计算机网络的分类:
按覆盖范围:局域网LAN(10m-1km),城域网MAN(10km),广域网WAN(100km-1000km)
按拓扑结构:总线结构、星状结构、环状结构、树状结构、网状结构
按数据传输技术:广播网络(存在3种传输方式单播、组播、广播),点对点网络
计算机网络的组成:
网络软件的组成:网络操作系统
(Windows NT/2000/2003/2008 Server、NetWare操作系统、UNIX系统、Linux),网络通信协议,网络应用软件,网络管理软件
网络硬件的组成:计算机(服务器、工作站),网络接口设备(网络适配器、调制解调器、无线上网卡),传输媒体(双绞线、同轴电缆、光纤、无线传输媒体),互联设备(中继器、网桥、集线器、交换机、路由器、网关)
计算机网络的定义:
定义1:计算机网络指互联起来的、自治的计算机集合。所谓“互联”指互相连接的两台或两台以上的计算机能够互相交换信息,达到资源共享的目的、而“自治”指每台计算机都有自主权、独立工作。
定义2:利用通信设备和线路,将地理位置不同的、功能独立的多个计算机系统互联起来,以功能完善的网络软件,
实现网络中资源共享和数据通信的系统。
计算机网络分为资源子网和通信子网两大部分
Internet起源于19xx年
数据传输速率:数据传信速率单位bit/s调制速率单位Bd
搜索引擎按工作方式分为:全文搜索引擎、目录索引类搜索引擎、元搜索引擎
网站的组件方法:空间租赁、主机托管、申请专线
计算机网络提供的服务:
1.数据通信2.资源共享(硬件资源共享、软件资源共享、数据资源共享)3.分布式处理4.负载均衡5.提高系统的可靠性6.集中式管理
计算机网络拓扑结构的分类:
1.总线结构2.环状结构3.星型结构(使用最广泛的局域网拓扑结构)
通信系统的组成部分:
1.源系统(包括源点和发送器)2.传输系统3.目标系统(包括接收器和终点)
数据通信工作方式:单工通信、半双工通信、全双工通信
网络通信协议三要素:语义、语法、同步
多路复用技术:指将多路信号共同使用一个物理线路进行传输。
常见的多路复用技术有:1.频分复用2.时分复用3.波分复用4.码分多址5.空分多址
模拟和数字信号的传输及二者的转换: 1.模拟数据通过放大器形成模拟信号 2.模拟数据通过PCM编码器(即脉冲编码调制)形成数字信号
3.数字数据通过调制器(即Modem调试方式:调幅,调频,调相)形成模拟信号
4.数字数据通过编码器(编码方案:单极不归零码,单极归零码,双极归零码,双极不归零码,曼切斯特编码,差分曼切斯特编码)形成数字信号
IP地址的概念:
IP地址是网际协议地址,是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址用来唯一地标示网络中的一个通信实体。
网络位和主机位的含义:
IP地址四段,每段8位二进制,共32位二进制。它分成两部分,前面X位网络位,后面32-X位主机位。通过子网掩码决定网络位几位主机位几位,网络位可以理解为网络的编号,主机位可以理解为在这个网络中的编号。
IP地址的分类方式:
IPv4共32位,采用“点分十进制法”表示
A类1.0.0.0-127.255.255.255 32位中第一位为0第二位至第八为网络位第九至三十二为主机位(2段3段4段为主机位)
B类128.0.0.0-191.255.255.255 32位中第一位为1第二位为0第三位至第十六为网络位第十七至三十二为主机位(3段4段为主机位)
C类192.0.0.0-223.255.255.255 32位中第一位为1第二位为1第三位为0第四位至第二十四为网络位第二十五至三十二为主机位(4段为主机位)
D类224.0.0.0-239.255.255.255 32位中第一位为1第二位为1第三位为1第四位为0其他为组播位
E类240.0.0.0-255.255.255.255 32位中第一位为1第二位为1第三位为1第四位为1其他用于实验和保留不开放
A,B,C类地址主机数的计算:
A类网络号位数7最大网络数2^7=128主机号位数24最大主机数2^24=16777216
