网络安全考前突击

网络安全

第一节 典型网络安全事件

电信诈骗主要有以下四大类：
1.电话诈骗：电话交易诈骗、电话退税诈骗、电话中奖诈骗、电话冒充政府部门诈骗、电话推销诈骗、电话绑架诈骗、电话勒索诈骗、电话冒充熟人诈骗
　　2.网络诈骗：网络交易诈骗、网络冒充熟人诈骗、网络投资诈骗、网络中奖诈骗、网络推销诈骗、网络招工诈骗、网络办卡诈骗、网络交友诈骗、网络贷款诈骗
　　3.短信诈骗：短信贷款诈骗、短信中奖诈骗、短信汇款诈骗、短信交易诈骗、短信银行卡消费诈骗、短信冒充熟人诈骗、短信推销诈骗、短信办卡诈骗、短信退税诈骗
　　4.传统媒介诈骗：报刊交友诈骗、冒充诈骗、中奖诈骗、招工诈骗

网络安全事件例举：
1.淘宝9900万账户信息遭窃：犯罪团伙利用互联网上非法流传的非淘宝用户账号和密码对淘宝账号进行“撞库”匹配，用于抢单等灰黑产行为
2.OpenSSL水牢漏洞：这一漏洞允许“黑客”攻击网站，并读取密码、信用卡账号、商业机密和金融数据等加密信息
3.电信诈骗
4.全美互联网瘫痪：黑客挟持成千上万物联网设备对美国DNS服务商Dyn发动了三波流量攻击。DDoS攻击又称为分布式拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源，从而使得用户无法得到服务响应
5.希拉里邮件门：希拉里在担任国务卿期间，从未使用域名为“@state.gov”的政府电子邮箱，而是使用域名为“@clintonemail.com”的私人电子邮箱和位于家中的私人服务器收发公务邮件

第二节 网络与信息安全体系概述

国内相关概念：
信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面
计算机安全包括：实体安全、软件安全、运行安全、数据安全（教科书）
计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护
国外：
信息安全金三角（机密性，完整性，可用性）
常见网络安全技术：
风险分析、安全评估；基于关联的弱点分析技术 ；基于用户权限提升的风险等级量化技术；拓扑结构综合探测技术（发现黑洞的存在） ；基于P2P的拓扑结构发现技术（解决局域性问题）；态势预测与分析

第三节 互联网发展热点

自行了解

第四节 大型网络应用剖析

发展历程（自行了解）
搜索引擎的工作原理：抓取建库；检索排序；外部投票；结果展现

第五节 负载均衡策略与算法剖析

5.1 为什么需要负载均衡

随着网络全球化的发展，需求爆发式增长，企业关键业务应用的量加大，访问流量快速增长，服务端和网络链路负载超额。为了实现业务的分发和健康性检查，需要实现负载均衡以保证企业业务可用性

5.2 负载均衡基本原理

调度算法：根据配置规则，将客户端请求智能地分发到后端应用服务器
健康性检查算法：实时监控服务器运行状态，通过某种探针机制，检查服务器群中真实服务器的健康情况，避免把客户端的请求分发给出现故障的服务器，以提高业务的HA能力

5.3 负载均衡按功能分类

链路负载均衡：通过带宽或就近性等算法，在多条链路中进行负载均衡，选择最优的链路，提高访问速度，包括健康检查、链路选择
本地负载均衡：本地负载均衡是指对本地的服务器群做负载均衡，本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题，并且不需购置性能卓越的服务器，充分利用现有设备，避免服务器单点故障造成数据流量的损失，包括健康检查、流量重定向
全局负载均衡：全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡，为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器，从而获得最快的访问速度，包括流量重定向、就近性

