入侵检测技术期末重点总结

• 第一章、入侵检测概述

1.1入侵定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏以使系统不可靠、不可用的故意行为。入侵检测定义：对入侵行为的发觉，它通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
1.2入侵检测的基本原理：主要分为四个阶段：
1、数据收集：数据收集是入侵检测的基础，采用不同的方法进行分析。
2、数据处理：从原始数据中除去冗余、杂声，并且进行格式化以及标准化处理。
3、数据分析：检查数据是否正常，或者显示是否存在入侵。
4、响应处理：发现入侵，采取措施进行保护，保留入侵证据并且通知管理员。
1.3入侵检测的分类
按照入侵检测技术：误用入侵检测，异常入侵检测和协议分析三种
按照数据来源分类：基于主机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统、文件完整性检查式入侵检测系统
1.4常用的入侵检测方法： 1、误用入侵检测 2、 统计检测 3、专家系统
1.5入侵检测作用：
1.通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络人侵事件的发生。
2.检测其他安全措施未能阻止的攻击或安全违规行为。
3.检测黑客在攻击前的探测行为，预先给管理员发出警报。
4.报告计算机系统或网络中存在的安全威胁。
5.提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点，利于其进行修补。
6.在大型、复杂的计算机网络中布置人侵检测系统，可以显著提高网络安全管理的质量。
1.6入侵检测工作模式：
1.从系统的不同环节收集信息
2.分析该信息，试图寻找入侵活动的特征
3.自动对检测到的行为做出响应。
4.记录并报告检测过程的结果

- 第二章、常见的入侵方法和手段

2.1 漏洞的几个方面：
1、存储介质不安全
2、数据的可访问性
3、信息的聚生性
4、保密的困难性
5、介质的剩磁效应
6、电磁的泄露性
7、通信网络的脆弱性
8、软件的漏洞
2.2 信息系统面临的威胁：
1、计算机病毒
2、黑客入侵
3、信号截取
4、介质失密
5、系统漏洞
6、非法访问
7、人为因素
8、遥控设备
2.3 攻击概述：
攻击主要分为 主动攻击和被动攻击
攻击的一般流程：
1、隐藏自己
2、踩点或欲攻击探测
3、采取攻击行为
4、清除痕迹
主动攻击和被动攻击的区别：
主动攻击：主动攻击会造成网络系统状态和服务的改变。它以各种方式有选择的破坏信息的有效性和完整性，是纯粹的破坏行为。这样的网络侵犯者被称为积极侵犯着。积极侵犯着截取网上的信息包，并对其进行更改使他失效，或者故意添加一些有利于自己的信息，起到信