当前位置：首页 > article >正文

网络攻防技术十四：入侵检测与网络欺骗

article 2025/6/7 16:13:53

文章目录

一、入侵检测概述
二、入侵系统的分类
三、入侵检测的分析方法
- 1、特征检测（滥用检测、误用检测）
- 2、异常检测
四、Snort入侵检测系统
五、网络欺诈技术
- 1、蜜罐
- 2、蜜网
- 3、网络欺骗防御
六、简答题
- 1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪些方面？6点
- 2. 从信息源的角度看，以操作系统的审计记录作为入侵检测的信息源存在哪些缺陷？
- 3. 以应用程序的运行记录作为入侵检测系统的信息源，对于检测针对应用的攻击活动存在哪些优势？
- 4. 请分析基于网络的入侵检测系统的优点和缺点。
- 5. 什么是基于异常和基于误用的入侵检测方法？它们各有什么特点？
- 6. 为什么说异常检测所发现的异常未必是攻击活动？
- 7. 如何对入侵检测系统的效能进行评估。
- 8. 入侵检测技术主要存在哪些方面的局限性。
- 9. 谈谈你对蜜罐、蜜网、网络欺骗防御这三个概念的理解。

一、入侵检测概述

定义：通过从计算机系统或网络的关键点收集信息并进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。

入侵检测意义：防火墙之后的第二道安全防线，是防火墙的必要补充。

数据源：应用、主机、网络。

二、入侵系统的分类

根据检测方法来分：
（1）基于特征（误用）的入侵检测
（2）基于异常的入侵检测
（3）混合的入侵检测
根据数据源来分：
（1）基于应用的入侵检测系统(Application-based IDS, AIDS)
（2）基于主机的入侵检测系统(Host-based IDS, HIDS)
（3）基于网络的入侵检测系统(Network-based IDS, NIDS)
（4）混合的入侵检测系统(Hybrid IDS)

三、入侵检测的分析方法

两种主要的检测方法：特征检测、异常检测

在这里插入图片描述

1、特征检测（滥用检测、误用检测）

定义：收集非正常操作的行为特征（静态、动态特征、特征描述），建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。检测率取决于：攻击特征库的正确性与完备性。
检测实现方法：模式匹配法(将收集到的入侵特征转换成模式，存放在模式数据库中，检测时匹配即可)、专家系统法（通过条件匹配判断是否出现了入侵并采取相应动作,专家系统采用的是说明性的表达方式，需要解释器来实现，速度慢）、状态迁移法（利用状态转换图描述并检测已知的入侵模式）

2、异常检测

定义：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

在这里插入图片描述

检测实现方法：统计分析法（条件熵越小，这样数据集建立的模型的准确性越好）、人工免疫法（先中招，才有抗体）、机器学习法

四、Snort入侵检测系统

Snort主要采用特征检测的工作方式，由数据包解析器、检测引擎、日志与报警子系统组成

五、网络欺诈技术

1、蜜罐

蜜罐是一种安全资源，其价值在于被探测、攻击或突破。可用于取证，诱导攻击者攻击。

根据交互程度或逼真程度的高低可以分为低交互蜜罐（功能：攻击数据捕获与处理、攻击行为分析）、中交互蜜罐和高交互蜜罐（功能：网络欺骗、攻击捕获、数据控制、数据分析）。

根据部署方式可以分为生产型蜜罐和研究型蜜罐。

按照实现方式可将蜜罐分为物理蜜罐和虚拟蜜罐。

2、蜜网

由多个蜜罐组成的欺骗网络，通过虚拟化技术（如VMware）可以方便地把多个虚拟蜜罐部署在单个服务器主机上。

3、网络欺骗防御

网络欺骗防御是一种体系化的防御方法，它将蜜罐、蜜网、混淆等欺骗技术同防火墙、入侵检测系统等传统防护机制有机结合起来，构建以欺骗为核心的网络安全防御体系。

根据网络空间欺骗防御的作用位置不同，可以将其分为不同的层次，包括：网络层欺骗（网络混淆）、终端层欺骗（系统层欺骗防御技术）、应用层欺骗（应用层欺骗防御技术）、数据层欺骗（数据层欺骗防御技术）。