5.4 负载均衡部署方式

负载均衡有三种部署方式：路由模式、桥接模式、服务直接返回模式

5.5 负载均衡策略

• 基于DNS的负载均衡
  实现原理：一个域名绑定多个IP，通过DNS服务中的随机域名解析来实现
  优点：实现简单、实施容易、成本低、适用于大多数TCP/IP应用
  问题：一旦某个服务器出现故障，即使及时修改了DNS设置，还是要等待足够的时间（刷新时间）才能发挥作用，在此期间保存了故障服务器地址的客户计算机将不能正常访问服务器
  缺陷：DNS负载均衡无法得知服务器之间的差异，它不能做到为性能较好的服务器多分配请求，也不能了解到服务器的当前状态，甚至会出现客户请求集中在某一台服务器上的偶然情况
• 基于反向代理的负载均衡
  实现原理：通过正则映射将请求重定向到内容服务器
  优点：自带高速缓冲，可减轻内容服务器压力，提速网络访问效率
  问题：针对每一次代理，代理服务器就必须打开两个连接，一个对外，一个对内，因此在并发连接请求数量非常大的时候，代理服务器的负载也就非常大，最后代理服务器本身可能会成为服务的瓶颈
  缺陷：反向代理是处于OSI参考模型第七层应用，所以就必须为每一种应用服务专门开发一个反向代理服务器，这样就限制了反向代理负载均衡技术的应用范围，现在一般都用于对web服务器的负载均衡
• 基于特定服务器软件的负载均衡
  实现原理：利用网络协议的重定向功能来实现 。HTTP重定向：服务器无法处理浏览器发送过来的请求（request），服务器告诉浏览器跳转到可以处理请求的url上（浏览器会自动访问该URL地址，对用户无感）
  优点：服务可定制，可依据底层服务器的性能及实况进行负载调控
  问题：需要改动软件，成本较高
• 基于NAT的负载均衡
  实现原理：将一个外部IP地址映射为多个内部IP地址
  优点：比较完善的负载均衡技术，均衡算法也较灵活，如随机选择、最少连接数及响应时间等来分配负载
  问题：伸缩能力有限，当服务器结点数目过多时，调度器本身有可能成为系统的新瓶颈
• 基于CDN的负载均衡
  实现原理：通过在现有的Internet中增加一层新的网络架构，将网站的内容发布到最接近用户的网络“边缘”，使用户可以就近取得所需的内容
  优点:用户访问就近服务器，提高访问速度（就近拿经常访问内容，减少网络带宽消耗）
  问题：数据一致性问题（如何更新）；需要购买

5.6 负载均衡主要算法

• 轮询算法
  实现原理：每一次把来自用户的请求轮流分配给内部中的服务器，从1开始，直到N(内部服务器个数)，然后重新开始循环
  优点：简洁，无状态调度
  缺点：轮询调度算法假设所有服务器的处理性能都相同，不关心每台服务器的当前连接数和响应速度。当请求服务间隔时间变化比较大时，轮询调度算法容易导致服务器间的负载不平衡
  适用：服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况
• Hash散列算法
• 最少链接算法
  实现原理：将请求分配至当前链接数最少的服务器
  优点：实现起来比较简洁，在大多数情况下非常有效
  缺点：当各个服务器的处理能力不同时，该算法并不理想
  适用：需要长时处理的请求服务，如FTP等应用
• 最快链接算法
  实现原理：均衡器记录自身到每一个集群节点的网络响应时间，并将下一个到达的连接请求分配给响应时间最短的节点
  适用：基于拓扑结构重定向的高级均衡策略
• 物理层面：双机热备

第六节 防火墙基础

在逻辑上，防火墙分为分离器、限制器、分析器
防火墙的三大要素：安全、管理、速度

6.1 防火墙优点

• 防火墙是网络安全的屏障
  一个防火墙（作为阻塞点、控制点）能极大地提高内部网络的安全性，并过滤不安全的服务而降低风险
• 控制对主机系统的访问
• 监控和审计网络访问
  如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并 作出日志记录，同时也能提供网络使用情况的统计数据
• 防止内部信息的外泄
  利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
• 部署网络地址翻译(NAT)机制
  可以缓解地址空间短缺问题，隐藏内部网络结构

6.2 防火墙弱点

• 防火墙不能防范来自内部网络的攻击
• 防火墙不能防范不经由防火墙的攻击
• 防火墙不能防范感染病毒的软件或文件的传输
• 防火墙不能防范数据驱动式攻击
• 防火墙不能防范利用标准网络协议中的缺陷进行的攻击
• 防火墙不能防范利用服务器漏洞进行的攻击
  防火墙不能防止黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击
• 防火墙不能防范新的网络安全问题
  防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和一些新的网络应用的出现，不可能依靠一次性的防火墙设置来解决永远的网络安全问题
• 防火墙可能限制有用的网络服务
  为提高被保护网络的安全性，防火墙可能限制或关闭了一些有用但存在安全缺陷的网络服务

