标记类型

斜体：看看就行
正常：正常掌握
粗体/emoji❗：重点掌握

暂时没有完全标记，第一遍没法全部标记，第二遍会完整标记

注意

我的疏忽从第一章到第三章ppt用的是往年的，这里可以看看你们亲爱的刘教官的总结，他用的是新ppt

1-1 典型网络安全事件剖析

事件分析

不知道是啥但也是事件，没有下面的重要
- 某航空公司数据被境外间谍情报机关网络犯罪窃取案
- 疫情期间多个组织对我国政府部门发起攻击
- 蔓灵花组织对我国政府及教育科研机构发动钓鱼邮件攻击
- 多地高校数万学生隐私遭泄漏
- 疑似5.38亿条微博用户信息泄露
- 800万条公民个人信息被售卖
- 疑似超2亿国内个人信息在国外暗网论坛兜售
- 台积电生产工厂和营运总部中勒索病毒
- 多个行业感染incaseformat病毒
- 易到用车服务器遭攻击，黑客勒索巨额比特币
- 拼多多现优惠券漏洞，遭黑产团伙盗取数千万
- SolarWinds遭攻击
- 美国医疗机构数据泄露造成130亿美元损失
- Colonial Pipeline遭勒索软件攻击
淘宝9900万账户信息遭窃
- 不同的网站采用不同的用户名和密码
OpenSSL水牢漏洞
国内部分网站存在Rammit恶意代码攻击
- 禁止执行不明来源的ActiveX控件
跨境冒充公检法1.17亿电信诈骗案
- 诈骗分子重点在于掌握了被骗者的重要信息，再利用这些实信息实施精心策划的骗局，获取被骗者的充分信任
2.7亿Gmail、雅虎和Hotmail账号遭泄露
- 服务提供商没有很好的考虑用户数据安全问题
全美互联网瘫痪
- DDoS攻击又称为分布式拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源，从而使得用户无法得到服务响应
5家俄罗斯银行遭遇DDoS攻击
- 今天，DDoS攻击已转化为一个完善的产业链，从攻击肉鸡的贩卖，到发动攻击，无论是敲诈勒索，还是雇凶攻打，背后都是利益的驱动
希拉里邮件门影响美国大选
- 希拉里在2009年至2013年担任国务卿的四年里，没有政府电子邮件账户，
  只使用个人电子邮件账户来处理政府事务
电信诈骗导致高中生徐玉玉身亡
- 短信和电话是不安全的
- 电信诈骗分类
  1. 电话诈骗
  2. 网络诈骗
  3. 短信诈骗
  4. 传统媒介诈骗
黑客利用恶意软件Mirai导致德国90万台路由器瘫痪
- 由被恶意软件感染的路由器和网络摄像头发起

网络安全趋势分析

网络安全法律体系将加速形成
- 《网络安全法》的出台
关键信息基础设施面临的网络安全风险不断攀升
- 针对关键信息基础设施的攻击频率将进一步增加，产生的后果将更加严重
物联网智能终端引发的安全事件进一步升级
- 2017年随着物联网智能设备的进一步应用，智能设备漏洞导致的网络威胁范围更广，后果也将更加严重
精准化的网络诈骗现象将更加突出
- 通过大数据和社会工程学分析用户购物数据、社交数据、位置数据、物流数据的精准网络诈骗逐渐成为趋势，传统“撒网”式电信诈骗逐渐退出舞台
移动支付面临的安全形势更加严峻
- 随着移动设备和移动支付用户的继续“爆炸式”增长，移动支付面临的安全问题也将更加凸显
网络可信身份的互联互通加速实现
- 我国势必会加强网络可信身份体系建设，积极推动已有的网络身份认证体系的互联互通，建立跨平台的网络可信身份体系
安全可控信息产业将得到爆发式增长
- 随着《网络安全法》的出台，党政军等重要部门网络安全审查力度将进一步加大
优秀人才脱颖而出的环境将逐步具备
- 建立灵活的网络安全人才激励机制，如技术入股、股权期权激励、分红奖励等
网络战威胁风险显著增加
- 网络空间“军备竞赛”持续升温
- 美国重大项目
  - 棱镜项目——监视互联网以收集海量个人信息
  - 主干道项目——对亿兆计的通信数据进行存储和分析
  - 核子项目——截获海量电话通话者对话内容及关键词
  - 码头项目——截取电子邮件，获取民众互联网元数据
双边和多边网络安全合作将持续深化

网络空间安全形势

威胁政治，经济，文化，社会安全

网络空间内容面与资源面、用户侧与行为侧的治理成为维护我国网络空间安全与主权的最重要工作之一

国际上：世界各国通过加大网络空间安全的财政投入、颁布网络空间安全相关法律法规、引导技术创新方向等举措，夯实网络安全产业基础。

网络空间典型特点

1-5有

四大特征

复杂多元网络结构
海量动态互联网内容服务
形势多样的传播方式与入口
动态海量易变网络资源生态体系

四大问题

实体间物理、逻辑业务关联关系建立
数据获取的及时性、有效性、准确性
数据获取的全面性、实体追踪的有效性
实体运营内容面与资源面生态图谱建立的全面性、准确性

两大现状

难以建立网络空间治理的全局视图
无法改变治理被动的局面

1-2 网络与信息安全体系结构介绍

网络与信息安全概述

安全技术

基于主机的入侵检测、弱点评估、风险评估、访问控制、配置日志、防病毒软件、防火墙、异常检测
黑洞路由、访问控制列表、负载均衡、数据分流、数据清洗、应急响应、预警通报
基于网络的入侵检测、数据流分析、异常检测、网络状态分析、性能测量、蜜网、抗D、恶意代码检测
网络风险评估、网络安全态势预测与分析、动态风险评估、网络安全态势感知、网络拓扑测量、大数据分析

网络与信息安全模型

什么是信息安全

国内
- 沈昌祥
  实体安全，运行安全，数据安全，管理安全
- 教科书
  实体安全，软件安全，运行安全，数据安全
- 等级保护条例
  实体安全，运行安全，信息安全，人员安全维护
国外
- BS7799
  机密性，完整性，可用性
- 教课书
  机密性，完整性，可用性
- 信息安全重点实验室
  信息的机密性，完整性，可用性，可控性，就是要保障电子信息的有效性
两种主要论点
- 国内
  - 内容安全，数据安全，运行安全，实体安全
- 国外
  - 机密性，完整性，可用性

网络与信息安全涵盖范围❗

机密性
保证系统不已电磁等方式向外泄露信息
可用性
保证系统至少能提供基本的服务
可控性
保证系统的机密性，使系统任何时候不被非授权的人恶意使用
可用性
保障网络的正常运行，确保系统时刻能为授权人提供基本服务
真实性
保证数据的发送源头不被伪造
- 来源伪造：路由欺骗，域名欺骗
机密性
保证数据在传输，储存过程中不被获取并解析
- 内容解析：对传递信息进行捕获和解析
完整性
保证数据在传输、存储等过程中不被非法修改
- 进行修改：删除局部内容或附加特定内容
抗否认性
保证系统的可用性，使得发布者无法否认所发布的信息内容
- 阻断传播：阻断信息传输系统，使得被传播的内容不能送达目的地

网络与信息安全涵盖范围

左半边(真实性与完整性)具有相同性质，可以归并为真实性，完整性是真实性的子集

主要防范技术是校验与认证技术

右上角（机密性，可控性）都反映出机密性，其中可控性是机密性的子集
主要防范技术是密码技术

右下角（可用性，抗否认性）都反映出可用性的性质，抗否认性可以看作可用性的子集
主要防护措施是确保信息与信息系统处于一个可信的环境之下

金三角

网络与信息安全框架

什么是信息安全技术❗

信息安全技术是指在信息系统的物理层、运行层，以及对信息自身的保护（数据层）及攻击（内容层）的层面上，所反映出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击的技术。