六、简答题

1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪些方面？6点

1）入侵检测可以发现内部的攻击事件以及合法用户的越权访问行为，而位于网络边界的防火墙对于这些类型的攻击活动无能为力。
2）如果防火墙开放的网络服务存在安全漏洞，入侵检测系统可以在网络攻击发生时及时发现并进行告警。
3）在防火墙配置不完善的条件下，攻击者可能利用配置漏洞穿越防火墙，入侵检测系统能够发现此类攻击行为。
4）对于加密的网络通信，防火墙无法检测，但是监视主机活动的入侵检测系统能够发现入侵。
5）入侵检测系统能够有效发现入侵企图。如果防火墙允许外网访问某台主机，当攻击者利用扫描工具对主机实施扫描时，防火墙会直接放行，但是入侵检测系统能够识别此类网络异常并进行告警。
6）入侵检测系统可以提供丰富的审计信息，详细记录网络攻击过程，帮助管理员发现网络中的脆弱点。

2. 从信息源的角度看，以操作系统的审计记录作为入侵检测的信息源存在哪些缺陷？

1）不同操作系统在审计的事件类型、内容组织、存储格式等方面都存在差异，入侵检测系统如果要求跨平台工作，必须考虑各种操作系统审计机制的差异。
2）操作系统的审计记录主要是方便日常管理维护，同时记录一些系统中的违规操作，其设计并不是为入侵检测系统提供检测依据。在这种情况下，审计记录对于入侵检测系统而言包含的冗余信息过多，分析处理的负担较重。
3）入侵检测系统所需要的一些判定入侵的事件信息，可能操作系统的审计记录中没有提供，由于信息的缺失，入侵检测系统还必须通过其他渠道获取。

3. 以应用程序的运行记录作为入侵检测系统的信息源，对于检测针对应用的攻击活动存在哪些优势？

1）精确度高。主机的审计信息必须经过一定的处理和转化之后，才能变为入侵检测系统能够理解的应用程序运行信息，而且在此转化过程中往往会丢失部分信息。直接利用应用数据，可以在最大程度上保证入侵检测系统所获得信息的精确度。
2）完整性强。对于一些网络应用，特别是分布式的网络应用，直接通过主机的日志信息、甚至结合收集到的网络数据，都难以准确获取应用的具体状态。但是，应用数据能够最全面地反映应用的运行状态信息。
3）采用应用数据作为入侵检测的信息源具有处理开销低的优势。主机的审计信息反映的是系统整体运行情况，要将其转化为应用信息必须经过计算处理。而应用程序日志本身就是应用层次的活动记录，可以直接向入侵检测系统提供其所关注的应用的运行状况。

4. 请分析基于网络的入侵检测系统的优点和缺点。

答：基于网络的入侵检测系统具有隐蔽性好、对被保护系统影响小等优点，同时也存在粒度粗、难以处理加密数据等方面的缺陷。

5. 什么是基于异常和基于误用的入侵检测方法？它们各有什么特点？

答：
基于误用的入侵检测方法的基本思路是事先提取出描述各类攻击活动的特征信息，利用攻击特征对指定的数据内容进行监视，一旦发现攻击特征在监视的数据中出现，即判定系统内发生了相应的攻击活动。
基于异常的检测方法首先总结出正常活动的特征，建立相应的行为模式。在入侵检测的过程中，以正常的行为模式为基础进行判定，将当前活动与代表正常的行为模式进行比较，如果当前活动与正常行为模式匹配，则认为活动正常；而如果两者存在显著偏差，则判定出现了攻击。
基于误用的检测方法只能检测已知攻击，误报率低，无法检测未知攻击。
基于异常的检测方法可以检测未知攻击，但误报率高。

6. 为什么说异常检测所发现的异常未必是攻击活动？

答：因为定义的正常行为不一定完备和准确，可能会造成合法的行为被认为是异常的。

7. 如何对入侵检测系统的效能进行评估。

答：误报率、漏报率、准确率。

8. 入侵检测技术主要存在哪些方面的局限性。

（1）误报率和漏报率需要进一步降低
（2）入侵检测技术涉及用户隐私与系统安全的矛盾
（3）入侵检测技术不具备主动发现漏洞的能力
（4）不断丰富的网络应用也对入侵检测技术提出挑战

