入侵檢測復(fù)習(xí)知識點(diǎn)歸納(同濟(jì)大學(xué)信息安全) (2)

1、Ch1:1.入侵檢測:是指發(fā)現(xiàn)或檢測（discover or detect）網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)系統(tǒng)中出現(xiàn)各種的入侵活動（intrusion activities, namely attack ），或者說是對所有企圖穿越被保護(hù)的安全邊界的活動或者對違反系統(tǒng)的安全策略的行為的識別。2、入侵檢測系統(tǒng):用來監(jiān)視計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)的中的惡意活動的系統(tǒng),它可以是硬件，軟件或者組合。當(dāng)IDS檢測出入侵時，還能對入侵做出響應(yīng)：被動方式的報(bào)警或主動方式的終止入侵活動。入侵檢測系統(tǒng)的準(zhǔn)確性可以用誤報(bào)率（False positive rate）和漏報(bào)率（False negative rate）衡量，這個是一個重要

2、的評價指標(biāo)。 誤報(bào)（False positive）是當(dāng)一個正?；顒踊蛘吆戏ǖ木W(wǎng)絡(luò)流（包）觸發(fā)IDS報(bào)警。 漏報(bào)（False negative）是一個惡意的活動或網(wǎng)絡(luò)流（包）卻沒有觸發(fā)IDS報(bào)警。3.入侵檢測系統(tǒng)常見的分類方法.采集數(shù)據(jù)來源，檢測方法（數(shù)據(jù)分析方法），從響應(yīng)方式，體系結(jié)構(gòu)和實(shí)現(xiàn)。4.入侵檢測系統(tǒng)主要組成部件和各部件的功能感應(yīng)器（Sensor）: 完成網(wǎng)絡(luò)，主機(jī)和應(yīng)用程序相關(guān)數(shù)據(jù)（網(wǎng)絡(luò)包或流，主機(jī)審計(jì)日志與系統(tǒng)調(diào)用，以及具體應(yīng)用程序相關(guān)的日志）采集，并轉(zhuǎn)化成分析器所要求的格式。分析器（Analyzer）： 完成數(shù)據(jù)的分析，并尋找入侵特征。稱為 (基于）特征入侵檢（signature

3、 detection or signature-based ），也有文獻(xiàn)稱為誤用檢測（misuse detection ）?；蛘咄ㄟ^一些統(tǒng)計(jì)指標(biāo)判斷行為是否異常，稱為(基于)異常入侵檢測 （anomaly detection or anomaly-based ）。最后做出判斷是正常還是攻擊。 報(bào)警器（Alarm）： 若檢測到攻擊，報(bào)警器除了要報(bào)告網(wǎng)絡(luò)或系統(tǒng)管理員外（由控制臺界面發(fā)出聲色警報(bào)，同時郵件或短信息通知），若是被動響應(yīng)方式，則有管理員去處理；若是主動響應(yīng)方式，則會自動查表找與攻擊對應(yīng)的具體響應(yīng)，即采取相應(yīng)的響應(yīng)動作：或者通知防火墻更新過濾規(guī)則，中斷連接；或者通知主機(jī)系統(tǒng)中斷某個惡意的進(jìn)

4、程或用戶。5.入侵防御系統(tǒng)(IPS): 能夠預(yù)先對入侵活動或攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，終止攻擊繼續(xù)發(fā)生，以免造成損失。6.IPS出現(xiàn)的主要原因有哪些?IPS的主要功能是什么? 7.IDS與IPS主要區(qū)別有哪些?（cf ch12)（1）主要功能不同 IDS入侵檢測，IPS入侵防御（2）工作模式不同 IPS工作模式是inline mode ：Detection and Action（檢測和動作），是主動防御。而IDS是sniffer mode：Detection，是被動偵聽，而當(dāng)發(fā)生入侵時，通知防火墻更新規(guī)則，同時TCP reset中斷連接。 （3）部署位置不同（基于網(wǎng)絡(luò)的IDS和IPS） ： ID

