mitre網路安全_入侵檢測的分類情況

Ⅰ 急需計算機論文參考文獻

[1] 馮登國. 計算機通信網路安全. 北京：清華大學出版社, 2001
[2] Dorothy Denning, 」Cryptography and Data Security」, Addison-Wesley. ISBN
0-201-10150-5.
[3] M. Bishop and D. Bailey, 「A Critical Analysis of Vulnerability Taxonomies」,
Technical Report CSE-96-11, Dept. of Computer Science, University of California at
Davis, Davis, CA 95616-8562 (Sep. 1996).
[4] 微軟安全中心.
http://www.microsoft.com/china/technet/security/default.mspx
[5] FrSIRT. http://www.frsirt.com/english/index.php
[6] 國際CVE標准. http://www.cve.mitre.org
[7] Mitre Corporation. Common Vulnerabilities and Exposures. Available from
http://cve.mitre.org/ , accessed 2003.
[8] Wenliang Du,Aditya P. Mathur. Vulnerability Testing of Software System Using
Fault Injection.Coast TR 98-02, 1998.
[9] CVSS. http://www.first.org/cvss/.
[10] Matt Blaze. 2002 September 15 (Preprint, revised 2003 March 02). Cryptology
and Physical Security: Rights Amplification in Master-Keyed Mechanical Locks. IEEE
Security and Privacy (March/April 2003).
[11] Steven M. Christey and Chris Wysopal. 2002 February 12 (Expired 2002 August
12). Responsible Vulnerability Disclosure Process (Internet-Draft RFC).
[12] Computer Emergency Response Team/Coordination Center. 2000 October 09.
CERT/CC Vulnerability Disclosure Policy.
[13] Computer Emergency Response Team/Coordination Center. 2003. CERT/CC
Vulnerability Metric.
[14] Russ Cooper. 2001. Proposal – The Responsible Disclosure Forum.
[15] Dennis Fisher. 2003 November 18. 「Security Researcher Calls for Vulnerability
Trade Association.」 eWeek.
[16] Daniel E. Geer, Jr. (Editor), Dennis Devlin, Jim Duncan, Jeffrey Schiller, and Jane
Winn. 2002 Third Quarter. 「Vulnerability Disclosure.」 Secure Business Quarterly.
[17] Daniel E. Geer, Jr. (Editor), Mary Ann Davidson, Marc Donner, Lynda McGhie,
and Adam Shostack. 2003 Second Quarter. 「Patch Management.」 Secure Business Quarterly.
[18] Tiina Havana. 2003 April. Communication in the Software Vulnerability
Reporting Process. M.A. thesis, University of Jyvaskyla.
[19] Internet Security Systems. 2002 November 18 (Revised). X-Force™ Vulnerability
Disclosure Guidelines.
[20] Elias Levy. 2001 October 21. 「Security in an Open Electronic Society.」
SecurityFocus.
[21] Microsoft Corporation. 2002 November (Revised). Microsoft Security Response
Center Security Bulletin Severity Rating System.
[22] Marcus Ranum. 2000 October. 「The Network Police Blotter – Full Disclosure is
Bogus.」 ;login:The Magazine of USENIX & SAGE. Volume 25, no. 6: 47-49.
[23] Krsul V.Software Vulnerability Analysis.Department of Computer Sciences,
Pure University, 1998
[24] @Stake. 2002 June 05. Security Vulnerability Reporting Policy. Available from
http://www.atstake.com/research/policy/ , accessed 2003.
[25] William A. Arbaugh, William L. Fithen, and John McHugh. 2000 December.
Windows of Vulnerability: A Case Study Analysis. IEEE Computer.
[26] Ross Anderson. 2001. Security Engineering: A Guide to Building Dependable
Distributed Systems. John Wiley & Sons. ISBN: 0-471-38922-6.
[27] Matt Bishop. 2003. Computer Security: Art and Science. Addison-Wesley
Professional. ISBN: 0-201-44099-7.
[28] Matt Bishop. 1999 September. Vulnerabilities Analysis. Proceedings of the
Second International Symposium on Recent Advances in Intrusion Detection.
[29] 單國棟, 戴英俠, 王航. 計算機漏洞分類研究. 計算機工程,2002,28(10):3-6
[30] 夏雲慶編著 Visual C++ 6.0 資料庫高級編程北京希望電子出版社
[31] 段鋼編著加密與解密（第二版）電子工業出版社
[33] 候俊傑著深入淺出MFC 第2 版華中科技大學出版社
[34] Applied Microsoft.NET Framework Programming (美) Jeffrey Richter 著清華
大學出版社
[35] National Vulnerability Database http://nvd.nist.gov
[36] US-CERT Vulnerability Notes. http://www.kb.cert.org/vuls
[37] SecurityFocus. http://www.securityfocus.com
[38] Internet Security Systems – X-Force Database.
http://xforce.iss.net/xforce/search.php
[39] The Open Source Vulnerability Database

