4,451
社区成员
发帖
与我相关
我的任务
分享入侵检测系统
一、关键词:
1、机密性,完整性,可用性。入侵的最终结果会影响安全性的这些因素。
2、事后审计。人工吗?
3、行为分析,结果分析。
4、根据策略进行分析。
5、从一个或多个端口进行入侵。如果要攻击的话,我想最佳途径是同时从尽可能多的端口进行同时攻击。
补:系统的现实是WINDOWS服务器和LINUX服务器一样,是伪PSEUDO多任务的,或者说是伪并行的。
选择端口进行攻击时,必须有侧重。之前可以进行采集,试探,类比,模拟,仿真,模型和环境的搭建很重要,分析等等阶段。
6、入侵分析时时不能离开模拟的攻击行为。
构建模拟环境,并行攻击,采集数据,调整策略。
7、入侵协议数据包的设计。如假冒的IP地址,结果到真实的攻击者IP地址。如通过对硬件编程实现。
8、入侵的目的,是执行某种或某些协议,非法获取资源,修改服务端数据。
9、入侵者可能是正确地使用某种协议P1,但却用于非法的用途。
10、端口有服务进程。
补:防止攻击时,有这种考虑:引入随机性。比如说,由于更高层、更抽象规则自动生成端口服务进程。如果端口号有允许变化的范围,也可以随机赋予,并通过加密+认证+安全协议+其它CHANNEL方式,通知客户端。
11、端口有数据结构,如BUFFER缓冲队列。
补:端口服务程序把各个不同客户来的数据是如何分类,如何存放的,存放方式是由CASE自动赋值,还是规定的客户的数据,存放在规定的内存存储区,或者硬盘上。
以及如何进行检索和查询,和AMD增删改,以及数据结构的类型,预处理方式,时间片分配……
12、不同的端口的数据包处理可能有差别。如访问量大的。
13、服务端的端口功能实现,可由网络设计师完成。
补:阶段划分;功能横向划分;进程处理系统设计也许可以参考OS教材,并不一定按照象VC中给定的办法,直接想象成多个函数的可运行体。
14、对攻击者的防守的机制的实现,可由网络设计师完成。
15、在初始的设计阶段,要对端口的安全机制多加考虑。
16、入侵检测到后的防护,要求准确、快速。
补:如果是事后弥补方式的,我想研究的已经不少,只是由于应用和OS在升级,才会有层出不穷的东东出来。
如果是PSEUDO伪实时的(有没有可能在入侵行为的进行过程中,达到实时),有很多操作。
显然的,都是由程序和指令系统,分步骤地进行的。
这样,对指令,尤其是结合资源数据、“控制”数据的指令,实时分析加处理的能力的裁剪(有没有可能由第三方的控制方对能力进行实时扩展)、配置、很重要。
17、误测的问题。
18、日志信息的概率统计。
19、对网络攻击的定性和定量分析。
20、针对已知的攻击。攻击的时间特征:获得某信息量的资源数据的时间开销。对其进行防守时的时间开销。
资源数据存放在空间中,由“专门设计的数据--空间管理软件系统”进行管理,AMD
21、针对未知的攻击。
补:(1)防守者拥有什么类型的资源数据,被分析的;(2)分析者预估是资源拥有者是用什么策略防守;(3)类似体系结构网站被攻击的HISTORY记录(:—)这一条不是针对未知攻击的)。
22、入侵的信息量通常很大。
23、入侵信息的采样。
24、入侵的信息论模型。
25、入侵信息的时间序列模型。
26、入侵的IP地址范围如何处理。
27、入侵者是“请求-—-—应答”模式进行攻击的。
28、目前的IDS似乎都是通过“事后弥补”的。
29、如果入侵是利用合法的访问,那么似乎就不是攻击。
30、如果入侵是非法访问,为什么不能在一开始,就拒绝?
31、还是要从“安全性”的根本因素:机密性,完整性,可用性,进行分析。
32、入侵的危害程度分级。
33、入侵发生后的处理,最简单的是关闭端口,禁止访问。
34、如HTTP协议,从0~65535个端口吧,是有不同的安全性级别的吧。有些端口是不能使用的,有些端口是保留以后用的,用户不能访问其中任意的端口。
35、端口“系统”要如何设计才好?OOA-D-P-T-M吗?