6.3 常见的防火墙基本结构

• 屏蔽路由器：屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。屏蔽路由器的缺点是，路由器一旦被控制后很难发现，而且不能识别不同的用户
• 双重宿主主机防火墙：堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。
  日志对于日后的检查很有用，但不能帮助网络管理者确认内网中哪些主机可能已被黑客人侵。双宿主机防火墙的一个致命弱点，一旦入侵者侵入堡垒主机并使其只具有路由功能，则网上任何用户均可以自由访问内网
• 屏蔽主机防火墙：一个分组过滤路由器连接外部网络，一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则
• 屏蔽子网防火墙：在内部网络和外部网络之间建立一个被隔离的子网（周边网络），用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个非军事区（DMZ）。有的屏蔽子网中还设有一个堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理

6.4 防火墙分类

• 包过滤防火墙：第一代也是最基本形式的防火墙。根据所建立的一套规则，检查每一个通过的网络包，或者丢弃，或者放行，这称为包过滤防火墙。目的是放行正常的数据包，截住有危害的数据包
• 状态/动态检测防火墙：状态/动态检测防火墙是在使用基本包过滤防火墙的通信上，跟踪通过防火墙的网络连接和包，以使用一组附加的标准，确定允许或拒绝通信
• 应用程序代理防火墙：应用程序代理防火墙实际上并不允许它连接的网络之间直接通信。相反，它接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。如果不为特定的应用程序安装代理程序，则这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性
• 个人防火墙：个人防火墙是一种能够保护个人计算机系统安全的软件，一般是应用程序级的。它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式保护一台计算机免受攻击

6.5 攻击防火墙的主要手段

• IP地址欺骗
• TCP序列号攻击
• 基于附加信息的攻击
• 基于堡垒主机web服务器的攻击
• IP隧道攻击
• 计算机病毒攻击
• 特洛伊木马攻击
• 前缀扫描攻击
• 数据驱动攻击
• 报文攻击
• 电污染攻击
• 社会工程攻击

第七节 防火墙技术

7.1 包过滤技术优缺点

优点：包过滤防火墙是两个网络之间访问的惟一途径，防火墙可对每个传入和传出网络的数据包实行低水平控制。每个IP包的字段都被检查，如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙可以识别、丢弃带欺骗性源IP地址的包。包过滤通常被包含在路由器中，不需要额外的系统来处理
缺点：访问控制列表的配置和维护困难。包过滤防火墙难以详细了解主机之间的会话关系，容易受到欺骗。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤

7.2 网络地址翻译技术

NAT（Network Address Translation，网络地址翻译）的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题，通过地址映射保证使用私有IP地址的内部主机或网络能够连接到公用网络

第八节 防火墙安全策略及其配置

8.1网络审计的主要内容

• 网络连接审计
• 协议审计
• 端口审计
• 拨号连接审计
• 个人帐户审计
• 文件访问审计
• 数据审计
• 流量统计审计
• 数据库审计
• WEB服务器审计
• 安全事件再现审计
• 键盘审计
• 屏幕审计
• 系统统计分析审计

8.2 配置Cisco IOS访问控制列表

主要步骤：创建访问控制列表；将访问控制列表绑定到某个网络接口
标准访问控制列表与扩展访问控制列表的区别：扩展访问控制列表对数据包的控制比标准访问控制列表粒度更细，运用更广，可以检查源地址和目标地址、特定的协议、端口号，以及其他的参数，可以更加灵活地描述数据过滤任务
配置标准访问控制列表—例 阻止特定地址
在防火墙/路由器上，在接口E0阻止来自特定地址172.16.4.13的数据流，其他的数据流将被转发出去
配置过程：
Router(config)#access-list 1 deny 171.16.4.13 0.0.0.0
Router(config)#access-list 1 permit any
Router(config)# interface E0
Router(config-if) #ip access-group 1 out
第二个access-list命令中，any代表“0.0.0.0 255.255.255.255”，表示允许源自任何网络的数据流通过
配置扩展访问控制列表—例 使用扩展访问控制列表
禁止网络192.168.1.0使用ping命令访问网络172.16.0.0，允许其他的IP数据
命令如下：
Router(config)#access-list 199 deny icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Router(config)#access-list 199 permit ip any any
Router(config)# interface E2
Router(config-if)#ip access-group 199 in

