第七章 网络安全
7-1 举例说明计算机网络可能面临的安全威胁。网络需要哪些安全服务? ??预攻击探测:在进行网络攻击前,入侵者想方设法了解该网络中计算机的IP地址、所用操作系统、所运行的程序以及存在的漏洞。使攻击具有针对性。 ??分组嗅探:利用分组嗅探器接收流经该设备的分组,获取信息。 ??IP哄骗:若用户对端系统的操作系统拥有绝对控制权,就能将任意IP地址放入数据的源地址字段,伪造源地址的数据包。 ??TCP劫持:入侵者设法劫持某主机和某服务器之间的TCP连接,从而获取对服务器的全部控制权。 ??拒绝服务和分布式拒绝服务攻击:通过耗费被攻击的基础设施的某种特定资源,使合法工作因缺乏某种资源而无法执行。 ??网络安全需要提供机密性、鉴别、完整性、不可否认性和运行安全性服务。
7-2 什么是入侵?入侵者对网络通信的攻击可以分为几类?入侵又可以分为哪些基本形式? ??入侵是指在非授权情况下,试图存取信息、处理信息或通过破坏网络系统而使网络不可靠、不可用的故意行为。 ??入侵者对网络通信的攻击可分为被动攻击和主动攻击。在被动攻击中,入侵者不干扰网络中循环数的数据流本身而是观察和分析数据流,例如入侵者通过分析协议类型,得知网络通信的性质和应用类型;通过分析分组首部,得知收发双方地址;通过统计分组长度和传输频度,了解通信规律以及与应用对应的关系等。主动攻击是指入侵者对传输中的数据流进行各种在线处理,如进行报文的篡改、删除、延迟、重放等操作。 ??两类攻击有四种基本形式: ??截获(interception):入侵者从网上窃听他人的通信内容。 ??中断(interruption):入侵者有意阻止他人在网络上通信。 ??篡改(modification):入侵者恶意修改网络上传送的报文。 ??伪造(fabrication):入侵者插入虚假报文。
7-3 网络攻击前为什么要进行预攻击探测?预攻击探测主要包括哪些内容?它们分别针对哪些方面?其原理是什么? ??在网络攻击前,对于目标了解得越透彻,攻击完成的可能性就越大。在对一个网络发起攻击前,入侵者需要知道该网络中计算机的IP地址、所使用的操作系统、所运行的程序以及存在的漏洞。有了这些信息,攻击就将更具针对性,引起警报的可能性就越小。 ??预探测攻击主要包括:ping扫描、端口扫描、操作系统识别以及漏洞扫描等内容。 ??ping扫描:用于发现攻击目标。它向目标IP地址发送一个基于ICMP的ping报文,对方会返回一个同样大小的回显报文,根据返回的报文就能确定目标主机的位置。 ??端口扫描:一种用来查找网络主机开放端口的技术。它顺序地与一台计算机的TCP或UDP端口进行连接并查看所发生的响应,而这些响应又可用于确定被扫描计算机所提供的的服务。 ??操作系统识别:为实施更有针对性的攻击,需要识别操作系统的类型,不同操作系统的漏洞完全不同。识别操作系统有3类方法:一是获取旗标信息,即向服务器发起连接请求时服务器返回的欢迎信息;二是利用端口信息,即不同操作系统有一些不同的默认开放端口;三是分析TCP/IP协议栈指纹,即不同的操作系统在根据RFC文档实现TCP/IP协议栈时存在技术细节的差异。 ??漏洞扫描:查找网络主机在硬件、软件、协议的具体实现和系统安全策略等方面存在的缺陷与不足。
7-4 分组嗅探应用的主要场合是什么?在大量使用局域网交换机的今天,分组嗅探技术是否仍有作用? ??在使用集线器的以太网环境中,分组嗅探器能够接收到所有主机之间的通信帧。任意一个具有以太网适配器的端系统只要把适配器设置为混杂模式,就能嗅探到所有分组。如果嗅探到Telnet或SNMP中的明文口令,就能发起对系统的攻击。 ??在广泛使用交换机的局域网环境中,分组嗅探器通常仅能接收到明确发送给它的帧和广播帧。不过,还有两种途径使嗅探器能够嗅探到更多的帧:一是交换机能够广播目的地址不在交换表中的那些帧;二是通过交换机毒化的攻击,向交换机发送大量具有不同伪造源MAC地址的分组,使伪造表项填满了交换机表,这样该交换机就不得不广播大多数帧,使它们为嗅探器所捕获。
