黑客作者必读资料2(第1/5页)天擎

    1．异常检测

    在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。

    异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应xìng不强，且缺乏jīng确的判定准则，异常检测经常会出现虚jǐng情况。

    异常检测可以通过以下系统实现。

    （1）自学习系统

    自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。

    （2）编程系统

    该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。

    异常检测IDS分类如表1所示。

    2．滥用检测

    在滥用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。

    滥用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从

    而产生漏jǐng。

    滥用检测通过对确知决策规则编程实现，可以分为以下四种：

    （1）状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再

    细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。

    （2）专家系统：它可以在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活xìng也很高，但计算成本较高，通常以降低

    执行速度为代价。

    （3）串匹配：它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活xìng欠差，但易于理解，目前有很多高效的算法，其执行速度很快。

    （4）基于简单规则: 类似于专家系统，但相对简单一些，故执行速度快。

    滥用检测IDS分类如表2所示。

    3． 混合检测

    近几年来，混合检测rì益受到人们的重视。这类检测在做出决策之前，既分析系统的正常行为，同时还观察可疑的入侵行为，所以判断更全面、准确、可靠。它通常根据系统的正

    常数据流背景来检测入侵行为，故而也有人称其为“启发式特征检测”。

    Wenke Lee从数据挖掘得到启示，开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型，而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常

    行为，发现描述系统特征的一致使用模式，然后再形成对异常和滥用都适用的检测模型。

    根据系统特征分类

    作为一个完整的系统，IDS显然不应该只包括检测器，它的很多系统特征同样值得认真研究。为此，将以下一些重要特征作为分类的考虑因素。

    1．检测时间：有些系统以实时或近乎实时的方式检测入侵活动，而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线cāo作，系统就能

    够根据以前保存的数据重建过去发生的重要安全事件。

    2．数据处理的粒度：有些系统采用了连续处理的方式，而另一些系统则在特定的时间间隔内对数据进行批处理cāo作，这就涉及到处理粒度的问题。它跟检测时间有一定关系，但二

    者并不完全一样，一个系统可能在相当长的时延内进行连续数据处理，也可以实时地处理少量的批处理数据。

    3．审计数据来源：主要有两种来源：网络数据和基于主机的安全rì志文件。后者包括cāo作系统的内核rì志、应用程序rì志、网络设备（如路由器和防火墙）rì志等。

    4．入侵检测响应方式：分为主动响应和被动响应。被动响应型系统只会发出告jǐng通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击

    者采取反击行动。主动响应系统可以分为两类：

    （1）对被攻击系统实施控制。它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全rì志、杀死可疑进程等。

    （2）对攻击系统实施控制的系统。这种系统多被军方所重视和采用。

    目前，主动响应系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或是阻塞可疑的系统调用，若失败，则终止该进程。但由于系统暴露于拒绝服务攻击

    下，这种防御一般也难以实施。

    5．数据收集地点：审计数据源可能来自某单一节点，也可能来自于网络中多个分布式节点。

    6．数据处理地点：审计数据可以集中处理，也可以分布处理。

    7．安全xìng：指系统本身的抗攻击能力。

    8．互cāo作xìng：不同的IDS运行的cāo作系统平台往往不一样，其数据来源、通信机制、消息格式也不尽相同，一个IDS与其他IDS或其他安全产品之间的互cāo作xìng是衡量其先进与否的

    一个重要标志。

    系统特征IDS分类如表3所示。

    根据体系结构分类

    按照体系结构，IDS可分为集中式、等级式和协作式三种，如表4所示。

    1．集中式。这种结构的IDS可能有多个分布于不同主机上的审计程序，但只有一个zhōng yāng入侵检测服务器。审计程序把当地收集到的数据踪迹发送给zhōng yāng服务器进行分析处理。但这

    种结构的IDS在可伸缩xìng、可配置xìng方面存在致命缺陷：第一，随着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络xìng能大大降低；第二，系统安

    全xìng脆弱，一旦zhōng yāng服务器出现故障，整个系统就会陷入瘫痪；第三，根据各个主机不同需求配置服务器也非常复杂。

    2．等级式。它用来监控大型网络，定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。这种结构仍

    存两个问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；第二，这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进

    行全局分析，所以系统的安全xìng并没有实质xìng的改进。

    3．协作式。将zhōng yāng检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩xìng、安全xìng都得到了显著的提高，

    但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

    DMZ

    全称Demilitarized Zone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题，比如FTP服务器、视频会议、网络游戏等，DMZ其

    实就相当于一个网络缓冲区，通过该区域可以有效保护内部网络。目前，市场上的防火墙一般都提供DMZ端口。

    VPN

    全称Virtual Private Network(虚拟专用网络)。它是指在专用和公共网络(比如Internet)上创建的临时的、安全的专用网络连接，又称为“隧道”，并不是真的专用网络。在防

    火墙中使用VPN功能可以创建临时连接，在网络中进行数据的安全传输。目前，大部分防火墙产品都支持该功能。

    SPI

    全称Stateful Packet Inspection(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包，防止恶意攻击，比如DoS攻击。

    访问控制

    通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站，限制使用的端口号，这样可以保证局域网的安全xìng

    网络术语

    1.什么是voip?