8.3 访问控制列表配置要点

访问控制列表的放置位置：访问控制列表可以用于控制数据流，消除不需要的数据流。依赖于访问控制列表放置的位置，可以减少不必要的数据流。如在远离目的端，禁止某些数据流，可以减少使用到达目的端的网络资源
访问控制列表放置的规则：尽量将扩展访问控制列表放置在靠近被拒绝的数据源。标准访问控制列表不能指定目标地址，故需要把标准访问控制列表放置在尽量靠近目标的地方

第九节 入侵检测技术概述

9.1 三种恶意用户

伪装者（Masquerader）：此类用户试图绕过系统安全访问控制机制，从而利用合法用户的系统账户
违法者（Misfeasor）：在计算机系统上执行非法活动的合法用户
秘密活动者（Clandestined User）：此类用户在获取系统最高权限后，利用此权限以一种审计机制难以发现的方式进行秘密活动，或者关闭审计记录过程

9.2 通用入侵检测模型

数据收集器（探测器）：主要负责收集数据
检测器（分析器/检测引擎）：负责分析和检测入侵的任务，并发出报警信号
知识库：提供必要的数据信息支持
控制器：根据报警信号，人工或自动做出反应动作

入侵检测系统包括三个功能部件
（1）信息收集
（2）分析引擎
（3）响应部件

9.3 入侵检测的信息源

操作系统的审计记录
操作系统日志
应用程序日志
基于网络数据的信息源
其他数据来源

操作系统日志较操作系统的审计记录质量差，因为：

• 产生系统日志的软件通常是在内核外运行的应用程序，而不是像操作系统审计记录是由系统内核模块生成，因而这些软件容易受到恶意的修改或攻击
• 系统日志通常是存储在普通的不受保护的文件目录里，并且常常以简单文本文件格式存储，容易受到恶意的篡改和删除等操作，而审计记录通常以二进制文件的形式存放，且具备较强的保护机制

网络数据源有以下优势：

• 通过网络被动监听方式获取网络数据包，作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，并且通常无须改变原有网络的结构和工作方式
• 嗅探器模块在工作时，可以采用对网络用户通明的模式，因而降低了其本身遭到入侵者攻击的概率
• 基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程
• 网络数据包的标准化程度，相对主机数据源而言要高许多，例如目前几乎大部分网络协议都采用了TCP/IP协议族

9.4 基于主机的入侵检测的优缺点

优点：能够较为准确地监测到发生在主机系统高层的复杂攻击行为
缺点：无法移植，影响性能，无法对网络环境下发生的大量攻击行为做出及时的反映

9.5 基于网络的入侵检测的优缺点

优点：能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅速的响应；可移植性好；不影响宿主机性能
缺点：准确率，发生在应用进程级别的攻击行为无法依靠基于网络的入侵检测来完成

9.6 按检测方法分类

滥用入侵检测：滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合
异常入侵检测：通常都会建立一个关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现了超过设定阈值的差异程度，则指示发现了非法攻击行为

比较：

• 滥用入侵检测比异常入侵检测具备更好的确定解释能力
• 滥用入侵检测具备较高的检测率和较低的虚警率
• 开发规则库和特征集合方便、容易
• 滥用检测只能检测到已知的攻击模式，模式库只有不断更新才能检测到新的攻击方式
• 异常检测可以检测到未知的入侵行为

第十节 基于主机的入侵检测技术

10.1 审计数据的预处理

审计数据的预处理工作，包括映射、过滤和格式转化等操作
体现在以下几个方面：

• 不同目标系统环境的审计记录格式各不相同，对其进行格式转化的预处理操作形成标准记录格式后，将有利于系统在不同目标平台系统之间的移植；同时，有利于形成单一格式的标准审计记录流，便于后继的处理模块进行检测工作；
• 对于审计系统而言，系统中发生的所有可审计活动都会生成对应的审计记录，因此对某个时间段而言，审计记录生成速度非常快，而其中往往大量充斥着对于入侵检测而言无用的事件记录，所以需要对审计记录进行必要的映射和过滤等操作

