mitre网络安全_入侵检测的分类情况

Ⅰ 急需计算机论文参考文献

[1] 冯登国. 计算机通信网络安全. 北京：清华大学出版社, 2001
[2] Dorothy Denning, ”Cryptography and Data Security”, Addison-Wesley. ISBN
0-201-10150-5.
[3] M. Bishop and D. Bailey, “A Critical Analysis of Vulnerability Taxonomies”,
Technical Report CSE-96-11, Dept. of Computer Science, University of California at
Davis, Davis, CA 95616-8562 (Sep. 1996).
[4] 微软安全中心.
http://www.microsoft.com/china/technet/security/default.mspx
[5] FrSIRT. http://www.frsirt.com/english/index.php
[6] 国际CVE标准. http://www.cve.mitre.org
[7] Mitre Corporation. Common Vulnerabilities and Exposures. Available from
http://cve.mitre.org/ , accessed 2003.
[8] Wenliang Du,Aditya P. Mathur. Vulnerability Testing of Software System Using
Fault Injection.Coast TR 98-02, 1998.
[9] CVSS. http://www.first.org/cvss/.
[10] Matt Blaze. 2002 September 15 (Preprint, revised 2003 March 02). Cryptology
and Physical Security: Rights Amplification in Master-Keyed Mechanical Locks. IEEE
Security and Privacy (March/April 2003).
[11] Steven M. Christey and Chris Wysopal. 2002 February 12 (Expired 2002 August
12). Responsible Vulnerability Disclosure Process (Internet-Draft RFC).
[12] Computer Emergency Response Team/Coordination Center. 2000 October 09.
CERT/CC Vulnerability Disclosure Policy.
[13] Computer Emergency Response Team/Coordination Center. 2003. CERT/CC
Vulnerability Metric.
[14] Russ Cooper. 2001. Proposal – The Responsible Disclosure Forum.
[15] Dennis Fisher. 2003 November 18. “Security Researcher Calls for Vulnerability
Trade Association.” eWeek.
[16] Daniel E. Geer, Jr. (Editor), Dennis Devlin, Jim Duncan, Jeffrey Schiller, and Jane
Winn. 2002 Third Quarter. “Vulnerability Disclosure.” Secure Business Quarterly.
[17] Daniel E. Geer, Jr. (Editor), Mary Ann Davidson, Marc Donner, Lynda McGhie,
and Adam Shostack. 2003 Second Quarter. “Patch Management.” Secure Business Quarterly.
[18] Tiina Havana. 2003 April. Communication in the Software Vulnerability
Reporting Process. M.A. thesis, University of Jyvaskyla.
[19] Internet Security Systems. 2002 November 18 (Revised). X-Force™ Vulnerability
Disclosure Guidelines.
[20] Elias Levy. 2001 October 21. “Security in an Open Electronic Society.”
SecurityFocus.
[21] Microsoft Corporation. 2002 November (Revised). Microsoft Security Response
Center Security Bulletin Severity Rating System.
[22] Marcus Ranum. 2000 October. “The Network Police Blotter – Full Disclosure is
Bogus.” ;login:The Magazine of USENIX & SAGE. Volume 25, no. 6: 47-49.
[23] Krsul V.Software Vulnerability Analysis.Department of Computer Sciences,
Pure University, 1998
[24] @Stake. 2002 June 05. Security Vulnerability Reporting Policy. Available from
http://www.atstake.com/research/policy/ , accessed 2003.
[25] William A. Arbaugh, William L. Fithen, and John McHugh. 2000 December.
Windows of Vulnerability: A Case Study Analysis. IEEE Computer.
[26] Ross Anderson. 2001. Security Engineering: A Guide to Building Dependable
Distributed Systems. John Wiley & Sons. ISBN: 0-471-38922-6.
[27] Matt Bishop. 2003. Computer Security: Art and Science. Addison-Wesley
Professional. ISBN: 0-201-44099-7.
[28] Matt Bishop. 1999 September. Vulnerabilities Analysis. Proceedings of the
Second International Symposium on Recent Advances in Intrusion Detection.
[29] 单国栋, 戴英侠, 王航. 计算机漏洞分类研究. 计算机工程,2002,28(10):3-6
[30] 夏云庆编着 Visual C++ 6.0 数据库高级编程北京希望电子出版社
[31] 段钢编着加密与解密（第二版）电子工业出版社
[33] 候俊杰着深入浅出MFC 第2 版华中科技大学出版社
[34] Applied Microsoft.NET Framework Programming (美) Jeffrey Richter 着清华
大学出版社
[35] National Vulnerability Database http://nvd.nist.gov
[36] US-CERT Vulnerability Notes. http://www.kb.cert.org/vuls
[37] SecurityFocus. http://www.securityfocus.com
[38] Internet Security Systems – X-Force Database.
http://xforce.iss.net/xforce/search.php
[39] The Open Source Vulnerability Database

