身份認(rèn)證:用戶向系統(tǒng)出示自己身份證明的過(guò)程。
消息認(rèn)證技術(shù)
消息認(rèn)證是指通過(guò)對(duì)消息或消息相關(guān)信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證,目的是為防止傳輸和存儲(chǔ)的消息被有意或無(wú)意地篡改,包括消息內(nèi)容認(rèn)證(即消息完整性認(rèn)證)、消息的源和宿認(rèn)證(即身份認(rèn)證)及消息的序號(hào)和操作時(shí)間認(rèn)證等。
信息抵賴:數(shù)字簽名。信息竊?。杭用芗夹g(shù)。信息篡改:完整性技術(shù)。信息冒充:認(rèn)證技術(shù)。
3DES k1加密k2解密k3加密。
古典加密密碼,密鑰,算法都是公開(kāi)的。
現(xiàn)代加密密鑰保密,算法和公鑰可以公開(kāi)。
安全功能和安全保障
安全功能和安全保障是操作系統(tǒng)安全涉及到的兩個(gè)重要因素。安全功能主要說(shuō)明操作系統(tǒng)所實(shí)現(xiàn)的安全策略和安全機(jī)制符合評(píng)價(jià)準(zhǔn)則中哪一級(jí)的功能要求,而安全保障則是通過(guò)一定的方法保證操作系統(tǒng)所提供的安全功能確實(shí)達(dá)到了確定的功能要求。
主體與客體
主體是一個(gè)主動(dòng)的實(shí)體,包括用戶、用戶組、進(jìn)程等。系統(tǒng)中最基本的主體是用戶,包括一般用戶和系統(tǒng)管理員、系統(tǒng)安全員等特殊用戶。每個(gè)進(jìn)入系統(tǒng)的用戶必須是惟一標(biāo)識(shí)的,并經(jīng)過(guò)鑒別確定為真實(shí)的。
客體是一個(gè)被動(dòng)的實(shí)體。在操作系統(tǒng)中,客體可以是按照一定格式存儲(chǔ)在一定記錄介質(zhì)上的數(shù)據(jù)信息,通常以文件系統(tǒng)格式存儲(chǔ)數(shù)據(jù),也可以是操作系統(tǒng)中的進(jìn)程。
安全策略和安全模型
安全策略是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。安全模型則是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述,它為安全策略及其實(shí)現(xiàn)機(jī)制的關(guān)聯(lián)提供了一種框架。
安全內(nèi)核
安全內(nèi)核是指系統(tǒng)中與安全性實(shí)現(xiàn)有關(guān)的部分,包括引用驗(yàn)證機(jī)制、訪問(wèn)控制機(jī)制、授權(quán)機(jī)制和授權(quán)管理機(jī)制等部分。
安全內(nèi)核的設(shè)計(jì)和實(shí)現(xiàn)應(yīng)當(dāng)符合完整性、隔離性、可驗(yàn)證性3條基本原則。完整性原則要求主體引用客體時(shí)必須通過(guò)安全內(nèi)核,即所有信息的訪問(wèn)都必須經(jīng)過(guò)安全內(nèi)核。隔離性原則要求安全內(nèi)核具有防篡改的能力,即可以保護(hù)自己,防止偶然破壞??沈?yàn)證性原則是通過(guò)如下一些設(shè)計(jì)要素實(shí)現(xiàn)的:利用最新的軟件工程技術(shù),包括結(jié)構(gòu)設(shè)計(jì)、模塊化、信息隱藏、分層、抽象說(shuō)明以及合適的高級(jí)語(yǔ)言。內(nèi)核接口簡(jiǎn)單化。內(nèi)核小型化。代碼檢查。安全測(cè)試。形式化數(shù)學(xué)描述與驗(yàn)證。
操作系統(tǒng)安全防護(hù)方法包括硬件安全機(jī)制、標(biāo)識(shí)與鑒別、存取控制、最小特權(quán)管理、可信通路、安全審計(jì)(啟用審計(jì)系統(tǒng)會(huì)變慢)等。
審計(jì)日志是存放審計(jì)結(jié)果的二進(jìn)制碼結(jié)構(gòu)文件。
WindowsXP操作系統(tǒng)提供了一組可配置的安全性服務(wù):安全登錄,自主訪問(wèn)控制,安全審計(jì),內(nèi)存保護(hù)。