B类网络号位数14最大网络数
2^14=16384主机号位数16最大主机数2^16=65536
C类网络号位数21最大网络数
2^21=2097152主机号位数8最大主机数2^8=256
划分子网:
划分前32位IP:网络号+主机号 划分后32位IP:网络号+子网号+主机号
划分子网有利于提高IP地址的使用效率,减少广播域的范围,改善网络性能,但每一次划分子网也会造成一定IP地址的浪费。子网号全为0和全为1的所有地址将不能使用。
网络号,主机号,子网号不可以为全0或全1
子网掩码的定义和意义:
子网掩码共32位,使用“点分十进制法”表示,由连续的1加上连续的0组成。连续1对应IP地址中的网络号和子网号。连续0对应IP地址中的主机号。
DNS域名系统:
因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
域名与主机之间是多对一得映射关系,一台主机可以申请并拥有多个域名,但
一个域名只能对应到一个IP地址上。使用域名访问主机时,需要先通过域名服务器,将域名解析到IP地址,然后再使用该IP地址访问主机。Internet上有很多域名服务器,这些域名服务器一起构成域名服务系统。
无线局域网的基本组成设备:
无线网卡、无线访问点、无线中继器、无线网桥、无线路由器、计算机
OSI概念和层次,每层名字,每层包括的协议类型
OSI国际标准开放系统互连参考模型是一个7层模型,每一层实现特定的功能并且只与上下两层直接通信,自下而上,第1-第7层分别为物理层(EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45)、数据链路层(CSMA/CD、SDLC、HDLC、PPP、STP、帧中继)、网络层(IP、IPX、RIP、OSPF)、传输层(TCP、UDP、SPX)、会话层(ISO 8326/8327)、表示层(ISO 8322/8323/8324/8325)、应用层(HTTP、FTP、ISO 8571/8572/8573/8574、ISO 8831/8832、ISO 9040/9041)。传输媒介看做第0层,不属于物理层。
OSI参考模型中,对等层协议之间交换的信息单元统称为协议数据单元PDU。物理层为PDU-比特,数据链路层为PDU-数据帧,网络层为PDU-分组或数据包,传输层为PDU-报文,会话层为SPDU,表示层为PPDU,应用层为APDU
TCP/IP概念和层次,每层名字,每层包括的协议类型
TCP/IP即网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。
TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。从下至上分别为网络接口层(数据链路协议FDDI、PPP)、互联网层(IP、ARP、RARP、ICMP、IGMP)、传输层(TCP、UDP)、应用层(HTPP、FTP、SMTP、DNS、DHCP、RIP)
OSI和TCP/IP的关系,
一.OSI参考模型 TCP/IP协议模型 所对应PDU(协议数据单元) 。 应用层—应用层—数据 表示层—应用层—数据 会话层—应用层—数据 传输层—传输层—段 网络层—互联网层—包
数据链路层—网络接口层—帧 物理层—网络接口层—比特流
二.OSI参考模型与TCP/IP协议模型 相同点:1、都有应用层、传输层、网络层。2、都是下层服务上层,面向应用的用户。
不同点:1、层数不同,OSI 7层TCP/IP 4层。
2、模型与协议出现的次序不同,TCP/IP先有协议,后有模型(出现早),OSI先有模型,后有协议(出现晚)。 3、OSI模型的网络层同时支持无连接和面向连接的通信,但传输层只支持面向连接的通信。TCP/IP模型的网络层只支持无连接的通信,但在传输层上同时支持两种通信模式。
4、OSI模型是理论化得模型,市场上没有完全遵循它的产品。TCP/IP模型广泛应用于Internet。
FTP, WWW,SNMP,POP3,DHCP协议,ARP协议,NAT原理,功能和意义,VPN定义和应用,
