安全dns

⽹络安全基础知识

⽹络安全基本知识

⽹络安全：是指⽹络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因⽽遭受到破坏、更改、泄露，

系统连续可靠正常地运⾏，⽹络服务不中断。⽹络安全从其本质上来讲就是⽹络上的信息安全。从⼴义来说，凡是涉及到⽹络

上信息的保密性、完整性、可⽤性、真实性和可控性的相关技术和理论都是⽹络安全的研究领域。⽹络安全是⼀门涉及计算机

科学、⽹络技术、通信技术、密码技术、信息安全技术、应⽤数学、数论、信息论等多种学科的综合性学科。

计算机病毒(ComputerVirus)在《中华⼈民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序

中插⼊的破坏计算机功能或者破坏数据，影响计算机使⽤并且能够⾃我复制的⼀组计算机指令或者程序代码”。

⽊马：利⽤计算机程序漏洞侵⼊后窃取⽂件的程序被称为⽊马。它是⼀种具有隐藏性的、⾃发性的可被⽤来进⾏恶意⾏为的程

序，多不会直接对电脑产⽣危害，⽽是以控制为主。

防⽕墙(英⽂：firewall)是⼀项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防⽕墙可以是⼀

台专属的硬件也可以是架设在⼀般硬件上的⼀套软件。

后门：指房间的背后的可以⾃由出⼊的门，相对于明显的前门。也可以指绕过软件的安全性控制⽽从⽐较隐秘的通道获取对程

序或系统访问权的⽅法。

⼊侵检测（IntrusionDetection），顾名思义，就是对⼊侵⾏为的发觉。他通过对计算机⽹络或计算机系统中若⼲关键点收集

信息并对其进⾏分析，从中发现⽹络或系统中是否有违反安全策略的⾏为和被攻击的迹象。

数据包监测：可以被认为是⼀根窃听电话线在计算机⽹络中的等价物。当某⼈在“监听”⽹络时，他们实际上是在阅读和解释⽹

络上传送的数据包。如果你需要在互联⽹上通过计算机发送⼀封电⼦邮件或请求下载⼀个⽹页，这些操作都会使数据通过你和

数据⽬的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，⽽数据包监测⼯具就允许某⼈截获数

据并且查看它。

NIDS：是NetworkIntrusionDetectionSystem的缩写，即⽹络⼊侵检测系统，主要⽤于检测Hacker或Cracker通过⽹络进⾏的

⼊侵⾏为。NIDS的运⾏⽅式有两种，⼀种是在⽬标主机上运⾏以监测其本⾝的通信信息，另⼀种是在⼀台单独的机器上运⾏

以监测所有⽹络设备的通信信息，⽐如Hub、路由器。

SYN是：TCP/IP建⽴连接时使⽤的握⼿信号。在客户机和服务器之间建⽴正常的TCP⽹络连接时，客户机⾸先发出⼀个SYN

消息，服务器使⽤SYN-ACK应答表⽰接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建

⽴起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

加密技术：是电⼦商务采取的主要安全保密措施，是最常⽤的安全保密⼿段，利⽤技术⼿段把重要的数据变为乱码（加密）传

送，到达⽬的地后再⽤相同或不同的⼿段还原（解密）。加密技术的应⽤是多⽅⾯的，但最为⼴泛的还是在电⼦商务和VPN

上的应⽤，深受⼴⼤⽤户

⼀、引论

1、⽹络安全的概念：⽹络安全是在分布式⽹络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传

输、存储、访问提供安全保护，以防⽌数据、信息内容或能⼒被⾮授权使⽤、篡改或拒绝服务。

2、基于IP的Internet有很多不安全的问题：1）IP安全。在Internet中，当信息分组在路由器间传递时，对任何⼈都是开放的，