Ⅱ 青藤云安全为什么在行业内口碑这么好啊

青藤的口碑好在我看来是他们靠实力获得的，他们在安全行业做了有七年之久了，他们在技术研发这块非常的重视，为此还成立了吴钩实验室，这个实验室专注于红队前沿攻防技术，拥有国内一流安全专家。除此还有73Lab安全实验室与 MITRE公司、国家信息安全漏洞共享平台（CNVD）、中国国家信息安全漏洞库（CNNVD）有密切合作。最后就是他们的应急响应团队也超赞，有100多名工程师，分布在华北、华中、华南和西南等城市，能为客户提供7*24小时的网络安全事件应急响应。

Ⅲ 入侵检测的分类情况

入侵检测系统所采用的技术可分为特征检测与异常检测两种。（警报）
当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员。（异常）
当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警。一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能。（IDS硬件）
除了那些要安装到现有系统上去的IDS软件外，在市场的货架上还可以买到一些现成的IDS硬件，只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi开发的一个攻击特征数据库，它是动态更新的，适用于多种基于网络的入侵检测系统。
ARIS：Attack Registry & Intelligence Service（攻击事件注册及智能服务）
ARIS是SecurityFocus公司提供的一个附加服务，它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件，随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来，最终形成详细的网络安全统计分析及趋势预测，发布在网络上。它的URL地址是。（攻击）
Attacks可以理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型：
攻击类型1－DOS（Denial Of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，它只是使系统瘫痪，使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流（flooding）耗尽系统资源等等。
攻击类型2－DDOS（Distributed Denial of Service，分布式拒绝服务攻击）：一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击，却无法发出足够的信息包来达到理想的结果，因此就产生了DDOS，即从多个分散的主机一个目标发动攻击，耗尽远程系统的资源，或者使其连接失效。
攻击类型3－Smurf：这是一种老式的攻击，还时有发生，攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作，然后所有活动主机都会向该目标应答，从而中断网络连接。
攻击类型4－Trojans（特洛伊木马）：Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马，木马中藏有希腊士兵，当木马运到城里，士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中，它原本是指那些以合法程序的形式出现，其实包藏了恶意软件的那些软件。这样，当用户运行合法程序时，在不知情的情况下，恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具，Trojan这个术语很快就演变为专指这类工具，例如BackOrifice、SubSeven、NetBus等等。（自动响应）
除了对攻击发出警报，有些IDS还能自动抵御这些攻击。抵御方式有很多：首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；其次，通过在网络上发送reset包切断连接。但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求。（Computer Emergency Response Team，计算机应急响应小组）
这个术语是由第一支计算机应急反映小组选择的，这支团队建立在Carnegie Mellon大学，他们对计算机安全方面的事件做出反应、采取行动。许多组织都有了CERT，比如CNCERT/CC（中国计算机网络应急处理协调中心）。由于emergency这个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident Response Team（CIRT），即计算机事件反应团队。response这个词有时也用handling来代替，其含义是response表示紧急行动，而非长期的研究。（Common Intrusion Detection Framework；通用入侵检测框架）
CIDF力图在某种程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能够共享信息和资源，并且入侵检测组件也能够在其它系统中再利用。（Computer Incident Response Team，计算机事件响应小组）
CIRT是从CERT演变而来的，CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的，而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。（Common Intrusion Specification Language，通用入侵规范语言）
CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试。（Common Vulnerabilities and Exposures，通用漏洞披露）
关于漏洞的一个老问题就是在设计扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。还有，一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中，这样就给人一种错觉，好像他们的产品更加有效。MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。（自定义数据包）
建立自定义数据包，就可以避开一些惯用规定的数据包结构，从而制造数据包欺骗，或者使得收到它的计算机不知该如何处理它。（同步失效）
Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑，从而导致无法重新构建数据。这一技术在1998年很流行，已经过时了，有些文章把desynchronization这个术语代指其它IDS逃避方法。（列举）