FTP(File Transfer Protocol)为文件传输协议,是TCP/IP协议组中应用层的协议之一,提供网络文件传输服务,是Internet上使用广泛的文件传输协议。FTP是一种基于客户机/服务器模式(C/S模式)的服务系统。用户通过一个支持FTP协议的客户机程序,连接到远程主机上的FTP服务器程序后,在远程主机上获得相应的权限,然后用户通过客户机程序向服务器程序发出命令请求,服务器程序响应并执行用户所发出的命令,最终将执行的结果返回到客户机。
WWW(World Wide Web)万维网,可以看作由一个巨大地全球范围的Web页面集合组成,这些Web页面简称网页。网页中一般含有文字、图像、动画和表格等元素,通过超文本链接实现页面间的跳转,用户可以跟随超级链接,来到它所指向的页面,从而获取到互动的丰富多彩的资源
SNMP(Simple Network Management Protocol)简单网络管理协议,由一组网络管理的标准组成,包含一个应用层协议、数据库模型和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组定义的Internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。
SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了,整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器,用来发送或中转发出的电子邮件。
POP3(Post Office Protocol 3)邮局协议第三版是用户和邮件服务器之间收取邮件的协议,位于TCP协议的应用层,与SMTP协议结合,是目前最常用的电子邮件服务协议
DHCP协议(Dynamic Host
Configuration Protocol)动态主机配置协议,是一种简化主机IP地址配置管理的TCP/IP标准。DHCP标准提供了一种动态分配IP地址及管理DHCP客户机其他相关配置信息的方法。
ARP协议(Address Resolution
Protocol)地址解析协议,基本功能是通过目标设备的IP地址,查询目标设备的硬件地址,以保证通信的顺利进行。
NAT(Network Address Translation,网络地址转换)是在专用网内部的一些主机本来已经分配到了本地IP地址,但现在又想和因特网上的主机通信时,可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
NAT实现方式:静态转换、动态转换、端口多路复用、ALG
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的主机和网络通过公用网连接而成的逻辑上的虚拟子网。VPN通过利用公共网络,将多个私有网络或网络节点连接起来,每个连接采用附加的安全隧道、用户认证、访问控制、保密性和完整性等措施,以防信息被泄露、篡改和复制,形成一条穿过混乱的公用网络的安全、稳定的隧道,从而保证对企业内部重要信息的安全传输,实现与专用网络类似的性能。VPN的关键技术包括数据加密技术、身份认证技术、隧道技术、密钥管理技术。VPN分类:IPsec VPN和SSL VPN NIC(Network Interface Card)网络适配器,是电脑与局域网相互连接的设备。无论是普通电脑还是高端服务器,只要连接到局域网,就都需要安装一块网卡。 计算机病毒的分类,特征: 分类:按照攻击操作系统分(攻击DOS系统病毒、攻击Windows系统病毒、攻击UNIX系统病毒、攻击OS/2系统病毒)按照寄生方式分(引导型病毒、文件型病毒、混合型病毒、宏病毒)按照破坏类型分(良性病毒、恶心病毒)按照传播媒介分(单机病毒、网络病毒) 特征:1.传染性2.隐蔽性3.潜伏性4.破坏性5.