路由器仅仅搜集信息分组中的⽬的地址，但不能防⽌其内容被窥视。2）DNS安全。Internet对每台计算机的命名⽅案称之为

域名系统（DNS）。3）拒绝服务（DoS）攻击。包括发送SYN信息分组、邮件炸弹。4）分布式拒绝（DDoS）攻击。分布

式拒绝服务攻击是拒绝服务群起攻击的⽅式。

3、维护信息载体的安全就要抵抗对⽹络和系统的安全威胁。这些安全威胁包括物理侵犯（如机房⼊侵、设备偷窃、废物搜

寻、电⼦⼲扰等）、系统漏洞（如旁路控制、程序缺陷等）、⽹络⼊侵（如窃听、截获、堵塞等）、恶意软件（如病毒、蠕

⾍、特洛伊⽊马、信息炸弹等）、存储损坏（如⽼化、破损等）等。为抵抗对⽹络和系统的安全威胁，通常采取的安全措施包

括门控系统、防⽕墙、防病毒、⼊侵检测、漏洞扫描、存储备份、⽇志审计、应急响应、灾难恢复等。

4、⽹络安全的三个基本属性：1）机密性（保密性）。机密性是指保证信息与信息系统不被⾮授权者所获取与使⽤，主要防

范措施是密码技术。2）完整性。完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防

范措施是校验与认证技术。3）可⽤性。可⽤性是指保证信息与信息系统可被授权⼈正常使⽤，主要防范措施是确保信息与信

息系统处于⼀个可靠的运⾏状态之下。

5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型：1）物理层。2）数据链接层。3）⽹络层。4）传输

层。5）会话层。6）表⽰层。7）应⽤层。

6、粗略地，可把信息安全分成3个阶段。1）通信安全（comc）、计算机安全（compuc）和⽹络安全（netc）。

7、可信计算机系统评估准则（TrustedComputerSystemEvaluationCriteria,TCSEC）共分为如下4类7级：1）D级，安全

保护⽋缺级。2）C1级，⾃主安全保护级。3）C2级，受控存储保护级。4）B1级，标记安全保护级。5）B2级，结构化保护

级。6）B3级，安全域保护级。7）A1级，验证设计级。

8、密码学研究包括两部分内容：⼀是加密算法的设计和研究；⼀是密码分析，即密码破译

9、对称密钥密码技术是传统的简单换位、代替密码发展⽽来的，从加密模式上可分为两类：1）序列密码。序列密码⼀直作

为军事和外交场合使⽤的主要密码技术之⼀，它的主要原理是，通过有限状态机产⽣性能优良的伪随机序列，使⽤该序列加密

信息流，逐位加密得到密⽂序列，所以，序列密码算法的安全强度取决于它产⽣的伪随机序列的好坏。2）分组密码。分组密

码的⼯作⽅式是将明⽂分成固定长度的组（块）（如64位⼀组）防溺水手抄报内容文字 ，⽤同⼀密钥和算法对每⼀块加密，输出固定长度的密⽂。

公钥密码技术：公钥技术是在密码体制中加密和解密采⽤两个不同的相关的密钥的技术，⼜称不对称密钥技术。

两者的⽐较：因为对称密码系统具有加解密速度快、安全强度⾼等优点，在军事、外交及商业应⽤中使⽤得越来越普遍；由于

存在密钥发⾏与管理⽅⾯的不⾜，在提供数字签名、⾝份验证等⽅⾯需要与公开密钥密码系统共同使⽤，以达到更好的安全效

果。公共密钥的优点在于，也许你并不认识某⼀实体，但只要你的服务器认为该实体证书权威CA是可靠的，就可以进⾏安全

通信，⽽这正是电⼦商务这样的业务所要求的，如信⽤卡购物。

⼆、风险分析

1、攻击的类型：1）阻断攻击。2）截取攻击。3）篡改攻击。4）伪造攻击。

2、主动攻击与被动攻击的区分：窃听、监听都具有被动攻击的本性，攻击者的⽬的是获取正在传输的信息，被动攻击包括传

输报⽂内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改，或者⽣成⼀个假的数据流。它可以分成4类：1）伪

