(完整word版)期末復(fù)習(xí)計(jì)算機(jī)安全自總結(jié)

1、第七章：1 1計(jì)算機(jī)病毒的三個(gè)組成部分：感染機(jī)制：指病毒傳播和使病毒能夠自我復(fù)制的方法，也被稱感染向量觸發(fā)條件：指激活或交付病毒有效載荷的事件或條件有效載荷：指病毒除傳播之外的活動(dòng)， 有效載荷可能包括破壞活動(dòng)， 也可能包括無(wú)破壞但值 得注意的活動(dòng)。2 2在計(jì)算機(jī)病毒生命周期內(nèi)會(huì)經(jīng)歷以下四個(gè)階段：潛伏階段：病毒處于休眠狀態(tài)，最后病毒會(huì)被某些事件激活，并不是所有病毒都 有這個(gè)階段傳播階段：病毒將自身的拷貝插入其他程序或硬盤上某個(gè)與系統(tǒng)相關(guān)的區(qū)域，這個(gè)拷貝也許和原來(lái)的版本不完全一樣，病毒經(jīng)常通過變異來(lái)逃避檢測(cè)觸發(fā)階段：病毒被激活以執(zhí)行其預(yù)先設(shè)定的功能， 和潛伏階段一樣，病毒進(jìn)入觸 發(fā)階段可以由多種系

2、統(tǒng)事件引起執(zhí)行階段：執(zhí)行病毒功能，有的功能是無(wú)害的，有些功能是破壞性的3 3病毒執(zhí)行過程中壓縮的作用：由于感染后的程序比感染之前的程序長(zhǎng)， 所以普通的病毒很容易被檢測(cè)到，防止 這種檢測(cè)方法的手段是對(duì)執(zhí)行文件壓縮， 使得無(wú)論是否被感染，其長(zhǎng)度都是相同 的。4 4病毒執(zhí)行過程中加密的作用：為了病毒在生成副本時(shí)可以隨機(jī)插入獨(dú)立指令或者交換一些獨(dú)立指令的順序。 一種更有效的方法是采用密碼學(xué)技術(shù)，此技術(shù)中，通常將病毒中某一部分稱為突 變引擎，該部分生成一個(gè)隨機(jī)加密秘鑰來(lái)對(duì)病毒中的其他部分進(jìn)行加密。因?qū)γ恳粋€(gè)病毒實(shí)例都使用不同的秘鑰進(jìn)行加密，所以在病毒代碼中很難找出用于模式 匹配的固定字節(jié)5 5行為阻斷軟

3、件的工作機(jī)理是什么？行為阻斷軟件與主機(jī)操作系統(tǒng)相結(jié)合，實(shí)時(shí)監(jiān)控惡意的程序和行為，在檢測(cè)惡意行為后， 行為阻斷軟件將在潛在的惡意行為對(duì)系統(tǒng)實(shí)施僅供之前將其阻止。行為組織軟件同時(shí)在服務(wù)器和桌面計(jì)算機(jī)上運(yùn)行，根據(jù)網(wǎng)絡(luò)管理員制定的策略工作，讓正常的程序行為得到執(zhí)行，但當(dāng)出現(xiàn)非授權(quán)或可疑行為時(shí)，要予以處理，該模塊將組織任何可疑的軟件運(yùn)行，行為阻斷軟件會(huì)將可疑程序隔離到沙箱中，以限制其對(duì)操作系統(tǒng)的各種資源和其他應(yīng)用程序的訪問，然后向管理員發(fā)出警報(bào)1. 管理員設(shè)置可接受發(fā)軟件行為策略并上傳到服務(wù)器上，這些策略也可以上傳到桌面計(jì)算機(jī)2. 惡意軟件設(shè)法通過防火墻3.服務(wù)器上的行為阻斷軟件標(biāo)記可疑的代碼，并將其放

4、入“沙箱”，以阻止其繼續(xù)運(yùn)行4服務(wù)器提醒管理員已經(jīng)識(shí)別出可疑代碼并放入沙箱，等待管理員決定是清除代碼還是允許其執(zhí)行。5蠕蟲傳播模型 P1546.Bot6.Bot 和 rootkitrootkit 有什么不同？BotBot 也叫做僵尸機(jī)，它會(huì)秘密地控制一臺(tái)連接因特網(wǎng)的計(jì)算機(jī)，并利用所控制的 計(jì)算機(jī)發(fā)動(dòng)攻擊，經(jīng)常被“種植”在屬于可信的第三方的成百上千計(jì)算機(jī)上，大 量的 bobot t能夠以一種協(xié)調(diào)的方式行動(dòng)，這樣一大群 botbot 就組成了僵尸網(wǎng)絡(luò) RootkitRootkit 是通過破壞系統(tǒng)對(duì)進(jìn)程、 文件、 注冊(cè)表的監(jiān)控和報(bào)告機(jī)制而實(shí)現(xiàn)隱藏的，與 botbot 軟件不同， rootkiroot