5、S部署在防火墻后，接入交換機(jī)的偵聽端口上（將所有流經(jīng)交換機(jī)的信息包復(fù)制一份給IDS），實(shí)時性差，只能間接通過防火墻采取行動。 IPS部署在防火墻外，所有實(shí)時流量都流經(jīng)IPS，實(shí)時處理，可以直接采取行動（丟包，斷連等）。 IDS IPS 防御方式 Passive sniffer mode Active in-line mode 防御動作 通知防火墻更新規(guī)則，同時TCP reset 中斷連線 丟棄惡意包中斷連線 防火墻（Firewall）不能完全替代IDS，防火墻像門衛(wèi)（在大門入口處），一般通過過濾網(wǎng)絡(luò)流量，允許或者阻止對系統(tǒng)和資源的訪問，而IDS一般是用來監(jiān)視計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的活動和事件，檢測

6、惡意活動的。IDS就像是房屋的安防報(bào)警系統(tǒng)，有多個傳感器，放在各個檢測點(diǎn)（各個網(wǎng)絡(luò)和主機(jī)的關(guān)鍵點(diǎn)），與報(bào)警主機(jī)相連，通過報(bào)警主機(jī)發(fā)出聲音警報(bào)或者撥號到接警中心。而防火墻一般只布置在網(wǎng)絡(luò)的入口處。Firewall vs IDS:防火墻只能分析包的網(wǎng)絡(luò)層和傳輸層，只能基于端口號和Ip 地址進(jìn)行簡單過濾；而IDS可以分析到應(yīng)用層，不僅能夠檢測能夠檢測利用網(wǎng)絡(luò)層和傳輸層的知識的攻擊，還能檢測利用數(shù)據(jù)包中惡意內(nèi)容（應(yīng)用層）而產(chǎn)生的各種攻擊。8、什么是入侵活動? 入侵活動主要分為哪幾類? 發(fā)生入侵活動的原因有哪些?又稱為攻擊（Attacks），是指穿越被保護(hù)的安全邊界的活動或者對違反系統(tǒng)的安全策略的行為，

7、是惡意的活動。如中斷系統(tǒng)服務(wù)，未授權(quán)的訪問網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)（Unauthorized access），擴(kuò)大特權(quán)（Privilege escalation）或者偵察活動（Reconnaissance）等。入侵者通常要利用網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的漏洞（Vulnerability），如TCP/IP網(wǎng)絡(luò)協(xié)議軟件的安全缺陷，路由軟件的缺陷，以及操作系統(tǒng)和應(yīng)用系統(tǒng)的Bug等。同時，也存在因?yàn)榕渲貌划?dāng)（misconfiguration）和沒有及時打補(bǔ)丁（patch）而使應(yīng)用與系統(tǒng)置于各種安全暴露（Exposure）中。第二章1.攻擊In HYPERLINK /wiki/Computer computer and

8、HYPERLINK /wiki/Computer_network computer networks an attack is any attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset.US Commitee on National Security systemAny kind of malicious activity that attempts to collect, disrupt, deny, deg

9、rade, or destroy information system resources or the information itself.攻擊是針對計(jì)算機(jī)或者網(wǎng)絡(luò)的，稱為主機(jī)系統(tǒng)攻擊和網(wǎng)絡(luò)系統(tǒng)攻擊。 2. Unauthorized access :Privilege Escalation 權(quán)限提升，可分為：user to super-user 普通用戶利用系統(tǒng)漏洞獲得Root用戶的訪問權(quán)利 : root break-in incident（突破R權(quán)） Non-user to user 非用戶獲得普通用戶權(quán)利，或者普通甲用戶獲得乙用戶的權(quán)利 : account break-in）3. Un