7-5 IP哄骗是什么含义?入侵者如何实施IP哄骗?可以采用何种技术来防范? ??用户如果对端系统的操作系统有完全的控制权,就能将任意的IP地址而不是本机合法IP地址放入数据报的源地址字段,这使互联网的IP设备能够向因特网发送具有伪造源地址的数据报。这种技术被称为IP哄骗。 ??使用IP哄骗发送的分组,就好像它们来自许多不同的主机,常用于拒绝服务攻击,以隐藏攻击的发起者。从一个伪造IP地址的数据报中,很难追溯到该数据报的真实发送方。 ??执行入口过滤的路由器检查进入的数据报的IP地址,以确定数据包的源地址是否在该接口所能到达的网络地址范围内。如果在因特网边缘执行检查,那么因特网中所有端系统都必定在特定的IP地址范围内,以防止发生哄骗行为。
7-6 TCP劫持的危害是什么?实施TCP劫持需要什么条件? ??发生TCP劫持危害:入侵者发起拒绝服务攻击使主机A与服务器B无法联系;入侵者采用IP哄骗使用主机A的地址作为源地址,再用嗅探到的TCP连接的合法参数向服务器B发送哄骗TCP报文段,服务器误以为与主机A通信,实际在和入侵者通信。 ??条件:当请求服务的主机使用一条TCP连接与服务器通信,且该用户正在用超级用户权限对服务器进行管理时,位于请求主机和服务器之间的一个可以监控分组流的位置的入侵者便能嗅探到两者之间TCP连接的所有信息。
7-7 DoS攻击会对网络产生何种危害?DDoS为什么难以防范和难以溯源? ??拒绝服务攻击(DoS)攻击会使合法用户不能正常使用一个网络、端系统或网络基础设施的某个部分。 ??在分布式拒绝服务攻击中,入侵者首先通过因特网络获取许多端系统的用户账户,然后在每一个所控制的站点中安装一个从属程序,等待来自主程序的命令。大量从属程序运行之后,主程序就会与从属程序联系,指示所有这些从属程序直接向相同的目的主机发起拒绝服务攻击。这种协同攻击导致的后果往往是毁灭性的,攻击由多台攻击主机共同发起,由于很难区分哪些是恶意分组,哪些是正常分组,而且通常参与 DDoS 攻击的分组使用的源IP地址都是假冒的,从因特网上不同的被控主机很难追溯到攻击源。因此 DDoS 难以防范。
7-8 与网络通信安全相关的安全服务有哪些?它们各自具有什么含义? ??机密性(confidentially):机密性服务保护被传输的报文,使之不被泄露或暴露给未授权的实体。 ??鉴别(authentication):鉴别服务确保通信中的对等实体和数据来源是可信的。 ??完整性(integrity):完整性服务是指通信双方需要确保报文在传输过程中能够对抗未经授权的改变、删除或替代,一旦出现这些情况就能够被发现。 ??不可否认性(non-repudiation):不可否认性服务是指防止参与每次通信交换的任何一方事后否认本次通信或通信的内容。 ??运行安全性(operational security):运行安全性服务为园区网的运行提供了可信的运行环境。
7-9 数据加密的一般模型是什么?加密密钥和解密密钥可以相同或不同吗? ??在发送方,加密前的明文数据经过加密算法变换成为密文,密文具有不可理解的形式。在接收方,密文通过某种称为解密算法的逆变换将密文还原为明文。 ??在对称密钥密码体制中,加密密钥与解密密钥是相同的;在对称密钥系统中,加密密钥与解密密钥是不同的。
7-10 对称密钥密码体制与公钥密码体制的特点是什么?各有什么优缺点? ??对称密钥体制是加密密钥与解密密钥密码相同,两个参与者共享同一个密钥。 ??公钥密码体制是使用不同的加密密钥和解密密钥,加密密钥是公开信息,而解密密钥需要保密。 ??公钥密码体制有很多良好的特性,它不仅可以用来加密,还可以很方便的用于鉴别和数字签名。但公钥密码算法比对称密钥密码算法要慢好几个数量级。 ??对称密钥体制的加解密速度快且安全强度高,但密钥难管理和传送,不适于在网络中单独使用。
7-11 使用恺撒密码,当密钥k=2时加密报文“This is an easy problem.”。用字母表中的一个字母替换该字母表中的另一个字母,形成一套密码。试用这套密码来加密上述报文。它是否容易被破译? ??加密后的报文:“Vjku ku cp gcua rtqdngo.”。使用恺撒密码加密的密文看起来像一堆乱码,但密钥值只有25个,非常不安全。