5、kit t并不直接依靠漏洞來(lái)安裝在計(jì)算機(jī)上，其安裝方式一 種是通過木馬程序：先引誘用戶裝載木馬程序安裝 rootkitrootkit，另一種是通過黑客入 侵活動(dòng)實(shí)現(xiàn)。第六章：1. 列出并簡(jiǎn)要定義三類入侵者（黑客、駭客）：假冒者：未經(jīng)授權(quán)就使用某計(jì)算機(jī)的人和穿透系統(tǒng)的訪問控制機(jī)制而冒用合法用 戶賬戶的人（外部用戶）違法者：未經(jīng)授權(quán)的數(shù)據(jù)、程序或資源的合法用戶，或者雖被授予訪問權(quán)限，但 卻錯(cuò)誤地使用這些特權(quán)的合法用戶（內(nèi)部用戶）秘密用戶：獲取了對(duì)系統(tǒng)的超級(jí)控制權(quán)，并使用此控制權(quán)逃避審計(jì)和訪問控制或 者阻止生成審計(jì)記錄的個(gè)人（可以是外部或者內(nèi)部用戶）2. 描述 IDS （入侵檢測(cè)系統(tǒng)）的三個(gè)邏輯組件

6、：傳感器：傳感器負(fù)責(zé)收集數(shù)據(jù)，傳感器的輸入可以是包含入侵證據(jù)的系統(tǒng)的任何 一部分。傳感器輸入的類型包括網(wǎng)絡(luò)數(shù)據(jù)包、日志文件、系統(tǒng)調(diào)用跡。傳感器收 集并向分析器轉(zhuǎn)發(fā)這些信息分析器：分析器從一個(gè)或多個(gè)傳感器或者其他分析器接收輸入，分析器負(fù)責(zé)確定是否發(fā)生了入侵。此組件的輸出表明是否發(fā)生了入侵。輸出可以包含支持入侵發(fā) 生結(jié)論的證據(jù)。分析器可以提供指導(dǎo)，用于判斷什么活動(dòng)是入侵導(dǎo)致的結(jié)果 用戶接口：利用 IDSIDS 的用戶接口，用戶可以查看系統(tǒng)輸出或控制系統(tǒng)的行為。在 某些系統(tǒng)中，用戶接口可以看作是經(jīng)理、主管或者控制臺(tái)組件3. 說(shuō)明基于主機(jī)的 IDS 和基于網(wǎng)絡(luò)的 IDS 的不同：基于主機(jī)的 IDSID

7、S 監(jiān)測(cè)一臺(tái)主機(jī)的特征和該主機(jī)發(fā)生的與可疑活動(dòng)相關(guān)的事件 基于網(wǎng)絡(luò)的 IDS:IDS:監(jiān)測(cè)特定的網(wǎng)段或設(shè)備的流量并分析網(wǎng)絡(luò)、傳輸和應(yīng)用協(xié)議，用以識(shí)別可疑的活動(dòng)4. IDS 的優(yōu)點(diǎn)：（防火墻的優(yōu)點(diǎn)，兩者的區(qū)別）1 1如果能快速地檢測(cè)到入侵，就可以在損害發(fā)生或者數(shù)據(jù)受到威脅之前，將入侵 者識(shí)別出來(lái)并將其逐出系統(tǒng)。即使不能非常及時(shí)地檢測(cè)出入侵者， 也是越早檢測(cè) 到入侵，對(duì)系統(tǒng)造成的損失越小，而且越容易進(jìn)行快速的恢復(fù)2.2.有效的 IDSIDS 可以作為一個(gè)威懾，從而達(dá)到阻止入侵的目的3 3 入侵檢測(cè)可以收集關(guān)于入侵技術(shù)的信息，用于增強(qiáng)入侵防護(hù)系統(tǒng)的防護(hù)能力5. 列出 IDS 的一些理想特征：1 1）

