入侵检测与防御笔记

网络入侵

网络入侵定义：是指攻击者使用熟练的编写和调试计算机程序的技术访问非发或未授权的网络文件，入侵企业内部的行为
入侵对象：服务器，网络设备，安全设备，数据信息，进程，应用系统
网络入侵的流程：信息收集，目标扫描，模拟攻击，实施攻击，擦除痕迹
网络攻击方法：口令破解，漏洞攻击，特洛伊木马攻击，ip地址欺骗，网络监听，病毒攻击，社会工程攻击
病毒定义:在计算机程序中插入的破坏计算机功能或数据的，可以自我复制的一组计算机指令或程序代码。攻击者通过网页、邮件等传播电脑病毒对电脑系统进行破坏，如删除文件、硬盘格式化以及进行拒绝服务。
IPS:入侵防御系统
入侵检测PPT红色字重点
第一章：重点
1.网络入侵的定义
是指攻击者使用熟练地编写和调试计算机程序的技术访问非法或未授权的网络或文件，入侵公司内部网的行为。
2.对象
（1）服务器：包括网络上对外提供服务的节点、服务器中的服务端软件及其操作系统等，如WWW、Oracle。
（2）安全设备：提供安全防护的设备，如防火墙、IDS。
（3）网络设备：网络建设所使用的关键网络或扩展设备，如路由器。
（4）数据信息：在各网络节点设备中存放或用于对外提供服务的数据信息，如产品信息、财务信息。
（5）进程：具有独立功能的程序，可并发执行。
（6）应用系统：各业务流程运作的电子支撑系统或专用应用系统。
3.流程（PPT上记忆）
（1）信息收集：利用公开协议或工具收集目标机的IP地址、操作系统类型和版本等，根据信息分析被攻击方系统可能存在的漏洞。
（2）目标扫描：探测网络上的每台主机，寻求系统的安全漏洞。
（3）模拟攻击：建立模拟环境，攻击模拟目标机系统，测试系统可能的反应。
（4）实施攻击：使用多种方法对目标系统实施攻击。
（5）擦除痕迹：更改系统日志，擦除入侵痕迹，建立新的后门供下次攻击。
4.网络入侵的典型方法（每种方法的定义：病毒、木马（分类）。
（1）病毒：在计算机程序中插入的破坏计算机功能或数据的，可以自我复制的一组计算机指令或程序代码。
木马：在计算机系统中被植入的，基于远程控制的恶意程序。
常见分类：远程访问型、密码发送型、键盘记录型和毁坏型。
（2）恶意网页：攻击者通过在网页中嵌入恶意代码，对访问用户的浏览器发动攻击。
（3）网络扫描：是指对网络或者系统网络服务进行扫描，以检验系统提供服务的安全性。
（4）Web攻击：XSS、SQL注入、DDOS、CSRF
（5）拒绝服务攻击：拒绝服务攻击即是攻击者想办法让目标机器停止提供服务
（6）缓冲区溢出攻击：缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。
（7）软件攻击
（8）僵尸网络攻击: 僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
（9）APT攻击:高级可持续威胁攻击，比如Google极光攻击、超级工厂病毒攻击(震网攻击)
5.扫描器的定义
是一种通过向远程主机不同的端口服务发出请求访问，收集大量目标主机的应答信息，自动检测远程或本地主机安全弱点的程序。
6.扫描技术：
（1）侦查扫描：利用各种网络协议产生的数据包以及网络协议本身固有的性质进行扫描。
（2）端口扫描：判断目标系统所能提供的服务信息中是否有漏洞。
（3）域名回答扫描：通过发送没有被问过的域问题，判断目标主机是否存在。
（4）代理/FTP扫描：使用代理服务和FTP守护进程进行端口扫描。
7.网络入侵发展趋势（可能问答题）
（1）网络入侵的自动化程度和入侵速度不断提高。
（2）入侵工具越来越复杂。
（3）攻击者利用安全漏洞的速度越来越快。
（4）防火墙被攻击者渗透的情况越来越多。
（5）安全威胁的不对称性不断增加。
（6）网络基础设施被攻击后的破坏效果越来越大。
8.sql注入特点
(1)广泛性：大部分Web程序均使用SQL语法。
(2)技术难度低：网络中存在多种SQL注入工具。
(3)危害性大：SQL注入可更改网页内容，获取机密信息。
9.跨站攻击定义
是指在远程web页面的HTML代码中插入的具有恶意目的的数据，当用户浏览器下载该页面，嵌入其中的脚本将被解释执行。
10.爬虫的定义