7-12 使用RSA算法,选择p=3和q=11加密短语“me”。对已加密的报文应用解密算法进行恢复。 ??将明文信息数字化:m—13,e—5 ??n=pq=33,φ(n)=(p-1)(q-1)=20 ??选择e=7与φ(n)互素 ??选择d=3,使ed mod φ(n)=1 ??公钥是(33,7),私钥为(33,3) ??有了两对密钥,X为明文,Y(Y1为字母m密文,Y2为字母e密文)为密文,RSA加密算法可表示为: ??Y1=Xe mod n = 137 mod 33 = 7 ??Y2=Xe mod n = 57 mod 33 = 14 ??即“me”对应密文“7,14” ??RSA解密算法可表示为: ??X1=Yd mod n = 73 mod 33 = 13 ??X2=Yd mod n = 143 mod 33 = 5 ??即X1—m,X2—e。
7-13 考虑n个用户两两之间的秘密通信问题。如果使用对称密钥密码体制,那么需要多少密钥?如果使用公钥密码体制,那么需要多少对密钥? ??使用对称密钥密码体制需密钥数 n(n–1) 个;使用公钥密码体制需 n 对密钥。
7-14 在对称密钥系统中通信双方要共享同一秘密密钥,需要通过安全通道分发密钥。而在公钥系统中,公钥无需保密,是否就不存在密钥分发的问题呢?试举一例说明原因。 ??不是。现代密码的算法是公开的,其安全性依赖于密钥私密性。对于公钥体制,尽管取消了对共享密钥的约定,但会存在因某一方的公钥密码不真实而导致的安全问题。 ??假设用户A向用户B发送报文,A用自己的私钥进行数字签名并附上A自己的公钥,欺骗用户B公钥是用户C的,那么B无法知道公钥是否是C的。如果B信以为真你,与C通信时使用该公钥加密,通信内容就会被A破解。 ??因此在公钥系统中也存在密钥分发的问题,问题的实质与是否能安全地获取密钥有关,通常需要有一个值得信赖的机构来将公钥与其对应的实体 (人或机器) 进行绑定 (binding) 。这样的机构就叫作认证中心 CA (CertificationAuthority)。
7-15 目前尚没有正式证明3DES和RSA的安全性。在这种情况下,我们有什么证据认为它们确实是安全的? ??不论入侵者获得多少密文,都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。事实上虽然所有实用的密码体制均是理论上可破的,但只要研制出即便是蛮力搜索也要花上几百年乃至几亿年的密码体制就足以保证安全。这种方式称为计算上不可破。密码体制中的密码不能被可以使用的计算资源破译就认为是计算上安全的。3DES和RSA均不可在短时间内进行破译。
7-16 比较对称密钥密码体制与公钥密码体制中密钥分发的异同。 ??共同点是都需要一个可信的机构。目前常用的对称密钥分发方式是设立密钥分发中心 KDC。KDC 是一个公认的可信机构,其任务就是给需要进行秘密通信的用户临时分发一个会话密钥。而在公钥系统中通常需要有一个值得信赖的机构即认证中心 CA (CertificationAuthority) 来将公钥与其对应的实体 (人或机器) 进行绑定(binding)。
7-17 什么是认证中心?为什么有了认证中心就认为公钥是可信的了?证书是如何产生的?它在认证中起着什么作用? ??证书认证机构(CA)能够把一个特定实体与其公钥绑定到一起,并且用自己的私钥进行签名,CA的公钥很容易找到。CA的职责就是使实体身份和其发出的证书有效。如果信任某个CA,就要信任它的身份验证技术,信任与一个公钥相关的身份标识。为了证实用户A的身份,CA先生成一个把用户A身份与其公钥K_A绑定在一起的证书,该证书包含该公钥和公钥所有者全局唯一的身份标识信息(如人名、公司名或IP地址等)。然后,CA用自己的私钥对这个证书进行加密(即数字签名)。用户可以从可信的地方(如代表政府的报纸或网站)获得认证中心CA的公钥,并用这个公钥验证某个证书的真伪。一旦证书被鉴别是真实的,就可以相信证书中的公钥确实属于证书中声称的用户。