域模型是Windows網(wǎng)絡(luò)系統(tǒng)的核心。在域中,維護(hù)域的安全和安全賬號(hào)管理數(shù)據(jù)庫(kù)的服務(wù)器稱為主域控制器,而其他存有域的安全數(shù)據(jù)和用戶賬號(hào)信息的服務(wù)器稱為備份域控制器。DC是域控制器,密鑰是KDC。Windows的DC就是KDC。
定位標(biāo)識(shí)SID(安全I(xiàn)D)安全標(biāo)識(shí)符 (sid) 是標(biāo)識(shí)用戶或者組的數(shù)值。對(duì)于每個(gè)訪問(wèn)控制項(xiàng) (acehttps://www.baidu.com/s?wd=ace&tn=44039180_cpr&fenlei=mv6quAkxTZn0IZRqIHckPjm4nH00T1YzP1bLP1nsnWwbPj6dmy7W0ZwV5Hcvrjm3rH6sPfKWUMw85HfYnjn4nH6sgvPsT6K1TL0qnfK1TL0z5HD0IgF_5y9YIZ0lQzqlpA-bmyt8mh7GuZR8mvqVQL7dugPYpyq8Q1RsPHcvnjfY),都存在一個(gè)用于標(biāo)識(shí)其訪問(wèn)被允許、拒絕或者審核的用戶或組的 sidhttps://www.baidu.com/s?wd=sid&tn=44039180_cpr&fenlei=mv6quAkxTZn0IZRqIHckPjm4nH00T1YzP1bLP1nsnWwbPj6dmy7W0ZwV5Hcvrjm3rH6sPfKWUMw85HfYnjn4nH6sgvPsT6K1TL0qnfK1TL0z5HD0IgF_5y9YIZ0lQzqlpA-bmyt8mh7GuZR8mvqVQL7dugPYpyq8Q1RsPHcvnjfY。 安全描述符:所有者SID、組SID、自主訪問(wèn)控制列表DACL、系統(tǒng)訪問(wèn)控制列表SACL
訪問(wèn)令牌:是一個(gè)包含進(jìn)程或線程安全標(biāo)識(shí)的數(shù)據(jù)結(jié)構(gòu):安全I(xiàn)D(SID)、用戶所屬組的列表以及啟用和禁用的特權(quán)列表。
UNIX/Linux安全機(jī)制:標(biāo)識(shí)、鑒別、存取控制、審計(jì)、密碼、網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)、備份/恢復(fù)。
UNIX/Linux安全措施:1、啟動(dòng)和登錄安全性設(shè)置(BIOS安全設(shè)置、系統(tǒng)默認(rèn)賬號(hào)的刪除和禁用、用戶口令的設(shè)置及口令文件的保護(hù)、禁止Ctrl+Alt+Delete重啟系統(tǒng)、限制使用su命令、刪除登錄信息、登錄終端的設(shè)置、避免顯示系統(tǒng)和版本信息。)
網(wǎng)絡(luò)訪問(wèn)安全性設(shè)置(關(guān)閉、停止或限制不必要的網(wǎng)絡(luò)服務(wù);防止攻擊和欺騙設(shè)置(防止ping,防止ip欺騙,防止Dos攻擊,防止基于堆棧的緩沖區(qū)溢出攻擊);常用手工入侵檢測(cè)方法和命令;)
備份常用類型:實(shí)時(shí)備份、整體備份、增量備份
數(shù)據(jù)庫(kù)安全威脅的分類:非授權(quán)的信息泄露、非授權(quán)的數(shù)據(jù)修改、拒絕服務(wù)。
數(shù)據(jù)庫(kù)安全需求:防止非法數(shù)據(jù)訪問(wèn),防止推導(dǎo),保證數(shù)據(jù)庫(kù)的完整性,保證數(shù)據(jù)的操作完整性,數(shù)據(jù)的語(yǔ)義完整性,審計(jì)和日志,標(biāo)識(shí)和認(rèn)證,機(jī)密數(shù)據(jù)管理,多級(jí)保護(hù),限界