未来新技术

从总体角度来看，安全技术不会有大变化

安全策略（Policy）
- 风险分析、安全评估
- 漏洞扫描技术
- 网络拓扑结构的发现，尤其是Peer to Peer 网络拓扑结构的发现
- 态势预测与分析
系统防护（Protection）
- 病毒防护，侧重于网络制导、移动终端防护
- 隔离技术
- 拒绝服务攻击的防护
- 访问控制技术
入侵检测（Detection）
- 基于IPv6的入侵检测系统
- 向操作系统、应用系统中进行封装
- 分布式入侵检测
- 特洛伊木马检测技术
- 预警技术
应急响应（Response）
- 快速判定、事件隔离、证据保全
- 企业网内部的应急处理
- 蜜罐技术
- 僚机技术
灾难恢复（Restore）
- 基于structure-free的备份技术
- 容侵（intrusion-tolerant）技术
- 生存（容忍）技术

PPDRR
记一下这个图叫PPDRR，20年考过这个图的大体结构和各小点具体项。

1-3 大型网络应用剖析

百度搜索引擎分析

工作原理

抓取建库
- 抓取友好性
  要求抓取系统尽可能的高效利用带宽，在有限的硬件和带宽资源下尽可能多的抓取到有价值资源
  进行一定的抓取压力控制，达到既不影响网站的正常用户访问又能尽量多的抓取到有价值资源的目的
  对同一个站点的抓取速度控制一般分为两类：其一，一段时间内的抓取频率；其二，一段时间内的抓取流量。同一站点不同的时间抓取速度也会不同
- 常用抓取返回码示意
  - 404 网页失效
  - 503 网页临时不可访问
- 多种url重定向识别
  - 301 网页永久转移另一个地址
  - 302 暂时跳转另一个网址
  - 304 原来缓冲的文档还可以使用
  - 305 文档应通过Location头指明的代理服务器获取
  - 307 只能跟随GET的重定向
  - meta refresh重定向使用content属性表示刷新或跳转的开始时间与跳转的网址
  - js重定向 replace直接将url替换 href为点击跳转
- 抓取优先级调配
  互联网资源规模的巨大以及迅速的变化，对于搜索引擎来说全部抓取到并合理的更新保持一致性几乎是不可能的事情
- 重复URL过滤
  快速查找并对比
- 暗网数据获取
  通过开放平台采用数据提交的方式来解决
- 抓取反作弊
- 抓取频次原则及调整方法
  根据什么确定对一个网站的抓取频次
  - 网站更新频率
  - 网站更新质量
  - 联通度
  - 站点评价
检索排序
emm，信息内容安全讲得更好
外部投票
超链已经逐渐失去作为投票的重要意义，无论是谷歌还是百度，对超链数据的依赖程度都越来越低
结果展示
- 结构化展现
- 摘要式展现

大型网络应用技术发展历程

最开始的架构
服务器+文件+数据库
应用、数据、文件分离
利用缓存改善网站性能
使用集群改善应用服务器性能——负载均衡
数据库读写分离和分库分表
使用CDN和反向代理提高网站性
使用分布式文件系统
使用NoSql和搜索引擎
将应用服务器进行业务拆分
搭建分布式服务

大型网络应用系统设计要点

数据如何传输？传输的负载如何来衡量？
数据区域获取？区域分析？区域存储？整体整合？
数据分析加速
区域内部的存储空间分配方案？
计算与存储所用资源间的关系？
地址空间管理？Ip地址？平面地址？虚地址？
网络连接与管理？

虽然这道题没有直接这样问，但是可以照应着看一下

分布式系统的网络问题

性能：等待时间和点到点间的传输率

等待时间：
执行发送之后到数据到目标地的时间
可以用传输一个空消息的时间度量
软件开销＋路由延迟＋源于争夺传输信道的依赖负载的统计因素
分布式系统在进程之间传送的消息很多很小，因此等待时间在决定性能上与数据传输率有相同或更重要的意义

数据传输率：
数据在网络上两台计算机间的传输速度

消息传输时间＝等待时间＋length/数据传输率

网络传输率：由网络的物理特性决定总量

系统总带宽：吞吐量的度量，在给定的时间内网络可以传输的数据总量

可扩展性：

规模增长，结构变化
协议改变，寻址和路由机制的变化
移动性

可靠性：

大多数物理介质
错误，软件故障，缓冲区溢出
校验和纠错，重传

安全性

防火墙 VPN
端到端：认证，私密性，安全性

分布式系统通信协议

双方实体完成通信或服务所必须遵循的规则和约定，需要规定交流什么、怎样交流及何时交流

三要素：
“如何讲”，数据的格式、编码和信号等级
“讲什么”，数据内容、含义以及控制信息
定时规则（时序）：明确通信的顺序、速率匹配和排序。

1-4 互联网发展热点剖析

新ppt里没有可以不看

互联网接下来的七个爆发点

20年最后一个大题可以写这个，但并不重点，因为可以写别的

连接一切
人与设备，设备与设备，人与服务之间都有联系
互联网+创新涌现
传统行业+互联网，各行各业都产生变化，冲击很大
开放的协作
消费者参与决策
数据成为资源
顺应潮流的勇气
链接一切的风险

2018年中国互联网产业发展6个新趋势

暂时没看出来会怎么考

新技术
1. 下一代网络建设带动5G产业崛起
2. 工业互联网促进制造业集成创新
3. 大数据、人工智能将加速推进产业深度融合
4. 技术创新推动金融信用体系趋于完善
新动能
1. 产业互联网推动新旧动能加速转换
2. “互联网+先进制造业”成为振兴实体经济的重要途径
3. 制造业与互联网融合的行业解决方案将继续突破
4. 制造业与互联网融合的行业解决方案将继续突破智能制造的网络安全保障将成为关键一环
5. 农业全产业链信息化升级将加速
新场景
1. 数据与服务开辟消费新场景
2. 共享服务更加智能化和全球化
3. 智能化赋能更多平台场景
新体验
1. 智能交互催生消费新体验
2. 车联网、智能家电促进“住行”新体验
3. AR有望重新定义移动交互体验
新挑战
1. 勒索病毒类攻击或将成为常态
2. 个人信息保护将面临严峻挑战
3. 关键信息基础设施的安全风险将不断攀升
4. 网络空间安全防护能力将大幅加强
5. 企业拓展国际化市场将面临激烈竞争
新生态
1. 物联网和工业互联网安全生态建设将日益完善
2. 平台经济创新与协同治理的需求将更加迫切
3. 数据权属关系受到广泛关注
4. 网络综合治理体系将加快完善
5. 全球互联网治理体系将深度变革

2020年中国互联网十大趋势预测

为啥是2020？

一超多强局面将更加清晰
互联网公司做起硬件不手软
从软件到硬件，从做应用到做终端
视频社交的新创业风口到来
外卖行业遭受彻底整顿
金融科技公司迎来上市大潮
开放一家世界互联网巨头到中国运营
运营商的内容和应用重新崛起
旅游出行等领域面临一场大战
游戏市场变得更加均衡
越来越多的内容生产来自机器人

总结

本质：技术，设施，创新，数据的发展
产生的现象：安全意识提升，市场环境变化，引领市场需求
产生：环境，应用，数据变化的事件

环境由：网络，主机，基础服务组成
应用由：软件，需求，数据组成
两者相互作用产生数据变化发展

数据关键技术：汇聚，存储，分析，融合，共享

1-5 负载均衡策略与算法剖析

为什么要负载均衡

关键点：怎样保持业务的连续性

网络空间典型特点

内容复杂性
互联网信息广泛种类繁多
结构复杂性
目前互联网节奏十分复杂
服务复杂性
互联网存在关系复杂的服务链条

三者存在互相继承关系

需要原因分析

应用背景：

访问流量快速增长
业务量不点提高

用户需求：

希望不间断可用性及响应速度快

存在问题的节点：

服务器端
传输链路

本地负载均衡

有效解决数据流量过大、网络负荷过重的问题，不需购置性能卓越的服务器，充分利用现有设备

特点：

不用买服务器
把数据流量合理地分配给服务器群内的服务器共同负担
扩充升级方便，不需改变现有网络结构
流量导向
Cyclic，Least Users，Least Traffic，SNMP，Hashing，Response Time
检测链接
Ping，TCP or UDP Port，HTTP Page，Page Content，Radius，RTSP
页面检测
健康检查

