入侵检测复习知识点归纳(信息安全).docxVIP

Ch1:1.入侵检测:是指发现或检测（discover or detect）网络系统和计算机系统中出现各种的入侵活动（intrusion activities, namely attack ），或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。当IDS检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。入侵检测系统的准确性可以用误报率（False positive rate）和漏报率（False negative rate）衡量，这个是一个重要的评价指标。 误报（False positive）是当一个正常活动或者合法的网络流（包）触发IDS报警。 漏报（False negative）是一个恶意的活动或网络流（包）却没有触发IDS报警。3.入侵检测系统常见的分类方法.采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。4.入侵检测系统主要组成部件和各部件的功能感应器（Sensor）: 完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。分析器（Analyzer）： 完成数据的分析，并寻找入侵特征。称为 (基于）特征入侵检（signature detection or signature-based ），也有文献称为误用检测（misuse detection ）。或者通过一些统计指标判断行为是否异常，称为(基于)异常入侵检测 （anomaly detection or anomaly-based ）。最后做出判断是正常还是攻击。 报警器（Alarm）： 若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动响应方式，则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进程或用户。5.入侵防御系统(IPS): 能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发生，以免造成损失。6.IPS出现的主要原因有哪些?IPS的主要功能是什么? 7.IDS与IPS主要区别有哪些?（cf ch12)（1）主要功能不同 IDS入侵检测，IPS入侵防御（2）工作模式不同 IPS工作模式是inline mode ：Detection and Action（检测和动作），是主动防御。而IDS是sniffer mode：Detection，是被动侦听，而当发生入侵时，通知防火墙更新规则，同时TCP reset中断连接。 （3）部署位置不同（基于网络的IDS和IPS） ： IDS部署在防火墙后，接入交换机的侦听端口上（将所有流经交换机的信息包复制一份给IDS），实时性差，只能间接通过防火墙采取行动。 IPS部署在防火墙外，所有实时流量都流经IPS，实时处理，可以直接采取行动（丢包，断连等）。 IDS IPS 防御方式 Passive sniffer mode Active in-line mode 防御动作 通知防火墙更新规则，同时TCP reset 中断连线 丟弃恶意包中断连线 防火墙（Firewall）不能完全替代IDS，防火墙像门卫（在大门入口处），一般通过过滤网络流量，允许或者阻止对系统和资源的访问，而IDS一般是用来监视计算机系统和网络中的活动和事件，检测恶意活动的。IDS就像是房屋的安防报警系统，有多个传感器，放在各个检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨号到接警中心。而防火墙一般只布置在网络的入口处。Firewall vs IDS:防火墙只能分析包的网络层和传输层，只能基于端口号和Ip 地址进行简单过滤；而IDS可以分析到应用层，不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用数据包中恶意内容（应用层）而产生的各种攻击。8、什么是入侵活动? 入侵活动主要分为哪几类? 发生入侵活动的原因有哪些?又称为攻击（Attacks），是指穿越被保护的安全边界的活动或者对违反系统的安全策略的行为，是恶意的活动。如中断系统服务，未授权的访问网络和计算机系统（Unauthorized access），扩大特权（Privilege escalation）或者侦察活动（Reconnaissance）等。入侵者通常要利用网络或计算机系统的漏洞（Vulnerability），如TCP/IP网络协议软件的安全缺陷，路由软件的缺陷，以及操作系统和应用系统的Bug等。同时，也存在