入侵检测知识点集.docVIP

入侵检测-----图片篇 图1-1 通用入侵检测模型(Denning提出) 图2-1 通用入侵检测系统模型 图2-2 P2DR安全模型 图4-1 STAT审计记录格式 图4-3 状态转移图的基本组件 图4-4 状态转移图的示意 图4-5 构建状态转移图Step-1 图4-6 最终的状态转移图 预处理器（Preprocessor） 知识库 事实库（Fact Base） 初始化模块 （Knowledge Base） 更新模块 STAT系统 规则库（Rule Base） 状态描述表 （State Description Table） 特征操作表 （Signature Action Table） 推理引擎（Inference Engine） 决策引擎（Decision Engine） 图4-7 STAT系统架构示意图 图4-13 TripWire的系统设计模块示意图 应用层表示层会话层传输层网络层数据链路层物理层图5-1 OSI/ISO模型 alert tcp any any - /24 111 (content:″|00 01 86 a5|″; msg: ″mountd access″;) 图5-15 Snort检测规则示例 alert tcp any any - /24 111 (content:″|00 01 86 a5|″; msg: ″mountd access″;) 图5-16 IP地址规则实例 log udp any any - /24 1:1024 记录来自任意端口且目标端口为1~1024范围内的UDP数据包log tcp any any - /24:6000 记录目标端口小于或等于6000的TCP数据包log tcp any:1024 - /24 500: 记录源端口号小于或等于1024而目标端口号大于或等于500的TCP数据包图5-17 端口范围示例 log tcp any any - /24 !6000:6010 图5-18 端口求反示例 log !/24 any /24 23 图5-19 使用双向操作符的规则 表5-16 特征分析vs 协议分析 类型优点缺点特征 分析● 在小规则集合情况下，工作速度快 ● 检测规则易于编写、便于理解并且容易进行定制 ● 对新出现的攻击手段，具备快速升级支持能力 ● 对低层的简单脚本攻击行为，具备良好的检测性能 ● 对所发生的攻击行为类型，具备确定性的解释能力● 随着规则集合规模的扩??，检测速度迅速下降 ● 各种变种的攻击行为，易于造成过度膨胀的规则集合 ● 较易产生虚警信息 ● 仅能检测到已知的攻击类型，前提是该种攻击类型的检测特征已知协议 分析● 具备良好的性能可扩展性，特别是在规则集合规模较大的情况下 ● 能够发现最新的未知安全漏洞（Zero-Day Exploits） ● 较少出现虚警信息● 在小规则集合情况下，初始的检测速度相对较慢 ● 检测规则比较复杂，难以编写和理解并且通常是由特定厂商实现 ● 协议复杂性的扩展以及实际实现的多样性，容易导致规则扩展的困难 ● 对发现的攻击行为类型，缺乏明确的解释信息 图6-1 DIDS系统架构 图6-2 主机监控器的结构 图6-3 IDES系统设计模型  图6-4 IDES系统结构 图6-5 客户机/服务器模型 图7-1 Lippmann基本算法流程 图7-3 IDS数据融合层次模型 图7-4 基于遗传规划的IDS架构（引自Crosbie等人文献） 图9-1 系统设计的生命周期 总目录 第1章 入侵检测技术的历史 第2章 入侵检测的相关概念 第3章 入侵检测技术的分类 第4章 基于主机的入侵检测技术 第5章 基于网络的入侵检测技术 第6章 混合型的入侵检测技术 第7章 先进入侵检测技术 不考第8章 分布式的入侵检测架构 第9章 入侵检测系统的设计考虑 第10章 入侵检测的响应问题 第11章 相关的法律问题 第12章 未来需求与技术发展前景 1.1主机审计： 产生、记录并检查按照时间顺序排列的系统事件记录的过程。 2.1入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 2.2入侵检测是对企图入侵、正