经过被动研究和社会工程学的工作后，攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于行动不再是被动的，它就有可能被检测出来。当然为了避免被检测到，他们会尽可能地悄悄进行。（躲避）
Evasion是指发动一次攻击，而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面，而实际攻击的却是另一个目标，所谓明修栈道，暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL（有效时间）值，这样，经过IDS的信息看起来好像是无害的，而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标，无害的部分就会被丢掉，只剩下有害的。（漏洞利用）
对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或脚本。
对每个漏洞都会存在利用这个漏洞执行攻击的方式，这个方式就是Exploit。为了攻击系统，黑客会利用漏洞编写出程序。
漏洞利用：Zero Day Exploit（零时间漏洞利用）
零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用，也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现，很快就会出现针对它的补丁程序，并在IDS中写入其特征标识信息，使这个漏洞利用无效，有效地捕获它。（漏报）
漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。
False Positives（误报）
误报是指实际无害的事件却被IDS检测为攻击事件。
Firewalls（防火墙）
防火墙是网络安全的第一道关卡，虽然它不是IDS，但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准，如源地址、端口等，将危险连接阻挡在外。（Forum of Incident Response and Security Teams，事件响应和安全团队论坛）
FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟，一年一度的FIRST受到高度的重视。（分片）
如果一个信息包太大而无法装载，它就不得不被分成片断。分片的依据是网络的MTU（Maximum Transmission Units，最大传输单元）。例如，灵牌环网（token ring）的MTU是4464，以太网（Ethernet）的MTU是1500，因此，如果一个信息包要从灵牌环网传输到以太网，它就要被分裂成一些小的片断，然后再在目的地重建。虽然这样处理会造成效率降低，但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法，另外还有一些DOS攻击也使用分片技术。（启发）
Heuristics就是指在入侵检测中使用AI（artificial intelligence，人工智能）思想。真正使用启发理论的IDS已经出现大约10年了，但他们还不够“聪明”，攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵，这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当“聪明”的IDS了，所以就将它们看做是启发式IDS。但实际上，真正应用AI技术对输入数据进行分析的IDS还很少很少。（Honeynet工程）
Honeynet是一种学习工具，是一个包含安全缺陷的网络系统。当它受到安全威胁时，入侵信息就会被捕获并接受分析，这样就可以了解黑客的一些情况。Honeynet是一个由30余名安全专业组织成员组成、专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。他们已经建立了一系列的honeypots，提供了看似易受攻击的Honeynet网络，观察入侵到这些系统中的黑客，研究黑客的战术、动机及行为。（蜜罐）
蜜罐是一个包含漏洞的系统，它模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。
蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。但是在一些国家中，是不能利用蜜罐收集证据起诉黑客的。（IDS分类）
有许多不同类型的IDS，以下分别列出：
IDS分类1－Application IDS（应用程序IDS）：应用程序IDS为一些特殊的应用程序发现入侵信号，这些应用程序通常是指那些比较易受攻击的应用程序，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程序，但也可以经过训练，应用于应用程序。例如，KSE（一个基于主机的IDS）可以告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。
IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS代理需要向中心控制台报告信息。许多中心控制台还可以接收其它来源的数据，如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分类3－File Integrity Checkers（文件完整性检查器）：当一个系统受到攻击者的威胁时，它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要（加密的杂乱信号），就可以定时地检查文件，查看它们是否被改变，这样就在某种程度上提供了保证。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已经受到攻击后，系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，出现的许多产品能在文件被访问的同时就进行检查，可以看做是实时IDS产品了。该类产品有Tripwire和Intact。
IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已经介绍过。蜜罐的例子包括Mantrap和Sting。
IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就可以很快地检测出来，技术人员和安全人士都非常喜欢它。基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。