7-18 有一种称为中间人攻击的网络攻击,试解释这种攻击的原理。使用对称密钥时会发生中间人攻击吗? ??中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。 ??中间人攻击会假装成目标网站,向客户端出示一个伪造的同名服务器数字证书。客户端就会使用中间人的伪证书公钥加密自己产生的会话密钥,中间人收到使用自己的公钥加密的会话密钥后,使用自己的私钥即可解密恢复出明文会话密钥。中间人在伪装成服务器与客户端建立连接的同时,会与真实的服务器建立一个正常的连接。因此使用对称密钥会发生中间人攻击。
7-19 实体鉴别有什么意义?简述挑战-响应鉴别协议的过程。 ??实体鉴别或实体认证就是通信一方验证另一方身份的技术。实体可以是人或进程等。 ??挑战-响应鉴别协议的基本原理:发送方先选择一个不重数,再用双方都知道的密钥进行加密,然后发送给鉴别方以发起挑战;如果被鉴别方能够对发起的挑战进行响应,表明它通过了此次鉴别。用以对抗重放攻击。
7-20 什么是重放攻击?如何防止重放攻击? ??入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。这种攻击方式为重放攻击。 ??为了对付重放攻击,可以在报文中使用不重数,不重数是一个不重复使用的随机数,也称为“一次一数”。该过程即挑战-响应鉴别协议。
7-21 报文的保密性与报文的完整性有什么区别?能否考虑一个问题而忽略另一个问题呢?保证报文的完整性和保证报文的机密性是否可以采用相同的技术? ??保密性是防止报文被攻击者窃取,而完整性是防止报文被篡改。保密性的特点是:即使加密后的报文被攻击者截获了,攻击者也无法了解报文的内容;完整性的特点是:接收者收到报文后,知道报文没有被篡改。 ??保密性和完整性都很重要。 ??有保密性而没有完整性的例子:收到一份加密的报文“明日6时发起进攻”。攻击者破译不了被截获的报文,但随意更改了一些比特(攻击者也不知道更改后的密文将会使解码后得出的明文变成什么样子)。接收者收到的还是密文。他认为别人不会知道密文的内容,于是用密钥将收到的密文进行解码,但得到的明文已经不再是原来的明文了。假定原来的明文是“明日8时发起进攻”,现在却变成了“明日6时发起进攻”,提前了2小时。当然也可能将被篡改的密文解码后变得看不懂意思的明文,在这种情况下也许还不致产生有危害的后果。 ??有完整性而没有保密性的例子是对明文加上保证其完整性的措施。接收者收到明文后,就可以相信这就是发送者发送的、没有被篡改的报文。这个报文可以让所有的人都知道(不保密),但必须肯定这个报文没有被人篡改过。 ??可见保密性并不是永远都需要的,但完整性往往总是需要的。例如人民日报所登载的新闻对全世界的所有人都是公开的,没有什么秘密可言。但报纸上的新闻必须保证其完整性(读者不会怀疑报纸的印刷单位擅自改动了新闻的内容)。如果新闻被恶意地篡改了就会产生极其严重的后果。现在有些情况不允许使用电子邮件(例如导师给某个学校发送为某学生写的正式推荐信),并不是因为推荐信有多大的机密,而是因为没有使用数字签名的普通电子邮件,不能证明对方收到的电子邮件的确是某个导师写的并且没有被篡改过。而从邮局寄送的、写在纸上(特别是有水印的、只供单位使用的信纸上)有导师亲笔签名的推荐信,则一般都认为是可信赖的。 ??保持报文完整性与机密性所使用的技术往往不同,如果对整个报文进行加密,当报文很长时会使加密计算的开销很大,有时根本不可行。报文鉴别常用方法有报文摘要5(MD5)和安全散列算法(SHA-1)。
7-22 用报文摘要代替报文本身进行鉴别有什么好处?能这样做的前提条件是什么?能够通过“解密”某报文的散列值以得到初始报文吗? ??用MD进行报文鉴别更有效。固定几字节长的报文摘要与长报文一一对应,认为是长报文的指纹;用指纹短报文来代替原始长报文,以减少相关处理的开销。 ??报文摘要算法必须满足以下条件: ??条件1:任给一个报文摘要值x,若想找到一个报文y使H(y) = x,则在计算上是不可行的。 ??条件2:若想找到任意两个报文x和y,使H(x) = H(y),则在计算上是不可行的。 ??基于以上两个条件可知,由于无法把报文摘要还原为原报文,因此可以将安全散列函数运算看成是没有密钥的加密算法,即不可通过“解密”某报文的散列值以得到初始报文。