全局负载均衡

在一个多区域拥有自己服务器的站点，为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器

特点：

地理位置无关
避免单点失效出现整体问题
解决网络拥塞问题

部署方式：

路由方式
灵活
所有流量经过负载均衡，对网络改动小
桥接方式
不改变当前网络架构
负载均衡WAN和LAN链接上行设备和下行服务器，使其存在同一逻辑网络中
容错性差
服务直接返回
适合吞吐量大网络应用
客户端接WAN口，WAN口直接给服务器，服务器直接给客户端
返回流量不过均衡，使用流量大的网络应用

负载均衡主要策略

基于DNS的负载均衡

原理

一个域名绑定多个IP，用DNS的转发（不知道为啥ppt里写的是随机域名，不过DNS基本原理就是转发重定向）来实现负载均衡

优点

实现简单、实施容易、成本低、适用于大多数TCP应用

~~这里的成本低指的不是DNS服务器便宜，指的是你办TCP服务就得弄个DNS，既然你都弄了DNS了那就再配置一下就完了~~

问题

一个服务器出现故障就需要等恢复

缺陷

DNS无法得知服务器间的差异，不能为性能较好的服务器分配更多请求（所以原理用的是随机域名转发，~~这就是理解~~）

基于反向代理的负载均衡

优点

自带高速缓冲，减轻服务器负担

问题

并发链接请求非常多，代理负载巨大（一个代理需要开两个链接）

缺陷

必须要为每一种应用服务专门开发一个反向代理服务器

基于特定服务器软件的负载均衡

原理

利用网络协议重定向实现
HTTP协议请求直接跳转别的url减轻服务器压力

优点

服务可定制

缺点

需要改服务器软件，成本高

基于NAT的负载均衡❗

我记得上课这里讲的挺多的，那我就贴个图吧

优点

技术完善，算法灵活

问题

伸缩能力有限，若服务器节点数目过多，调度器本身会成为系统新瓶颈

基于CDN的负载均衡

原理

网络架构中加一层定位，可以定位到用户最优CDN服务

优点

速度快

负载均衡主要算法

轮询算法

轮流分配用户请求

优点

简洁，无状态调度

缺点

不能很好的分配各个服务器的负载，容易导致服务器间负载不均衡

适用

适用于服务器组内配置相似且平均服务请求相对均衡

Hash散列算法

最少链接算法

原理

将请求分配给当前链接最少的服务器

优点

简洁，大多数情况有效

缺点

若各个服务器处理能力不同，该算法不理想

适用

使用需要长时间的处理请求

最快链接算法

原理

均衡器记录自身到每一个集群节点的响应，并将下一个链接请求分配给响应时间最短的节点

使用

基于拓扑结构重定向的高级均衡策略
~~这句话我完全看不懂~~

健康性检查算法

负载均衡产品中的关键指标

目的

检测服务器集群的健康程度，避免将流量转发给存在问题的服务器

2-1 防火墙基础

下一代防火墙

拥塞、允许
基于应用的黑白名单
多种条件的限制
安全扫描
威胁的主动防御
特征识别，用户行为分析等
流量整形

防火墙概论

防火墙定义

定义

设置在不同网络或网络公共域之间的一系列部件的组合
是不同网络或网络安全域之间信息的唯一出入口
提供信息安全服务，实现网络与信息安全的基础设施

作用

隔离风险区域与安全区域且不妨碍用户对风险区域的访问
监控通信
抵制对安全区域构成威胁的数据

防止不希望的和未授权的信息进出被保护的网络

逻辑上，防火墙为

分离器
分离两个不同网络
限制器
限制非法访问
分析器
数据分析

三大要素

安全、管理、速度

优点

防火墙是网络安全的屏障
控制对主机系统的访问
监控和审计网络访问
防止内部信息外泄
部署网络地址翻译机制（NAT）

弱点

防火墙不能防范来自内部网络的攻击
防火墙不能防范不经由防火墙的攻击
防火墙不能防范感染病毒的软件或文件的传输
防火墙不能防范数据驱动式攻击
防火墙不能防范利用标准网络协议中的缺陷进行的攻击
防火墙不能防范利用服务器漏洞进行的攻击
防火墙不能防范新的网络安全问题
防火墙可能限制有用的网络服务

防火墙基本结构

屏蔽路由器

屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查
路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能

危险区域包括路由器本身及路由器允许访问的主机

缺点是，路由器一旦被控制后很难发现，而且不能识别不同的用户

双重宿主主机防火墙

用一台装有两块网卡的堡垒主机做防火墙
两块网卡分别与内部网和外部网相连，内部网和外部网之间的直接通信被完全阻止

双宿主机防火墙优于屏蔽路由器的方面

堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志
日志对于日后的检查很有用，但不能帮助网络管理者确认内网中哪些主机可能已被黑客人侵

致命弱点
入侵者控制壁垒机会造成网上用户任意访问内网

屏蔽主机防火墙

容易实现且安全，应用广泛
路由器链接外网，内网放一个壁垒主机，壁垒主机是外网唯一可以直接到达的机器。

屏蔽子网防火墙

外网内网间建立一个被隔离的子网，两台路由器在外网和子网及子网和内网间隔开
危险区域：壁垒主机，子网主机，所有连接内网、外网和屏蔽子网的路由器

若尝试破坏屏蔽子网防火墙，则需要重新配置三个网的路由器

其他防火墙结构

一个堡垒主机和一个非军事区
两个堡垒主机和两个非军事区
两个堡垒主机和一个非军事区

防火墙的模型与分类

防火墙模型

可以在OSI/RM模型总的五层设置

防火墙分类

包过滤防火墙

检查每一个通过的网络包

状态/动态检测防火墙

为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等

应用程序代理防火墙

接受来自内部网络特定用户应用程序的通信（基于代理），然后建立与公共网络服务器单独的连接

个人防火墙

通常是应用程序级的，个人防火墙安装在计算机网络接口的较低级别上，使其可以监视传入传出网卡的所有网络通信

攻击方式与防火墙防御

认识黑客

踩点->扫描->攻击

踩点收集信息，如DNS，SNMP等

扫描进行漏洞侦测，SATAN

攻击这没啥说的

网络攻击的基本手段

非法权限类

特洛伊木马
合法程序包含恶意行为
- 陷阱入口类
- 信息窃取类
- 功能欺骗类
- 逻辑炸弹类
系统欺骗（提权）
- 外部欺骗类
- 本机欺骗类
拒绝服务
利用计算机协议处理的漏洞来攻击网上计算机使之死机为目的的网络程序
入侵
扫描器是常规入侵工具，法律上禁止使用
窃取
搭线窃听

传染类

源码类
宏命令，通过应用程序留下的接口达到目的
目标码类

侵占资源类

一对一式攻击
大量的链接请求阻碍信道
兑变式攻击
让对方接收并运行

防火墙发展

第一代防火墙
只有分组过滤功能
第二代防火墙
代理服务器，可提供应用服务级的控制，起到外部网络向被保护的内部网申请服务时中间转接作用
可以实现代理转发
第三代防火墙
建立在通用操作系统上的商用防火墙产品
第四代防火墙
安全操作系统+动态网络安全技术