    VoIP(Voice over Internet Protocol)是一种以IP电话为主，并推出相应的增值业务的技术。VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境，提供比传统业务

    更多、更好的服务。 VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务，如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet

    呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。

    2.什么是网关？

    网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似

    ，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连。

    3.什么是网守？

    网守：是对网络端终（如电话）网关等呼叫和管理功能，它是Voip网络系统的重要组成部分。

    4.什么是公网？

    公网就是普通电路交换网，即现在的网通，电信，铁通等架设的骨干及分支网络。

    5.什么是软交换？

    软交换是网络演进以及下一代分组网络的核心设备之一，它dú lì于传送网络，主要完成呼叫控制、资源分配、协议处理、路由、认证、计费等主要功能，同时可以向用户提供

    现有电路交换机所能提供的所有业务，并向第三方提供可编程能力。

    6.何为网络传真？

    电子传真系列业务是基于PSTN和互联网络，整合了电话网、智能网和互联网技术开发的增值服务。传真文件以图形格式存储，用户可以通过传真机向互联网传真信息存储网络

    发送传真信息，通过计算机或者传真机收取传真。

    7.什么是H.323？

    H.323是国际电信组织ITU-T所制定媒体(Media)在分封网路(Packet network)上的传输标准。

    8.什么是VoIP Gateway？

    VoIP Gateway意指VoIP与传统PSTN网路界接并转换相关协定的设备。

    9.什么是VoIP Termianl？

    VoIP Termian意指VoIP网路上的终端设备﹝如：IP Phone，TA…﹞。

    10.什么是Gatekeeper

    Gatekeeper是一种soft switch，负责VoIP网路上的讯号交换及控制功能。其功能类似传统PSTN上的交换机。

    11.什么是SIP协议?

    SIP（Session Initiation Protocol）是由IETF定义，基于IP的一个应用层控制协议。由于SIP是基于纯文本的信令协议，可以管理不同接入网络上的会晤等。会晤可以是终

    端设备之间任何类型的通信，如视频会晤、既时信息处理或协作会晤。该协议不会定义或限制可使用的业务，传输、服务质量、计费、安全xìng等问题都由基本核心网络和其它协议

    处理。SIP得到了微软、AOL、等厂商及IETF和3GPP等标准制定机构的大力支持。支持SIP的网络将提供一个网桥，以扩展向互联网和无线网络的各种设备提供融合业务能力。这将

    允许运营商为其移动用户提供大量的信息处理业务，通过[**]S互通能力与固定用户和2G无线用户交互。SIP也是在UMTS3GPP R5/R6版本中使用的信令协议，因此可以保护运营商目

    前的投资而及具技术优势和商业价值。

    12.H.248协议基本概念

    H．248协议是 2000年由 ITU-T第 16工作组提出的媒体网关控制协议，它是在早期的 MGCP协议基础上改进而成。H.248／ MeGaCo协议是用于连接MGC与MG的网关控制协议，应

    用于媒体网关与软交换之间及软交换与 H．248／ MeGaCo终端之间，是软交换应支持的重要协议。H.248协议定义的连接模型包括终端(termination)和上下文(context)两个主要

    概念。终端是 MG中的逻辑实体，能发送和接收一种或多种媒体，在任何时候，一个终端属于且只能属于一个上下文，可以表示时隙、模拟线和RTP(real time protocol)流等。终

    端类型主要有半永久xìng终端(TDM信道或模拟线等)和临时xìng终端(如RTP流，用于承载语音、数据和视频信号或各种混合信号)。用属xìng、事件、信号、统计表示终端特xìng，为了解决

    屏蔽终端多样xìng问题，在协议中引入了包(package)概念，将终端的各种特xìng参数组合成包。一个上下文是一些终端间的联系，它描述终端之间的拓扑关系及媒体混合／交换的参

    数。朗讯公司(Lucent)在MGCP协议中首次提出 context概念，使协议具有更好的灵活xìng和可扩展xìn


本章未完，请点击【下一页】继续阅读》》