數(shù)據(jù)庫(kù)安全機(jī)制:1、用戶標(biāo)識(shí)與鑒別(用戶標(biāo)識(shí)是指用戶向系統(tǒng)出示自己的身份證明,鑒別指系統(tǒng)檢查驗(yàn)證用戶的身份證明)2、訪問(wèn)控制(訪問(wèn)控制的目的是明確用戶對(duì)數(shù)據(jù)庫(kù)只能進(jìn)行經(jīng)過(guò)授權(quán)的有關(guān)操作)3、數(shù)據(jù)庫(kù)加密4、數(shù)據(jù)庫(kù)審計(jì)(是指監(jiān)視和記錄用戶對(duì)數(shù)據(jù)庫(kù)所施加的各種操作的機(jī)制)5、備份和恢復(fù)(它對(duì)系統(tǒng)的安全性與可靠性騎著重要的作用,也對(duì)系統(tǒng)的運(yùn)行效率有著重大影響。數(shù)據(jù)庫(kù)備份 @冷備份 @熱備份 @邏輯備份。數(shù)據(jù)庫(kù)恢復(fù) @基于備份的恢復(fù) @基于運(yùn)行時(shí)日志的恢復(fù) @基于鏡像數(shù)據(jù)庫(kù)的恢復(fù))6、推理控制和隱私保護(hù)
攻擊數(shù)據(jù)庫(kù)密碼攻擊,溢出攻擊,SQL注入攻擊
Web服務(wù)器安全保護(hù)措施:完整性、機(jī)密性、認(rèn)證、授權(quán)、責(zé)任、可用性、審計(jì)、不可抵賴性。
Web站點(diǎn)的安全策略:認(rèn)證、訪問(wèn)控制和隱私策略。
Web應(yīng)用面臨的主要威脅
1、對(duì)用戶的攻擊:這種攻擊只針對(duì)Web系統(tǒng)中的用戶而不是系統(tǒng)本身。但如果被攻擊的用戶是某一系統(tǒng)的管理員用戶,則對(duì)系統(tǒng)也會(huì)造成損害。2、對(duì)系統(tǒng)的攻擊:直接的SQL命令;直接的操作系統(tǒng)命令;路徑暴露漏洞3、參數(shù)操縱:cookies操縱;HTTP頭部操縱;HTML表單域操縱。
FTP系統(tǒng)的安全策略:使用密文傳輸用戶名和口令;文件安全;認(rèn)證;訪問(wèn)控制;日志審計(jì)。
DNS的安全性問(wèn)題(1)DNS設(shè)計(jì)缺陷問(wèn)題(①單點(diǎn)故障。 ②無(wú)認(rèn)證機(jī)制。③超高速緩存中毒。④訪問(wèn)量和維護(hù)量巨大以及遠(yuǎn)距離集中式數(shù)據(jù)庫(kù)。)(2)DNS服務(wù)器的安全隱患(①網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不合理。②軟件配置不當(dāng)以及沒(méi)有及時(shí)更新升級(jí)。)
DNS系統(tǒng)的安全策略:分解壓力與威脅法、保障服務(wù)器硬件的安全 、合理配置DNS軟件、訪問(wèn)控制、利用DNS安全擴(kuò)展機(jī)制。
DNS攻擊方法:緩存中毒,拒絕服務(wù)攻擊,域名劫持
IP欺騙的防范:(1)拋棄基于地址的信任策略。(2)進(jìn)行包過(guò)濾。(3)使用加密方法。(4)使用隨機(jī)的初始序列號(hào)。
所謂欺騙,就是攻擊者通過(guò)偽造一些容易引起的錯(cuò)覺(jué)的信息來(lái)誘導(dǎo)受騙者作出錯(cuò)誤的、與安全有關(guān)的決策。
DNS安全威脅:(1)DNS存在簡(jiǎn)單的遠(yuǎn)程緩沖區(qū)溢出攻擊。(2)DNS存在拒絕服務(wù)攻擊。(3)設(shè)置不當(dāng)?shù)腄NS會(huì)泄露過(guò)多的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。(4)利用被控制的DNS服務(wù)器入侵整個(gè)網(wǎng)絡(luò),破壞整個(gè)網(wǎng)絡(luò)的安全。(5)利用被控制的DNS服務(wù)器繞過(guò)防火墻等其他安全設(shè)備的控制。
DNS欺騙的防范:(1)直接使用IP地址訪問(wèn)重要的服務(wù),可以避開(kāi)DNS對(duì)域名的解析過(guò)程,因此也就避開(kāi)了DNS欺騙攻擊。但最根本的解決辦法還是加密所有對(duì)外的數(shù)據(jù)流,服務(wù)器應(yīng)使用SSH等具有加密功能的協(xié)議,一般用戶則可使用PGP類軟件加密所有發(fā)送到網(wǎng)絡(luò)上的數(shù)據(jù)。(2)如果遇到DNS欺騙,先斷開(kāi)本地連接,然后再啟動(dòng)本地連接,這樣就可以清除DNS緩存。(3)用轉(zhuǎn)化得到的IP地址或域名再次作反向轉(zhuǎn)換驗(yàn)證。