10、authorized use ：any attempt to destroy, expose, alter, disable, steal . 違背了信息安全的三原則CIA4.試述Howard and Longstaff 關(guān)于攻擊的分類.其分類中，關(guān)于漏洞與暴漏的原因，可以歸納為哪幾種情況？（設(shè)計(jì)與實(shí)現(xiàn)中的漏洞和使用中的不當(dāng)配置）攻擊手段 攻擊目標(biāo)（具體，硬件，軟件） 漏洞與暴露的利用 攻擊的后果和影響1/Virus，Worms，Trojans，Buffer overflows， Denial of service(DoS) attacks，Network attacks，Physical a

11、ttacks，Password attacks，Information gathering attacks，Routing attacks4/ Fist dimension attack payload (攻擊本身的影響) 最終的影響（eventual effect）Corruption of information (對信息的改變或損毀 Alter Or Destroy) Disclosure of information（信息泄露）Theft of service （竊取服務(wù)：未授權(quán)使用服務(wù)但未對合法用戶有任何影響）Subversion（獲得對目標(biāo)的部分控制并使用之）5.什么是CVE(Co

12、mmon Vulnerabilities and Exposures)：) 公共漏洞與暴露。這是信息安全漏洞名稱的標(biāo)準(zhǔn)：為每個漏洞與暴露確定唯一的名稱和一個標(biāo)準(zhǔn)化的描述，是已知的信息安全漏洞與暴露的詞典。作用：這個標(biāo)準(zhǔn)是的不同安全產(chǎn)品之間的數(shù)據(jù)交換成為可能,并為評價入侵檢測系統(tǒng)與漏洞掃描評估等工具的覆蓋率提供了基準(zhǔn)參考點(diǎn)。6.KDD99 DATASET將攻擊分為幾類？定義了39種具體的攻擊，這些攻擊分為四大類： Probe(探測工具有6種) ,Denial of Service（10種方法）,U2R（普通用戶非法而獲得root特權(quán),8種攻擊方法），R2L（遠(yuǎn)程非本地帳戶用戶非法獲得本地訪問權(quán)，

13、15種方法） 7.何謂OS Fingerprint技術(shù)？8.掃描器的功能是什么？根據(jù)掃描的目的，可以將掃描器分為哪兩類？（端口掃描器和漏洞掃描器）9.什么是特權(quán)提升？10.那些方法與途徑可以實(shí)現(xiàn)特權(quán)提升？11.試述網(wǎng)絡(luò)攻擊的一般過程（1）數(shù)據(jù)收集：偵探（搜索廢物箱）（2）挖掘漏洞：掃描（通過各種軟件工具）（3）實(shí)施攻擊：竊取訪問權(quán)（4）安裝后門：維護(hù)訪問（安裝惡意軟件，修改配置，獲取Root權(quán)完全控制該主機(jī)或網(wǎng)絡(luò)設(shè)備，并為了防范其它黑客而答補(bǔ)?。?）清除日志掩蓋痕跡1.Probes 探測(漏洞掃描)Probes are usually attacks scanning computer ne

14、tworks and computer system to gather information or find known vulnerabilities ,which are exploited for future attacks.通過掃描網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng) 來收集信息和發(fā)現(xiàn)已知的漏洞，以用于今后的攻擊。探測通過掃描工具(掃描器)來完成.通過向遠(yuǎn)程主機(jī)的不同端口服務(wù)發(fā)送請求訪問,并記錄目標(biāo)的應(yīng)答,來搜集目標(biāo)主機(jī)的各種有用信息.具體說來掃描器有三項(xiàng)功能:發(fā)現(xiàn)主機(jī)或者網(wǎng)絡(luò)的狀態(tài);一旦發(fā)現(xiàn)主機(jī)處于運(yùn)行狀態(tài),可以進(jìn)一步判斷系統(tǒng)中那些服務(wù)正在運(yùn)行;通過測試運(yùn)行中的網(wǎng)絡(luò)服務(wù),發(fā)現(xiàn)漏洞.依據(jù)掃描的目的可