装。2、回答（重放）。3）修改报⽂。4）拒绝服务。

3、常见的篡改服务攻击有3种：1）改变。2）插⼊。3）删除。

4、拒绝服务攻击可分成以下4种：1）拒绝访问信息。2）拒绝访问应⽤。3）拒绝访问系统。4）拒绝访问通信。

5、风险的概念：风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。

威胁+漏洞=风险

6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资⾦、时间、资源、信誉及丢失⽣意等。

三、安全策略

1、系统管理程序：1）软件更新。2）漏洞扫描。3）策略检查。4）登录检查。5）常规监控。

2、⼀个恰当的灾难恢复计划应考虑各种故障的级别：单个系统、数据中⼼、整个系统。

件。4）灾难恢复计划的测试。

3、安全策略的⽣成步骤：1）确定重要的策略。2）确定可接受的⾏为。3）征求建议。4）策略的开发。

四、⽹络信息安全服务

*1、机密性服务包括：1）⽂件机密性。2）信息传输机密性。3）通信流机密性。

*2、完整性服务包括：1）⽂件完整性。2）信息传输完整性。

*3、可⽤性服务包括：1）后备。2）在线恢复。3）灾难恢复。

4、⽹络环境下的⾝份鉴别：1）⾝份认证技术（常见的有⼝令技术和采⽤物理形式的⾝份认证标记进⾏⾝份认证的鉴别技

术）。2）⾝份认证协议（会话密钥、共享密钥认证和公钥认证。）

5、访问控制：访问控制是确定来访实体有否访问权以及实施访问权限的过程。

五、安全体系结构

1、可信系统体系结构概述：如果保护在硬件层实现，保护机制更简单，可提供⼴泛的通⽤的保护。越是层次向上升，越是增

加复杂性，⽽功能则更加专门和细粒度。最⾼层也最复杂，因为它直接向⽤户提供⼴泛的功能和选项。功能和安全复杂性增

加，则越靠近⽤户。复杂性增加，则安全机制的级别越低。

*2、⽹络体系结构的观点（课本P74）

3、加密机制。1）加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的⼀部分或对安

全机制起补充作⽤。2）加密算法可以是可逆的，也可以是不可逆的。3）除了某些不可逆加密算法的情况外，加密机制的存

在便意味着要使⽤密钥管理机制。

4、⼤多数应⽤不要求在多个层加密，加密层的选取主要取决于下列⼏个因素：1）如果要求全通信业务流机密性，那么选取

物理层加密，或传输安全⼿段（如适当的扩频技术）。2）如果要求细粒度保护（即对不同应⽤提供不同的密钥），和抗否认

或选择字段保护，那么将选取表⽰层加密。3）如果希望实现所有客户端系统通信的简单块保护，或希望有⼀个外部的加密设

备（例如，为了给算法和密钥加物理保护，或防⽌错误软件），那么将选取⽹络层加密。4）如果要求带恢复的完整性，同时

⼜具有细粒度保护，那么将选取传输层加密。5）对于今后的实施，不推荐在数据链接层上加密。

6、数字签名机制的特点：1）签名过程使⽤签名者的私有信息作为密钥，或对数据单元进⾏加密，或产⽣出该数据单元的⼀

个密码校验值。2）验证过程使⽤公开的规程与信息来决定

者的私有信息才能产⽣出来。因⽽，当该签名得到验证后，它能在事后的任何时候向第三⽅（例如法官或仲裁⼈）证明只有那

个私有信息的唯⼀拥有者才能产⽣这个签名。

六、Internet安全体系结构之⼀

1、局域⽹LAN的安全。防御⽅法：1）防⽕墙。2）特权区（privilegedzones）。3）LAN连接。

2、⽆线⽹⾯临着⼀系列有线⽹没有的不安全风险，包括：1）分组嗅测（packetsniffing）。2)服务集标识SSID（thervice

tidentifier）信息。3)假冒(inpersonation)。4）寄⽣者（parasites）。5）直接安全漏洞（directcuritybreaches）。