10.2 审计数据获取模块的设计

审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流，供其使用
设计时需要考虑的问题：
在各目标主机系统和中央分析控制台之间处理负荷的平衡问题
采用何种传输协议
如何将从多个目标主机获得的审计数据多路复用成为一条单一审计记录数据流的问题
如何处理诸如网络传输过程中可能出现的延时、遗漏等问题

10.3 入侵检测的统计模型

操作模型：该模型主要关心对系统中所发生事件的计数度量情况，例如观察在特定时间间隔内发生的失败登录事件的次数等，所关心的特定事件计数值与某个阈值进行比较
均值和标准偏差模型：系统当前状态特征可以采用数据的均值和标准偏差两个度量参数来刻画
多元模型：在多个参数度量之间进行相关分析，从而摆脱单纯依赖单个度量值来判断系统当前状态的限制因素
马尔可夫过程模型：将每个审计记录中不同类型事件的出现视为随机变量的不同取值，采用随机过程模型来刻画入侵检测系统的输入事件流，模型中采用状态转移矩阵来表示不同事件序列出现的概率值，如果当前审计事件按照正常的状态转移矩阵所计算出的发生概率小于某个阈值，则指示为异常行为

10.4 IDES

所定义的主体模型包括：
单个用户
用户组
远程主机
整个系统

根据目标主体类型的不同，把IDES统计分析系统中不同类型的单独测量值分为以下4个类别：

• 活动强度测量值：保证所生成的活动流量正常
• 审计记录分布测量值：保证在最近生成的数百个审计记录中，发生的活动类型正常
• 类别测量值：确保在一个活动类型中在最近生成的数百个审计记录中产生该动作的行为正常
• 序数测量值：确保在一个活动类型中在最近生成的数百个审计记录中产生该动作的行为正常

10.5 入侵检测的专家系统

专家系统在知识库的基础上，根据所获得的事实和已知的规则进行推导，并得出结论
优点：专家系统可以自动地解释系统的审计记录并判断它们是否满足描述入侵行为的规则
缺点：
1.专家系统只能够基于明确的、可靠的规则得出结论，对于超出已有规则范围的事实，它无法得出有用的结论
2.使用专家系统分析系统的审计数据很低效
3.使用专家系统规则很难检测出对系统的协同攻击

10.6 基于状态转移分析的入侵检测技术

基于状态分析的检测模型，将攻击者的入侵行为描绘为一系列的特征操作及其引起的一系列系统状态转换过程，从而使得目标系统从初始状态转移到攻击者所期望的危害状态
优点：1.直接采用审计记录序列来表示攻击行为的方法不具备直观性，它需要专门的知识才能理解一个具体的攻击行为所对应的审计记录序列，从而使得快速直观的更新检测规则库非常困难，而STAT采用高层的状态转移表示法来表示攻击过程，避免了这一问题；2.对于同一种攻击行为可能对应着不同的审计记录序列，这些不同的审计记录序列可能仅仅因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉，而STAT系统可以较好地处理这种情况；3. STAT能够检测到由多个攻击者所共同发起的协同攻击，以及跨越多个进程的攻击行为；4.STAT具备在某种攻击行为尚未造成实际危害时，及时的检测到并 采取某种响应措施的能力
STAT检测引擎工作原理：
每一行都对应着某个具体攻击过程的活动实例，而每一列则代表着攻击过程的某个具体步骤，指示着本次攻击实例的完成程度。推理引擎的初始行数应该等于规则库中所表示状态转移图的数目，即推理引擎表的每一行对应着某个状态转移图的表现实例。对匹配进行复制而不是对原行进行操作的原因是原来的表项仍然可以代表某次部分完成的具体攻击实例

10.7 文件完整性检查

检查文件系统完整性的必要性包括以下几个方面：
1.攻击者在入侵成功后，经常在文件系统中安装后门或木马程序，以方便后继的攻击活动
2.攻击者还可能安装非授权的特定程序，并且替换掉特定的系统程序，以掩盖非授权程序的存在
3.为了防止攻击活动痕迹的暴露，攻击者还可能删除若干重要系统日志文件中的审计记录
4.入侵者还可能为了达成拒绝服务攻击目的或破坏目的，恶意修改若干重要服务程序的配置文件或者数据库数据，包括系统安全策略的配置信息等
文件完整性检查技术实质上属于一种事后的入侵检测技术，针对的是特定文件对象的完整性问题