一种按照一定的规则自动抓取万维网资源的程序或者脚本。攻击者可通过网络爬虫抓取各种敏感资料用于不正当用途。网络爬虫又称为网络蜘蛛、网络机器人。
11.文件上传攻击定义，
指攻击者利用Web应用对上传文件过滤不严，导致上传应用程序定义类型范围之外的文件到Web服务器。
12.拒绝服务攻击定义、
指利用大量的连接请求冲击系统，耗尽系统的网络资源，从而使合法用户服务请求被拒绝。
拒绝服务攻击是大部分是使用被攻击系统整体结构上的弱点而不是使用软件的小缺陷或安全漏洞。
13.缓冲区溢出的定义
指使通过通过向程序的缓冲区写入超出其长度的内容，修改与缓冲区相邻的数据，使得目标机器执行特定的恶意代码的过程。
14.前提条件。
（1）在通过利用已存在的代码或自行编写代码，在程序的地址空间里植入恶意代码。
（2）通过初始化寄存器和存储器，控制返回地址转到想要执行的程序入口。
15.间谍软件定义
指未经用户允许安装在用户电脑中的用来监控用户网上活动或窥探用户资料的恶意软件，其常在用户不知情的情形下，将收集到的机密信息发给第三方。
16.0-day漏洞定义：
指被攻击者掌握，但却还未公开或软件厂商还没有发布相应补丁的软件漏洞。
17.僵尸网络的定义、
指攻击者通过传播僵尸程序感染控制大量主机，由被感染主机所组成的网络。
18.apt攻击定义。
APT 攻击是指通过发动一系列针对重要的基础设施和单位的攻击，以获取某个组织甚至国家的重要信息。
19.典型的网络入侵事件：
希拉里邮件门事件、震网攻击。
（1）意大利监控软件厂商HackingTeam被攻击
（2）益百利公司电脑遭到黑客入侵。
（3）美国遭史上最大规模DDoS攻击
（4）希拉里邮件门事件
（5）WannaCry勒索病毒席卷全球
第二章
1.入侵检测定义
识别对计算机或网络信息的恶意行为，并对此行为做出响应的过程。
2.入侵检测系统ids（全名）的定义
一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
3.入侵检测功能（判断）
（1）监视、分析用户及系统的活动；
（2）系统构造和弱点的审计；识别已知的进攻并报警；
（3）评估重要系统和数据文件的完整性；
（4）对操作系统进行审计跟踪管理；
（5）识别用户违反安全策略的行为。
4.入侵检测分类（重点）三类：定义
2.1按数据源分类：5个
（1）基于主机的入侵检测系统的功能：
可监测系统、事件和操作系统下的安全记录以及系统记录
（2）基于网络的入侵检测系统的功能：
使用原始数据包作为数据源，利用运行在混杂模式下的网络适配器实时监视分析通过网络的通信业务。
（3）基于混合数据源的入侵检测系统的功能：
以多种数据源为检测目标，来提高IDS的性能。
2.2按分析方法分类：
（1）异常入侵检测系统
通过将异常活动与异常阈值和特征比较，判断入侵行为。
根据异常行为和使用计算机资源的情况检测入侵。首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。
常用的方法有基于数据挖掘的异常检测方法、基于机器学习的异常检测方法、基于特征不匹配的异常检测方法。
（2）误用入侵检测系统
根据已知入侵攻击的信息（知识、模式等）来检测系统中的入侵和攻击。
完全依靠特征库来做出判断，所以不能判断未知攻击。
常用的方法有基于条件概率的误用检测、基于专家系统的误用检测、基于神经网络的误用检测
2.3按检测方式分类
（1）实时检测系统
通过实时监测并分析网络流量、主机审计记录及各种日志信息来发现攻击，进行快速响应。
这种实时性是在一定的条件下，一定的系统规模中，具有的相对实时性。
（2）非实时检测系统
通常是对一段时间内的被检测数据进行分析来发现入侵攻击，并作出相应的处理，可以发现实时方式难以发现的入侵攻击。
2.4按检测结果分类42页
（1）二分类入侵检测系统
只提供是否发生入侵攻击的结论性判断，不能提供更多可读的、有意义的信息，如具体的入侵行为。
（2）多分类入侵检测系统
能够分辨出当前系统所遭受的入侵攻击的具体类型，输出的不仅仅是有无入侵发生，还会报告具体的入侵类型。
2.5按响应方式分类：分类的区别
（1）主动的入侵检测系统
主动的入侵检测系统在检测出入侵行为后，可自动地对目标系统中的漏洞采取修补、强制可疑用户（可疑的入侵者）退出系统以及关闭相关服务等对策和响应措施。