2-2 防火墙技术

包过滤技术

包过滤原理

通过检测网络数据包的信息头决定是否将数据包发往目的地址
大多数过滤型防火墙只针对性分析最有用的数据域

核心：包检查模块
包过滤检查模块深入到系统的传输层（TCP）和网络层（IP）之间，在操作系统或路由器的TCP层对IP包处理以前对IP包进行处理

防火墙检查模块验证每个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般都要记录数据包情况

不符合规则的包要进行报警或通知管理员
被过滤或丢弃的数据包看自己配置的策略

包过滤规则（访问控制列表）
只有满足访问控制列表的数据才会被转发
为了保证所有流入和流出的网络的数据包都被监控和检测，包过滤器必须被放在网络单点访问的位置

配置访问控制列表

包过滤防火墙由

一个脏端口
一个净端口
一组访问控制规则

两种访问控制列表方式

限制策略
接受受信任的IP包（白名单）
宽松策略
拒绝不受信任的IP包（黑名单）
列表顺序很重要，可以看2-3的具体配置方法

动态访问控制列表

实现指定用户的IP数据流临时通过防火墙，进行会话连接，从而实现对数据包的动态过滤，在会话结束后，将接口配置恢复到原来的状态
一般结合身份认证机制实现
如果用户通过身份验证，则激活动态访问控制列表，在防火墙开放一个数据通道，此时，用户可以暂时通过防火墙访问内部网络目标主机

状态包检查（反射访问控制列表）

动态建立访问控制列表条目，包含必要的包过滤信息，还包含了网络会话的状态信息，这些临时条目在新会话开始（如内部主机向外部主机发起连接请求）时创建，并在会话结束时被删除

防火墙检查每一个通过的数据包，看这些数据包是否属于一个已经建立的通过防火墙的会话的延续，或者能否通过预设定包过滤规则集的检查

会话结束的判定和临时条目的删除

两组FIN
RST
超时
UDP只有超时

包过滤技术优缺点

优点

包过滤防火墙是两个网络之间访问的惟一途径，防火墙可对每个传入和传出网络的数据包实行低水平控制
每个IP包的字段都被检查，如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则
防火墙可以识别、丢弃带欺骗性源IP地址的包
包过滤通常被包含在路由器中，不需要额外的系统来处理

缺点

访问控制列表配置和维护困难
包过滤防火墙难以详细了解主机之间的会话关系，容易受到欺骗
基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤

网络地址翻译技术

IANA规定了私有IP地址空间
NAT用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题

NAT技术原理

NAT把内部IP转换为外部IP
通信通常由内部网络发起
NAT具有一些性质可以为防火墙提供支持

NAT相关术语

内部局部地址（Inside Local Address）
内部网络中标识主机，内部网络私有IP
内部全局地址（Inside Global Address）
在外部网络中使用，标识内部网络主机，是互联网中一个虚拟的主机
内部主机与外部主机通信地址，通常为公有地址
外部全局地址（Outside Global Address）
在外部网络中使用，是从全球统可寻址空间中分配的
外部局部地址（Outside Local Address）
外部网络表现在内部网络中的地址，从私有IP中分配的
能够被内部主机识别的外部主机的地址，对内部主机可见的地址

静态网络地址翻译技术

网络地址翻译技术完全依赖于人工指定内部局部地址和内部全局地址之间的映射关系来运行

如果NAT映射表中存在匹配项，则使用内部局部地址替换数据包的目的IP地址，并将数据包转发到内部网络主机。防火墙使用10.1.1.1替换202.168.2.2并进行转发；如果NAT映射表中不存在匹配项，则拒绝数据包。

动态网络地址翻译技术

NAT映射表由防火墙动态建立，对网络管理员和用户透明

对于内部数据包若没有对应NAT表项则创建新表项
对于外部数据包若没有对应NAT表项则丢弃不进行转发

网络地址翻译技术实现负载均衡

这种地址转换是以连接为单位按循环方式(round-robin)进行，只有当建立一个由外部发起到内部的新连接时才执行

外部访问时给不同的内部局部地址对应主机进行响应

网络地址翻译技术处理网络地址交迭

NAT可用于解决内部网络地址与外部网络地址交迭的情况

网络地址翻译技术优缺点

然而最新的PPT并没有优点，只有缺点

问题

一些应用层协议的特点导致他们无法使用网络地址翻译技术
数据包的数据域部分很有源，目的IP地址的数据流不支持
静态和动态网络地址映射安全问题
静态NAT屏蔽了内部网络的拓扑结构，但并未提供额外的保护功能，动态NAT在内部主机主动建立链接之前完全安全，但建立连接后NAT没有任何保护
对内部主机的引诱和特洛伊木马攻击
内部用户主动连接黑客主机
状态表超时问题
动态NAT映射表超时或链接关闭会删除

网络代理技术

具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，使其可以完成因特网访问工作

应用层代理

应用层代理简介

针对特定应用实现，外部网络主机通过应用层代理访问内部网络主机，内部网络主机只接受应用层代理提出的服务请求，拒绝外部网络节点的直接请求

外部网只能见到代理服务器，应用层代理会对用户身份进行验证，验证合法可以转发请求。且时刻监视用户，拒绝非法用户访问，拒绝用户非法操作。

应用层代理的实现

通过双宿主机或堡垒主机实现，且为防止威胁，禁止用户在代理主机上注册。
应用层代理一般只向单个或部分主机提供网络服务，具有访问能力的主机可作为那些没有访问权限的主机的代理而形成多层代理模式
代理服务器起到外部网络与内部网络进行通信时的中间转接、监控、限制和审计等作用

代理服务程序

要求有合适的代理服务器软件，需要针对不同服务的代理功能开发不同的代理服务程序

应用层代理技术的优缺点分析

优点

有能力支持可靠的用户认证并提供详细的注册信息
用于应用层的过滤规则，相对于包过滤路由器来说更容易配置和测试
应用层代理工作在客户机和真实服务器之间可以完全控制网络会话，可提供详细的日志和安全审计功能
提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址
解决合法的IP地址不够的问题

缺点

有限的连接性
解释应用层命令，这种代理服务器只能用于某一种服务
技术有限
造成明显性能下降
维护相对复杂
应用层代理要求用户改变自己的行为，或在访问代理服务器的每个系统上安装特殊的软件

应用层代理对操作系统和应用层的漏洞是脆弱的

电路级代理

电路级代理概述

电路级代理（通常也称为电路级网关或回路级代理）也是一种代理，但只是建立起一个回路，对数据包只起转发的作用

工作于TCP层

电路级网关的工作原理

优点：
可以针对不同协议提供服务

电路级网关依赖于TCP连接，并不进行任何附加的包处理或过滤

SOCKS代理技术

客户请求建立一个链接，将应用服务器地址、端口号和认证信息给SOCKS代理服务器，代理通过安全策略验证目标合法性和有效性并建立链接，这一步对用户完全透明。

SOCKS代理可以使那些运行在防火墙后面的主机充分地访问Internet而无须直接与外部主机建立连接

可以实现管理员明确地控制一个组织内部如何与Internet通信

由两部分组成：

SOCKS服务端程序
同Internet和内部网络通信的程序
SOCKS客户端程序
使运行客户程序的主机同运行服务程序的主机通信，而不是直接与Internet通信

SOCKS代理的实现

SOCKS客户程序替换了UNIX中的一些套接字函数
当一个经SOCKS修改的客户程序连接到Internet上时，SOCKS
库中的子程序就截获这个连接，并连接到运行SOCKS代理服务器的主机上，而不是的Internet
SOCKS代理服务进程将检查访问控制表，判断应该接受还是拒绝这个连接