15、以分為:端口掃描器和漏洞掃描器;端口掃描器只單純用來掃描目標(biāo)系統(tǒng)開放的網(wǎng)絡(luò)服務(wù)端口及與端口相關(guān)的信息.漏洞掃描器檢查目標(biāo)主機(jī)中可能包含的已知漏洞.主要掃描技術(shù)：TCP SCAN 和UDP SCAN技術(shù)：TCP Connect scan調(diào)用套接口連接到目標(biāo)主機(jī)的端口上，完成一次TCP三次握手。TCP SYN scan向目標(biāo)端口發(fā)送一個SYN分組,如果收到SYN/ACK，目標(biāo)端口處于監(jiān)聽； 如果收到RST/ACK，端口不在監(jiān)聽。沒有一個完整的握手，目標(biāo)主機(jī)不會記錄。TCP FIN scan 向目標(biāo)主機(jī)發(fā)送FIN分組，按RFC793，當(dāng)FIN分組到達(dá)一個關(guān)閉端口時， 數(shù)據(jù)包被丟棄，并且返回一個RST

16、分組。否則，只是簡單丟棄而不回應(yīng)RST分組。TCP Xmas Tree scan向目標(biāo)發(fā)送FIN URG PUSH 分組，目標(biāo)主機(jī)當(dāng)端口關(guān)閉時回應(yīng)RST分組TCP Null scan 向目標(biāo)主機(jī)發(fā)送一個關(guān)閉掉所有標(biāo)志位的分組，目標(biāo)回應(yīng)RST分組。TCP ACK scan 用來偵測防火墻，判斷其支持簡單分組過濾還是支持基于狀態(tài)的包過濾。UDP scan 向目標(biāo)主機(jī)發(fā)送一個UDP分組，如果目標(biāo)端口關(guān)閉，返回”ICMP port unreachable”否則，如果沒有收到上述信息，可以判斷端口開放。OS Fingerprint技術(shù)（操作系統(tǒng)指紋技術(shù)）：漏洞是和操作系統(tǒng)和應(yīng)用密切相關(guān)的， 辨識不同版本

17、的操作系統(tǒng)與應(yīng)用是探測掃描的一項(xiàng)重要功能。識別操作系統(tǒng)的指紋，可以通過下面的方法：一些端口服務(wù)的提示信息（如137，138，139，445，80）Tcp/ip棧指紋( 測試遠(yuǎn)程主機(jī)的TCP/IP協(xié)議棧對不同請求的響應(yīng)來探測系統(tǒng))DNS泄露出OS系統(tǒng)主要的掃描工具有：端口掃描器IPSWeep and PortSweep 搜索哪些主機(jī)有哪些端口是打開的NMap Ip地址和端口掃描 防火墻掃描及提取操作系統(tǒng)指紋(OS Fingerprint)的開源免費(fèi)軟件.漏洞掃描器MScan 通過蠻力掃描整個域的Ip地址來發(fā)現(xiàn)在運(yùn)行的計(jì)算機(jī)并探測他們的漏洞SAINT 收集各種網(wǎng)絡(luò)服務(wù)（如）的信息，也包括網(wǎng)絡(luò)服務(wù)的

18、不適當(dāng)配置，已知的網(wǎng)絡(luò)和操作系統(tǒng)的漏洞。Satan是SAINT的先前版本。ISS NESSUS2 Privilege Escalation Attacks特權(quán)提升Attaining high privileges on a system allows attackers to perform far more dangerous actions( for example: install TROJAN code or create backdoors for future covert access).利用系統(tǒng)或者應(yīng)用程序的漏洞或者不適當(dāng)配置，非法獲得對在正常情況下受保護(hù)的資源的訪問權(quán) 。獲得