10.8 COPS系统所检查的系统安全范围类型

检查文件、目录和设备的访问权限模式
脆弱的口令设置
检查口令文件和组用户文件的安全性、格式、内容
检查在/etc/rc*目录和cron中指定运行的文件和程序

第十一节 基于网络的入侵检测技术

11.1 OSI模型

应用层：提供用户网络分布信息服务的接口，如文件传送、电子邮件服务等
表示层：提供两个应用层协议之间数据表示的语法，如加、解密算法等
会话层：提供应用层实体会话通道的建立和清除以及会话过程的维护等
传输层：提供面向应用的高三层和面向网络的低三层之间的接口，为会话层提供与具体网络无关的可靠的端对端通信机制。主要有面向连接的服务（字节流）和无连接的服务（数据报）两种类型服务
网络层：建立传输层实体之间的网络（WAN或LAN）连接，包括路由选择等服务
数据链路层：建立于特定网络（LAN）的物理连接上，为网络层提供可靠的传送通道，提供传输错误检测与数据重发
物理层：提供网络端设备接口的物理和电气接口，与物理传输介质直接相连

11.2 TCP/IP协议模型

主机－网络（网络接口）层：TCP/IP模型中的主机－网络（网络接口）层与OSI/ISO的物理层、数据链路层以及网络层的一部分相对应。该层中所使用的协议大多数是各通信子网固有的协议
网络互连层（IP层）：是TCP/IP模型的关键部分。功能是使主机把分组发往任何网络，并使各分组独立地传向目的地，这种信息传送的类型称为数据报方式。这些分组到达的顺序可能和发送的顺利不同，因此当需要按顺序发送和接收时，高层必须对分组进行排序。使用IP协议，它把传输层送来的消息组装成IP数据报文，并把IP数据报文传送给主机－网络层。网络互连层的主要任务是：为IP数据报分配一个全网唯一的IP地址，实现IP地址的识别与管理；IP数据报的路由机制；发送或接收时使IP数据报的长度与通信子网所允许的数据报长度相匹配
传输层：传输层作为应用程序提供端到端通信功能，和OSI/ISO中的传输层相似。该层协议处理网络互连层没有处理的通信问题，保证通信连接的可靠性，能够自动适应网络的各种变化。传输层主要有两个协议—传输控制协议（TCP）和用户数据报协议（UDP）
应用层：位于传输层之上的应用层包含所有的高层协议，为用户提供所需要的各种服务，主要包括：
远程登录（Telnet）：用户可以使用异地主机
文件传输（FTP）：用户可以在不同主机之间传输文件
电子邮件（SMTP）：用户可以通过主机和终端相互发送信件
Web服务（HTTP）：发布和访问具有超文本格式的HTML的各种信息
域名系统（DNS）：把主机名映射成网络地址

11.3 网络数据包截获方法

利用以太网络的广播特性：将网卡的工作模式置于混杂（Promisc）模式，直接访问数据链路层，截获相关数据
通过设置路由器的监听口或者镜像口来实现：此时所有的网络信息数据包除按照正常情况转发外，将同时转发到镜像端口，从而达到截获所有网络流量的目的
分光器复制
光交换机

Libpcap报文捕获缺点：多次拷贝，单包中断
Zero-copy：用户程序分配一块大的由用户和内核共享的内存UserBuff···（自行了解）

11.4 检测引擎设计

分类：嵌入式规则检测引擎；可编程的检测引擎
两种引擎比较：1.嵌入式规则检测引擎的代码实现对于终端用户隐藏不可见，用户可配置检测规则，但是无法了解嵌入在系统内部的实现机制；2.可编程检测引擎允许用户采用特定的编程语言或脚本语言，来实现具体的检测模块，然后交由检测引擎处理；3.可编程的检测引擎设计具备强大的灵活性，需要用户具备更多的专业知识；4.嵌入式规则检测引擎的设计则更容易使用，用户可以在既定的规则集合中选取特定子集，或者根据条件创建自己的检测规则

