关于信息安全软考的记录6

news2024/11/26 22:20:18

1、入侵检测相关概念 及 入侵检测模型

入侵:违背访问目标的安全策略的行为

判断入侵的依据是:对目标的操作是否超出了目标的安全策略范围

入侵检测:通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。

入侵检测系统:具有入侵检测功能的系统称为入侵检测系统,简称IDS

入侵检测的目的:发现违背安全策略or危害系统安全的行为。

通用入侵检测框架模型,简称CIDF。 该模型认为入侵检测系统包括:事件产生器、事件分析器、响应单元、事件数据库组成

2、基于误用的入侵检测技术

攻击者常常利用系统和应用软件中的漏洞技术进行攻击。

误用入侵检测的前提条件是:入侵行为能够按某种方式进行特征编码

入侵检测的过程实际上是:模式匹配的过程

常见的误用检测方法特点
基于条件概率的误用检测将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理(概率公式)进行推理,推测入侵行为
基于状态迁移的误用检测记录系统的一系列状态,检查系统的状态变化发现系统中的入侵行为。这种方法状态特征用状态图描述
基于键盘监控的误用检测检测用户的击键模式,检索攻击模式库,发现入侵行为(不能够检测恶意程序的自动攻击)
基于规则的误用检测

规则描述入侵行为,通过匹配规则,发现入侵行为(snort)

3、基于异常的入侵检测技术

异常检测方法:建立系统正常行为的轨迹,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象

异常检测的前提是:异常行为包括入侵行为

常见的异常检测方法特点
基于统计的异常检测方法利用数学统计理论技术,基于统计的抽样周期可以从短到几分钟到长达几个月的甚至更长(系统登录时间、资源被占用的时间等)
基于模式预测的异常检测事件序列不是随机发送的而是服从某种可辨别的模式,其特点是考虑了事件序列之间的相互联系
基于文本分类的异常检测将程序的系统调用视为某个文档中的”字“,N次调用以后就形成一个文档,分析文档的相似性,发现异常的系统调用,从而检测入侵行为
基于贝叶斯推理的异常检测方法通过分析和测量,任一时刻的若干系统特征(磁盘读/写操作数量、网路连接并发数),判断是否发送异常

4、入侵检测系统组成

入侵检测系统功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、辅助模块

模块功能
数据采集模块为入侵分析引擎模块体提供分析用的数据,包括操作系统的审计日志,应用程序的运行日志和网络数据包等
入侵分析引擎是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现,并产生入侵报警。该模块是入侵检测系统的核心模块
管理配置模块为其他模块提供配置服务,是IDS 系统中的模块与用户的接口
应急处理模块发生入侵后,提供紧急响应服务,例如关闭网络服务、中断网络连接、启动备份系统等
辅助模块协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等

基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)、基于主机检测的分布式入侵检测系统(HDIDS),基于网络的分布式入侵检测系统(NDIDS)

5、网络入侵检测系统Snort

Snort基本技术原理是通过获取网络数据包,然后基于安全规则进行入侵检测,最后形成报警信息

Snort规则由两部分组成规则头、规则选项

  • 规则头包含:规则操作、协议、源地址、目的IP地址、网络掩码、源端口、目的端口信息
  • 规则选项包含:报警信息、被检查网络包的部分信息、规则应采取的动作(所有Snort规则项都用  ; 隔开,规则选项关键词使用 : 和对应的参数区分

Snort规则如下所示:

Alert tcp any any ->  192.168.1.0/24 111(content:"|00 01 86 a5|" ; msg:"mountd access";)

动作 协议 源IP 源端口 -> 目标IP 目标端口(需要匹配的数据包内容;alert动作报警弹出的内容)

ps:规则选项常用的关键词是msg、content。msg用于显示报警信息,content用于指定匹配网络数据包的内容。  sid标识Snort规则id; rev表示规则修订的版本号。
alert icmp any any -> 192.168.X.Y any (msg:"NMAP ping sweep Scan"; dsize:0; sid:100000004 rev:1)

6、网络物理隔离系统与类型

网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换

分类方式类别
按照隔离的对象分单点隔离系统:主要是保护单独的计算机系统,防止外部直接攻击和干扰
区域隔离系统:针对的是网络环境,防止外部攻击内部保护网络
按照网络物理隔离的信息传递方向分双向网络物理隔离系统
单向网络物理隔离系统

国家管理政策文件明确指出:”电子政务网络=政务内网+政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离“