寄生性 网络攻击类型:中断、拒绝服务、篡改、伪造 电子邮件协议的基础知识,SMTP(发送邮件),POP3(接收邮件),相关概念和应用 SMTP简单邮件传输协议是最早出现的、目前使用最普遍最基本的电子邮件协议。SMTP位于TCP协议的应用层,主要保证电子邮件能够可靠和高效地传送。SMTP主要应用:1电子邮件从客户端传输到服务器2邮件从一个服务器转发到另一个服务器。 POP3邮局协议第三版,是用户和邮件服务器之间收取邮件的协议,位于TCP协议的应用层,与SMTP协议结合,是目前最常用的电子邮件服务协议。 网页制作的基本知识:语言,协议, HTML超文本标记语言,超级文本标记语言是标准通用标记语言下的一个应用,也是一种规范,一种标准,它通过标记符号来标记要显示的网页中的各个部分。网页文件本身是一种文本文件,通过在文本文件中添加标记符,可以告诉浏览器如何显示其中的内容。 静态页面html htm 动态页面 asp aspxphp HTTP超文本传输协议,是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
第二篇:计算机网络安全期末总结
什么是网络安全:网络系统的硬件 软件机器系统中的数据受到保护,不遭受偶然的或者恶意破坏 更改 泄漏,系统连续 可靠 正常的运行,网络服务不中断。
网络安全的基本特征:保密性 完整性 可用性 可控性 可靠性 不可抵赖性
影响网络安全的因素:
1.技术因素:硬件系统的安全缺陷 软件系统饿安全漏洞 系统安全配置不当造成的其他安全漏洞
2.管理因素
3.人为因素:人为的无意失误 人为的恶意攻击
信息传输面临的威胁:截获 中断 篡改 伪造
网络安全的威胁:网络协议中的缺陷 窃取信息 非法访问 恶意攻击 黑客行为 计算机病毒 电子间谍活动 信息战 认为行为
主动攻击: 攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内路,破坏信息的真实性 完整性及系统服务的可用性,即通过中断 伪造 篡改和重排信息内容造成信息破坏,是系统无法正常运行
被动攻击:攻击者非法截获 窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露却无法察觉,从而给用户带来巨大的损失
PPDR:PPDR模型是一个可适应网络动态安全模型。PPDR模型中包括4个重要环节:策略 防护 检测 响应
ISO/OSI安全体系结构:这种结构定义了一组安全服务,主要包括认证服务 访问控制服务 数据保密服务 抗否认性服务
ISO/OSI安全机制:
加密机制:根据加密所在的层次及加密对象的不同,而采用不同的加密方式
数字签名机制:是确保数据真实性的基本方法,可进行用户的身份认证和消息认证
访问控制机制:访问控制按照事先确定的规则主体对客体的访问是否合法,当主体试图非法使用一个未经授权的客体时,访问控制机制将拒绝这一企图,给出报警并记录日志档案
数据完整性机制 认证机制 业务流填充机制 路由控制机制 公正机制
网络监听:以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包主机的正确地址,因为只有与数据包中的目标一致的那台主机才能接收到信息包,但是若主机工作在监听模式下,则不管数据包中的目标物理地址是什么,主机都将可以收到。-在监听模式下,则所有的数据帧都将被交给上层协议软件处理。当连接到同一电缆或集线器上的主机被逻辑的分为几个子网时,若有一台主机在监听模式下,它还可以接收到发向与自己不在同一子网的主机数据包,在同一个物理信道上传输的所有信息都可以收到。保护网络安全。
拒绝服务攻击:即DOS攻击,通常能导致合法用户不能进行正常的网络服务行为都是拒绝服务攻击。它的目地就是让合法用户不能正常的进行网络服务。
TCP会话劫持:A向B发包 B回应A一个包 A向B回应一个包 B向A回应一个包 攻击者C冒充主机A给主机B发送一个包 B回应A一个包,主机B执行了攻击者C冒充主机A发送过来的命令,并且发挥给A一个包但是主机A并不能识别主机B发送回来的包,所以主机A会以期望的序列号返回给主机B一个数据包,随机形成ACK风暴,如果成果解决ACK风暴就可以成功进行TCP会话劫持了。