3、风险缓解的⽅法：1)SSID打标签。2）⼴播SSID。3）⽆线放置。4）MAC过滤。5）WEP。6）其他密码系统。7）⽹络

体系结构。

4、课本P107图6-3CHAP处理。

5、ARP和RARP的风险

课本P110图6-4作为MitM攻击的ARP受损。

6、所有的分段机制有两个主要风险：丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。

分段的风险：1）丢失分段攻击。2）最⼤的不分段⼤⼩。3）分段重组。

7、IP风险：1）地址冲突。2）IP拦截。3）回答攻击。4）分组风暴。5）分段攻击。）6）转换通道。

七、Internet安全体系结构之⼆

1、TCPDoS攻击：1）SYN攻击。2）RST和FIN攻击。3）ICMP攻击。4）LAND攻击。

*2、缓解对TCP攻击的⽅法：1）改变系统框架。2）阻断攻击指向。3）识别⽹络设备。4）状态分组校验。5）⼊侵检测系统

（IDS）。6）⼊侵防御系统（IPS）。

*3、UDP攻击：1）⾮法的进⼊源。2）UDP拦截。3）UDP保持存活攻击。4）UDPSmurf攻击。5）UDP侦察。

4、DNS风险：1）直接风险（⽆⾝份鉴别的响应、DNS缓存受损、ID盲⽬攻击、破坏DNS分组）。2）技术风险（DNS域拦

截、DNS服务器拦截、更新持续时间、动态DNS）。3）社会风险（相似的主机名、⾃动名字实现、社会⼯程、域更新）。

#5、缓解风险的⽅法：

1）直接威胁缓解。基本的维护和⽹络分段能限制直接威胁的影响。

和维护。

2、内部和外部域分开：DNS服务器应该是分开的。⼤的⽹络应考虑在内部⽹络分

段间分开设置服务器，以限制单个服务器破坏的影响，且能够平衡DNS负载。

3、限制域或转换：域的转换限制于特定的主机，且由⽹络地址或硬件地址标识。这

个⽅案对MAC和IP的伪装攻击是脆弱的，但对任意的主机请求域转换确实是有⽤的。

4、鉴别的域转换：采⽤数字签名和鉴别域转换能减少来⾃域转换拦截和破坏的影响。

5、有限的缓冲间隔：缓冲间隔减少⾄低于DNS回答规定的值，可以减少缓冲器受

损的损坏装⼝。

6、拒绝不匹配的回答：假如缓冲DNS服务器接到多个具有不同值的回答，全部缓

冲器应刷新。虽然这会影响缓冲器性能，但它消除了长期缓冲器受损的风险。

2）技术威胁的缓解。技术风险预防⽅法包括⽹络、主机和本地环境。

1、加固服务器：限制远程可访问进程的数量，就能限制潜在攻击的数量。加固服务

器可降低来⾃技术攻击的威胁。

2、防⽕墙：在DNS服务器前放置硬件防⽕墙限制了远程攻击的数量。

3）侦察威胁的缓解。

1、限制提供DNS信息：这可以缓解攻击者侦察的威胁，虽然DNS不能完全做到，

但可限制提供信息的类型和数量。

2、限制域转换：域的转换仅限于鉴别过的主机。虽然不能组织蛮⼒主机的查找，但

可组织侦察。

3、限制请求：限制DNS请求的数量可由任何单个⽹络地址完成。虽然不能防⽌蛮

⼒域监听，但是可设置障碍。

4、去除反向查找：假定反向查找不是必须的，那么去除它。这可限制蛮⼒域监听的

影响。

5、分开内部和外部域：DNS域服务器应该是分开的，以确保LAN的信息保持在

LAN。特别是内部主机名应该不允许外部可观察。

6、去除额外信息：不是直接为外部⽤户使⽤的信息应该去除，例如TXT，CHAME，HINFO这些信息。

7、隐藏版本：对允许本地登录或远程状态报告的DNS服务器，这些DNS版本可能被泄漏。因为不同的版本和不同的利⽤相