Snort的系统结构分为三部分：协议解析器、规则检测引擎、日志/警报系统
特征分析技术：建立在字符串匹配的简单概念上，每次输入检测引擎的数据包，将会与单个特征进行逐个字符的匹配操作
协议分析技术：将输入数据包视为具有严格定义格式的数据流，并将输入数据包按照各层协议报文封装的反向顺序，层层解析出来。然后，再根据各层网络协议的定义对各层协议的解析结果进行逐次分析
优缺点比较：
特征分析优点:在小规则集合情况下工作速度快，检测规则易于编写、理解并且容易进行定制，对新出现的攻击手段具备快速升级支持能力，对底层的简单脚本攻击，具备良好的检测性能，对所发生的攻击类型，具备确定性的解释能力
特征分析缺点：随着规则集合规模的扩大，检测速度迅速下降，各种变种的攻击行为，易于造成过度膨胀的规则集合，较易产生虚警信息，仅能检测到已知的攻击类型，前提是该种攻击类型的检测特征已知
协议分析优点：具备良好的性能可扩展性，特别是在规则集合规模较大的情况下；具备发现最新的未知安全漏洞的能力；较少出现虚警信息
协议分析缺点：在小规模集合情况下，初始的检测速度相对较慢；检测规则比较复杂，难以编写和理解并且通常是由特定厂商实现；协议复杂性的扩展以及实际实现的多样性，容易导致规则扩展的困难；对发现的攻击行为类型，缺乏明确的解释信息

第十二节 先进入侵检测技术

12.1 采用先进检测算法的原因

试图解决传统入侵检测技术中存在的若干问题，如虚警、缺乏检测未知或变形攻击的能力、扩展性和自适应性等
先进算法分类：
神经网络与入侵检测技术
数据挖掘与入侵检测技术
数据融合与入侵检测技术
计算机免疫学与入侵检测技术
进化计算与入侵检测技术

12.2 神经网络技术应用于入侵检测领域优势和缺陷

优点：
神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力
神经网络具备高度的学习和自适应能力
神经网络所独有的内在并行计算和存储能力

缺点：
需要解决神经网络对大容量入侵行为类型的学习能力
需要解决神经网络的解释能力不足
执行速度

12.3 神经网络技术应用于入侵检测模型

采用递归型（Recurrent）BP网络
基于一维SOM（组织特征映射）网络的异常检测算法
对用户行为特征进行判断
采用基于多层感知器（MLP）的异常检测模型

12.4 数据挖掘与入侵检测技术

数据挖掘是从数据中自动地抽取模式、关联、变化、异常和有意义的结构。解决日益增长的数据量与快速分析数据要求之间的矛盾问题，采用各种特定的算法在海量数据中发现有用的可理解的数据模式
知识发现（KD）：输出的是规则
数据挖掘（DM）：输出的是模型
共同点：两种方法输入的都是学习集（learning sets） ，目的都是尽可能多的自动化数据挖掘过程 ，数据挖掘过程并不能完全自动化，只能半自动化

12.5 KDD（数据库知识发现）技术

KDD技术通常包括以下步骤：
理解应用背景
数据准备
数据挖掘
结构解析
使用所发现的知识

12.6 数据预处理

数据不完整、含观测噪声、不一致、包含其它不希望的成分
数据清理通过填写空缺值，平滑噪声数据，识别删除孤立点，并解决不一致来清理数据

12.7 污染数据形成的原因

滥用缩写词
数据输入错误
数据中的内嵌控制信息
不同的惯用语
重复记录
丢失值
拼写变化
不同的计量单位
过时的编码
含有各种噪声

12.8 数据清理处理内容

格式标准化
异常数据清除
错误纠正
重复数据的清除
恢复丢失数据

12.9 异常检测方法的分类

基于统计（statistical-based)的方法
基于距离 (distance-based)的方法
基于偏差(deviation-based)的方法
基于密度(density-based)的方法
高维数据的异常探测

12.10 入侵检测相关的算法类型

分类算法：将特定的数据项归入预先定义好的某个类别。分类算法通常最终生成某种形式的“分类器”，例如决策树或者分类规则等
关联分析算法：用于确定数据记录中各个字段之间的联系，入侵检测可以采用这些关联分析算法对审计数据中各个系统特征进行关联分析，例如用户审计数据中命令字段和参数字段之间的关联情况，从而可以用来建立起正常用户行为档案
序列分析算法：发掘数据集中存在的序列模式，即不同数据记录间的相关性。序列分析算法能够发现按照时间顺序，在数据集合中经常出现的某些审计事件序列模式