19、系統(tǒng)的高特權(quán)后可以讓攻擊者進(jìn)行跟多危險動作如安裝木馬或者后門。已知的這種攻擊又分為兩類：Vertical privilege escalation Or user to super user (U2R)Horizontal privilege escalation or Non-use to User (N2U)下面是能夠?qū)崿F(xiàn)特權(quán)提升的方法：Buffer Overflow Attacks緩沖區(qū)是指一塊內(nèi)存區(qū)，對應(yīng)的數(shù)據(jù)結(jié)構(gòu)如數(shù)組或C語言中的指針。當(dāng)一個程序或者進(jìn)程試圖存儲超過緩沖區(qū)大小的數(shù)據(jù)時，就發(fā)生了緩沖區(qū)溢出。緩沖區(qū)數(shù)據(jù)溢出時，超出的數(shù)據(jù)會寫入臨近的其他緩沖區(qū)，這樣就會覆蓋掉其他的有效數(shù)據(jù)

20、。如果是發(fā)生在指令堆棧區(qū)，緩沖區(qū)溢出攻擊在在利用這個漏洞時，寫入一段自己想執(zhí)行的代碼放在溢出區(qū)域，并修改函數(shù)的返回地址，使其指向自己的代碼，通過執(zhí)行這段程序而觸發(fā)一個特定的動作如生成一個具有特權(quán)的操作界面（shell），破壞文件，修改數(shù)據(jù)或者邪路敏感信息等。當(dāng)然緩沖區(qū)溢出既使沒有被攻擊者利用，也可能因?yàn)楦采w掉其他緩沖區(qū)的內(nèi)容而導(dǎo)致系統(tǒng)紊亂甚至奔潰，引起拒絕服務(wù)。避免這種攻擊的方法是：建立足夠大的緩沖區(qū)，監(jiān)視緩沖區(qū)的使用，同時在寫程序時要考慮緩沖區(qū)邊界越界問題。Void func(char *str)char buffer16;strcpy(buffer,str)Void main()char

21、large_string256;int i;for (i=0;i/24 111( content: ”|00 01 86 a5|”; msg: “external mountd access”;)對任何非子網(wǎng)的任何端口到本地網(wǎng)絡(luò)111端口的TCP連接,數(shù)據(jù)部分 有”|00 01 86 a5|”（16進(jìn)制）,就觸發(fā)報(bào)警,報(bào)警信息為“external mountd access”以上例子是一個activate/dynamic 對，當(dāng)上面檢測到IMAP緩沖區(qū)益處攻擊時，觸發(fā)下面的日志規(guī)則，且記錄接下143端口的50個數(shù)據(jù)包頭（當(dāng)activate規(guī)則不起作用時，dynamic 也不起作用 Snort規(guī)

22、則的制定根據(jù)： 以端口號為特征 以標(biāo)志位或協(xié)議字段為特征（如flags:PA） 以數(shù)據(jù)段的內(nèi)容出現(xiàn)特定字符串為特征（如content:” ”） 舉例：log tcp any any/32 23日志記錄所有到的23號端口的數(shù)據(jù)包 log icmp any any /24 any日志記錄所有到的24號端口的數(shù)據(jù)包 pass tcp any 80/24 any允許雙上的HTTP數(shù)據(jù)通過 alert tcp any any/24 any(msg:”SYN-FIN scan!”;flags:SF;) 發(fā)現(xiàn)有SYN FIN 掃描就報(bào)警 alert tcp any any/24 80(msg:”PHF at

23、tempt”;content:”/cgi-bin/phf”;)發(fā)現(xiàn)PHF攻擊后就報(bào)警 (檢測特征是數(shù)據(jù)載荷中有字符串”/cgi-bin/phf”)alert udp any any /24 0(msg:”Traceroute”;ttl:1:)發(fā)現(xiàn)到本地主機(jī)的ICMP包就報(bào)警 alert tcp any any/24 21(msg”FTP root login”;content:”USER root”:) 發(fā)現(xiàn)遠(yuǎn)程root 用戶登錄就報(bào)警 Ch10:1、什么是CIDF ?它包含哪些內(nèi)容?通用入侵檢測框架。為解決IDS之間的互操作和共存問題,1997年3月由DARPA開始制定CIDF.CIDF是一