2-3 防火墙安全策略及其配置

防火墙如何开发安全策略

概述

安全策略：一个列出必须满足的特定需求或规则的文档

防火墙的设计依赖于安全策略，设计安全系统应先考虑安全策略后考虑防火墙

这里的审计是指专门的机构和人员对企事业组织的财政、财务收支等真实性、合法性、效益性进行审查
~~我觉得这个别看，容易误导~~

信息系统由于复杂度变高，自身策略的系统脆弱性隐患越发严重
对信息系统的错误操作，滥用，不正当使用等

任何技术都是双刃剑，应引入一种新的管理机制来对信息系统的安全性、投资效果、实施进程和实施效果进行评估指导和改进——IT审计

为什么进行网络审计

了解网络中发生的事件
事后追踪
监控网络
改进安全策略

网络审计技术内容
网络连接审计，协议审计，端口审计，拨号连接审计，个人账户审计，文件访问审计，数据审计，流量统计审计，数据库审计，WEB服务器审计，安全事件再现审计，键盘审计，屏幕审计，系统统计分析审计

审计产品部署

优势

网络应用识别全
审计粒度记得细
敏感文件检测准
加密流量看的透

旁路部署
最常见，不影响原网络结构
解决的问题

安全稳定可靠运行
使用中小网络环境，不改变网络结构
审计内容精细，时候追根溯源

级联部署
每台审计系统都是一台独立运行的设备，上级设备可下发策略，也可查看下级设备的结果
解决的问题

保证总部和各分支机构策略的统一性
解决客户分级控制和审计的需求
威胁分析系统联动响应

分布式部署
管理中心进行策略下发
解决的问题
适应用户网络结构
联动预警响应机制
解决客户分级控制和审计需求

确定有效的安全策略所需要达到的目标

清楚描述一个安全的网络计算环境
灵活适应公司结构的任何改动
保证在整个公司中一致的交流和执行
要明确雇员对网络的使用权限
要对雇员和管理人员关于隐私和安全的合理和不合理的表现进行明确定义

构建安全策略的7步

组建一个团队
执行公司的整体安全策略
确定被保护的资产
决定安全策略审核的内容
确定安全风险
定义可接受的使用范围
提供远程访问

考虑防火墙的不足

超出防火墙所能处理的过多的网络访问量，及其防火墙崩溃的蛮力攻击
在网络中将一个加密的带有病毒的电子邮件消息发送给某人，加密的消息将会通过防火墙，这样病毒就会传染给系统
若雇员将远程访问号码泄漏，则未经授权的用户就能够访问公司网络
雇员将密码泄露
防火墙属于静态防护
防火墙难于防内
防火墙难于管理和配置，易造成安全漏洞
防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内提供一致的安全策略
防火墙实现了粗粒度的访问控制
任何一个系统（尤其是底层系统和应用系统）中可能存在安全漏洞，造成绕过防火墙的攻击

其实这里写的跟其他几科对防火墙的描述是一样的，稍微联系一下就能记住，其他科也能用上

违反安全规则响应方式

记录数据
响应处理联系人
响应策略

Cisco IOS 防火墙特征集

接口类型、端口密度、性能以及形态元素（即大小、形式和容量）方面巨大的灵活性

基于上下文的访问控制

配置Cisco IOS防火墙包过滤功能

两类访问控制列表

标准访问控制列表
拓展访问控制列表

功能和特点分类

静态访问控制列表
动态访问控制列表
反射访问控制列表

配置步骤

创建访问控制列表
访问控制列表绑定某个端口

需要给一个唯一的编号

创建访问控制列表
Router(config)#access-list access-list-number [permit|deny] 测试条件

删除访问控制列表
Router(config)#no access-list access-list-number

注意：
可以向同一个访问控制列表写入多条语句
删除访问控制列表时，在标准和扩展访问控制列表中只能删除一整个表

绑定到网络接口命令
Router(config-if)# protocol access-group access-list-number [in|out]

反转掩码
子网掩码反过来

配置标准访问控制列表

创建标准访问控制列表
Router(config)#access-list [access-list-number] [permit|deny]source-ip wildmask

访问控制列表绑定端口
Router(config-if)#ip access-group [access-list-number] [in|out]

查看访问控制列表
Router#show access-list [access-list-number]

查看某个接口是否绑定了访问控制列表
Router#show ip interface [interface]

Router(config)#access-list 1 peimit 172.16.0.0 0.0.255.255
Router(config)#interface E0
Router(config-if)#ip access-group 1 out
Router(config)#interface E1
Router(config-if)#ip access-group 1 out

Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0
Router(config)#access-list 1 permit any
Router(config)#interface E0
Router(config-if)#ip access-group 1 out

Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#interface E0
Router(config-if)#ip access-group 1 out

配置拓展访问控制列表

扩展访问控制列表对数据包的控制比标准访问控制列表粒度更细，因而运用更广
扩展访问控制列表可以检查源地址和目标地址、特定的协议、端口号，以及其他的参数

创建一个扩展访问控制列表
Router(config)#access-list access-list-number [permit | deny] protocol source source-mask [operator port] destination destination-mask [operator port]

绑定访问控制列表到某个网络接口上
Router(config-if)#ip access-group access-list-number [in | out]

显示访问控制列表包含的命令语句
Router#show access-list [access-list-number]

查看是否为某个接口绑定了访问控制列表
Router#show ip interface [interface]

Router(config)#access-list 101 permit TCP 172.16.1.1 0.0.0.0 192.168.1.0 0.0.0.255 ep 20
Router(config)#interface E2
Router(config-if)#ip access-group 101 out

Router(config)#access-list 101 deny TCP 172.16.0.0 0.0.255.255 any eq 23
Router(config)#access-list 101 permit IP any any
Router(config)#interface E1
Router(config-if)#ip access-group in

Router(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Router(config)#access-list 101 permit IP any any
Router(config)#interface E2
Router(config-if)#ip access-group 101 in

Ping程序使用的是ICMP协议，ICMP不像http，FTP应用层有传输层的端口号。 ICMP直接封装在IP包内。不需要指定端口号

配置标识访问控制列表

对于配置号码，若超过了99个标准列表或100个扩展列表则使用命名访问控制列表

优点

可以用有含义的字符串直观标识一个访问控制列表
修改访问控制列表中的某一条语句时，可以在不删除整个访问控制列表的情况下修改它

注意事项

版本不兼容
命名访问控制列表可包含标准和扩展访问控制列表
名字不能重复

命令
创建一个命名访问控制列表
Router(config)#ip access-list [standard |extended] name

向命名访问控制列表中写入命令语句
Router(config-[std|ext]-nacl)# [permit | deny]

删除命名访问控制列表中的某一条语句
Router(config-[std|ext]-nacl)#no [permit | deny]
注意：该访问控制列表仍然存在，这与用数字标识的访问控制列表不同

绑定命名访问控制列表
Router(config-if)#ip access-group name [in|out]

配置动态访问控制列表

可以实现访问控制列表的动态改变

命令
配置动态访问控制列表，作为临时访问控制列表条目的模板和占位符
access-list access-list-number [dynamic dynamic-name[timeout minutes]] {permit | deny} telnet source source-wildcard destination destination-wildcard [precedenceprecedence] [tos tos] [established] [log]

配置接口
interface type number

在接口配置模式下，将访问控制列表用于接口
ip access-group access-list-number [in | out]

在全局模式下，定义一个或多个虚拟终端（VTY）端口
line VTY line-number [ending- line-number]

配置用户身份验证
username name password secret
login trcacs
password password login local

启用创建临时访问列表条目功能
autocommand access-enable [host] [timeout minutes]

访问控制列表配置要点❗

对于某个协议，可能有多个访问控制列表。通常，一个端口的一个协议，只能够指定一个访问控制列表
对于某些协议，一个端口可以指定两个访问控制列表：一个负责收到的数据，一个负责发出的数据。而某些协议，需要把这两个访问控制列表组合成一个负责进出该端口的数据

