期末复习计算机安全自总结

由天下分享时间：2025/3/21 6:25:00 加入收藏我要投稿点赞

学习好资料欢迎下载

第七章：

1.计算机病毒的三个组成部分：

感染机制：指病毒传播和使病毒能够自我复制的方法，也被称感染向量触发条件：指激活或交付病毒有效载荷的事件或条件

有效载荷：指病毒除传播之外的活动，有效载荷可能包括破坏活动，也可能包括无破坏但值得注意的活动。

2.在计算机病毒生命周期内会经历以下四个阶段：

潜伏阶段：病毒处于休眠状态，最后病毒会被某些事件激活，并不是所有病毒都有这个阶段

传播阶段：病毒将自身的拷贝插入其他程序或硬盘上某个与系统相关的区域，这个拷贝也许和原来的版本不完全一样，病毒经常通过变异来逃避检测

触发阶段：病毒被激活以执行其预先设定的功能，和潜伏阶段一样，病毒进入触发阶段可以由多种系统事件引起

执行阶段：执行病毒功能，有的功能是无害的，有些功能是破坏性的 3.病毒执行过程中压缩的作用：

由于感染后的程序比感染之前的程序长，所以普通的病毒很容易被检测到，防止这种检测方法的手段是对执行文件压缩，使得无论是否被感染，其长度都是相同的。

4.病毒执行过程中加密的作用：

为了病毒在生成副本时可以随机插入独立指令或者交换一些独立指令的顺序。一种更有效的方法是采用密码学技术，此技术中，通常将病毒中某一部分称为突变引擎，该部分生成一个随机加密秘钥来对病毒中的其他部分进行加密。因对每一个病毒实例都使用不同的秘钥进行加密，所以在病毒代码中很难找出用于模式匹配的固定字节

5.行为阻断软件的工作机理是什么？

行为阻断软件与主机操作系统相结合，实时监控恶意的程序和行为，在检测恶意行为后，行为阻断软件将在潜在的恶意行为对系统实施仅供之前将其阻止。

行为组织软件同时在服务器和桌面计算机上运行，根据网络管理员制定的策略工作，让正常的程序行为得到执行，但当出现非授权或可疑行为时，要予以处理，该模块将组织任何可疑的软件运行，行为阻断软件会将可疑程序隔离到沙箱中，以限制其对操作系统的各种资源和其他应用程序的访问，然后向管理员发出警报

1.管理员设置可接受发软件行为策略并上传到服务器上，这些策略也可以上传到桌面计算机 2.恶意软件设法通过防火墙

3.服务器上的行为阻断软件标记可疑的代码，并将其放入“沙箱”，以阻止其继续运行

4.服务器提醒管理员已经识别出可疑代码并放入沙箱，等待管理员决定是清除代码还是允许其执行。 5.

蠕虫传播模型P154

6.Bot和rootkit有什么不同？

Bot也叫做僵尸机，它会秘密地控制一台连接因特网的计算机，并利用所控制的计算机发动攻击，经常被“种植”在属于可信的第三方的成百上千计算机上，大量的bot能够以一种协调的方式行动，这样一大群bot就组成了僵尸网络

Rootkit是通过破坏系统对进程、文件、注册表的监控和报告机制而实现隐藏的，与bot软件不同，rootkit并不直接依靠漏洞来安装在计算机上，其安装方式一种是通过木马程序：先引诱用户装载木马程序安装rootkit，另一种是通过黑客入

学习好资料欢迎下载

侵活动实现。

第六章：

1.列出并简要定义三类入侵者（黑客、骇客）：

假冒者：未经授权就使用某计算机的人和穿透系统的访问控制机制而冒用合法用户账户的人（外部用户）

违法者：未经授权的数据、程序或资源的合法用户，或者虽被授予访问权限，但却错误地使用这些特权的合法用户（内部用户）

秘密用户：获取了对系统的超级控制权，并使用此控制权逃避审计和访问控制或者阻止生成审计记录的个人（可以是外部或者内部用户）

2.描述IDS（入侵检测系统）的三个逻辑组件：

传感器：传感器负责收集数据，传感器的输入可以是包含入侵证据的系统的任何一部分。传感器输入的类型包括网络数据包、日志文件、系统调用迹。传感器收集并向分析器转发这些信息分析器：分析器从一个或多个传感器或者其他分析器接收输入，分析器负责确定是否发生了入侵。此组件的输出表明是否发生了入侵。输出可以包含支持入侵发生结论的证据。分析器可以提供指导，用于判断什么活动是入侵导致的结果用户接口：利用IDS的用户接口，用户可以查看系统输出或控制系统的行为。在某些系统中，用户接口可以看作是经理、主管或者控制台组件

3.说明基于主机的IDS和基于网络的IDS的不同：

基于主机的IDS:监测一台主机的特征和该主机发生的与可疑活动相关的事件基于网络的IDS：监测特定的网段或设备的流量并分析网络、传输和应用协议，用以识别可疑的活动

4.IDS的优点：（防火墙的优点，两者的区别）

1.如果能快速地检测到入侵，就可以在损害发生或者数据受到威胁之前，将入侵者识别出来并将其逐出系统。即使不能非常及时地检测出入侵者，也是越早检测到入侵，对系统造成的损失越小，而且越容易进行快速的恢复 2.有效的IDS可以作为一个威慑，从而达到阻止入侵的目的