24、套規(guī)范,它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言及IDS組件之間的通信協(xié)議.符合CIDF規(guī)范的IDS可以共享檢測信息,相互通信與協(xié)同工作,還可以與其他系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。 CIDF文檔由四個部分組成： 體系結(jié)構(gòu)：描述IDS的通用模型 通信機(jī)制：描述各個組件之間的連接與通信的標(biāo)準(zhǔn)寫 規(guī)范語言：定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言-入侵規(guī)范語言（CISL） 應(yīng)用程序接口API：提供了一套標(biāo)準(zhǔn)的應(yīng)用程序接口 2.什么是Gido?它和S-表達(dá)式的關(guān)系是什么?如何生成Gido? IDS體系結(jié)構(gòu)Gidos(Generalized intrusion detection objects):

25、四個部件之間交換數(shù)據(jù)的形式，即通用入侵檢測對象 事件發(fā)生器:又成為探測器或傳感器,從計(jì)算環(huán)境中收集事件(需要分析的數(shù)據(jù)成為事件),將其轉(zhuǎn)換成Gido格式傳送給其他組件.事件分析器:也稱檢測引擎,負(fù)責(zé)分析從其他組件收到的Gidos, 并將產(chǎn)生的分析結(jié)果傳送給其他組件.響應(yīng)單元:負(fù)責(zé)處理收到的,Gidos并根據(jù)分析結(jié)果作出反應(yīng).如簡單報(bào)警或者切斷連接等 事件數(shù)據(jù)庫:存儲Gidos,以備查詢和使用.通用入侵檢測規(guī)范語言(CISL) CISL語言使用符號表達(dá)式（簡稱S-表達(dá)式），類似于LISP語言。 關(guān)系(S-表達(dá)式的編碼與Gidos樹型結(jié)構(gòu)): 在計(jì)算機(jī)內(nèi)部處理CISL時,為了節(jié)省空間和提高運(yùn)行效率

26、必須,必對ASCII形式的S-表達(dá)式進(jìn)行編碼,將其轉(zhuǎn)換成二進(jìn)制字節(jié)流,編碼后的S-表達(dá)式就是Gidos(Generalized intrusion detection objects).Gidos是S-表達(dá)式的二進(jìn)制形式,是CIDF 各組件統(tǒng)一的信息表達(dá)格式,也是組件之間信息數(shù)據(jù)交換的統(tǒng)一形式.Gidos的生成分為兩個步驟:第一,表達(dá)Gidos成樹型結(jié)構(gòu);第二,將此結(jié)構(gòu)編碼成字節(jié)流.Gido樹型結(jié)構(gòu):在構(gòu)造樹型結(jié)構(gòu)時,SID被分成兩組:一組為動詞SID,副詞SID, 角色SID,連接詞SID;一組為原子SID.這樣就可以把一個完整的句子表達(dá)成一棵樹了.最高層的是動詞SID(樹根),然后是角色S

27、ID,最底層是原子SID(葉子).編碼規(guī)則:對樹的編碼就是一個深度優(yōu)先遍歷和對各個節(jié)點(diǎn)依次編碼.如果是復(fù)合句,現(xiàn)將簡單句編碼,讓后按連接詞將簡單句連接. (V V (R1 R1 R2 (A1 data1) A1 A2 A3 (A2 data2) | | | ) data1 data2 data3 (R2 (A3 data3). ) )CIDF定義了和 Gidos相關(guān)的編碼,解碼以及傳輸所使用的API(應(yīng)用程序編程接口)： Gidos編碼解碼API 消息層API Gidos動態(tài)附加API簽名API頂層CIDF的APICIDF的API為是實(shí)現(xiàn)者和應(yīng)用開發(fā)者提供了方便,每類API均包含數(shù)據(jù)結(jié)構(gòu)定義,