訪問(wèn)控制
訪問(wèn)控制是通過(guò)某種途徑顯式地準(zhǔn)許或限制訪問(wèn)能力及范圍的一種方式。通過(guò)限制對(duì)關(guān)鍵資源的訪問(wèn),防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐?,從而保證網(wǎng)絡(luò)資源受控和合法地使用,它是針對(duì)越權(quán)使用資源的防御措施。
常見(jiàn)的訪問(wèn)控制的實(shí)現(xiàn)方法主要有以下四種:訪問(wèn)控制矩陣、訪問(wèn)能力表、訪問(wèn)控制表和授權(quán)關(guān)系表。
訪問(wèn)控制1、自主訪問(wèn)控制(DAC)是最常用的一類訪問(wèn)控制機(jī)構(gòu),是用來(lái)決定一個(gè)用戶是否有權(quán)訪問(wèn)一些特定客體的一種訪問(wèn)約束機(jī)制。2、強(qiáng)制訪問(wèn)控制(MAC)是一種不允許主體干涉的訪問(wèn)控制類型。3、基于角色的訪問(wèn)控制(RBAC)本思想是在用戶和訪問(wèn)權(quán)限之間引入角色的概念,將用戶和角色聯(lián)系起來(lái),通過(guò)對(duì)角色的授權(quán)來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn)。訪問(wèn)控制是由各個(gè)用戶在部門(mén)中所擔(dān)任的角色來(lái)確定的。
訪問(wèn)控制表ACL:可以對(duì)某一特定資源制定任意一個(gè)用戶的訪問(wèn)權(quán)限,還可以將有相同權(quán)限的用戶分組,丙授予租的訪問(wèn)權(quán)限。
RBAC96模型包括4個(gè)不同層次,分別為RBAC0、RBAC1、RBAC2和RBAC3。其中RBAC0是基礎(chǔ)模型,定義了支持RBAC的最小需求,如用戶、角色、權(quán)限和會(huì)話等概念。RBAC1和RBAC2在RBAC0的基礎(chǔ)上,增加了各自獨(dú)立的特點(diǎn),它們被稱為高級(jí)模型。在RBAC1中加入了角色繼承關(guān)系,可以根據(jù)組織內(nèi)部權(quán)力和責(zé)任的結(jié)構(gòu)來(lái)構(gòu)造角色與角色之間的層次關(guān)系;在RBAC2中加入了各種用戶與角色之間、權(quán)限與角色之間以及角色與角色之間的約束關(guān)系,如角色互斥、角色最大成員數(shù)等。RBAC1和RBAC2之間不具有可比性。RBAC3為鞏固模型,是對(duì)RBAC1和RBAC2的集成。它不僅包括角色的層次關(guān)系,還包括約束關(guān)系。
VPN是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,通過(guò)隧道技術(shù),為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道,實(shí)現(xiàn)不同網(wǎng)絡(luò)之間及用戶與網(wǎng)絡(luò)之間的相互連接。(使用IP機(jī)制仿真處一條私有的廣域網(wǎng))。特點(diǎn):費(fèi)用低,安全保障,服務(wù)質(zhì)量保證,可擴(kuò)充性和靈活性,可管理性。關(guān)鍵技術(shù):隧道技術(shù),加密技術(shù),Qos技術(shù)。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)用戶的安全策略控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
防火墻基本特性:內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻;只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻;防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力