3.入侵检测可以收集关于入侵技术的信息，用于增强入侵防护系统的防护能力

5.列出IDS的一些理想特征：

1）能够不间断地运行，而且人的参与尽可能少。

2）具有容错功能，系统崩溃时，它必须能够很快恢复和重新初始化 3）抵御破坏。IDS必须能够检测自身，检测是否已被攻击者修改 4）对于正运行的系统增加最小的开销

5）能够根据被检测系统的安全策略进行配置 6）能够自动适应系统和用户行为变化 7）能够扩展以监测更多的主机

8）能够提供很好的服务降级，也就是说，如果IDS的某些组件停止工作，无论出于何种原因，其余部分都应受到尽可能少的影响

学习好资料欢迎下载

9）允许动态重新配置，即能够重新配置IDS，而不必重新启动

6.异常检测和特征检测之间的区别：

异常检测：采集有关的合法用户在某段时间内的行为数据，然后统计检验被监测的行为，以较高的置信度确定该行为是否不是合法用户的行为，两种方法：阈值检测（特殊事件发生的次数，超过次数认为是入侵，会产生误报和漏报）和基于配置文件的检测（归纳出单个用户或相关用户组的历史行为特征，发现有重大偏差的行为，单个参数上的偏差可能无法引发警报）（试图定义正常的或者成为预期的行为）（（统计异常检测：依据对正常、合法的行为进行检测，当检测超出正常范围时就认为发生了入侵行为；基于规则的检测：对非法行为进行检测，发现非法的行为即认为发生了入侵行为））

特征检测：涉及试图定义一组规则或者攻击的模式，可用于确定一个给定的行为是入侵的行为（试图定义入侵特有的行为）；通过观察系统内的事件，运用规则集来判断一个给定的活动模式是否可疑。

7.基于规则的异常检测和基于规则的渗透识别之间的区别：

1.基于规则的异常检测：对历史审计记录的分析用来识别使用模式并自动生成描述这些模式的规则集规则用来表示用户、程序、特权、时隙、终端等过去行为的模式，然后，观测当前行为，将其与规则集进行匹配，来确定每个行为是否与某个历史行为模式相匹配（误报率增加，漏报率减少）

2.基于规则的渗透识别：使用规则来识别已知的渗透或将利用已知弱点的渗透（（异常检测是建立一个用户过去的行为规则统计库，以这个数据库为标准，不满足该数据库的行为都是入侵行为，渗透检测则是建立一个入侵（即渗透）行为数据库，满足该数据库的行为都是入侵行为。

8.基于主机的分布式IDS和NIDS（基于网络的IDS）之间的区别：

基于网络的IDS监控的是一个网络或多个多个相互连接的网络上选定位置的网络流量，NIDS实时地或接近于实时地分析数据包，以试图发现入侵模式。 NIDS检测：网络上流向潜在的易受攻击的计算机系统的数据包流量；基于主机的IDS系统检测的是：主机上的用户和软件活动

9.描述可被用于NIDS的传感器类型：

内嵌传感器将被插入到网络段，以使正在监控的流量必须通过传感器（方法：NIDS传感器与另一个网络设备进行逻辑组合，优势：不需要额外的单独硬件设备；使用独立的内嵌NIDS传感器，有检测和防护功能）被动传感器监控网络流量的备份，实际的流量并没有通过这个设备（比内嵌更有效，因为它不会添加一个额外的处理步骤，额外步骤会导致数据包延迟）

10.NIDS传感器部署：（与入侵检测对比） P127，图6-5 11.蜜罐的含义：

入侵检测技术中的一个比较近的创新是蜜罐，蜜罐是障人耳目的系统，是为引诱潜在的攻击

学习好资料欢迎下载

者远离关键系统而设计的，蜜罐的功能包括：转移攻击者对重要系统的访问收集有关攻击者活动的信息

鼓励攻击者在系统中逗留足够长的时间，以便于管理员对此攻击做出响应这些系统填满了看起来有价值但系统的合法用户不会访问的伪造信息。因此，任何对蜜罐的访问都是可疑的，蜜罐系统装备了敏感的监控器和事件记录器，用于检测这些访问并收集有关攻击者的活动信息

蜜罐是一种没有产出的资源。网络以外的任何人与蜜罐进行交互都没有合法的理由。因此任何与系统通信的尝试都可能是一个探测、扫描或者攻击。相反如果一个蜜罐发起对外通信，则系统可能已被破坏

第一章：

1.计算机安全的定义：

为自动化信息系统提供的保护，以达到保持信息系统资源（包括硬件、软件、固件、信息/数据、通信）的完整性、可用性、机密性的目标。

2.被动攻击：其本质是窃听或监视数据传输。攻击者的目标是获取传输的数据信息。两种形式是消息内容泄露和流量分析

3.主动攻击：包含对数据流进行篡改或伪造数据流，可以划分为四类：重放、假冒、篡改消息、拒绝服务（禁止所有发向目的地如安全审计服务的消息；破坏整个网络是网络失效或过载，从而降低其性能） 4.OSI

安全体系结构：安全攻击、安全机制、安全服务P15表1-5