28、調(diào)用函數(shù)定義和出錯代碼定義等.4.CIDF定義的3種互操作類型（配置互操作，語法互操作和語義互操作）7、IDWG由哪幾部分組成?IDMEF的作用是什么?IDXP的作用是什么?Internet網(wǎng)絡(luò)工程部IETF（Internet Engineering Task Force）的入侵檢測工作組（Internet Detection Working Group，簡稱IDWG）負(fù)責(zé)進(jìn)行入侵檢測響應(yīng)系統(tǒng)之間共享信息數(shù)據(jù)格式和交換信息方式的標(biāo)準(zhǔn)制訂，制訂了入侵檢測信息交換格式（Intrusion Detection Message Exchange Format，縮寫為IDMEF）和入侵檢測交換協(xié)議(In

29、trusion Detection Exchange Protocol,IDXP)。 入侵檢測消息交換格式 侵檢測交換協(xié)議 隧道輪廓 IDWG先后提出了連個消息交換協(xié)議:入侵報(bào)警協(xié)議(Intrusion Alert Protocol,IAP)和入侵檢測交換協(xié)議(Intrusion Detection eXchange Protocol,IDXP).IAP是IDWG提出的第一個通信協(xié)議,但其功能并不是很強(qiáng)大而且靈活性比較差,其安全性必須有TLS(Transport Layer Security)的支持,每對入侵檢測實(shí)體之間只能有一個連接,不支持并發(fā)連接.為此,IDWG又提出了一個新的通信協(xié)議-入

30、侵檢測交換協(xié)議(IDXP),IDXP是基于BEEP(Blocks Extensible Exchange Protocol)協(xié)議.作用：IDXP是一個用于入侵檢測實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議,能夠?qū)崿F(xiàn)IDMEF消息,非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換,并提供面向連接協(xié)議之上的雙向認(rèn)證,完整性和保密性等安全特征.使用IDXP來交換數(shù)據(jù)一般要經(jīng)過三個步驟:建立連接,傳輸數(shù)據(jù)和關(guān)閉連接.6.比較兩種標(biāo)準(zhǔn)草案:IDWG和CIDF.IDWG提出的草案很多工作是在CIDF的基礎(chǔ)上展開的,是對CIDF的繼承和發(fā)展:1.CIDF主要定義了一種語言,以及交換報(bào)警和反映信息的協(xié)議.2.CIDF的CISL語言,過于復(fù)

31、雜,編程借助于API.IDWG的草案則提出了面向?qū)ο蟮姆椒枋鋈肭謾z測,使得編程更加便捷.3.檢測器和分析器不一定能可靠理解CISL表達(dá)的含義,而IDWG的草案使用文件類型定義(DTD)描述XML文檔,用嚴(yán)格的語法和語義對交換格式作出規(guī)范,表達(dá)不會產(chǎn)生歧義.4.CIDF框架在提出之初就開始討論IDS各部件之間的通信,但該框架沒有在工業(yè)界得到廣泛的認(rèn)同,其中的通信協(xié)議也沒有作為標(biāo)準(zhǔn)提出,后來的工作大部分由IDWG承擔(dān),IDWG 的工作是在CIDF基礎(chǔ)上完善和發(fā)展.Ch11:1.IDS的評估指標(biāo)有哪些? 精確性(檢測率,誤報(bào)率,漏報(bào)率,檢測可信度)處理性能 完備性或覆蓋率 及時性(實(shí)時響應(yīng)性) 入

32、侵容錯與抗攻擊能力 2、什么是ROC曲線?其作用是什么?ROC(Receiver Operating Characterstics接收器操作特性)曲線 以虛警率（假陽性率）為橫軸，以檢測率（真陽性率）為縱軸。同一算法在各種不同的閾值時，得到不同的虛警值和檢測值，為別作為橫縱座標(biāo)，就會得到一條ROC 曲線。同時，若采用不同的算法(A,B與C)，就得到不同的ROC曲線了。 (0,0) 表示檢測系統(tǒng)的報(bào)警門限太高,根本無法檢測出入侵活動 (1,1) 表示檢測系統(tǒng)的報(bào)警門限為0,將所有的活動都當(dāng)成是入侵活動 (0,1) 表示沒有虛警的條件下,檢測出所有的入侵活動,這是一個理想的情況.ROC曲線下方的區(qū)