尽量将扩展访问控制列表放置在靠近被拒绝的数据源。标准访问控制列表不能指定目标地址，故需要把标准访问控制列表放置在尽量靠近目标的地方。

3-1 入侵检测技术概述

基于主机的入侵检测技术：审计数据的获取、用于入侵检测的统计模型、入侵检测的专家系统等
基于网络的入侵检测技术：分层协议模型与TCP/IP协议、网络数据包的截获等

IDS存在必然性

网络攻击造成的破坏性和损失日益严重
网络安全威胁日益增长
单纯的防火墙无法防范复杂多变的攻击

历史

这个愿意看看看吧，不总了，我直接赌不会出这里的题

入侵检测的信息源

这里感觉是把上面的信息收集的信息来源内容扩展来说了

入侵检测不同类型需要不同的数据，同时输出结果很大程度取决于输入数据的质量

几种数据类型

操作系统审计记录
操作系统日志
应用程序日志
基于网络数据的信息源
其他数据来源
就上面的来源来说这里应该指的是文件访问删除记录，系统调用对象和发起人这样的，但是这些又能包含在操作系统审计记录里面，有点难说

操作系统审计记录
最早的入侵检测输入数据，且是首选数据，因为其审计数据规整且附有保护措施，并且可以提供系统底层的相关信息

操作系统日志
是操作系统生成的日志文件的总称，此质量相对上一个质量较差，因为产生日志的软件位于用户级，易受攻击，且日志文件不受保护

应用程序日志
用户及的系统活动抽象信息，且因网络化计算环境普及，入侵攻击目标越来越集中于提供网络服务的各种特定应用程序
但是这个日志更容易被攻击，对于审计没有提供详细信息，且一些软件是否可以相信也是问题

基于网络数据的信息源
优势

对目标监控系统的运行性能几乎没有任何影响
可以对用户透明，降低了本身遭到入侵的概率
可以发现许多基于主机无法发现的攻击手段
网络数据包的标准化程度高

信息源的选择问题

根据检测目标选择输入数据源
在不影响目标系统运行性能情况下最少需要多少信息

入侵检测技术分类

按照信息源分类

基于主机的入侵检测
基于网络的入侵检测

基于主机入侵检测
优点：能较准确的检测到发生在主机系统高层的复杂攻击行为
缺点：无法移植，影响主机性能，无法反应网络攻击

基于网络入侵检测
优点：实时监控网络流量，对潜在攻击做出迅速响应，可移植，不影响主机性能
缺点：准确率低，不能完成发生在应用进程级别的侦测

按照检测方法分类

滥用入侵检测
异常入侵检测

滥用有更好的确定解释能力，较高的检测率和较低的虚警率，但只能用已知的攻击模式
异常可以检测未知的攻击行为

3-2 基于主机的入侵检测技术

审计数据的获取

确定审计数据的来源和类型
审计数据的预处理工作，其中包括记录标准格式的设计、过滤和映射操作等
审计数据的获取方式，包括审计数据获取模块的结构设计和传输协议等

审计数据类型和来源

主机类型不同和审计的不同要求，审计数据收集的类型也不相同

审计数据：

文件访问
系统访问
资源消耗
进程创建命令的调用

审计数据的预处理

映射、过滤、格式转化

映射过滤消除无用审计记录
格式转化将审计记录转换为单一格式

审计记录格式设计
通用程度足够高
对于机器最有效的格式
考虑系统通用性，从不同机器都可以接收输入
一个审计记录中应尽可能提供更多信息

审计数据获取模块设计

处理负荷的平衡问题
传输协议
多路复用成为一条单一审计记录数据流的问题
延时、遗漏等问题

用于入侵检测的统计模型

1 .操作模型
系统中所发生事件的计数度量情况，将所关心的特定事件计数值与某个阈值进行比较，如果超过，则指示发生了异常情况
2. 均值和标准偏差模型
采用数据的均值和标准偏差，当前用户行为超出了可信任的区间范围，则表示为异常行为
3. 多元模型
在多个参数度量之间进行相关分析
4. 马尔可夫过程模型
将每个审计记录中不同类型事件的出现视为随机变量的不同取值，采用状态转移矩阵来表示不同事件序列出现的概率值，如果当前审计事件按照正常的状态转移矩阵所计算出的发生概率小于某个阈值，则指示为异常行为

IDES策略
当前系统的活动状态采用一组测量值参数变量来表示，称为“入侵检测向量”
IDES定义了3种不同类型的测量值，分别针对用户主体、目标系统主体和远程主机主体

不同类型的单独测量值分为以下4个类别
活动强度测量值
审计记录分布测量值
类别测量值
序数测量值

入侵检测的专家系统

专家系统在知识库的基础上，根据所获得的事实和已知的规则进行推导
对于超出已有规则范围的事实，它无法得出有用的结论
每个规则具有“IF条件THEN 动作”的形式
专家系统可以自动地解释系统的审计记录
专家系统规则表示一系列的活动不具有直观性
专家系统规则很难检测出对系统的协同攻击

基于状态转移分析的入侵检测技术

特点：
脱离了单纯进行主机入侵检测的结构，实现了分布式的入侵检测框架、

原理：
基于状态分析的检测模型，将攻击者的入侵行为描绘为一系列的特征操作及其引起的一系列系统状态转换过程

优点：

采用状态转移法标识攻击过程，使攻击行为直观可见
STAT可以很好的分别不同的审计记录序列
可以检测协同攻击和跨进程的攻击行为
在攻击行为未造成危害时及时检测并采取响应措施
可以较好处理已知攻击的变种行为

状态转移图：

构建状态转移图步骤

分析具体攻击
抽象攻击行为关键行为点
确定初始状态和最终状态
从最终状态出发逐步确定中间各个状态及其满足的状态断言组

STAT推理原理
一行对一个攻击实例，一列对一个步骤
推理引擎工作时先找到对应的状态转移图，找到后复制一个新行到现有的推理引擎表中，因为原来的表象仍可以代表某次部分完成的具体攻击实例

推理引擎的最重要的功能就是判断状态断言的真假

文件完整性检查

目的：发现潜在的针对文件系统的有意或无意的修改

必要性：

攻击者入侵后常安装后门程序
可能安装非授权的程序替换系统程序
可能删除审计记录
修改配置文件或数据库数据等

思想：
目标文件生成唯一标识符，检查时生成新的标识符与旧的标识符比较，确定文件是否更改

检查列表技术

特点：
用一个列表储存文件标识信息
方法：
检查时系统取得文件的属性信息并于列表中储存的比较
优点：
快
缺点：
无法保证文件内容，仅能保证文件属性

TripWire

最著名完整性检查工具

基本思想：
单项消息摘要，将文件校验和信息存储到可靠的安全存储介质上，系统定时验证

完整性检查为什么是主机入侵检测的技术？：
因为许多针对主机系统的攻击会体现在文件上，针对文件的完整性，属于事后入侵检测技术

系统配置分析技术

目标是检查系统是否已经受到入侵活动的侵害，或者存在有可能被入侵的危险
之所以称为“静态”，是因为该技术只检查系统的静态特征，并不分析系统的活动情况

此技术可以在入侵发生之前用，也可以在潜在的攻击活动之后用。针对入侵产生的痕迹以及人员初始对系统的错误配置从而导致的入侵风险
所以可以纳入入侵检测范围

COPS系统

检查文件、目录和设备的访问权限模式
脆弱的口令设置
检查口令文件和组用户文件的安全性、格式、内容
检查在/etc/rc*目录和cron中指定运行的文件和程序
具有root SUID属性的文件，检查它们是否可写，以及是否脚本程序
对重要的二进制文件和其他文件计算CRC校验和，检查是否发生更改
检查用户主目录下文件是否可写
是否具有匿名FTP登录服务账户
是否存在TFTP服务，Sendmail中别名情况以及在inetd conf文件中隐藏的启动脚本程序等
各种类型的根权限检查
按照CERT安全报告的发布日期，检查关键文件是否已经及时进行了升级或打上补丁