（2）被动的入侵检测系统
被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员，之后的处理工作则由系统管理员来完成。
2.6按分布方式分类
（1）集中式入侵检测系统
系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，把分析结果输出或通知管理员。
（2）分布式入侵检测系统
系统由多个模块组成，各模块分布在网络中不同的设备上，完成数据的收集、数据分析、控制输出分析结果等功能。
5.ids基本模型（46页）三种：
（1）通用入侵检测模型（Denning模型）
（2）层次式入侵检测模型（IDM）
（3）管理式入侵检测模型（SNMP-IDSM
6.ids工作模式：基本结构
（1）事件产生器：负责原始数据采集，并将收集到的原始数据转换成事件，向系统的其他部分提供此事件。
（2）事件分析器：接收事件信息，并对其进行分析，判断是否为入侵行为或异常现象，之后将判断的结果转变为告警信息。
（3）事件数据库：存放中间和最终数据的地方。
（4）响应单元：根据告警信息做出反应。
7.ids的部署方式
网络中没有部署防火墙时
网络入侵检测系统通常安装在网络入口处的交换机上，以便监听所有进出网络的数据包并进行相应的保护。
（2）网络中部署防火墙时
入侵检测系统常部署在防火墙之后，在防火墙的一次过滤之后进行二次防御。来自外部的针对防火墙本身的攻击行为也需注意。
8.入侵检测过程3步，
（1）信息收集阶段
从入侵检测系统的信息源中收集信息，包括系统、网络、数据以及用户活动的状态和行为等。
（2）信息分析阶段
分析从信息源中收集到的有关系统、网络、数据及用户活动的状态和行为等信息，找到表示入侵行为的异常信息。入侵检测的分析方法包括模式匹配、统计分析、完整性分析等。
（3）告警与响应阶段
入侵检测系统根据检测到的攻击企图或事件的类型或性质，选择通知管理员，或者采取相应的响应措施阻止入侵行为的继续。
9.信息收集的内容。
系统、网络、数据以及用户活动的状态和行为等。
10.什么叫入侵分析
对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
11.入侵分析的目的
（1）威慑攻击者：目标系统使用IDS进行入侵分析对入侵者具有很大的威慑力，因为其攻击行为可能会被发现或被追踪。
（2）安全规划和管理：入侵分析可对系统进行重新安全规划和配置，减少系统被攻击者破坏或窃取信息的几率。
（3）获取入侵证据：入侵分析可以提供有关入侵行为详细、可信的证据，用于追究入侵者的责任。
12.注意事项
（1）需求：入侵检测系统支持可说明性和实时检测和响应两个需求，前者指一个活动与人或负责它的实体的能力，后者包括快速识别与攻击相关的事件链，阻断攻击或隐蔽系统，以避免攻击者的影响。
（2）子目标：包括保留系统执行的情况、识别影响性能的问题、归档和保护时间日志的完整性等。
（3）目标划分：在目标和要求被计算之后按照优先顺序区分开。
（4）平衡：在系统的需求与目标有冲突时进行适当的平衡。
13.入侵检测的分析方法：误用检测（模式匹配方法）、异常检测（四种可能性）
（1）误用检测
主要方法
（1）模式匹配方法
模式匹配模型将发送的事件与入侵模式库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。
（2）专家系统方法
通过利用专家系统内大量丰富的专家水平的经验和知识，分析发生事件是否是入侵行为。
（3）状态转换方法
状态转换方法使用系统状态和状态转换表达式来描述和检测已知入侵，主要方法有状态转换分析和有色Petri网。
异常检测
四种检测结果
（1）入侵性而非异常：活动具有入侵性却因为不是异常而导致不能检测，IDS不报告入侵，发生漏检现象。
（2）非入侵性而却异常：活动不具有入侵性，但因为它是异常的，IDS报告入侵，发生误报现象。
（3）非入侵也非异常：活动不具有入侵性，因此IDS没有将活动报告为入侵，这属于正确判断。
（4）入侵且异常：活动具有入侵性，且活动是异常的，因此IDS将其报告为入侵。
（3）基于状态的协议分析技术
（4）其他检测方法