IDS分类6－Hybrid IDS（混合IDS）：现代交换网络的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换网络不允许网卡以混杂模式工作，这使传统网络IDS的安装非常困难。其次，很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，它将IDS提升了一个层次，组合了网络节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。
IDS分类7－Network IDS（NIDS，网络IDS）：NIDS对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器，但是它们变得更加智能化，可以破译协议并维护状态。NIDS存在基于应用程序的产品，只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析，但是在网络高负载下，还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。
IDS分类8－Network Node IDS（NNIDS，网络节点IDS）：有些网络IDS在高速下是不可靠的，装载之后它们会丢弃很高比例的网络信息包，而且交换网络经常会妨碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机，从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似，但它们之间还有区别。对于被归类为NNIDS的个人防火墙，应该对企图的连接做分析。例如，不像在许多个人防火墙上发现的“试图连接到端口xxx”，一个NNIDS会对任何的探测都做特征分析。另外，NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。
IDS分类9－Personal Firewall（个人防火墙）：个人防火墙安装在单独的系统中，防止不受欢迎的连接，无论是进来的还是出去的，从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。
IDS分类10－Target-Based IDS（基于目标的IDS）：这是不明确的IDS术语中的一个，对不同的人有不同的意义。可能的一个定义是文件完整性检查器，而另一个定义则是网络IDS，后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度，因为它不搜寻那些不必要的攻击。（Intrusion Detection Working Group，入侵检测工作组）
入侵检测工作组的目标是定义数据格式和交换信息的程序步骤，这些信息是对于入侵检测系统、响应系统以及那些需要与它们交互作用的管理系统都有重要的意义。入侵检测工作组与其它IETF组织协同工作。（事件处理）
检测到一个入侵只是开始。更普遍的情况是，控制台操作员会不断地收到警报，由于根本无法分出时间来亲自追踪每个潜在事件，操作员会在感兴趣的事件上做出标志以备将来由事件处理团队来调查研究。在最初的反应之后，就需要对事件进行处理，也就是诸如调查、辩论和起诉之类的事宜。（事件响应）
对检测出的潜在事件的最初反应，随后对这些事件要根据事件处理的程序进行处理。（孤岛）
孤岛就是把网络从Internet上完全切断，这几乎是最后一招了，没有办法的办法。一个组织只有在大规模的病毒爆发或受到非常明显的安全攻击时才使用这一手段。（混杂模式）
默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）。如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口。
Routers（路由器）
路由器是用来连接不同子网的中枢，它们工作于OSI 7层模型的传输层和网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表（ACLs），允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中，提供有关被阻挡的访问网络企图的宝贵信息。（扫描器）
扫描器是自动化的工具，它扫描网络和主机的漏洞。同入侵检测系统一样，它们也分为很多种，以下分别描述。
扫描器种类1－NetworkScanners（网络扫描器）：网络扫描器在网络上搜索以找到网络上所有的主机。传统上它们使用的是ICMP ping技术，但是这种方法很容易被检测出来。为了变得隐蔽，出现了一些新技术，例如ack扫描和fin扫描。使用这些更为隐蔽扫描器的另一个好处是：不同的操作系统对这些扫描会有不同的反应，从而为攻击者提供了更多有价值的信息。这种工具的一个例子是nmap。
扫描器种类2－Network Vulnerability Scanners（网络漏洞扫描器）：网络漏洞扫描器将网络扫描器向前发展了一步，它能检测目标主机，并突出一切可以为黑客利用的漏洞。网络漏洞扫描器可以为攻击者和安全专家使用，但会经常让IDS系统“紧张”。该类产品有Retina和CyberCop。
扫描器种类3－Host VulnerabilityScanners（主机漏洞扫描器）：这类工具就像个有特权的用户，从内部扫描主机，检测口令强度、安全策略以及文件许可等内容。网络IDS，特别是主机IDS可以将它检测出来。该类产品有SecurityExpressions，它是一个远程Windows漏洞扫描器，并且能自动修复漏洞。还有如ISS数据库扫描器，会扫描数据库中的漏洞。（脚本小子）
有些受到大肆宣扬的Internet安全破坏，如2000年2月份对Yahoo的拒绝服务攻击，是一些十来岁的中学生干的，他们干这些坏事的目的好象是为了扬名。安全专家通常把这些人称为脚本小子（Script Kiddies）。脚本小子通常都是一些自发的、不太熟练的cracker，他们使用从Internet 上下载的信息、软件或脚本对目标站点进行破坏。黑客组织或法律实施权威机构都对这些脚本小孩表示轻蔑，因为他们通常都技术不熟练，手上有大把时间可以来搞破坏，他们的目的一般是为了给他们的朋友留下印象。脚本小子就像是拿着抢的小孩，他们不需要懂得弹道理论，也不必能够制造枪支，就能成为强大的敌人。因此，无论何时都不能低估他们的实力。（躲避）
躲避是指配置边界设备以拒绝所有不受欢迎的信息包，有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。（特征）
IDS的核心是攻击特征，它使IDS在事件发生时触发。特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度。有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS。大家一定要清楚这些。（隐藏）
隐藏是指IDS在检测攻击时不为外界所见，它们经常在DMZ以外使用，没有被防火墙保护。它有些缺点，如自动响应。