网络扫描:包括端口扫描 :TCP connect扫描 TCP SYN扫描 TCP FIN 扫描 TCP反向ident扫描 FTP返回攻击扫描 操作系统探测技术:应用层探测技术 TCP/IP堆栈特征探测技术 漏洞扫描技术。
IPSec的安全特性:不可否认性 抗重播性 数据完整性 数据保密性
IPSec的体系结构: 包含安全协议验证头AH 封装安全载荷ESP 安全关联 密匙管理IKE 加密算法 验证算法 。加密算法和验证算法是其实现安全数据的核心。
AH协议的两种模式:
传输模式:保护的是端到端的通信,通信的终点必须是IPSec终点。AH头被插在数据包中,紧跟在IP头之后和需要保护的上层协议之前,对这个数据包进行安全保护
隧道模式:隧道模式是需要将自己保护的数据包封装起来,并且AH头之前另外添了个IP头,对整个IP数据包提供认证保护。AH只用于保证收到的数据包在传输过程中不会被修改,保证由要求发送它的当事人将它发送出去,以及保证它是一个新的非重放的数据包。
ESP协议的两种模式:
传输模式:传输模式仅适用于主机实现,而且仅为上层协议提供保护,而不包括IP头,在传输模式中,ESP插在IP头之后和上层协议之前,或任意其他已经插入的IPsec头之前。
隧道模式:隧道模式可适用于之举和安全网关。整个IP数据项被封装在ESP有效载荷中,并产生一个新的IP头附在ESC头之前,隧道模式的ESP保护整个内部IP包包括源IP头。
IKE协议用于动态建立SA,代表IPsec对SA进行协商,并对SADB进行填充。其基础是ISAKMP(internet安全联盟和密钥管理协议)和两种密钥交换协议(OAKLEY和SKEME)
SSL(安全套接层)协议:在传输层,有两个协议组成:SSL握手协议和SSL记录协议
有两个重要概念:SSL连接和SSL会话
SSL握手协议:能使得服务器和客户端之间互相鉴别对方身份 协商加密和MAC算法以及用来保护咋SSL记录中发送数据的加密密钥。
SSL记录协议:在客户机和服务器之间传输应用数据和SSL控制数据,其间有可能对数据进行分段或者把多个高层协议数据组合城单个数据单元。对记录协议而言要封装的上层协议有4个:握手协议 修改密文协议 告警协议 应用层协议。
安全的支持:密码 数字签名 访问控制协议。
密码系统的组成:明文和密文。
密码学的分类:对称和非对称
对称密钥密码:特点是加密和解密都要有密钥的参与,加密数据的密钥解密数据的密钥相同或者两者之间有着某种明确的数学关系,它的加密密钥和解密密钥都要保密。又称单钥密码体制
非对称密钥密码:加密数据的密钥和解密数据的密钥不同,而且从加密的密钥无法推导出解密的密钥。而且一个密钥是公开的,另一个是保密的。又称公开密钥密码体制。
分组密码:密文仅与给定的密码算法和密钥有关,与被处理的明文数据段在整个明文中所处的位置无关。分组密码技术有:DES TDEA IDEA AES
序列密码:密文不仅仅跟给定的密码算法和密钥有关,同时也是被处理的明文数据段在整个明文中所处位置的函数。
单向函数:函数:X Y,如果对每一个x属于X,很容易计算出F(x)的值,对大多数的值,对大多数y属于Y确定满足y=f(x)的x是计算上困难的。
私钥和公钥的特点:保障密钥的安全,公钥则可以发布出去,用公共密钥加密的信息只能用于专用密钥解密,公钥算法不需要联机密钥服务器,密钥分配协议简单。公钥还可以提供数字签名。
认证的目的:消息完整性认证(MD5) 身份认证(RSA)
认证系统应满足的条件:1.接收者能够检验和证实消息的合法性,真实性和完整性
2.消息的发送者对所发消息不能抵赖,某些时候也要求接收者不能否认收到的消息
3.除了合法的信息发送者外,其他人不能伪造发送信息
Hash函数的特点级概念:hash函数就是把可变长度的输入串转换成固定长度的输出串的一种函数。性质1.hash函数H可适用于任意长度的输入数据块,产生固定长度的hash值2.对于每一个给定输入数据M,都能很容易算出他的hash值H3.如果给定hash值h,要逆向推出数据M在计算上不可行,即hash函数具有单向性4.对于给定的消息M1和其hash值H1,找到满足M2不等于M1,切H1=H2的M2在计算上是不可行的,即抗弱碰撞性。5.要找到任何满足H1=H2切M1不等于M2的消息对(M1,M2)在计算上是不可行的,即抗强碰撞性。