9. 谈谈你对蜜罐、蜜网、网络欺骗防御这三个概念的理解。

答：网络欺骗防御是一种体系化的防御方法，它将蜜罐、蜜网、混淆等欺骗技术同防火墙、入侵检测系统等传统防护机制有机结合起来，构建以欺骗为核心的网络安全防御体系。
蜜罐是一种安全资源，其价值在于被探测、攻击或突破。可用于取证，诱导攻击者攻击。
蜜网由多个蜜罐组成的欺骗网络。

网络攻防技术十四：入侵检测与网络欺骗

文章目录一、入侵检测概述二、入侵系统的分类三、入侵检测的分析方法1、特征检测（滥用检测、误用检测）2、异常检测四、Snort入侵检测系统五、网络欺诈技术1、蜜罐2、蜜网3、网络欺骗防御六、简答题1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪…...

编程日记 2025/6/7 16:13:53

C++笔记-C++11(一)

1.C11的发展历史 C11 是 C 的第⼆个主要版本，并且是从 C98 起的最重要更新。它引⼊了⼤量更改，标准化了既有实践，并改进了对 C 程序员可⽤的抽象。在它最终由 ISO 在 2011 年 8 ⽉ 12 ⽇采纳前，⼈们曾使⽤名称“C0x”，…...

编程日记 2025/6/7 16:50:40

JVM 类初始化和类加载详解

类初始化和类加载类加载的时机加载、验证、准备、初始化和卸载这五个阶段的顺序是确定的，类型的加载过程必须按照这种顺序按部就班地开始，而解析阶段则不一定：它在某些情况下可以在初始化阶段之后再开始（懒解析）&am…...

编程日记 2025/6/6 11:15:07

B站缓存视频数据m4s转mp4

B站缓存视频数据m4s转mp4 结构分析结构分析在没有改变数据存储目录的情况下，b站默认数据保存目录为： Android->data->tv.danmaku.bili->download每个文件夹代表一个集合的视频，比如，我下载的”java从入门到精通“&…...

编程日记 2025/6/6 11:13:57

DeepSeek 助力 Vue3 开发：打造丝滑的日历(Calendar)，日历_天气预报日历示例（CalendarView01_18）

前言：哈喽，大家好，今天给大家分享一篇文章！并提供具体代码帮助大家深入理解，彻底掌握！创作不易，如果能帮助到大家或者给大家一些灵感和启发，欢迎收藏关注哦 💕 目录 Deep…...

编程日记 2025/6/6 11:12:49

【机器学习】主成分分析（PCA）

目录一、基本概念二、数学推导 2.1 问题设定：寻炸最大方差的投影方向 2.2 数据中心化 2.3 目标函数：最大化投影后的方差 2.4 约束条件 2.5 拉格朗日乘子法编辑 2.6 主成分提取 2.7 降维公式三、SVD 四、实际案例分析一、基本概念主…...

编程日记 2025/6/6 11:11:39

二叉树-104.二叉树的最大深度-力扣(LeetCode)

一、题目解析这里需要注意根节点的深度是1，也就是说计算深度的是从1开始计算的二、算法原理解法1：广度搜索，使用队列解法2：深度搜索，使用递归当计算出左子树的深度l，与右子树的深度r时，…...

编程日记 2025/6/6 11:10:34

物料转运人形机器人适合应用于那些行业？解锁千行百业的智慧物流革命

当传统物流设备困于固定轨道，当人力搬运遭遇效率与安全的天花板，物料转运人形机器人正以颠覆性姿态重塑产业边界。富唯智能凭借GRID大模型驱动的"感知-决策-执行"闭环系统，让物料流转从机械输送升级为智慧调度——这不仅是工具的革…...

编程日记 2025/6/7 13:25:23

1.创建 Issuer apiVersion: cert-manager.io/v1 kind: Issuer metadata:name: selfsigned-issuernamespace: default spec:selfSigned: {}2.Certificate（自动生成 TLS 证书） apiVersion: cert-manager.io/v1 kind: Certificate metadata:name: webhook…...

编程日记 2025/6/7 14:11:18

时序预测模型测试总结

0.背景描述公司最近需要在仿真平台上增加一些AI功能，针对于时序数据，想到的肯定是时序数据处理模型，典型的就两大类：LSTM 和 tranformer 。查阅文献，找到一篇中石化安全工程研究院有限公司的文章，题目为《…...