Ⅱ 青藤雲安全為什麼在行業內口碑這么好啊

青藤的口碑好在我看來是他們靠實力獲得的，他們在安全行業做了有七年之久了，他們在技術研發這塊非常的重視，為此還成立了吳鉤實驗室，這個實驗室專注於紅隊前沿攻防技術，擁有國內一流安全專家。除此還有73Lab安全實驗室與 MITRE公司、國家信息安全漏洞共享平台（CNVD）、中國國家信息安全漏洞庫（CNNVD）有密切合作。最後就是他們的應急響應團隊也超贊，有100多名工程師，分布在華北、華中、華南和西南等城市，能為客戶提供7*24小時的網路安全事件應急響應。

Ⅲ 入侵檢測的分類情況

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。（警報）
當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程式控制制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。（異常）
當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。（IDS硬體）
除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統。
ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務）
ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是。（攻擊）
Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：
攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。
攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。
攻擊類型3－Smurf：這是一種老式的攻擊，還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。
攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。（自動響應）
除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標准IP棧需求。（Computer Emergency Response Team，計算機應急響應小組）
這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。（Common Intrusion Detection Framework；通用入侵檢測框架）
CIDF力圖在某種程度上將入侵檢測標准化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。（Computer Incident Response Team，計算機事件響應小組）
CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。（Common Intrusion Specification Language，通用入侵規范語言）
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試，因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。（Common Vulnerabilities and Exposures，通用漏洞披露）
關於漏洞的一個老問題就是在設計掃描程序或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE創建了CVE，將漏洞名稱進行標准化，參與的廠商也就順理成章按照這個標准開發IDS產品。（自定義數據包）
建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。（同步失效）
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。（列舉）
經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。（躲避）
Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。（漏洞利用）
對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會利用漏洞編寫出程序。
漏洞利用：Zero Day Exploit（零時間漏洞利用）
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。（漏報）
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives（誤報）
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls（防火牆）
防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准，如源地址、埠等，將危險連接阻擋在外。（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視。（分片）
如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。（啟發）
Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入數據進行分析的IDS還很少很少。（Honeynet工程）
Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵信息就會被捕獲並接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。（蜜罐）
蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。（IDS分類）
有許多不同類型的IDS，以下分別列出：
IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。（Intrusion Detection Working Group，入侵檢測工作組）
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。（事件處理）
檢測到一個入侵只是開始。更普遍的情況是，控制台操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。（事件響應）
對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程序進行處理。（孤島）
孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。（混雜模式）
默認狀態下，IDS網路介面只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）埠。
Routers（路由器）
路由器是用來連接不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。（掃描器）
掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。
掃描器種類1－NetworkScanners（網路掃描器）：網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的操作系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
掃描器種類3－Host VulnerabilityScanners（主機漏洞掃描器）：這類工具就像個有特權的用戶，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網路IDS，特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠程Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS資料庫掃描器，會掃描資料庫中的漏洞。（腳本小子）
有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。（躲避）
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。（特徵）
IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標准，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。（隱藏）
隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應。