Ⅳ 计算机病毒论文方面的文献

Ⅳ 软件漏洞的软件漏洞中编程错误

大多数IT安全事件(如补丁程序或网络攻击等)都与软件编程错误有关，在过去的三年中，非赢利调研机构MITRE和美国系统网络安全协会( SANS Institute)发现了700多处常见的软件编程错误，经过安全专家的筛选，最终公布了以下25大软件编程错误：
1. 错误的输入验证
2. 不正确的编码或转义输出
3. 维持SQL查询结构(SQL注入)错误
4. 维持网页结构(跨站点脚本)错误
5. 维持操作系统命令结果(操作系统命令注入)错误
6. 明文传送敏感信息
7. 跨站点请求伪造
8. 资源竞争(Race condition)
9. 错误信息泄露
10. 限定缓冲区内操作失败
11. 外部控制重要状态数据
12. 外部控制文件名或路径
13. 不可信搜索路径
14. 控制代码生成错误(代码注入)
15. 下载未经完整性检查的代码
16. 错误的资源关闭或发布
17. 不正确的初始化
18. 错误计算
19. 可渗透防护
20. 使用被破解的加密算法
21. 硬编码密码
22. 对核心资源的错误权限分配
23. 随机值的错误利用
24. 滥用特权操作
25. 客户端执行服务器端安全

Ⅵ 攻击框架是干什么用的

攻击框架是干什么用的如下
外部框架帮助我们更好地理解我们所面临的威胁环境。其中一个被广泛使用的框架是MITRE的ATT&CK框架。MITRE公司是一个非营利性的智囊团，在各种公共和私人伙伴关系中进行研究和开发。网络安全是他们的重点领域之一。
几十年来，MITRE在推动我们领域的技术水平方面一直发挥着作用。他们的研究工作之一是开发Adversarial Tactics, Techniques & Common Knowledge或ATT&CK框架。这个ATT&CK框架是多年来从现实世界的组织中收集的关于攻击者的知识。如下是这个框架的内容。
该框架中最容易识别这个攻击技术表。表中的每一列都代表了攻击者的一种攻击方式和战术。正如我们所看到的，这些战术包括初始访问、执行、持久性、权限升级、防御规避、凭证访问、发现、横向移动、收集、指挥和控制、渗透和影响。在每一种战术之下，都有攻击者可以用来实现该目标的具体技术。

Ⅶ 如何看待360投资的tuber浏览器

说明企业浏览器走向兼顾功能+安全双属性。

众所周知，浏览器从最早期的访问网站、视频娱乐、游戏购物等，再到如今逐渐成为生产力工具，承载着企业协同办公、工单管理、客户管理等系统的运行，浏览器已演变为政企办公场景的主要“入口”。

据研究机构MITRE报告显示，高达80%以上的攻击方法针对终端环境，而浏览器首当其冲。浏览器功能强大、数据丰富，且高度依赖于第三方插件，是网络犯罪分子在业务系统和个人网络建立攻击立足点的理想工具。尤其在数字化高速发展的今天，一旦浏览器受到攻击就会泄露大量隐私数据，可能为政企和个人酿成难以预计的后果。