关，应该修改版本以报告假信息或将其去除。

1、监控相似域：经常搜索域名的变化。当发现有相似主机名的标识，DNS提供者

要求他们关掉。虽然这是⼀个复杂的耗时的任务，但这是监控相似域名的⼀种专门服务。

2、锁住域：使⽤⽀持域名锁定的域注册者。这需高中英语老师 要⼀些附加信息，诸如账户信息、

转换域名的⼝令。

3、使⽤有效联系：在域注册中提供⼀个或多个有效联系⽅法，以允许⽤户和注册者

联系域主。但不需要专门的⼈名或个⼈信息，以免攻击者使⽤这些信息攻击域主。

4、不间断⽀持：选择⼀天24⼩时，⼀周7天不间断⽀持的域注册者。这样在任何

时候可和注册者联系，以解决有关域的问题。

5、⾃⼰主持：⼤的单位应选择称为拥有管理⾃⼰域的注册者。

5）优化DNS设置。

6）确定可信的回答。

6、P133图7-2SSL协议会话过程⽰意图。

⼋、防⽕墙

1、防⽕墙⼀般安防在被保护⽹络的边界，必须做到以下⼏点，才能使防⽕墙起到安全防护的作⽤：1）所有进出被保护⽹络

的通信必须通过防⽕墙。2）所有通过防⽕墙的通信必须经过安全策略的过滤或者防⽕墙的授权。3）防⽕墙本⾝是不可被侵

⼊的。

*2、防⽕墙的功能：1）访问控制功能。2）内容控制功能。3)全⾯的⽇志功能。4）集中管理功能。5）⾃⾝的安全和可⽤

性。

3、拒绝服务攻击主要有以下⼏种形式：（记住四种解释）

a)SynFlood:该攻击以多个随机的源主机地址向⽬的主机发送SYN包，⽽在收到⽬的

主机的SYNACK后并不回应，这样⽬的主机就为这些源主机建⽴了⼤量的连接队

列，⽽且由于没有收到ACK⼀直维护着这些队列，造成了资源的⼤量消耗⽽不能向

正常请求提供服务。

b)Smurf:该攻击向⼀个⼦⽹的⼴播地址发⼀个带有特定请求（如ICMP回应请求）的

包，并且将源地址伪装成想要攻击的主机地址。⼦⽹上所有的主机都回应⼴播包请

求⽽向被攻击主机发包，使该主机受到攻击。

c)Land-bad：攻击者将⼀个数据包的源地址和⽬的地址都设置为⽬标主机的地址，

然后将该数据包通过IP欺骗的⽅式发送给被攻击主机，这种包可以造成被攻击主机因试图与⾃⼰建⽴连接⽽陷⼊死循环，从⽽

很⼤程度地减低了儒家哲学 系统性能。

⼤的IP包时将进⾏分⽚，这些IP分⽚到达⽬的主机时⼜重新组合起来。在Ping

ofDeath攻击时，各分⽚组合后的总长度将超过65536B，在这种情况下会造成某

些操作的宕机。

4、防⽕墙的局限性：1）防⽕墙不能防范不经由防⽕墙的攻击。2)防⽕墙不能防⽌感染了病毒的软件或⽂件的传输。3）防⽕气球简笔画

墙不能防⽌数据驱动式攻击。4）防⽕墙不能防范恶意的内部⼈员侵⼊。5）防⽕墙不能防范不断更新的攻击⽅式，防⽕墙制

定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击⽅式缺少阻⽌功能。

*5、防⽕墙技术：1）包过滤技术。2）应⽤⽹关技术。3）状态检测防⽕墙高中化学式 。4）电路级⽹关。5）代理服务器技术。

6、堡垒主机：其得名于古代战争中⽤于防守的坚固堡垒，它位于内部⽹络的最外层，像堡垒⼀样对内部⽹络进⾏保护。

构建堡垒主机的要点：1）选择合适的操作系统。它需要可靠性好、⽀持性好、可配置性好。2）堡垒主机的安装位置。堡垒

主机应该安装在不传输保密信息的⽹络上，最好它处于⼀个独⽴⽹络中，⽐如DMZ。3）堡垒主机提供的服务。堡垒主机需要