3-3 基于网络的入侵检测技术

协议分层模型与TCP/IP协议

我记得她当时说这里不咋考，因为你们计网都学过

协议采用分层方式，低层对高层采用透明服务，相邻层之间采用原语交互
同层协议在不同机器上实现可能不同，但要保证：

正确实现上下层交互原语
提供一致的服务

IP层
为IP数据报分配一个全网唯一的IP地址

传输层
传输层作为应用程序提供端到端通信功能，保证通信连接的可靠性

应用层：
位于传输层之上的应用层包含所有的高层协议

网络接口层
TCP/IP协议并不包括物理层和数据链路层协议

ARP/RARP
为了使TCP/IP协议与具体的物理网络无关，将物理地址隐藏而统一使用IP地址进行网际通信，就必须提供一种在IP地址和物理地址之间进行映射的机制

IP
IP协议是TCP/IP协议族的核心协议之一，它提供了无连接数据包传输和网际路由服务，不可靠
IP协议首先要根据物理网络所允许的最大报文长度对上层协议的数据进行长度检查，必要时将数据报分成若干段后再发送

ICMP
差错报告，为所有控制报文和信息报文提供了一个统一的机制，采用路由器向源主机报告模式

TCP
建立可靠的端对端连接，并提供虚电路服务和面向数据流的传输服务

UDP
UDP主要用于直接使用数据报服务的应用程序，这些应用程序自己提供误码校验以及拥塞控制机制

网络数据包截获❗

网络数据包的截获是基于网络的入侵检测技术的工作基石

截获方法；

利用以太网广播特性
设置路由器监听口或镜像口
分光器复制
光交换机

以太网环境下数据包截获方法；
将网卡工作模式置于混杂模式，直接访问数据链路层截获相关数据，有响应应用程序解析TCP/IP，截获所有流经网卡的数据

伯克利抓包过滤器

能够尽早丢弃不需要的数据包
避免必须将所有的数据包从内核中复制到用户空间再进行处理这种重复的复制（无效工作）
节约了大量的CPU时间

交换网络环境下的数据包截获方法
利用交换机或路由器上设置监听口或镜像口
问题：

交换带宽增长导致并非所有网络流量都会反映在镜像口上
不是所有设备都有镜像口

Libpcap
不同操作系统提供接口功能不同，所以提出了libpcap
作用

捕获
过滤
分析
存储

又一个重复的知识点，狠狠的背吧，内容安全也能用上

检测引擎设计❗

两大类

嵌入式规则检测引擎
代码实现对于终端用户隐藏不可见，用户可以从既定规则中选择子集
可编程检测引擎
允许用户采用特定的编程语言或脚本语言，来实现具体的检测模块，灵活

嵌入式规则检测引擎❗Snort

规则的两个逻辑部分

规则头
IP地址，端口号，方向操作符
规则选项
警报信息，用于确定是否触发规则响应动作而需检查的数据包区域位置信息

这里有一堆规则代码啥的，但她自己说不考编程

系统结构

协议解析器
规则检测引擎
日志/警报系统

协议解析器
解析Packet
Packet数据结构主要分为三类

指示原始数据包截获信息的字段
用于存放当前数据包进行协议解析后所得信息的字段
各种标识字段

规则检测引擎

规则链表构造模块
是读入配置文件，逐条解析检测规则，并最终形成内存中的二维规则链表结构
同一个规则链表头的下面可以链接多个规则链表选项结点
- 链表头
- 链表选项
预处理器模块
- 数据包分片重组及数据流重组功能
- 协议规范化/解码功能
规则匹配模块
对于每一个当前数据包，遍历整个规则链表结构，并调用对应的插件模块进行各种处理。一旦规则匹配模块搜索到一个与解析后的数据包匹配的则，则触发定义好的规则动作并返回

日志/警报系统
规则匹配模块所触发的规则动作，具体功能实现由日志/警报系统完成，可通过各种插件模块来实现
三种日志模式：

关闭：获取更好的运行性能
以可读格式记录数据包：有利于快速分析
以Tcpdump二进制形式记录数据包：提高系统运行性能

可编程的检测引擎

要点就在于用于实现入侵检测功能的脚本语言的定义及其与引擎架构的接口设计

特征分析与协议分析❗

特征分析
在最初的特征分析技术工作过程中，每次输入检测引擎的数据包，将会与单个特征进行逐个字符的匹配操作
将输入数据包视为一个无序无结构的随机数据流，仅依靠简单的字符串匹配操作完成所有的检测任务

协议分析
将输入数据包视为具有严格定义格式的数据流，并将输入数据包按照各层协议报文封装的反向顺序，层层解析出来。
协议分析技术利用预先定义好的关于协议字段的期望值或合理值的详细信息，来判断是否出现了恶意的网络流量。

特征分析优点：

在小规则集合情况下工作速度快
检测规则易于编写、理解并且容易进行定制
对新出现的攻击手段具备快速升级支持能力
对底层的简单脚本攻击，具备良好的检测性能
对所发生的攻击类型，具备确定性的解释能力
特征分析缺点：
随着规则集合规模的扩大，检测速度迅速下降
各种变种的攻击行为，易于造成过度膨胀的规则集合
较易产生虚警信息
仅能检测到已知的攻击类型

协议分析优点：

具备良好的性能可扩展性
具备发现最新的未知安全漏洞的能力
较少出现虚警信息

~~我比较不理解的是发现新漏洞和虚警率低真的可以共存吗？~~

协议分析缺点：

在小规模集合情况下，初始的检测速度相对较慢
检测规则比较复杂，难以编写和理解并且通常是由特定厂商实现
协议复杂性的扩展以及实际实现的多样性，容易导致规则扩展的困难
对发现的攻击行为类型，缺乏明确的解释信息

怎么快速记？

小规则情况
编写难度
增加规则难度，扩展性
解释能力
虚警率
检测未知攻击

4 互联网基础设施安全

十分建议这里看ppt，很多东西都是图，完事我上课也没咋听，没有思路，就记着个DNS的威胁探测

我觉得这一章怎么考，我觉得会让你说几个DNS评估的算法名字，不会考具体的点，要不谁能说上来

前言？
可以通过公开渠道获得信息，但属于事中和事后
通过对关基提前监测和分析，对网络资源画像，可以实现提前预警

研究的目的与意义

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施

国外现状：
美国全面领先
俄罗斯自成一体
欧盟跟随创新

研究思路：
实现事前、事中、事后的全链条、全过程的识别、监测、分析、预警与处置，保障重点目标防护的及时性、全面性和准确性
静动结合，知己知彼，实现目标

DNS安全与域名安全

域名系统已成为互联网重要的基础设施，是保障互联网稳定运行的“基石“

研究背景与意义

域名解析器作为用户与域名服务器间数据传输的“桥梁”，决定广大互联网用户最终的网络访问体验

域名系统：
域名空间与资源记录
名称服务器（域名服务器）
解析器（域名解析器）

国家层面
发布网络安全法及关基安全保护条例
行业层面
开放域名服务器对互联网可用性的消极影响已成共识
用户层面
意识到域名解析器对于网络访问的重要性

DNS科学研究体系

测绘

这图看着多少有点恐怖了

全球根和顶级域服务器测量及异常解析分析

停服异常
观测时间内域名在DNS服务器上因DNS服务器原因无法获取解析结果
断服异常
观测时间内域名在DNS服务器上因DNS服务器原因时断时续的获取解析结果
篡改异常
域名在DNS服务器上的解析记录被篡改

国内外研究存在的问题

停服和断服：
针对具体情况缺乏具体分析，对未返回解析结果没有细化分析，依据单节点解析判断是否在线
篡改异常和可信资源记录维护：
缺乏可信资源记录的动态更新
域名解析主动检测
检测DNS服务器全面性不足，数据采集和简单统计，未进一步分析解析结果