防火墻的功能1)允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警。(3)可以作為部署網(wǎng)絡(luò)地址變換(NAT)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái),用來(lái)緩解地址空間短缺的問(wèn)題。4)審計(jì)和記錄Internet使用費(fèi)用。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門(mén)級(jí)的計(jì)費(fèi)。(5)可以連接到一個(gè)單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔離,并在此部署如WWW服務(wù)器和FTP服務(wù)器等,將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講,就是非軍事區(qū)(DMZ)。
嚴(yán)格與寬松兩種策略嚴(yán)格(公->私)除了允許進(jìn)的別的都不能進(jìn);寬松(私->公)除了不允許的都可以進(jìn)。
防火墻技術(shù)包過(guò)濾技術(shù)(網(wǎng)絡(luò)層)、應(yīng)用網(wǎng)關(guān)技術(shù)(應(yīng)用層)、代理服務(wù)器技術(shù)(應(yīng)用層)。
防火墻的缺點(diǎn)(1)不能防范惡意知情者(2)不能防范不通過(guò)它的連接(3)不能防范全部威脅
物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞,實(shí)現(xiàn)了真正的安全。
物理隔離網(wǎng)閘組成:外部處理單元、內(nèi)部處理單元和隔離硬件
物理隔離的技術(shù)原理
網(wǎng)絡(luò)的外部主機(jī)系統(tǒng)通過(guò)物理隔離網(wǎng)閘與網(wǎng)絡(luò)的內(nèi)部主機(jī)系統(tǒng)“連接”起來(lái),物理隔離網(wǎng)閘將外部主機(jī)的TCP/IP協(xié)議全部剝離,將原始數(shù)據(jù)通過(guò)存儲(chǔ)介質(zhì),以“擺渡”的方式導(dǎo)入到內(nèi)部主機(jī)系統(tǒng),實(shí)現(xiàn)信息的交換。
物理隔離網(wǎng)閘的功能:1. 阻斷網(wǎng)絡(luò)的直接物理連接;2. 阻斷網(wǎng)絡(luò)的邏輯連接;3. 數(shù)據(jù)傳輸機(jī)制的不可編程性;4. 安全審查;5. 原始數(shù)據(jù)無(wú)危害性;6. 管理和控制功能;7. 根據(jù)需要建立數(shù)據(jù)特征庫(kù);8. 根據(jù)需要提供定制安全策略和傳輸策略的功能; 9. 支持定時(shí)/實(shí)時(shí)文件交換;支持單向/雙向文件交換;支持?jǐn)?shù)字簽名、內(nèi)容過(guò)濾、病毒檢查等功能;
10、郵件同步;11. 數(shù)據(jù)庫(kù)同步;12. 支持多種數(shù)據(jù)庫(kù);
簡(jiǎn)述防火墻與隔離網(wǎng)閘在網(wǎng)絡(luò)中起到的不同作用。
防火墻是以應(yīng)用為主安全為輔,也就是說(shuō)在支持盡可能多的應(yīng)用的前提下,來(lái)保證使用的安全。防火墻的這一設(shè)計(jì)理念使得它可以廣泛地用于盡可能多的領(lǐng)域,擁有更加廣泛的市場(chǎng)。而網(wǎng)閘則是以安全為主,在保證安全的前提下,支持盡可能多地應(yīng)用。網(wǎng)閘主要用于安全性要求極高的領(lǐng)域。物理隔離網(wǎng)閘和防火墻是完全不同的兩個(gè)產(chǎn)品,防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具(如通常的非軍事化區(qū)),而物理隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定位的不同,因此不能相互取代。
入侵檢測(cè)步驟信息收集、數(shù)據(jù)分析、響應(yīng)。
入侵檢測(cè)的目的(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴(kuò)大