14.告警和响应入侵检测系统的用户分类3类
第一类用户是网络安全专家或管理员
第二类用户是系统管理员
第三类用户是安全调查员
15响应的类型：主动（那三个）、被动（哪两个）
（1）主动响应
（1）对入侵者采取反击行动
实施反击行动追踪入侵者的攻击来源，切断入侵者的机器或网络的连接以保护系统，一般有由用户驱动和由系统本身自动执行两种形式，
（2）修正系统环境
修正系统环境与提供调查支持的响应结合后的响应效果更佳。
（3）收集额外信息
这种响应常与特殊服务器配合使用，营造装备着文件系统和其他带有欺骗性的系统属性的服务器迷惑入侵者。
（2）被动响应
（1）告警和通知
包括告警显示屏和远程通知两种方法。前者令窗口告警消息出现在入侵检测系统控制台上，或由用户配置的其他系统上，后者通过拨号寻呼或移动电话向系统管理员和安全工作人员发出告警和警报消息。
（2）SNMP Trap和插件
入侵检测系统在设计成与网络管理工具一起使用时，使用系统网络管理基础设施来传送告警，并可在网络管理控制台看到告警和警报信息。
第三章
1.入侵防御定义：指能够检测到攻击行为（包括已知和未知攻击），并能够有效地阻断攻击的硬件和软件系统。
2.入侵防御系统的分类：
（1）基于主机的入侵防御系统（HIPS：Host-based IPS）：直接安装在受保护机器上，检测并阻挡针对本机的威胁和攻击。
HIPS优点：
HIPS不仅可以保护操作系统，还可以保护在其上运行的应用程序；不仅可以防范已知攻击，还能防范未知攻击。
（1）软件直接安装在系统上。
（2）当移动系统接入受保护网络时，保护特定主机免受攻击。
（3）保护系统免受本地攻击。
（4）防止相同网段上的系统、设备免受内部攻击或滥用。
（5）保护系统免受己加密的攻击。
（6）允许需要保护的系统位于过时的或不常用的网络体系。
（2）基于网络的入侵防御系统（NIPS：Network-based IPS）：通过检测受保护的网段与其它网络之间交互的数据流，判断是否存在攻击。
NIPS优点有：
（1）一个通信控制点可保护多个系统。
（2）易于部署。
（3）发现网络威胁的范围更广。
（4）非计算机类的网络设备也可保护。
（5）可适用于各种平台。
（3）应用入侵防御系统（AIPS：Application IPS）：配置在应用数据的网络链路上，以确保用户遵守安全策略，保护服务器的安全。
AIPS的优点：
（1）易于管理，不必安装和配置特殊操作系统。
（2）可诊断任何应用服务器的错误。
（3）可按需要增添业务应用服务器，不必重新配置安全产品。
（4）在网络上直接对数据包进行检测和阻断，与平台无关。
3.（88页）ids/ips的区别：
（1）防火墙阻止所有网络流量除了某种原因能够通过，而IPS通过所有网络流量除了某种原因被阻止。
（2）IPS能够实现积极地阻止入侵攻击行为对网络或系统造成危害，同时结合漏洞扫描、防火墙、IDS等构成了整体、深度的网络安全防护体系。
4.Ips功能：15个（判断题）
（1）实时监视和拦截攻击：拦截蠕虫、病毒、木马、DoS等恶意流量。
（2）虚拟补丁：采用基于漏洞存在检测技术的引擎防范攻击。
（3）保护客户端：防止PC被攻击者控制，窃取重要信息。
（4）协议异常检测：攻击者常利用协议中的设计漏洞进行攻击。
（5）Web应用防护：采用多层次安全引擎检测威胁。
（6）流量安全防护：在拒绝攻击发生或大规模的病毒爆发导致网络流量激增时，自动发现并检测异常流量，做出相应响应措施。
（7）应用识别和控制：全面监测和管理IM即时通信、网络游戏、在线视频及在线炒股等行为，协助企业辨识和限制非授权网络行为。
（8）IPv6及隧道检测：支持IPv6/IPv4双栈的漏洞防护等检测。
（9）策略管理：内置多种威胁防护策略模板，适用于常见场景。
（10）知识库和引擎升级：及时升级，实时捕获最新的攻击。
（11）设备集中管理：体现在设备管理、故障监控、策略管理、系统监控及日志和报表管理等方面。
（12）故障监控：对网络中的异常运行情况进行实时监视。
（13）集中软件管理：从全局角度对所有设备实现集中管理。
（14）系统监控：对管理软件本身的系统进行维护和管理。
（15）日志和报表：记录分析日志和报表，提供过滤查询功能。
Ips的原理与部署93-96