提供内部⽹络访问Internet的服务，内部主机可以通过堡垒主机访问Internet，另外内部⽹络也需要向Internet提供服务。4）保

护系统⽇志。作为⼀个安全性举⾜轻重的主机，堡垒主机必须有完善的⽇志系统，⽽且必须对系统⽇志进⾏保护。5）监测和

备份。最简单的⽅式是把备份存储到与堡垒主机直接相连的磁带机上。

7、防⽕墙的发展趋势：1）⾼安全性和⾼效率。2）数据加密技术的使⽤，使合法访问更安全。3）混合使⽤包过滤技术、代

理服务技术和其他⼀些新技术。4）IP协议的变化将对防⽕墙的建⽴与运⾏产⽣深刻的影响。5）分布式防⽕墙的应⽤。6）对

数据包的全⽅位的检查。

九、VPN

1、VPN的概念：VPN是VirtualPrivateNetwork的缩写，是将物理分布在不同地点的⽹络通过共⽤⾻⼲⽹，尤其是Internet连

接⽽成的逻辑上的虚拟⼦⽹。

2、VPN的类型：1）AccessVPN(远程访问VPN)、IntranetVPN(企业内部VPN)和ExtranetVPN(企业扩展VPN)。

3、VPN的优点：1)降低成本。2）易于扩展。3）保证安全。

4、隧道技术通过对数据进⾏封装，在公共⽹络上建⽴⼀条数据通道（隧道），让数据包通过这条隧道传输。⽣成隧道的协议

有两种：第⼆层隧道协议和第三层隧道协议。

⼗、IPSec

1、IPSec的概念：IPSec（IPSecurity）是⼀种由IETF设计的端到马伊琍发型图片 端的确保IP层通信安全的机制

2、IPSec的功能：1）作为⼀个隧道协议实现了VPN通信。2）保证数据来源可靠。3）保证数据完整性。4）保证数据机密

性。

3、P188图10-1IPSec体系结构。

*4、IPSec运⾏模式：1）IPSec传输模式。2）IPSec隧道模式。

⼗⼀、⿊客技术

1、⿊客攻击的流程，见课本P208图11-1⿊客攻击流程图。

⼗⼆、漏洞扫描

1、计算机漏洞的概念：计算机漏洞是系统的⼀组特性，恶意的主体（攻击者或者攻击程序）能够利⽤这组特性，通过已授权

的⼿段和⽅式获取对资源的未授权访问，或者对系统造成损害。

2、存在漏洞的原因：1）软件或协议设计时的瑕疵。2）软件或协议实现中的弱点。3）软件本⾝的瑕疵。4）系统和⽹络的错

误配置。

3、漏洞检测所要寻找的漏洞主要包括以下⼏个类别：1）操作系统漏洞。2）应⽤服务器漏洞。3）配置漏洞。

4、常⽤⽹络扫描⼯具：1）Netcat。2）⽹络主机扫描程序Nmap。3）SATAN。4）

nessus。5）X-scan

⼗三章、⼊侵检测

1、⼊侵检测的概念：⼊侵检测是从计算机⽹络或计算机系统中的若⼲关键点搜集信息并对其进⾏分析，从中发现⽹络或系统

中是否有违反安全策略的⾏为或遭到袭击的迹象的⼀种机制。

*2、基于主机的⼊侵检测系统：1）⽹络连接检测。2）主机⽂件检测。

3、异常检测技术（——基于⾏为的检测）的基本原理

异常检测技术也称为基于⾏为的检测技术，是指根据⽤户的⾏为和系统资源的使⽤状况判断是否存在⽹络⼊侵。

异常检测技术⾸先假设⽹络攻击⾏为是不常见的或是异常的，区别在于所有的正常⾏为。如果能够为⽤户和系统的所有正常⾏

为总结活动规律并建⽴⾏为模型，那么⼊侵检测系统可以将当前捕获到的⽹络⾏为与⾏为模型相对⽐，若⼊侵⾏为偏离了正常

的⾏为轨迹，就

4、误⽤检测技术⼊侵检测系统的基本原理：误⽤检测技术也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假