36、端口“系统”在网络和WEB服务器软件系统NSS体系结构中的位置和作用。
37、如何在线改进端口“系统”。
38、通常的、最简单的网络服务器软件系统NSS,就是侦听和服务。
39、为什么不在一开始就把“入侵检测”的“侦听”机制和作为NSS设计目标的“侦听”一同设计和实现。
40、如果是“打补丁”呢?
41、在NSS上打补丁,有一系列问题可以加以考虑。
42、如果考虑开源的NSS,和商品化的NSS,对于入侵发生后,网络管理员或网络设计师会如何处理。
43、从人的角度来考虑,如网络管理员,网络设计师,攻击者。
44、分析对于NSS和其控制的资源,以及NSS所处网络环境的资源,分层次地研究,攻与防双方,会有什么指导思想、动作。
45、在入侵之前,攻击者会收集和试探。
46、如何发现攻击者在试探,区别于正常的访问。
47、访问行为的正常和异常有什么区别。
48、HONEY NET密罐在这里能发挥什么作用。
49、针对具体的网络和协议及服务程序,如何进行试探。
50、试探的原则,有哪些?第一,是不被发现。第二,可能是时间相关的,需要多次试探。第三,可能是从难以被发现的多次试探结果中,进行分析。
51、从试探得到的数据,进行分析,迅速得到结果。如何保证迅速和及时?在对方没有进行有效的防备之前?
52、试探系统设计及性能评价。
53、不打无准备之战。如果不进行充分的前期准备,就进行网络攻击,是冒险的行为。可能的入侵机会也会丧失。
54、网络攻防变得复杂的趋势,如何把握。既不能把网络防守的一方想象进行弱智,也不能把网络攻击的一方想象成白痴。
关键是不打无准备之战。
55、上面提到的是原则性的问题的一小点。但具体某个NSS是如何实现某个协议P1的,如何裁剪,则有许多可能性。
一般来说,需求是受许多限制条件约束的,不可能没有漏洞。
对于明显的漏洞,NSS的设计者会想办法弥补。但是由于所处的“心情”,例如上级的压力,即使是修补,尤其是在线修补,拆东墙补西墙的话,说不定会按下葫芦起了瓢。
56、说到底,入侵检测系统是针对“端口”的,即是网络的入口,如:
http://hi.baidu.com/ftai/blog/item/4a3713ce191b7e38b700c8c3.html我的一篇博文,虽然是泛泛而谈。
1、机密性,完整性,可用性。入侵的最终结果会影响安全性的这些因素。
2、事后审计。人工吗?
3、行为分析,结果分析。
4、根据策略进行分析。
5、从一个或多个端口进行入侵。如果要攻击的话,我想最佳途径是同时从尽可能多的端口进行同时攻击。
补:系统的现实是WINDOWS服务器和LINUX服务器一样,是伪PSEUDO多任务的,或者说是伪并行的。
选择端口进行攻击时,必须有侧重。之前可以进行采集,试探,类比,模拟,仿真,模型和环境的搭建很重要,分析等等阶段。
6、入侵分析时时不能离开模拟的攻击行为。
构建模拟环境,并行攻击,采集数据,调整策略。
7、入侵协议数据包的设计。如假冒的IP地址,结果到真实的攻击者IP地址。如通过对硬件编程实现。
8、入侵的目的,是执行某种或某些协议,非法获取资源,修改服务端数据。
9、入侵者可能是正确地使用某种协议P1,但却用于非法的用途。
10、端口有服务进程。
补:防止攻击时,有这种考虑:引入随机性。比如说,由于更高层、更抽象规则自动生成端口服务进程。如果端口号有允许变化的范围,也可以随机赋予,并通过加密+认证+安全协议+其它CHANNEL方式,通知客户端。
11、端口有数据结构,如BUFFER缓冲队列。
补:端口服务程序把各个不同客户来的数据是如何分类,如何存放的,存放方式是由CASE自动赋值,还是规定的客户的数据,存放在规定的内存存储区,或者硬盘上。
以及如何进行检索和查询,和AMD增删改,以及数据结构的类型,预处理方式,时间片分配……
12、不同的端口的数据包处理可能有差别。如访问量大的。
13、服务端的端口功能实现,可由网络设计师完成。
补:阶段划分;功能横向划分;进程处理系统设计也许可以参考OS教材,并不一定按照象VC中给定的办法,直接想象成多个函数的可运行体。
14、对攻击者的防守的机制的实现,可由网络设计师完成。
15、在初始的设计阶段,要对端口的安全机制多加考虑。
