蜜罐和研究型蜜罐。
按照實現方式可將蜜罐分為
物理蜜罐和虛擬蜜罐。
2、蜜網
由多個
蜜罐組成的欺騙網絡,通過虛擬化技術(如VMware)可以方便地把多個虛擬蜜罐部署在單個服務器主機上。
3、網絡欺騙防御
??網絡欺騙防御是一種體系化的防御方法,它將
蜜罐、蜜網、混淆等欺騙技術同防火墻、入侵檢測系統等傳統防護機制有機結合起來,構建以欺騙為核心的網絡安全防御體系。
??根據網絡空間欺騙防御的作用位置不同,可以將其分為不同的層次,包括:
網絡層欺騙(網絡混淆)、終端層欺騙(系統層欺騙防御技術)、應用層欺騙(應用層欺騙防御技術)、數據層欺騙(數據層欺騙防御技術)。
六、簡答題
1. 入侵檢測系統對防火墻的安全彌補作用主要體現在哪些方面?6點
1)入侵檢測可以發現內部的攻擊事件以及合法用戶的越權訪問行為,而位于網絡邊界的防火墻對于這些類型的攻擊活動無能為力。
2)如果防火墻開放的網絡服務存在安全漏洞,入侵檢測系統可以在網絡攻擊發生時及時發現并進行告警。
3)在防火墻配置不完善的條件下,攻擊者可能利用配置漏洞穿越防火墻,入侵檢測系統能夠發現此類攻擊行為。
4)對于加密的網絡通信,防火墻無法檢測,但是監視主機活動的入侵檢測系統能夠發現入侵。
5)入侵檢測系統能夠有效發現入侵企圖。如果防火墻允許外網訪問某臺主機,當攻擊者利用掃描工具對主機實施掃描時,防火墻會直接放行,但是入侵檢測系統能夠識別此類網絡異常并進行告警。
6)入侵檢測系統可以提供豐富的審計信息,詳細記錄網絡攻擊過程,幫助管理員發現網絡中的脆弱點。
2. 從信息源的角度看,以操作系統的審計記錄作為入侵檢測的信息源存在哪些缺陷?
1)不同操作系統在審計的事件類型、內容組織、存儲格式等方面都存在差異,入侵檢測系統如果要求跨平臺工作,必須考慮各種操作系統審計機制的差異。
2)操作系統的審計記錄主要是方便日常管理維護,同時記錄一些系統中的違規操作,其設計并不是為入侵檢測系統提供檢測依據。在這種情況下,審計記錄對于入侵檢測系統而言包含的冗余信息過多,分析處理的負擔較重。
3)入侵檢測系統所需要的一些判定入侵的事件信息,可能操作系統的審計記錄中沒有提供,由于信息的缺失,入侵檢測系統還必須通過其他渠道獲取。
3. 以應用程序的運行記錄作為入侵檢測系統的信息源,對于檢測針對應用的攻擊活動存在哪些優勢?
1)精確度高。主機的審計信息必須經過一定的處理和轉化之后,才能變為入侵檢測系統能夠理解的應用程序運行信息,而且在此轉化過程中往往會丟失部分信息。直接利用應用數據,可以在最大程度上保證入侵檢測系統所獲得信息的精確度。
2)完整性強。對于一些網絡應用,特別是分布式的網絡應用,直接通過主機的日志信息、甚至結合收集到的網絡數據,都難以準確獲取應用的具體狀態。但是,應用數據能夠最全面地反映應用的運行狀態信息。
3)采用應用數據作為入侵檢測的信息源具有處理開銷低的優勢。主機的審計信息反映的是系統整體運行情況,要將其轉化為應用信息必須經過計算處理。而應用程序日志本身就是應用層次的活動記錄,可以直接向入侵檢測系統提供其所關注的應用的運行狀況。
4. 請分析基于網絡的入侵檢測系統的優點和缺點。
答:基于網絡的入侵檢測系統具有隱蔽性好、對被保護系統影響小等優點,同時也存在粒度粗、難以處理加密數據等方面的缺陷。
5. 什么是基于異常和基于誤用的入侵檢測方法?它們各有什么特點?
答:
??基于誤用的入侵檢測方法的基本思路是事先提取出描述各類攻擊活動的特征信息,利用攻擊特征對指定的數據內容進行監視,一旦發現攻擊特征在監視的數據中出現,即判定系統內發生了相應的攻擊活動。
??基于異常的檢測方法首先總結出正常活動的特征,建立相應的行為模式。在入侵檢測的過程中,以正常的行為模式為基礎進行判定,將當前活動與代表正常的行為模式進行比較,如果當前活動與正常行為模式匹配,則認為活動正常;而如果兩者存在顯著偏差,則判定出現了攻擊。
??基于誤用的檢測方法只能檢測已知攻擊,誤報率低,無法檢測未知攻擊。
??基于異常的檢測方法可以檢測未知攻擊,但誤報率高。
6. 為什么說異常檢測所發現的異常未必是攻擊活動?
答:因為定義的正常行為不一定完備和準確,可能會造成合法的行為被認為是異常的。
7. 如何對入侵檢測系統的效能進行評估。
答:誤報率、漏報率、準確率。
8. 入侵檢測技術主要存在哪些方面的局限性。
(1)誤報率和漏報率需要進一步降低
(2)入侵檢測技術涉及用戶隱私與系統安全的矛盾
(3)入侵檢測技術不具備主動發現漏洞的能力
(4)不斷豐富的網絡應用也對入侵檢測技術提出挑戰
9. 談談你對蜜罐、蜜網、網絡欺騙防御這三個概念的理解。
答:網絡欺騙防御是一種體系化的防御方法,它將
蜜罐、蜜網、混淆等欺騙技術同防火墻、入侵檢測系統等傳統防護機制有機結合起來,構建以欺騙為核心的網絡安全防御體系。
蜜罐是一種安全資源,其價值在于被探測、攻擊或突破。可用于取證,誘導攻擊者攻擊。
蜜網由多個蜜罐組成的欺騙網絡。
:mcp_chatbot_prompt_resource.py)
和JSON.parse()之間的轉換)
)
)