7、网络物理隔离实现技术及原理

实现技术原理
专用计算机上网这台计算机只和外部网相连,不与内部网相连
多PC用户桌面上放两台PC,一台用于连接外部网络,另一台用于连接内部网络
外网代理服务1台PC收集外网信息,然后用U盘把数据拷贝到内网PC,从而实现内网用户”上网“
内外网 线路切换器物理线路A/B交换盒
单硬盘内外分区单一硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信息
双硬盘在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制【用户在使用时又必须不断地重新启动切换】
网闸利用一种GAP技术,使用一个具有控制功能的开关读写存储安全设备【两个独立主机不存在通信的物理连接】
协议隔离技术物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的
单向传输部件该传输由一对独立的发送盒接收部件构成,发送和接收部件只能以单工方式工作
信息摆渡技术U盘在2台PC上拷贝东西
物理断开技术物理断开是指处于不同安全区域的网络之间不能直接或间接的方式相连接【通常由电子开关来实现】

8、网络安全审计系统一般包括

审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分

9、网络安全审计机制与实现技术

审计机制:基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等

实现技术

  • 系统日志数据采集技术:常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理
  • 网络流量数据获取技术:常见的方法 共享网络监听、交换机端口镜像、网络分流器

10、网络安全漏洞威胁

网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷

根据漏洞的补丁状况,可将漏洞分为:普通漏洞和零日漏洞

攻击者基于漏洞构成的安全威胁主要由:敏感信息泄露、非授权访问、身份假冒、拒绝服务

解决漏洞问题的方法包括:漏洞检测、漏洞修补、漏洞预防等。

11、网络安全漏洞来源及分类

网络信息系统的漏洞主要来自两个方面:技术性安全漏洞、非技术性安全漏洞

CVSS是一个通用漏洞计分系统,分数计算依据由基本度量计分、时序度量计分、环境度量计分组成。

  • 基本度量计分:由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等决定
  • 时序度量计分:由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定
  • 环境度量计分:由完整性要求、保密性要求、可用性要求、修订基本得分等决定

国家信息安全漏洞库(CNNVD)漏洞分类分级标准

国家信息安全漏洞共享平台(CNVD)漏洞分类分级标准

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1090037.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【unity】【VR】白马VR课堂系列-VR开发核心基础04-主体设置-XR Rig的引入和设置

接下来我们开始引入并构建XR Rig。 你可以将XR Rig理解为玩家在VR世界中的替身。 我们先删除Main Camera,在Hierarchy右键点击删除。 然后再在场景层右键选择XR下的XR Origin。这时一个XR Origin对象就被添加到了Hierarchy。 重设XR Origin的Position和Rotation…

C++中将十六进制数转化为字符串数据

C中将十六进制数转化为字符串数据 1、十六进制转字符串2、string转char[]3、调用4、调试结果 1、十六进制转字符串 std::string Number2HexStr( uint32_t mData ) {std::stringstream ss;ss << std::hex << std::setw(2) << std::setfill(0) << (int)…

快速排序 O(nlgn)

大家好&#xff0c;我是蓝胖子&#xff0c;我一直相信编程是一门实践性的技术&#xff0c;其中算法也不例外&#xff0c;初学者可能往往对它可望而不可及&#xff0c;觉得很难&#xff0c;学了又忘&#xff0c;忘其实是由于没有真正搞懂算法的应用场景&#xff0c;所以我准备出…

el-dialog两个弹框里面套弹框受外层弹框影响

el-dialog嵌套的影响及解决方法 解决方法如下&#xff1a; 在里层弹框里添加 append-to-body <el-dialogtitle"图片预览":visible.sync"dialogVisible"class"imgDialog":modal"false"append-to-body><img width"100%&q…

分享一个查询OpenAI Chatgpt key余额查询的工具网站

OpenAI Key 余额查询工具 欢迎使用 OpenAI Key 余额查询工具网站&#xff01;这个工具可以帮助您轻松地验证您的 OpenAI API 密钥&#xff0c;并查看您的余额。 http://tools.lbbit.top/check_key/ 什么是 OpenAI Key 余额查询工具&#xff1f; OpenAI Key 余额查询工具是一…

要想成为黑客,离不开这些资料

目录 一、想入门学黑客&#xff0c;去哪里找详细的教程&#xff1f; 二、适合新人入门的书籍 三、相关网站推荐 四、在线靶场 五、Web安全学习路线 六、Web安全入门基础学习 小白在学习黑客的过程中一般会遇到这样一些问题&#xff1a;感觉自己工具、原理都会了但是遇到真…

ue5打包失败与优化项目

打包报错&#xff1a; PackagingResults: Error: Multiple game targets found for project. Specify the desired target using the -Target... argument. 解决方案&#xff1a; 关闭项目后&#xff0c;删除项目目录下的 Intermediate 文件 再重新启动项目打包即可 参考&…

小学英语教学计划模板范文 英语优秀教案模板

小学英语课教学计划模板&#xff1a; 课程时长&#xff1a;40分钟/节 课程目标&#xff1a;本课程的目标是让学生达到一定的英语水平&#xff0c;包括词汇、语法、听说读写能力等。 授课内容&#xff1a; 主题 1&#xff1a;Unit 1 Greetings 内容&#xff1a;学习如何用英…