举例说明什么是单项函数,作用是什么:
数字签名的概念:
常用的数字签名体制:DSS和RSA 和DSA
身份认证:指用户向系统出示自己身份的证明过程,通常是为了获得系统服务所必须通过的第一道关卡,任何一个想要访问系统资源的人都必须先向系统证明自己的合法身份,然后才能得到相应的权限。
常用的身份认证技术有三种:1基于密码的身份认证2.双因子身份认证3.生物特征身份认证
访问控制技术:是针对越权使用资源的防御措施,即判断使用的者是否有权限使用或更改某一项资源,并且防止非授权的使用者滥用资源。
访问控制模型:
12种访问控制的种类:主要有强制访问控制MAC 自主访问控制DAC 基于角色访问控制RBAC 基于任务访问控制TBAC
VPN的基本概念:是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络。在虚拟网络中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公众网的资源动态组成,虚拟专用网对用户端透明,用户好像使用一条专用线路进行通信。
VPN技术要求:安全保障 服务质量保证 可扩展性和灵活性 可管理性
VPN安全技术:隧道技术:它是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道实质是一种封装,它把一种协议A封装在另一种协议B中传输,实现协议A对公共网的透明性。隧道根据相应的隧道协议来创建。
防火墙的概念:防火墙是指隔离在本地网络和外界网络之间的一个执行访问控制策略的防御系统,是这一类防范措施的总称。
防火墙的种类:包过滤防火墙 应用网关防火墙 状态监测型防火墙
防火墙的体系结构:屏蔽路由器 双宿主机网关 被屏蔽主机网关 被屏蔽子网(最安全的)
为什么被屏蔽子网是最安全的:由两台屏蔽路由器将受保护的网络和外部网络隔离开,中间形成一个隔离区,就构成了被屏蔽子网结构。隔离区可以被外部网络访问,这是由靠近外部网络的屏蔽路由器控制的。为了让受保护的主机可以和外露网络主机通信,一般会在隔离区增加一台堡垒主机,这台堡垒主机可以被内部网络访问也可以访问外部网络,此事堡垒主机起到了网关的作用。他将受保护网络的主机和提供服务的服务器隔离起来使外部网络无法直接到达内部,从而增加了入侵受保护网的难度。
防火墙的功能:包过滤 审计和报警 代理 NAT(网络地址转换):源地址转换SNAT
目的地址转换DNAT VPN(虚拟专用网络) 流量统计和控制
入侵:入侵是指所有试图破坏网络信息的完整性,保密性,可用性,可信任性的行为,入侵是一个广义的概念,不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等危害计算机网络的行为。
入侵有一下几种:外部渗透 内部渗透 不法使用
入侵检测:一种试图通过观察行为,安全日志或审计资料来检测发现针对计算机或网络入侵的技术,这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成
入侵检测的分类:
特征检测:任何与已知入侵模型符合的行为都是入侵行为。它要求首先对已知的入侵行为建立签名,然后将当前用户行为和系统状态与数据库中的签名进行匹配。通过收集入侵攻击和系统缺陷的相关知识构成入侵系统的知识库,然后利用这些知识寻找那些企图利用这些系统缺陷的攻击行为来识别系统中的入侵行为。特点是:检测正确率高而覆盖率低,它的弱点是只能发现已知入侵行为。因为现在大部分入侵行为都是已知的攻击方法,所以还是可以抵御大部分攻击的。
异常入侵检测:特点在于能够发现未知的入侵,并能够对用户活动进行适应性的学习,以发现内部用户的渗透和异常,有成熟的概率论理论基础。不足之处是统计检测对事件发生的次序不敏感,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。