停服异常评估模型

基于决策树的停服异常判断模型构建

无解析结果分析
1. 请求超时
  网络拥塞，政策限制，DNS服务器不可达
2. 返回非NoError
  请求格式你，内容，IP地址出错，DNS服务器原因
3. 返回NoError
  未配置某资源记录，DNS服务器原因
可疑DNS原因导致的无解析结果情况

断服异常评估模型

在停服异常评估之后对感知重点域名在不同层级DNS服务器上的解析结果分析，判断是否发生断服异常。

层次分析法：
根据返回的不同结果一层一层找原因

请求超时，同时网络良好
返回五类RFV码

篡改异常评估方法

篡改异常评估是基于可信资源记录维护

pre_rr：可信资源记录中未出现在某探测结果中的资源记录
new_rr：某次探测结果中新增加的资源记录

基于判别模型的可信资源记录维护——数据采集（可信中A集合）
一个样本=域名+需要判断的A记录+相关A记录集合+样本标签

全球根和顶级域服务器的测量及异常解析分析

技术方案
1. 多级任务分布式系统：测绘需求、测绘点、测绘目标等
2. 消除网络阻塞造成的噪声数据的技术：数据清洗
3. 全层级关联融合的重点域名解析异常评估技术：异常分析

开放DNS服务器发现、分类与可用性评估

研究背景

特点：
1. 用用户直接交互
2. 规模庞大
3. 向公众用户开放
开放域名解析器对互联网影响远超另外两类
国内外研究现状
1. 发现不完全，分类不准确，探测效益比低
2. 对开放DNS评估的研究较少，评估指标孤立、未揭露互联网中开放DNS健康现状
3. 忽略提供服务本身的用户的接受度、服务满意度，测量和评估结果易受探测点影响，未揭露互联网中开放DNS服务质量现状
4. 忽略资源消耗成本，未有大规模实验验证可用性

基于地址空间约减的开放DNS发现与分类

对开放DNS数据的要求
1. 时效性
2. 数量和分布
3. 准确性
4. 信息量
三种获取方式
1. 主动获取
2. 被动获取
3. 第三方获取

解决

高容忍度发现
实现对开放DNS的更完全发现
在用户侧和权威域名服务器侧均收集DNS数据包
实现对开放DNS的更准确分类
分析发现获得的开放DNS的IP地址分布规律
提高开放DNS发现与分类的效益比

高容忍度发现
过程：

DNS数据包发送
DNS数据包收集
开放DNS判定

开放DNS发现与分类的结果

发现足够多的开放DNS
高容忍度的判定标准能更完全地发现
高容忍度的数据包发送方式有助于更完全地发现
高容忍度的数据包收集方式有助于更完全地发现

基于解析路径的开放DNS分类方法
方法：

分析域名解析器间一致性
描绘域名解析路径
判定DNS类型
对开放DNS分类

基于地址不均匀分布的探测地址空间约减方法
关键问题：
开放DNSIP地址变动频繁
开放DNS占所有IP地址量级小

基于多自身属性协同的开放DNS健康状况测量与评估

评估指标：
运行稳定性
解析安全性
数据完整性
一致性：关注的是域名系统中同一DNS区的权威域名服务器间
速度和可用性：被归类为体现域名解析服务效果的指标
可恢复性：涉及故障恢复能力因而通常被认为无法进行主动测量获得

基于影响力对抗的解析安全性评估方法

分析加密协议的正向影响力与DNS软件漏洞的反向影响力，基于两者对抗结果评估解析安全性

基于双传输协议的数据完整性评估方法

从UDP与TCP两个传输协议评估开放DNS的数据完整性

基于多自身属性协同的开放DNS健康状况评估方法

采用层次分析法确定权数【适用于绝对评价】
合成模型的确定
健康状况的评估

基于服务置信度的开放DNS服务质量测量与评估

评估指标

服务有效性
服务准确定
服务及时性

异常DNS响应的识别与分类方法

服务有效性评估方法、服务准确性评估方法

基于查询时延的服务及时性评估方法

提出开放DNS与根/顶级域名服务器间查询时延的测量方法，实现了服务及时性的评估

基于服务置信度的开放DNS服务质量评估方法

根据服务有效性、服务准确性、服务及时性对开放DNS服务质量进行综合评价

采用层次分析法确定权数【适用于绝对评价】
合成模型的确定
健康状况的评估

基于效益比的开放DNS可用性测量与评估

基于数据包浪费分析的开放DNS节能程度评估方法

依据其在域名解析路径中、DNS响应引起的数据包浪费行为，计算数据包浪费比例，实现节能程度评估

基于效益比的开放DNS可用性评估方法

根据体现运行“收益”的健康状况、体现服务 “收益”的服务质量、体现资源“成本”的节能程度，对开放DNS的可用性进行综合评价

开放DNS可用性测量与评估系统

重点域名DNS劫持发现与分析

DNS劫持：通过攻击DNS服务器，或伪造DNS服务器的方法，把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的，或者恶意要求用户访问指定IP地址（假网站）的目的。

DNS劫持：造成经济损失，造成政治威胁

开放DNS：可以接收公众用户的请求，直接与用户进行报文交互，负责接收用户的查询请求，进行查询并且返回给用户查询结果

研究目的：

及时全面的重点域名DNS劫持发现
意义：

国家角度
为国家网络安全应急响应提供依据
行业角度
为运营商等其他DNS服务器管理着运维、管理提供指导
用户角度
保障用户的安全访问

研究现状；

全球DNS发现
针对全球节点发现，但全球节点巨多，所以时间长效率低对互联网空间污染大
DNS劫持相关研究
较多使用被动方式，DNS劫持发现不及时
主动较少，常基于<域名、IP>解析对变化，方式单一容易误判
整体来看，DNS劫持检测的方法研究少且不深入，应对DNS劫持的理论研究，防护措施，新技术
改进
- 及时性——主动测量
- 全面性——选取全球多地区探测点
- 准确性——增加基于网页内容的DNS劫持检测方式

研究方案：

方式：主动测量
报文：DNS请求报文
探测点：云服务
输入：全球开放DNS

DNS劫持检测模块——重点域名解析IP地址检测

是否错误
是否可访问

基于网页内容的DNS劫持检测

提前网页标签特征和文本向量特征，特征融合后进行匹配，多不匹配则认为被劫持，或匹配后外链不对也判断为劫持
获取网页内外链，使用百度和腾讯提供的第三方API进行检测

基于网页证书的DNS劫持检测

链接网页后获取证书进行校验

基于网页快照文字识别的DNS劫持检测

图片文字识别

DNS劫持定位与分析

研究方案

域名管理出错
所有的DNS均判定为DNS劫持，说明域名权威出问题，测量域名其他维度属性如证书信息，备案信息等，之后辅助域名管理者修复
DNS管理出错
部分DNS判定为发生劫持，其他DNS出现异常，读取DNS劫持定位模块的DNS信息，辅助DNS管理者管理
中间路径攻击
部分DNS判定为发生DNS劫持，其他域名测试正常

网络不良实体发现

现状

发现不容易
感知不准确
处置不完整
溯源不通畅
取证不全面

域名：

基本信息
- 域名基本信息
- Whois/WhoWas信息
站点信息
- 服务IP信息
- 站点内容
- 站点链接
- 子域名信息
- 证书信息
- ICP备案信息
关联分析
- 域名地理位置分析
- 域名关联信息分析
- 域名关联注册组织分析
域名检测信息
- 互联网公司
- 安全公司
- 域名检测平台

背景：

不良站点信息多维（注册/备案/认证/服务）
不良站点内容复杂
不良站点形式多样、传播渠道广
不良站点信息动态易变

挑战：

全面、高效、高质量的异常域名信息获取
高效、有效、准确的异常域名及其组织关系挖掘
准确、及时的异常域名活性测绘和变化趋势分析
准确、及时的异常域名治理效果评估

然后这里有很多的技术，我觉的这里可能会让你例举几个技术，太多了我就不列了，大伙看着看就行