[Python小项目] 从桌面壁纸到AI绘画

从桌面壁纸到AI绘画 一、前言 1.1 确认问题 由于生活和工作需要&#xff0c;小编要长时间的使用电脑&#xff0c;小编又懒&#xff0c;一个主题用半年的那种&#xff0c;所以桌面壁纸也是处于常年不更换的状态。即时改变主题也是在微软自带的壁纸中选择&#xff0c;而这些自…

机器学习-有监督学习-神经网络

目录 线性模型分类与回归感知机模型激活函数维度诅咒过拟合和欠拟合正则数据增强数值稳定性神经网络大家族CNNRNNGNN&#xff08;图神经网络&#xff09;GAN 线性模型 向量版本 y ⟨ w , x ⟩ b y \langle w, x \rangle b y⟨w,x⟩b 分类与回归 懂得两者区别激活函数&a…

项目成本超支的主要原因以及解决方法

成本超支&#xff0c;是每个项目经理在其职业生涯中都会遇到的一个问题。当项目的实际成本超过估计或预算成本时&#xff0c;就会发生成本超支。这在建筑、制造和软件开发项目中尤其常见&#xff0c;并影响着项目的盈利能力、利益相关者满意度和竞争优势。 成本超支的原因 由…

LINUX定时解压缩方案

需求背景 对接客户中某个上游为外包系统&#xff0c;外包系统每日推送压缩文件至指定文件夹下&#xff0c;文件格式为YYYYMMDD_RegReport.zip。由于每日采集文件&#xff0c;无法对接压缩包内文件&#xff0c;需要将推送的压缩文件每日解压为文件夹 需求分析 与客户沟通后&a…

苹果电脑其他内存怎么清理?

苹果电脑中的应用程序大部分是可以通过将其拖拽至废纸篓并倾倒来卸载的。但是部分程序在卸载后仍有残留文件&#xff0c;比如support文件和pref设置等文件的。小编今天介绍下苹果电脑清理内存怎么清理卸载残留以及好用的清理技巧分享。 一、苹果电脑清理内存怎么清理 苹果电脑…

分享38个AI绘画网站

本文是参考AI沉思录「1000AI」栏目的第十二期&#xff0c;「1000AI」栏目专注研究有哪些AI产品&#xff0c;目标研究1000AI产品(进度:532/1000)。 AI沉思录 ​aichensilu.com/ 1、Midjourney 网址&#xff1a;https://www.midjourney.com/ 基于diffusion的AI艺术生成器。生成…

vue3 vue.config.js分包配置

主要用到的是 filename 和 chunkFilename 两个方法 方法一&#xff1a;configureWebpack.output配置 代码&#xff1a; module.exports { configureWebpack: {devtool: source-map,output: {filename: js/dong/[name].[chunkhash:8].js,chunkFilename: js/xxxd/[name].[chu…

通过商品ID获取淘宝天猫商品评论数据,淘宝商品评论接口,淘宝商品评论api接口

淘宝商品评论内容数据接口可以通过以下步骤获取&#xff1a; 登录淘宝开放平台&#xff0c;进入API管理控制台。在API管理控制台中创建一个应用&#xff0c;获取到应用的App Key和Secret Key。构造请求URL&#xff0c;请求URL由App Key和Secret Key拼接而成&#xff0c;请求UR…

1.安装环境

学习Java的第一步应该从配置环境开始&#xff0c;这篇博文介绍了在哪下载安装包以及如何在windows电脑中配置环境&#xff0c;希望大家看完后可以独立安装 ~ 文章目录 一、下载安装包二、 配置环境 一、下载安装包 安装包可以从官网下载&#xff0c;也可以直接私信我拿取。这里…

软设上午题错题知识点2

软设上午题-错题知识点2 1、模块独立性是创建良好设计的一个重要原则&#xff0c;一般采用模块间的耦合和模块的内聚两个准则来进行度量。 内聚是指模块内部各元素之间联系的紧密程度&#xff0c;内聚度越高&#xff0c;则模块的独立性越好。 内聚性一般有以下几种&#xff1a…

记录一次通过openVPN访问域名无法访问的问题

OpenVPN访问域名失败 1.问题描述&#xff1a;2.分析3.解决 1.问题描述&#xff1a; 电脑需要通过openvpn访问一个域名&#xff0c;结果浏览器访问失败&#xff0c;ping域名直接超时了 浏览器访问截图&#xff1a; ping 域名截图 2.分析 1.因为要通过vpn访问所以肯定是对ip…

工业互联网系列2 - 赋能传统制造业

工业互联网被称为“第四次工业革命”&#xff0c;它将计算、信息与通讯网络相融合&#xff0c;应用于传统的制造业带来制造业的全面升级&#xff0c;实现了生产效率的提高、质量的改进、成本的降低和生产流程的优化。 汽车制造已经达到非常高的智能化和自动化水平&#xff0c;让…