8、能夠不間斷地運(yùn)行，而且人的參與盡可能少。2 2）具有容錯(cuò)功能，系統(tǒng)崩潰時(shí)，它必須能夠很快恢復(fù)和重新初始化3 3）抵御破壞。IDSIDS 必須能夠檢測(cè)自身，檢測(cè)是否已被攻擊者修改4 4）對(duì)于正運(yùn)行的系統(tǒng)增加最小的開銷5 5）能夠根據(jù)被檢測(cè)系統(tǒng)的安全策略進(jìn)行配置6 6）能夠自動(dòng)適應(yīng)系統(tǒng)和用戶行為變化7 7）能夠擴(kuò)展以監(jiān)測(cè)更多的主機(jī)8 8）能夠提供很好的服務(wù)降級(jí)，也就是說(shuō)，如果 IDSIDS 的某些組件停止工作，無(wú) 論出于何種原因，其余部分都應(yīng)受到盡可能少的影響9 9）允許動(dòng)態(tài)重新配置，即能夠重新配置 IDSIDS 而不必重新啟動(dòng)6. 異常檢測(cè)和特征檢測(cè)之間的區(qū)別：異常檢測(cè)：采集有關(guān)的合法用戶在某段

9、時(shí)間內(nèi)的行為數(shù)據(jù)，然后統(tǒng)計(jì)檢驗(yàn)被監(jiān)測(cè)的行為，以較高的置信度確定該行為是否不是合法用戶的行為，兩種方法：閾值檢測(cè)（特殊事件發(fā)生的次數(shù)，超過次數(shù)認(rèn)為是入侵，會(huì)產(chǎn)生誤報(bào)和漏報(bào)）和基于 配置文件的檢測(cè) （歸納出單個(gè)用戶或相關(guān)用戶組的歷史行為特征， 發(fā)現(xiàn)有重大偏 差的行為，單個(gè)參數(shù)上的偏差可能無(wú)法引發(fā)警報(bào)）（試圖定義正常的或者成為預(yù)期的行為）（統(tǒng)計(jì)異常檢測(cè)：依據(jù)對(duì)正常、合法的行為進(jìn)行檢測(cè)，當(dāng)檢測(cè)超出 正常范圍時(shí)就認(rèn)為發(fā)生了入侵行為；基于規(guī)則的檢測(cè)：對(duì)非法行為進(jìn)行檢測(cè)， 發(fā)現(xiàn)非法的行為即認(rèn)為發(fā)生了入侵行為） 特征檢測(cè)：涉及試圖定義一組規(guī)則或者攻擊的模式，可用于確定一個(gè)給定的行為 是入侵的行為（試圖定義入侵

10、特有的行為）；通過觀察系統(tǒng)內(nèi)的事件，運(yùn)用規(guī)則 集來(lái)判斷一個(gè)給定的活動(dòng)模式是否可疑。7. 基于規(guī)則的異常檢測(cè)和基于規(guī)則的滲透識(shí)別之間的區(qū)別：1.1. 基于規(guī)則的異常檢測(cè)： 對(duì)歷史審計(jì)記錄的分析用來(lái)識(shí)別使用模式并自動(dòng)生成描 述這些模式的規(guī)則集規(guī)則用來(lái)表示用戶、程序、特權(quán)、時(shí)隙、終端等 過去行為的 模式，然后，觀測(cè)當(dāng)前行為，將其與規(guī)則集進(jìn)行匹配，來(lái)確定每個(gè)行為是否與某個(gè)歷史行為模式相匹配（誤報(bào)率增加，漏報(bào)率減少）2.2. 基于規(guī)則的滲透識(shí)別：使用規(guī)則來(lái)識(shí)別已知的滲透或?qū)⒗靡阎觞c(diǎn)的滲透（異常檢測(cè)是建立一個(gè)用戶過去的行為規(guī)則統(tǒng)計(jì)庫(kù)，以這個(gè)數(shù)據(jù)庫(kù)為標(biāo)準(zhǔn)，不 滿足該數(shù)據(jù)庫(kù)的行為都是入侵行為，滲透檢測(cè)則是