基于主机和网络的入侵监测系统:基于主机的入侵检测系统从单个主机上提取资料最为入侵分析的资料源,而基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的资料源。
误用和异常入侵检测系统:区别是误用入侵检测系统通常需要定义一组规则,而这种工作模式不能发现新的攻击行为,故不能提供全面的保护,但误报率很低,异常入侵检测系统所能检测到的威胁行为更多,包括已知的和未知的威胁,但这种模式会导致大量的误报。
数据的存储方式:DAS直接附加存储:是直接连接于主机服务器的一种存储方式。存储区域网SAN:一种用高速网络连接专业主机服务器的一种存储方式。网络附加存储NAS:一种专业的网络文件存储及文件备份设备,通常是直接连接在网络上并提供资料存取服务。DAS通常在单一的,数据交换量不大切性能要求不高的网络环境下,SAN应用在网络速度要高,对数据的可靠性和安全性要求高,对数据共享的性能要求高的网络环境下,代价高性能好。NAS性价比高。
数据备份结构:DAS-Based备份结构 LAN-Based备份结构 LAN-Free备份结构 SAN-Server-Free备份结构
数据备份策略:完全备份 增量备份 差分备份
硬件备份技术:RAID:RAID0:数据分块,是使用条技术来跨越磁盘分配数据的。目的是将容量和传输率提高到最大,但没有容错功能,一旦出现故障所有数据丢失。
RAID1:镜像法,使用两个完全一样的盘,每次将数据写入两个盘,一个为工作盘另一个为镜像盘,一旦工作盘发生故障镜像盘立即顶上。使系统工作不间断,可靠性高,但容量减少一半。
RAID3:奇偶校验并行交错列阵每条带上都有一个奇偶位储存冗余信息,奇偶位是数据编码信息,用来恢复数据的。这种方式数据读取速度很快,但写入数据时要计算校验位来获知写入的校验磁盘,因此写入速度较慢。
RAID5:旋转奇偶校验独立存取阵列,按一定规则把奇偶校验信息均匀分布在阵列中所有盘上,是一种容错能力分布合理的阵列,至少需要3个磁盘提供冗余。这种方式是通常使用最多的数据保护方案。
RAID10:结合RAID0和RAID1,通过分块镜像集实现,采用分块技术,多个磁盘可并行读写,镜像技术使得可靠性是所有磁盘阵列最高的。性能最好的但代价较高。
PGP:是一种网络应用,能为电子邮件系统和文件存储应用过程提供认证和保密业务,主要工作有:选择最好的加码算法来创建数据块,将密码算法集成在与操作系统和处理器独立且其命令及易于使用的应用程序中,能是软件包或者源代码等通过网络免费使用,用户可以与公司建立协议,以获得完全兼容的,低成本的商用版本。
什么是恶意软件:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行侵犯用户的合法权益的软件,但已被我过现有的法律法规规定的计算机病毒除外。
什么是病毒:病毒是指 编制者在计算机程序中插入的普哦花计算机功能或破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。广义上来说,凡是能够引起计算机故障 破坏计算机数据的程序统称为计算机病毒。
病毒的特征:非法性 隐蔽性 潜伏性 可触发性 可执行性 破坏性 传染性 针对性 什么是木马:木马是病毒的一种,与一般的病毒不同,它不会自我繁殖,也不刻意去感染其他文件,他通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,是施种者可以任意的毁坏 窃取 被种者文件,甚至远程操控被种主机。
入侵检测系统的概念:是对防火墙技术的进一步补充,入侵检测系统对计算机网络和计算机系统的关键节点进行收集和分析,检测其中是否有违反安全策略的事件发生或功击迹象,并通知系统安全管理员。
入侵检测系统的功能:识别常见的入侵和攻击,监控网络异常通信,鉴别对系统漏洞及后门的利用,完善网络安全管理。
入侵监测系统的过程:1。信息收集2.信息分析:模式匹配 统计分析 完整性分析 3.结果处理 。。