Ⅳ 計算機病毒論文方面的文獻

Ⅳ 軟體漏洞的軟體漏洞中編程錯誤

大多數IT安全事件(如補丁程序或網路攻擊等)都與軟體編程錯誤有關，在過去的三年中，非贏利調研機構MITRE和美國系統網路安全協會( SANS Institute)發現了700多處常見的軟體編程錯誤，經過安全專家的篩選，最終公布了以下25大軟體編程錯誤：
1. 錯誤的輸入驗證
2. 不正確的編碼或轉義輸出
3. 維持SQL查詢結構(SQL注入)錯誤
4. 維持網頁結構(跨站點腳本)錯誤
5. 維持操作系統命令結果(操作系統命令注入)錯誤
6. 明文傳送敏感信息
7. 跨站點請求偽造
8. 資源競爭(Race condition)
9. 錯誤信息泄露
10. 限定緩沖區內操作失敗
11. 外部控制重要狀態數據
12. 外部控制文件名或路徑
13. 不可信搜索路徑
14. 控制代碼生成錯誤(代碼注入)
15. 下載未經完整性檢查的代碼
16. 錯誤的資源關閉或發布
17. 不正確的初始化
18. 錯誤計算
19. 可滲透防護
20. 使用被破解的加密演算法
21. 硬編碼密碼
22. 對核心資源的錯誤許可權分配
23. 隨機值的錯誤利用
24. 濫用特權操作
25. 客戶端執行伺服器端安全

Ⅵ 攻擊框架是干什麼用的

攻擊框架是干什麼用的如下
外部框架幫助我們更好地理解我們所面臨的威脅環境。其中一個被廣泛使用的框架是MITRE的ATT&CK框架。MITRE公司是一個非營利性的智囊團，在各種公共和私人夥伴關系中進行研究和開發。網路安全是他們的重點領域之一。
幾十年來，MITRE在推動我們領域的技術水平方面一直發揮著作用。他們的研究工作之一是開發Adversarial Tactics, Techniques & Common Knowledge或ATT&CK框架。這個ATT&CK框架是多年來從現實世界的組織中收集的關於攻擊者的知識。如下是這個框架的內容。
該框架中最容易識別這個攻擊技術表。表中的每一列都代表了攻擊者的一種攻擊方式和戰術。正如我們所看到的，這些戰術包括初始訪問、執行、持久性、許可權升級、防禦規避、憑證訪問、發現、橫向移動、收集、指揮和控制、滲透和影響。在每一種戰術之下，都有攻擊者可以用來實現該目標的具體技術。

Ⅶ 如何看待360投資的tuber瀏覽器

說明企業瀏覽器走向兼顧功能+安全雙屬性。

眾所周知，瀏覽器從最早期的訪問網站、視頻娛樂、游戲購物等，再到如今逐漸成為生產力工具，承載著企業協同辦公、工單管理、客戶管理等系統的運行，瀏覽器已演變為政企辦公場景的主要「入口」。

據研究機構MITRE報告顯示，高達80%以上的攻擊方法針對終端環境，而瀏覽器首當其沖。瀏覽器功能強大、數據豐富，且高度依賴於第三方插件，是網路犯罪分子在業務系統和個人網路建立攻擊立足點的理想工具。尤其在數字化高速發展的今天，一旦瀏覽器受到攻擊就會泄露大量隱私數據，可能為政企和個人釀成難以預計的後果。

投資的tuber瀏覽器的意義：

在政企實際辦公場景中，員工使用的瀏覽器來源五花八門，如操作系統集成預裝、軟體商店推送、用戶自行安裝等方式，這些面向個人用戶的瀏覽器往往會為企業帶來諸多問題，如IT運維成本高、版本升級造成業務系統無法訪問、向國外伺服器發送信息對業務安全產生威脅、出現問題無服務、無定製化支持等。