7-23 什么是安全散列函数?使用普通散列函数会有什么问题?为什么能把安全散列函数运算看成是没有密钥的加密运算? ??条件1:任给一个报文摘要值x,若想找到一个报文y使H(y) = x,则在计算上是不可行的。 ??条件2:若想找到任意两个报文x和y,使H(x) = H(y),则在计算上是不可行的。 ??满足以上两个条件的散列函数称为安全散列函数。 ??使用普通散列函数生成的报文摘要可能会遭受入侵者恶意篡改。 ??安全散列函数的前提条件表明:若(x,H(x))是发送方产生的报文和报文摘要,则入侵者不可能伪造出另一个报文y,使y与x具有同样的报文摘要。由于无法把报文摘要还原为原报文,因此把安全散列函数运算看成是没有密钥的加密运算。
7-24 MD5和SHA-1是什么样的算法?它们被广泛应用于哪些方面? ??MD5和SHA-1是目前广泛使用的产生定长报文摘要的两种算法。MD5以512比特分组来处理输入文本,输出是4个32比特分组级联形成的128比特的摘要,SHA-1以512比特分组来处理输入文本,输出是5个32比特分组级联形成的160比特的摘要。SHA-1比MD5更安全些,但计算起来比MD5要慢。 ??在金融交易、电子商务、电子信件、手机用户信息的确认等领域,数据完整性确认和数据来源的真伪鉴定都是很重要的安全服务。MD5和SHA-1主要用于文件校验、数字签名、鉴别协议中。
7-25 对报文进行数字签名应保证具有哪些特性?一个已签名的文档是可鉴别的和不可伪造的,这句话的含义是什么? ??数字签名应当以可鉴别、不可伪造的方式进行,必须保证报文具有不可否认性。 ??含义: ??(1) 确认来源:是发送方而不是其他人的签名。 ??(2) 确认内容:发送方是对报文X而不是对X'(报文X被修改后的报文)进行的签名。 ??一旦有了报文X和
E
S
K
A
(
X
)
E_{SKA} (X)
ESKA?(X)(A用私钥对报文的签名)作为依据,发送方不可否认他的确发送了报文X。
7-26 比较采用公钥算法对报文进行数字签名的过程和采用公钥算法对报文摘要进行数字签名的过程,后者是否能够带来好处?如果既要实现数字签名又要保证报文的机密性,应怎样做?试给出相应的处理流程。 ??对任意长的报文应用散列函数,能够得到一个固定长度的数据“指纹”,表示为H(X)。如果数据报文X改变为X',则由初始数据计算得到的X的摘要H(X)不会与已改变的X'的摘要H(X')相匹配。使用散列函数,发送方可以对报文的散列值签名而不必对报文本身签名,两种方法具有同等效力。因为H(X)比报文X短得多,因此生成的数字签名所需要的计算耗费大为降低。 ??同时提供签名和机密性过程:发送方A先用自己的私钥签名,再用接收方B的公钥加密;接收方B则先用自己的私钥解密,再用发送方A的公钥来核实签名。下图中SKA和SKB分别为A和B的私钥,PKA和PKB分别为A和B的公钥。
7-27 网络安全协议的目标是什么?请列举目前因特网使用的主要安全协议。 ??网络安全协议的目标就是要保证某些或所有网路安全性质在协议执行之后能够得以实现。 ??主要安全协议: ??网络层:IPsec和虚拟专用网; ??运输层:安全套接字层SSL; ??应用层:安全电子邮件PGP。
7-28 概述在IPsec中由鉴别首部(AH)协议和封装安全性荷载(ESP)协议所提供服务的主要区别。 ??AH提供源鉴别和数据完整性服务,但不提供机密性服务;ESP能够同时提供鉴别、数据完整性和机密性服务,它比AH更复杂。
