信息安全工程師教程知識點精講（四）全國計算機技術與軟件專業技術資格（水平）考試，這門新開的\o""信息安全工程師分屬該考試“信息系統”專業，位處中級資格。官方教材《信息安全工程師教程》及考試大綱于7月1日出版，希賽小編整理了\o""信息安全工程師教程精講學習筆記，供大家參考學習。入侵檢測與防護入侵檢測（IntrusionDetection）是對入侵行為的檢測。它通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測技術入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統1、異常入侵檢測技術異常檢測(Anomalydetection)的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。2、誤用入侵檢測技術又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，代寫留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。入侵防御技術1、入侵防御協同技術入侵檢測系統(IDS，IntrusionDetectionSystem)是近十多年發展起來的新一代安全防范技術，它通過對計算機網絡或系統中的若干關鍵點收集信息并對其進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象。IDS產品被認為是在防火墻之后的第二道安全防線在攻擊檢測、安全審計和監控等方面都發揮了重要的作用。但在入侵檢測產品的使用過程中，暴露出了諸多的問題。特別是誤報、漏報和對攻擊行為缺乏實時響應等問題比較突出，并且嚴重影響了產品發揮實際的作用。Gartner在2003年一份研究報告中稱入侵檢測系統已經“死”了。Gartner認為IDS不能給網絡帶來附加的安全，反而會增加管理員的困擾，建議用戶使用入侵防御系統(IPS，IntrusionPreventionSystem)來代替IDS。Gartner公司認為只有在線的或基于主機的攻擊阻止(實時攔截)才是最有效的入侵防御系統。從功能上來看，IDS是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發送TCPreset包或聯動防火墻來阻止攻擊。而IPS則是一種主動的、積極的入侵防范、阻止系統，它部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。因此，從實用效果上來看，和IDS相比入侵防御系統IPS向前發展了一步，能夠對網絡起到較好的實時防護作用。近年來，網絡攻擊的發展趨勢是逐漸轉向高層應用。根據Gartner的分析，目前對網絡的攻擊有70%以上是集中在應用層，并且這一數字呈上升趨勢。應用層的攻擊有可能會造成非常嚴重的后果，比如用戶帳號丟失和公司機密泄漏等。因此，對具體應用的有效保護就顯得越發重要。從檢測方法上看，IPS與IDS都是基于模式匹配、協議分析以及異常流量統計等技術。這些檢測技術的特點是主要針對已知的攻擊類型，進行基于攻擊特征串的匹配。但對于應用層的攻擊，通常是利用特定的應用程序的漏洞，無論是IDS還是IPS都無法通過現有的檢測技術進行防范。為了解決日益突出的應用層防護問題，繼入侵防御系統IPS之后，應用入侵防護系統(AIP，ApplicationIntrusionPrevention)逐漸成為一個新的熱點，并且正得到日益廣泛的應用。2、入侵防御協議設計對應用層的防范通常比內網防范難度要更大，因為這些應用要允許外部的訪問。防火墻的訪問控制策略中必須開放應用服務對應的端口，如web的80端口。這樣，黑客通過這些端口發起攻擊時防火墻無法進行識別控制。入侵檢測和入侵防御系統并不是針對應用協議進行設計，所以同樣無法檢測對相應協議漏洞的攻擊。而應用入侵防護系統則能夠彌補防火墻和入侵檢測系統的不足，對特定應用進行有效保護。所謂應用入侵防護系統AIP，是用來保護特定應用服務(如web和數據庫等應用)的網絡設備，通常部署在應用服務器之前，通過AIP系統安全策略的控制來防止基于應用協議漏洞和設計缺陷的惡意攻擊。在對應用層的攻擊中，大部分時通過HTTP協議(80端口)進行。在國外權威機構的一次網絡安全評估過程中發現，97%的web站點存在一定應用協議問題。雖然這些站點通過部署防火墻在網絡層以下進行了很好的防范，但其應用層的漏洞仍可被利用進而受到入侵和攻擊。因此對于web等應用協議，應用入侵防護系統AIP應用比較廣泛。通過制訂合理的安全策略，AIP能夠對以下類型的web攻擊進行有效防范：惡意腳本Cookie投毒隱藏域修改緩存溢出參數篡改強制瀏覽Sql插入已知漏洞攻擊應用入侵防護技術近兩年剛剛出現，但發展迅速。YankeeGroup預測在未來的五年里，AIP將和防火墻，入侵檢測和反病毒等安全技術一起，成為網絡安全整體解決方案的一個重要組成部分。千兆解決方案應用入侵防護產品在保護企業業務流程和相關數據方面發揮著日益重要的作用，同時隨著網絡帶寬的不斷增加，只有在適合千兆環境應用的高性能產品才能夠滿足大型網絡的需要。傳統的軟件形式的應用入侵防護產品受性能的限制，只能應用在中小型網絡中；基于x86架構的硬件產品無法達到千兆流量的要求；近年來，網絡處理器(NP)在千兆環境中得到了日益廣泛的應用，但NP的優勢主要在于網絡層以下的包處理上，若進行內容處理則會導致性能的下降。通過高性能內容處理芯片和網絡處理芯片相結合形式，為千兆應用入侵防護產品提供了由于的解決方案。其設計特點是采用不同的處理器實現各自獨立的功能，由網絡處理芯片實現網絡層和傳輸層以下的協議棧處理，通過高速內容處理芯片進行應用層的協議分析和內容檢查。從而實現了千兆流量線速轉發和高速內容處理的完美結合，真正能夠為用戶提供千兆高性能的應用防護解決方案。在上面系統框架中，包處理引擎收到數據包后，首先由網絡處理器進行傳輸層以下的協議棧處理，并將數據包還原成數據流。接下來由內容處理器對數據流進行應用協議處理，根據控制器設定的安全策略對各種應用攻擊進行檢測和過濾。只有符合安全策略要求的數據流才會被發送到服務器，攻擊包則被丟棄。在高性能的千兆解決方案中，能夠實現網絡層到應用層的多層次立體防護體系。對于面向大型web應用，產品通過多種功能的集成實現有效的應用防護：Web應用入侵防護。通過系統內置的網絡內容處理芯片，對web請求和回應流量進行細致的分析。根據內置的規則及啟發式的安全策略，有效防范各種針對web應用的攻擊行為。DOS攻擊的防護。系統通過網絡處理芯片，對Synflood、Icmpflood、Upflood、PinfOf