- 入侵检测系统的主要指标有可靠性、可用性、可扩展性、时效性、准确性和安全性。可用性指入侵检测系统运行开销要尽量小,特别是基于主机的入侵检测系统,入侵检测系统不能影响到主机和网络系统的性能
- 单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC,使得单台计算机在某一时刻只能连接到内部网或外部网
- 网络通信安全审计一般采用专用的审计系统,通过专用设备获取网络流量,然后进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
- 依据技术分类,漏洞分为:非技术性安全漏洞(这方面的漏洞来自制度、管理流程、人员、组织结构等。把哦哦阔网络安全责任主体不明确,网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备)、技术性安全漏洞(这方面的漏洞来源有设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等)
- 恶意代码的分析方法由静态分析方法和动态分析方法两部分构成,其中,静态分析方法有反恶意代码软件的检查、字符串分析和静态反编译分析等;动态分析方法包括文件检测、进程监测、注册表监测和动态反汇编分析等
- 部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,阻碍反恶意代码软件的正常运行。。例如“广州女生”是一个国产特洛伊木马,对“金山毒霸”和“天网防火墙”采用超级管理技术进行拒绝服务攻击
- 细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件,但是它通过复制本身来消耗系统资源。例如,某个细菌先创建两个文件,然后以两个文件为基础进行自我复制,那么细菌以指数级的速度增长,很快就会消耗掉系统资源,包括CPU、内存、磁盘空间
- 网络诱骗技术就是一种主动地防御方法,作为网络安全的重要策略和技术方法,它有利于网络安全管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效制止攻击者的破坏行为,形成威慑攻击者的力量。目前,网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术
- Linux系统的ps命令可以用来查看进程信息
- 根据证据信息变化的特点,可以将证据信息分为易失信息和非易失信息。由于内存断电丢失数据,所以是易失证据信息
- MAC地址泛洪攻击通过伪造大量的虚假MAC地址发往交换机,由于交换机的地址表容量的有效性,当交换机的MAC地址表被填满之后,交换机将不再学习其他MAC地址,从而导致交换机泛洪转发
- AAA分别为认证(Authentication)验证用户的身份与可使用的网络服务、授权(Authorization)依据认证结果开放网络服务给用户、记账(Accounting)记录用户对各种网络服务的用量,并提供给计费系统
- 镜像端口是指设备复制从镜像端口流经的报文并将此报文传送到指定的观察端口进行分析和监控
- 攻击树的优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景。
- 攻击树的缺点:由于树结构的内在限制,攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景;不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂
- 攻击者设计后门:放宽文件许可权、重新开放不安全的服务(REXD、TFTP等)、修改系统的配置(系统启动文件、网络服务配置等)、替换系统本身的共享库文件、修改系统的源代码(安装各种特洛伊木马)、安装嗅探器、建立隐蔽信道
- 被动攻击是指攻击者从网络上窃听他人的通信内容,一般进行流量分析、窃听、截获就是典型的被动攻击。主动攻击对信息进行篡改、伪造。主动攻击采用的手段是伪装、重放、篡改、拒绝服务等
- 半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的链接
- SYN扫描:首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放
- 网络钓鱼是一种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供上网服务,以欺骗手段获取敏感信息(如口令、信用卡详细信息等)的攻击方式