33、域越大，IDS的準(zhǔn)確率 越高。如右圖所示，IDSB的準(zhǔn)確性高于IDSC IDSA在所有的IDS中具有最高的準(zhǔn)確性。 什么是誤報(bào)?如何計(jì)算?什么是漏報(bào)? 如何計(jì)算?漏報(bào)(FN-假陰性):實(shí)際的數(shù)據(jù)是異常,但檢測結(jié)果去是正常. 即檢測系統(tǒng)對部分入侵活動不能識別.誤(虛)報(bào)(FP-假陽性):實(shí)際的數(shù)據(jù)是正常,但檢測的結(jié)果卻認(rèn)為是異常. 即檢測系統(tǒng)把正常行為作為異常行為進(jìn)行報(bào)警.誤報(bào)率(虛報(bào)率):所有的正常行為誤當(dāng)入侵的概率.FP/(TN+FP)漏報(bào)率:指所有的入侵中未報(bào)警的概率, FN/(TP+FN)IDS 分類:本質(zhì)上,IDS是一個數(shù)據(jù)分類器.當(dāng)分類結(jié)果只有兩種情況時(正確True和錯誤False

34、),實(shí)際會出現(xiàn)四種組合:TP,TN,FP,FN.真報(bào)警(TP-真陽性):實(shí)際的數(shù)據(jù)是異常的,檢測的結(jié)果也是異常. 即檢測系統(tǒng)的能識別出真實(shí)攻擊.正常(TN-真陰性):實(shí)際的數(shù)據(jù)是正常的,檢測的結(jié)果也是正常的.漏報(bào)(FN-假陰性):實(shí)際的數(shù)據(jù)是異常,但檢測結(jié)果去是正常. 即檢測系統(tǒng)對部分入侵活動不能識別.4.IDS的測試包含哪些內(nèi)容?功能測試和性能測試的內(nèi)容是什么?功能測試 性能測試 可用性測試 功能：攻擊識別 協(xié)議包頭攻擊能力分析：IDS能夠識別與IP包頭相關(guān)的攻擊能力,如LAND攻擊 重裝攻擊分析的能力：IDS能夠重裝多個IP包的分段并從中發(fā)現(xiàn)攻擊能力 如Teardrop和 Ping of

35、Death 攻擊 數(shù)據(jù)載荷攻擊能力：IDS能夠發(fā)現(xiàn)數(shù)據(jù)載荷中的攻擊特征的能力. 如HTTP的phf攻擊(CGI程序攻擊) 抗攻擊性 抗御拒絕服務(wù)攻擊的能力 對重復(fù)攻擊的能識別且能抑制不比要的重復(fù)報(bào)警.信息過濾 一般要求IDS的過濾器具有如下能力:創(chuàng)建簡單的字符規(guī)則 使用工具創(chuàng)建復(fù)雜規(guī)則 規(guī)則的修改或調(diào)整 性能測試：IDS引擎的吞吐性：IDS在預(yù)先不加載攻擊標(biāo)簽的情況下，處理原始的檢測數(shù)據(jù)的能力。 包的重裝速度：測試的目的是評估IDS的包的重裝能力。例如，為了測試這個指標(biāo)，可通過Ping of Death攻擊，IDS的入侵標(biāo)簽名庫只有單一的Ping of Death標(biāo)簽，這時來測試IDS的響應(yīng)情況。 過濾效率:測試的目標(biāo)是評估IDS在遭到攻擊的情況下過濾器的接收、處理和報(bào)警的效率。這種測試可以用LAND攻擊的基本包頭為引導(dǎo)，這種包的特征是源地址等于目標(biāo)地址。5.導(dǎo)致誤用檢測