投资的tuber浏览器的意义：

在政企实际办公场景中，员工使用的浏览器来源五花八门，如操作系统集成预装、软件商店推送、用户自行安装等方式，这些面向个人用户的浏览器往往会为企业带来诸多问题，如IT运维成本高、版本升级造成业务系统无法访问、向国外服务器发送信息对业务安全产生威胁、出现问题无服务、无定制化支持等。

作为我国网络安全的领军企业，360于2018年在国内首个推出自有根证书计划，运行两年来已取得一定成果，并覆盖全球98% HTTPS流量，成为中国唯一、全球第五大自有根证书库，这也意味着360在国内乃至全球的数字证书认证上拥有了更多话语权。

Ⅷ 什么是入侵检测，以及入侵检测的系统结构组成

入侵检测是防火墙的合理补充。

入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

(8)mitre网络安全扩展阅读：

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵。

后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高。

误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。

这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

Ⅸ 因特网起源于哪一年

因特网始于1969年的美国。

因特网是Internet的中文译名，它的前身是美国国防部高级研究计划局（ARPA）主持研制的ARPAnet。

20世纪50年代末，正处于冷战时期。当时美国军方为了自己的计算机网络在受到袭击时，即使部分网络被摧毁，其余部分仍能保持通信联系，便由美国国防部的高级研究计划局（ARPA）建设了一个军用网，叫做“阿帕网（ARPAnet）。

阿帕网于1969年正式启用，当时仅连接了4台计算机，供科学家们进行计算机联网实验用。这就是因特网的前身。

(9)mitre网络安全扩展阅读

近十年来，随着社会科技，文化和经济的发展，特别是计算机网络技术和通信技术的大发展，随着人类社会从工业社会向信息社会过渡的趋势越来越明显，人们对信息的意识，对开发和使用信息资源的重视越来越加强。

这些都强烈刺激了ARPAnet和NSFnet的发展，使联入这两个网络的主机和用户数目急剧增加，1988年，由NSFnet连接的计算机数就猛增到56000台，此后每年更以2到3倍的惊人速度向前发展。

Ⅹ 流量分析工具有什么用途

流量分析工具用途：

1). 44%的受访者认为NTA工具必须内置分析功能，帮助分析师改善和加速威胁检测。这些分析功能可建立在机器学习算法、启发式方法、脚本等基础上。重点在于，分析师想要NTA工具摄入数据并交付高保真警报，而不是发出刺耳的噪音。

2). 44%声称，NTA工具必须提供威胁情报服务和／或集成，以便供分析师比对可疑／恶意网络行为与野生已知威胁。MITRE ATT&CK框架(MAF)的流行充分例证了威胁情报综合功能在所有安全工具中的重要性。因此，威胁情报是NTA工具从一开始就必须具备的功能。

3). 38%称NTA工具必须能够监视物联网流量、协议、设备等。该功能目前看来还很新，但预计未来一年到一年半间，物联网支持将成企业NTA工具必备功能。

4). 37%认为NTA工具必须能够监视所有联网节点，在新网络节点接入时发出警报。换句话说，安全人员想要NTA工具默认具备该传统NAC功能，在未受许可设备接入时发出警报。

5). 37%称NTA工具要能与其他类型的安全技术健壮集成。根据经验，NTA工具应与恶意软件沙箱、终端检测与响应（EDR)、安全信息与事件管理（SIEM)，以及前面提到的及时准确威胁情报紧密结合。

6). 37%称NTA工具必须提供监视云流量和报告威胁与异常的功能。在最近举办的re:Inforce大会上，亚马逊公司发布了虚拟专用云（VPC)功能，提供云联网可见性。

这就是用户需要的持续云网络监视功能。NTA工具应能在AWS、微软Azure、谷歌云平台（GCP)等云服务上运用这样的云网络监视功能，提供端到端网络安全可见性。

NTA工具多种多样，到底该怎样选择符合企业需求的那一款呢？CISO可以从确保NTA工具达到或超越上述六大功能开始准备自己的信息邀请书（RFI) /征求建议书（RFP)过程。

mitre网络安全

与mitre网络安全相关的内容