7-29 如果IPsec在网络层提供了多种安全性服务,那么为什么在IP以上的层次还需要其他安全机制呢? ??网络安全协议要保证哪些安全协议与网络实体位于网络哪个层次和具有何种功能有关。在 IP 层的安全机制可以为所有主机间提供安全通信服务,但却无法保证用户间电子邮件的安全性。因为利用电子邮件通信的双方并不直接在 IP 层上进行通信,电子邮件需要通过中间的邮件服务器的转发。虽然 IPsec 可以为上层应用提供统一的主机到主机的安全服务,但如果主机上运行多个不同的应用,需要与不同主机进行不同安全需求的通信时,则需要使用运输层的安全协议。
7-30 SSL能够提供哪几种安全服务? ??(1)SSL服务器鉴别。允许用户证实服务器身份,支持SSL的浏览器通过验证来自服务器的证书来鉴别服务器的真实身份并获得服务器的公钥。该功能可使用户避免误用假冒的服务器,从而避免用户信息泄露和财产损失。 ??(2)SSL客户鉴别。这是SSL提供的可选安全服务,允许服务器证实浏览器的身份。与鉴别服务器类似,鉴别客户也利用了由CA发行的客户证书。该功能能使服务器免受有敌意的客户的攻击。 ??(3)加密的SSL会话。对浏览器和服务器之间发送的所有报文进行加密,由接收软件(;浏览器或Web服务器)解密。SSL还提供了一种检测信息是否被入侵者篡改的机制。该功能使入侵者无法理解通信报文的内容。
7-31 在安全电子邮件中,试画出与如图7-21所示的提供安全性、发送方鉴别和报文完整性服务的方案对应的接收方的方案。 ??当用户B接收到加密包后: ??(1)使用其私钥K_SKB得到对称密钥K_S; ??(2)使用这个对称密钥K_S去解密报文(m和H(m)); ??(3)使用用户A的公钥K_PKA解密被签名的报文摘要; ??(4)自行对报文m用散列函数H进行处理,得到报文摘要; ??(5)将其与解密的报文摘要进行比较。 ??如果这两个结果相同,则用户B确信这个报文来自用户A且未被篡改。
7-32 试阐述防火墙的基本原理和所提供的功能。防火墙有什么局限性? ??防火墙是指设置在安全区域(如园区网)和公共区域(如因特网)之间并位于被保护网络的边界,对进出安全区域的分组实施“通过/阻断/丢弃”控制的软硬件系统。通过安装和使用防火墙,严格控制进出网络边界的分组,禁止任何不必要的通信,可以减少潜在入侵的发生,提高网络边界安全性。 ??局限性:防火墙无法对进入网络的分组执行深度分组检查,无法避免如网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等网络攻击行为。
7-33 有了防火墙为什么还需要入侵监测系统?它们在网络中安装的位置是否相同? ??防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为,因此需要使用入侵检测系统(IDS)。在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵以便尽快阻止入侵把危害降低到最小。IDS 对进入网络的分组执行深度分组检查。当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于IDS的“误报”率通常较高多数情况不执行自动阻断)。IDS 能用于检测多种网络攻击包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。IDS有关设备安装位置较为灵活,即可部署在安全区域内也可在部署公共区域,并且可安装多个IDS设备,通常多个IDS设备会一起工作,由中心处理器综合分析从它们收集来的信息,必要时向网络管理员发出警告信息。
7-34 入侵检测方法可以分为哪几种类型?它们之间的区别是什么? ??IDS大致可以分为基于特征的系统(signature-based system)或基于异常的系统(anomaly-based system)。基于特征的IDS需要维护一个攻击特征范围广泛的数据库,每个特征是与一个入侵活动相关联的规则集,它可能只是有关单个分组的特性列表,或者可能与一些列分组有关。这些特征通常都是由技艺高超的网络安全工程师来生成的;当基于异常的IDS观察正常运行的流量时,它会生成一个流量概况文件。然后,它寻找统计上不寻常的分组流,例如端口扫描或ICMP分组过度的百分比等。基于异常的IDS系统不依赖于有关现有攻击的历史信息。
|