11、建立一個(gè)入侵（即滲透）行 為數(shù)據(jù)庫(kù)，滿足該數(shù)據(jù)庫(kù)的行為都是入侵行為 。8. 基于主機(jī)的分布式 IDS 和 NIDS（基于網(wǎng)絡(luò)的 IDS）之間的區(qū)別：基于網(wǎng)絡(luò)的 IDSIDS 監(jiān)控的是一個(gè)網(wǎng)絡(luò)或多個(gè)多個(gè)相互連接的網(wǎng)絡(luò)上選定位置的網(wǎng) 絡(luò)流量，NIDSNIDS 實(shí)時(shí)地或接近于實(shí)時(shí)地分析數(shù)據(jù)包，以試圖發(fā)現(xiàn)入侵模式。NIDSNIDS 檢測(cè)：網(wǎng)絡(luò)上 流向潛在的易受攻擊的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)包流量；基于主機(jī)的 IDIDS S系統(tǒng)檢測(cè)的是：主機(jī)上的用戶和軟件活動(dòng)9. 描述可被用于 NIDS 的傳感器類型：內(nèi)嵌傳感器 將被插入到網(wǎng)絡(luò)段，以使正在監(jiān)控的流量必須通過傳感器（方法： NIDNIDS S傳感器與另一個(gè)網(wǎng)絡(luò)設(shè)

12、備進(jìn)行邏輯組合，優(yōu)勢(shì)：不需要額外的單獨(dú)硬件設(shè) 備；使用獨(dú)立的內(nèi)嵌 NIDSNIDS 傳感器，有檢測(cè)和防護(hù)功能） 被動(dòng)傳感器監(jiān)控網(wǎng)絡(luò)流量的備份，實(shí)際的流量并沒有通過這個(gè)設(shè)備（比內(nèi)嵌更有 效，因?yàn)樗粫?huì)添加一個(gè)額外的處理步驟，額外步驟會(huì)導(dǎo)致數(shù)據(jù)包延遲）10. N IDS 傳感器部署：（與入侵檢測(cè)對(duì)比）P127，圖 6-511. 蜜罐的含義：入侵檢測(cè)技術(shù)中的一個(gè)比較近的創(chuàng)新是蜜罐，蜜罐是障人耳目的系統(tǒng)，是為引誘潛在的攻擊 者遠(yuǎn)離關(guān)鍵系統(tǒng)而設(shè)計(jì)的，蜜罐的功能包括：轉(zhuǎn)移攻擊者對(duì)重要系統(tǒng)的訪問 收集有關(guān)攻擊者活動(dòng)的信息 鼓勵(lì)攻擊者在系統(tǒng)中逗留足夠長(zhǎng)的時(shí)間，以便于管理員對(duì)此攻擊做出響應(yīng)這些系統(tǒng)填滿了看起來(lái)有

13、價(jià)值但系統(tǒng)的合法用戶不會(huì)訪問的偽造信息。因此，任何對(duì)蜜罐的訪問都是可疑的，蜜罐系統(tǒng)裝備了敏感的監(jiān)控器和事件記錄器，用于檢測(cè)這些訪問并收集有關(guān)攻擊者的活動(dòng)信息蜜罐是一種沒有產(chǎn)出的資源。網(wǎng)絡(luò)以外的任何人與蜜罐進(jìn)行交互都沒有合法的理由。因此任何與系統(tǒng)通信的嘗試都可能是一個(gè)探測(cè)、掃描或者攻擊。相反如果一個(gè)蜜罐發(fā)起對(duì)外通信，則系統(tǒng)可能已被破壞第一章：1 1計(jì)算機(jī)安全的定義：為自動(dòng)化信息系統(tǒng)提供的保護(hù)，以達(dá)到保持信息系統(tǒng)資源（包括硬件、軟件、固件、信息/ /數(shù)據(jù)、通信）的完整性、可用性、機(jī)密性的目標(biāo)。2 2被動(dòng)攻擊：其本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸。 攻擊者的目標(biāo) 是獲取傳輸?shù)臄?shù)據(jù)信息。兩 種形式是消息內(nèi)容泄露和流量分析3.3.主動(dòng)攻擊：包含對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造數(shù)據(jù)流，可以劃分為四類：重放、假冒、篡改消息、拒絕服務(wù)（禁止所有發(fā)向目的地如安全審計(jì)服務(wù)的消息；破壞整個(gè)網(wǎng)絡(luò)是網(wǎng)絡(luò)失 效或過載，從而降低其性能）4.4.0SI0SI 安全體系結(jié)構(gòu)：安全攻擊、安全機(jī)制、安全服務(wù)P15P15 表 1-51-5第二章：1 1公鑰證書：公鑰證書解決其他人偽造公鑰進(jìn)行通