Ips原理：入侵防御系统部署在网络的进出口处，在检测到攻击企图后，将自动地丢弃攻击包或采取措施将攻击源阻断。（ppt上的）
Ips原理：（笔记上）

入侵响应模块：入侵响应模块可以在抽获到入侵事件之后及时做出处理，并将相应的信息反馈给入侵日志数据库和控制台。
规则匹配模块：规则匹配模块是对预处理模块提交的数据运用匹配算法和知识库中的规则进行比较，从而判断是否有入侵行为。
数据预处理模块
网络抓包引擎模块
入侵日志数据库
控制台
用户界面

Ips优点：入侵防御系统拥有数量众多的过滤器，能够实时实现检查和阻止入侵，在新的攻击手段被发现后，入侵防御系统会创建一个新的过滤器。
ips部署方式：

串联：IPS串联部署：
实时监控数据，阻断各种隐蔽攻击。
内网管理，对上网行为进行管理。
并联：IPS并联部署：
系统稳定性高，部分设备宕机不会中断网络。
监控网络传输的数据，可以分析数据、安全审计。

入侵防御系统关键技术：

基于特征的异常检测：根据已定义好的攻击特征，对网络上的数据流量信息进行收集和分析，当收集的信息与该攻击特征描述相符合时，则认为发生了入侵行为。
基于行为的异常检测：建立一个正常活动的行为模型，当发生的行为与该模型规律相反时，检测与可接受行为之间的偏差，判断是否是入侵行为。
（以下第三章内容作为了解）
3.4.1原始数据包分析
3.4.2IP分片重组技术
3.4.3
TCP状态机按测技术
3.4.4TCP流重组技术
3.4.5SA应用识别技术
3.4.6DDOS防范技术
手册
IPS登录方式：通过web连接、通过console连接、通过SSH连接、通过移动端链接、
技术
arp协议作用：
ARP协议的基本功能就是通过目标主机的IP地址，查询目标主机的MAC地址，以保证通信的顺利进行。协议又称做服务，ARP协议也即ARP服务，提供把IP地址转换成MAC地址的服务！
免费arp的特点：
同一网段、不同网段的DHCP协议获取方式

子夜旅馆

入侵检测与防御笔记

网络入侵

日志审计笔记

kali换源

Comments NOTHING

取消回复