设所有的⽹络攻击⾏为和⽅法都具有⼀定的模式或特征，如果把以往发现的所有⽹络攻击的特征总结出来并建⽴⼀个⼊侵信息

库，那么⼊侵检测系统就可以将当前捕获的⽹络⾏为特征与⼊侵信息库中的特征信息相⽐较，如果匹配，则当前⾏为就被认定

为⼊侵⾏为。

5、异常检测技术和误⽤检测技术的⽐较：⽆论哪种⼊侵检测技术都需要搜集总结有关⽹络⼊侵⾏为的各种知识，或者系统及

其⽤户的各种⾏为的知识。基于异常检测技术的⼊侵检测系统如果向检测到所有⽹络⼊侵⾏为，必须掌握被保护系统已知⾏为

和预期⾏为的所有信息，这⼀点实际上⽆法做到，因此⼊侵检测系统必须不断学习并更新已有的⾏为轮廓。对于基于误⽤检测

技术的⼊侵检测系统⽽⾔，只有拥有所有可能的⼊侵⾏为的先验知识，⽽且必须能识别各种⼊侵⾏为的过程细节或者每种⼊侵

⾏为的特征模式，才能检测到所有的⼊侵⾏为，⽽这种情况也不存在，该类⼊侵检测系统只能检测出已有的⼊侵模式，必须不

断地对新出现的⼊侵⾏为进⾏总结和归纳。在⼊侵系统配置⽅⾯，基于异常检测技术的⼊侵检测系统通常⽐基于误⽤检测技术

的⼊侵系统所做的⼯作要少很多，因为异常检测需要对系统和⽤于的⾏为轮廓进⾏不断地学习更新，需要⼤量的数据分析处理

⼯作，要求管理员能够总结出被保护系统的所有正常⾏为状态，对系统的已知和期望⾏为进⾏全⾯的分析，因此配置难度相对

⽐较⼤。但是，有些基于误⽤检测技术的⼊侵系统允许管理⼈员对⼊侵特征数据库进⾏修改，甚⾄允许管理⼈员⾃⼰根据所发

现的攻击⾏为创建新的⽹络⼊侵特征规则记录，这种⼊侵检测系统在系统配置⽅⾯的⼯作会显著增加。基于异常检测技术的⼊

侵检测系统所输出的检测结果，通常是在对实际⾏为轮廓进⾏异常分析等相关处理后得出的，这类⼊侵检测系统的检测报告通

常会⽐基于误⽤检测技术的⼊侵检测系统具有更多的数据量，因为任何超过⾏为轮廓范围的时间都将被检测出来并写⼊报告。

⽽⼤多数基于误⽤检测技术的⼊侵检测系统，是将当前⾏为模式与已有⾏为模式进⾏匹配后产⽣检测结论，其输出内容是列举

出⼊侵⾏为的类型和名称，以及提供相应的处理建议。

6、⼊侵检测系统的优点：1）可以检测和分析系统事件以及⽤户的⾏为。2）可以检测系统设置的安全状态。3）以系统的安

全状态为基础，跟踪任何对系统安全的修改操作。4）通过模式识别等技术从通信⾏为中检测出已知的攻击⾏为。5）可以对

⽹络通信⾏为进⾏统计，并检测分析。6）管理操作系统认证和⽇志机制并对产⽣的数据进⾏分析处理。7）在检测到攻击的

时候，通过适当的⽅式进⾏适当的报警处理。8）通过对分析引擎的配置对⽹络的安全进⾏评估和监督。9）允许⾮安全领域

的管理⼈员对重要的安全时间进⾏有效的处理。

2）对于⾼负载的⽹络或主机，很难实现对⽹络⼊侵的实时检测、警报迅速地进⾏攻击响应。3）基于知识的⼊侵检测系统很

难检测到未知的攻击⾏为，也就是说检测具有⼀定的滞后性，⽽对于已知的报警，⼀些没有明显特征的攻击⾏为也很难检测

到，或需要付出提⾼误报警率的代价才能够正确检测。4）⼊侵检测系统的主动防御功能和联动防御功能会对⽹络的⾏为产⽣

影响，同样也会成为攻击者的⽬标，实现以⼊侵检测系统过敏⾃主防御为基础的攻击。5）⼊侵检测系统⽆法单独防⽌攻击⾏

为的渗透，只能调整相关⽹络设备的参数或⼈为地进⾏处理。6）⽹络⼊侵系统在纯交互环境下⽆法正常⼯作，只有对交互环

境进⾏⼀定的处理，利⽤镜像等技术，⽹络⼊侵检测系统才能对镜像的数据进⾏分析处理。7、⼊侵检测系统主要是对⽹络⾏

为进⾏分析检测，不能修正信息资源中存在的安全问题。

⼗四、恶意代码与计算机病毒的防治

#1、特洛伊⽊马：特洛伊⽊马是⼀段能实现有⽤的或必需的功能的程序，但是同时还完成⼀些不为⼈知的功能，这些额外的

功能往往是有害的。

解释：1）：“有⽤的或必需的功能的程序”只是诱饵，就像典故⾥的特洛伊⽊马，表⾯看上去很美但实际上却暗藏杀机。

2）“不为⼈知的功能”定义了其欺骗性，是危机所在之处，为⼏乎所有的特洛伊⽊马所必备的特点。3）“往往是有害的”定义了

其恶意性，恶意企图包括：试图访问未授权资源（如盗取⼝令、个⼈隐私或企业机密）；试图组织正常访问（如拒绝服务攻

击）；试图更改或破坏数据和系统（如删除⽂件、创建后门）。

2、蠕⾍：计算机蠕⾍是⼀种通过计算机⽹络能够⾃我复制和扩散的程序。蠕⾍与病毒的区别在于“附着”。蠕⾍不需要宿主，

不会与其他特定程序混合。因此，与病毒感染特定⽬标程序不同，蠕⾍⼲扰的是系统环境（如操作系统或邮件系统）。

蠕⾍利⽤⼀些⽹络⼯具复制和传播⾃⾝，包括：1）电⼦邮件。2）远程执⾏。3）远程登录。

*3、计算机病毒的特征：1）传染性。2）隐蔽性。3）潜伏性。4）多态性。5）破坏性。

*4、病毒检测技术：1）特征判定技术，主要有⽐较法、扫描法、校验和法和分析法。2）⾏为判定技术。

5、病毒防治软件产品（杀软）：1）国外，VirusScan、NAV、Pandaguard。2）国内，KILL、KV、RAV、VRV。