16、入侵检测到后的防护,要求准确、快速。
补:如果是事后弥补方式的,我想研究的已经不少,只是由于应用和OS在升级,才会有层出不穷的东东出来。
如果是PSEUDO伪实时的(有没有可能在入侵行为的进行过程中,达到实时),有很多操作。
显然的,都是由程序和指令系统,分步骤地进行的。
这样,对指令,尤其是结合资源数据、“控制”数据的指令,实时分析加处理的能力的裁剪(有没有可能由第三方的控制方对能力进行实时扩展)、配置、很重要。
17、误测的问题。
18、日志信息的概率统计。
19、对网络攻击的定性和定量分析。
20、针对已知的攻击。攻击的时间特征:获得某信息量的资源数据的时间开销。对其进行防守时的时间开销。
资源数据存放在空间中,由“专门设计的数据--空间管理软件系统”进行管理,AMD
21、针对未知的攻击。
补:(1)防守者拥有什么类型的资源数据,被分析的;(2)分析者预估是资源拥有者是用什么策略防守;(3)类似体系结构网站被攻击的HISTORY记录(:—)这一条不是针对未知攻击的)。
22、入侵的信息量通常很大。
23、入侵信息的采样。
24、入侵的信息论模型。
25、入侵信息的时间序列模型。
26、入侵的IP地址范围如何处理。
27、入侵者是“请求-—-—应答”模式进行攻击的。
28、目前的IDS似乎都是通过“事后弥补”的。
29、如果入侵是利用合法的访问,那么似乎就不是攻击。
30、如果入侵是非法访问,为什么不能在一开始,就拒绝?
31、还是要从“安全性”的根本因素:机密性,完整性,可用性,进行分析。
32、入侵的危害程度分级。
33、入侵发生后的处理,最简单的是关闭端口,禁止访问。
34、如HTTP协议,从0~65535个端口吧,是有不同的安全性级别的吧。有些端口是不能使用的,有些端口是保留以后用的,用户不能访问其中任意的端口。
35、端口“系统”要如何设计才好?OOA-D-P-T-M吗?
36、端口“系统”在网络和WEB服务器软件系统NSS体系结构中的位置和作用。
37、如何在线改进端口“系统”。
38、通常的、最简单的网络服务器软件系统NSS,就是侦听和服务。
39、为什么不在一开始就把“入侵检测”的“侦听”机制和作为NSS设计目标的“侦听”一同设计和实现。
40、如果是“打补丁”呢?
41、在NSS上打补丁,有一系列问题可以加以考虑。
42、如果考虑开源的NSS,和商品化的NSS,对于入侵发生后,网络管理员或网络设计师会如何处理。
43、从人的角度来考虑,如网络管理员,网络设计师,攻击者。
44、分析对于NSS和其控制的资源,以及NSS所处网络环境的资源,分层次地研究,攻与防双方,会有什么指导思想、动作。
45、在入侵之前,攻击者会收集和试探。
46、如何发现攻击者在试探,区别于正常的访问。
47、访问行为的正常和异常有什么区别。
48、HONEY NET密罐在这里能发挥什么作用。
49、针对具体的网络和协议及服务程序,如何进行试探。
50、试探的原则,有哪些?第一,是不被发现。第二,可能是时间相关的,需要多次试探。第三,可能是从难以被发现的多次试探结果中,进行分析。
51、从试探得到的数据,进行分析,迅速得到结果。如何保证迅速和及时?在对方没有进行有效的防备之前?
52、试探系统设计及性能评价。
53、不打无准备之战。如果不进行充分的前期准备,就进行网络攻击,是冒险的行为。可能的入侵机会也会丧失。
54、网络攻防变得复杂的趋势,如何把握。既不能把网络防守的一方想象进行弱智,也不能把网络攻击的一方想象成白痴。
关键是不打无准备之战。
55、上面提到的是原则性的问题的一小点。但具体某个NSS是如何实现某个协议P1的,如何裁剪,则有许多可能性。
一般来说,需求是受许多限制条件约束的,不可能没有漏洞。
对于明显的漏洞,NSS的设计者会想办法弥补。但是由于所处的“心情”,例如上级的压力,即使是修补,尤其是在线修补,拆东墙补西墙的话,说不定会按下葫芦起了瓢。
56、说到底,入侵检测系统是针对“端口”的,即是网络的入口,如:
http://hi.baidu.com/ftai/blog/item/4a3713ce191b7e38b700c8c3.html我的一篇博文,虽然是泛泛而谈。
...全文
请发表友善的回复…
发表回复