编程日记 2025/6/6 11:07:06

第四十五天打卡

知识点回顾： tensorboard的发展历史和原理 tensorboard的常见操作 tensorboard在cifar上的实战：MLP和CNN模型效果展示如下，很适合拿去组会汇报撑页数： 作业：对resnet18在cifar10上采用微调策略下，用tensor…...

编程日记 2025/6/6 11:06:05

springboot mysql/mariadb迁移成oceanbase

前言：项目架构为 springbootmybatis-plusmysql 1.部署oceanbase服务 2.springboot项目引入oceanbase依赖（即ob驱动） ps：删除原有的mysql/mariadb依赖 <dependency> <groupId>com.oceanbase</groupId> …...

编程日记 2025/6/6 11:05:03

npm install 报错：npm error: ...node_modules\deasync npm error command failed

npm install 时报错如下： 首先尝试更换node版本，当前node版本20.15.0，更换node版本为16.17.0。再次执行npm install安装成功...

编程日记 2025/6/6 11:04:00

Filebeat收集nginx日志到elasticsearch，最终在kibana做展示（二）

EFK 项目需求是要将一天或15分钟内搜索引擎抓取网站次数做个统计，并且如 200 301 404 状态码也要区分出来, 访问 404 报错的 url 也要截取出来前期收集数据看这篇文章，点击跳转收集数据完成之后，使用下面方法做展示创建一个仪表…...

编程日记 2025/6/6 11:02:58

halcon c# 自带examples报错 Matching

最近开始学习halcon与C#的联合编程，打开Matching例程时遇到了下面的问题 “System.TypeInitializationException”类型的未经处理的异常在 halcondotnet.dll 中发生 “HalconDotNet.HHandleBase”的类型初始值设定项引发异常。 System.TypeInitializationExceptio…...

编程日记 2025/6/6 11:01:53

服务器重启后配置丢失怎么办？

服务器重启后配置丢失是一个常见问题，特别是在云服务器或容器环境中，若未正确保存或持久化配置，系统重启后就会恢复默认状态。下面是问题分析解决方案： 🧠 一、常见原因分析原因描述❌ 配置保存在临时目录如 /tmp、…...

编程日记 2025/6/7 14:49:47

Postgresql常用函数操作

目录一、字符串函数二、数学函数三、日期和时间函数四、条件表达式函数五、类型转换函数六、聚合函数 (常与 GROUP BY 一起使用) 重要提示 PostgreSQL 提供了极其丰富的内置函数，用于操作和处理数据。以下是一些最常用的函数分类和示例： 一…...

编程日记 2025/6/6 10:59:46

用 NGINX 搭建高效 IMAP 代理`ngx_mail_imap_module`

一、模块定位与作用协议代理 ngx_mail_imap_module 使 NGINX 能在 IMAP 层面充当反向代理，客户端与后端 IMAP 服务器之间的会话流量均由 NGINX 接收并转发。认证控制通过 imap_auth 指定允许的身份验证方式（如 PLAIN、LOGIN、CRAM-MD5、EXTERNAL&…...

编程日记 2025/6/7 13:21:05

湖北理元理律所债务优化实践：法律技术与人文关怀的双轨服务

一、债务优化的法律逻辑与生活平衡在债务重组领域，专业机构需同时解决两个核心问题： 法律合规性：依据《民法典》第680条、第671条，对高息债务进行合法性审查； 生活可持续性：根据债务人收入设计分期方案…...

编程日记 2025/6/7 16:12:58

Springboot——整合websocket并根据type区别处理

文章目录前言架构思想项目结构代码实现依赖引入自定义注解定义具体的处理类定义 TypeAWebSocketHandler定义 TypeBWebSocketHandler 定义路由处理类配置类，绑定point制定前端页面编写测试接口方便跳转进入前端页面测试验证结语前言之前写过一篇类似的博客&…...

编程日记 2025/6/6 10:56:29

Qiskit：量子计算模拟器

参考文献： IBM Qiskit 官网Qiskit DocumentationQiskit Benchpress packageQiskit Algorithms package量子计算：基本概念常见的几类矩阵（正交矩阵、酉矩阵、正规矩阵等）Qiskit 安装指南-博客园使用Python实现量子电路模拟&#x…...

编程日记 2025/6/7 16:14:41