入侵檢測(cè)分類按其檢測(cè)的數(shù)據(jù)來(lái)源,可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
入侵檢測(cè)模型從策略上來(lái)講主要分為異常檢測(cè)和誤用檢測(cè),從分析方法來(lái)講,又可以分為基于統(tǒng)計(jì)的、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘三類技術(shù)。我們從IDS的整體框架來(lái)對(duì)入侵檢測(cè)模型進(jìn)行劃分,則主要是三種:通用模型、層次化模型和智能化模型。
異常檢測(cè)的優(yōu)缺點(diǎn)它的檢測(cè)完整性高、能發(fā)現(xiàn)企圖發(fā)掘和試探系統(tǒng)未知漏洞的行為;較少依賴于特定的操作系統(tǒng);對(duì)合法的用戶違反權(quán)限的行為具有很強(qiáng)的檢測(cè)能力。如果是在用戶數(shù)量多且運(yùn)行狀態(tài)復(fù)雜的環(huán)境中,它的誤警率較高;由于系統(tǒng)活動(dòng)的不斷變化,用戶要不斷地在線學(xué)習(xí)(容易誤警)。
入侵檢測(cè)系統(tǒng)由事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)4個(gè)部分組成。
計(jì)算機(jī)病毒特征寄生性,傳染性(感染性),潛伏性,隱蔽性,破壞性,可觸發(fā)性,加密性,多態(tài)性
計(jì)算機(jī)病毒的分類(1)按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類:根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡(luò)病毒,文件病毒,引導(dǎo)型病毒。(2) 按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類:這類病毒可分為駐留型病毒和非駐留型病毒.(3)根據(jù)病毒破壞的能力進(jìn)行分類:無(wú)害型、無(wú)危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型(4)根據(jù)病毒特有的算法進(jìn)行分類:伴隨型病毒、“蠕蟲(chóng)”病毒、寄生型病毒、變型病毒
病毒的定義計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
網(wǎng)絡(luò)安全漏洞的主要表現(xiàn)非授權(quán)訪問(wèn);泄漏或丟失信息;破環(huán)數(shù)據(jù)完整性;拒絕服務(wù)攻擊;利用網(wǎng)絡(luò)傳播病毒。
端口掃描的基本原理(1)TCP connect()掃描;TCP connect()是最基本的一種掃描方式。使用系統(tǒng)提供的connect()系統(tǒng)調(diào)用,建立與目標(biāo)主機(jī)端口的連接。如果端口正在監(jiān)聽(tīng),connect()就成功返回;否則,則說(shuō)明端口不可訪問(wèn)。(2)TCP SYN掃描;一個(gè)SYN/ACK表明該端口正在被監(jiān)聽(tīng),一個(gè)RST響應(yīng)表明該端口沒(méi)有被監(jiān)聽(tīng)。如果收到一個(gè)SYN/ACK,則通過(guò)立即發(fā)送一個(gè)RST來(lái)關(guān)閉連接。(3)TCP FIN掃描;其基本思想是關(guān)閉的端口將會(huì)用正確的RST來(lái)應(yīng)答發(fā)送的FIN數(shù)據(jù)包;相反,打開(kāi)的端口往往忽略這些請(qǐng)求。(4)Fragmentation掃描;Fragmentation掃描通過(guò)將TCP包頭分成幾段,放入不同的IP包中,使得包過(guò)濾程序難以過(guò)濾。(5)UDP recfrom()和write()掃描(6)ICMP掃描
一個(gè)安全系統(tǒng)的邏輯模型
P2DR模型
PDRR模型
通用入侵監(jiān)測(cè)模型