作為我國網路安全的領軍企業，360於2018年在國內首個推出自有根證書計劃，運行兩年來已取得一定成果，並覆蓋全球98% HTTPS流量，成為中國唯一、全球第五大自有根證書庫，這也意味著360在國內乃至全球的數字證書認證上擁有了更多話語權。

Ⅷ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(8)mitre網路安全擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

Ⅸ 網際網路起源於哪一年

網際網路始於1969年的美國。

網際網路是Internet的中文譯名，它的前身是美國國防部高級研究計劃局（ARPA）主持研製的ARPAnet。

20世紀50年代末，正處於冷戰時期。當時美國軍方為了自己的計算機網路在受到襲擊時，即使部分網路被摧毀，其餘部分仍能保持通信聯系，便由美國國防部的高級研究計劃局（ARPA）建設了一個軍用網，叫做「阿帕網（ARPAnet）。

阿帕網於1969年正式啟用，當時僅連接了4台計算機，供科學家們進行計算機聯網實驗用。這就是網際網路的前身。

(9)mitre網路安全擴展閱讀

近十年來，隨著社會科技，文化和經濟的發展，特別是計算機網路技術和通信技術的大發展，隨著人類社會從工業社會向信息社會過渡的趨勢越來越明顯，人們對信息的意識，對開發和使用信息資源的重視越來越加強。

這些都強烈刺激了ARPAnet和NSFnet的發展，使聯入這兩個網路的主機和用戶數目急劇增加，1988年，由NSFnet連接的計算機數就猛增到56000台，此後每年更以2到3倍的驚人速度向前發展。

Ⅹ 流量分析工具有什麼用途

流量分析工具用途：

1). 44%的受訪者認為NTA工具必須內置分析功能，幫助分析師改善和加速威脅檢測。這些分析功能可建立在機器學習演算法、啟發式方法、腳本等基礎上。重點在於，分析師想要NTA工具攝入數據並交付高保真警報，而不是發出刺耳的噪音。

2). 44%聲稱，NTA工具必須提供威脅情報服務和／或集成，以便供分析師比對可疑／惡意網路行為與野生已知威脅。MITRE ATT&CK框架(MAF)的流行充分例證了威脅情報綜合功能在所有安全工具中的重要性。因此，威脅情報是NTA工具從一開始就必須具備的功能。

3). 38%稱NTA工具必須能夠監視物聯網流量、協議、設備等。該功能目前看來還很新，但預計未來一年到一年半間，物聯網支持將成企業NTA工具必備功能。

4). 37%認為NTA工具必須能夠監視所有聯網節點，在新網路節點接入時發出警報。換句話說，安全人員想要NTA工具默認具備該傳統NAC功能，在未受許可設備接入時發出警報。

5). 37%稱NTA工具要能與其他類型的安全技術健壯集成。根據經驗，NTA工具應與惡意軟體沙箱、終端檢測與響應（EDR)、安全信息與事件管理（SIEM)，以及前面提到的及時准確威脅情報緊密結合。

6). 37%稱NTA工具必須提供監視雲流量和報告威脅與異常的功能。在最近舉辦的re:Inforce大會上，亞馬遜公司發布了虛擬專用雲（VPC)功能，提供雲聯網可見性。

這就是用戶需要的持續雲網路監視功能。NTA工具應能在AWS、微軟Azure、谷歌雲平台（GCP)等雲服務上運用這樣的雲網路監視功能，提供端到端網路安全可見性。

NTA工具多種多樣，到底該怎樣選擇符合企業需求的那一款呢？CISO可以從確保NTA工具達到或超越上述六大功能開始准備自己的信息邀請書（RFI) /徵求建議書（RFP)過程。

mitre網路安全

與mitre網路安全相關的內容