教程图文详解 - 网络安全（第八章）

一 前言

本章节考查的频率较大，且上午和下午都可以能会出现考点。通常分值在 6 分以上。

常见的考点，病毒种类、PGP、数字签名、证书、加解密算法等。

二 网络安全的基本概念

2.1 网络安全威胁的类型

1. 窃听：如搭线窃听、安装通信监视器和读取网上信息等。
2. 假冒：当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
3. 重复：重复一份报文或报文的一部分，以便产生一个被授权的效果。
4. 流量分析：通过对信息流进行观察和分析推断传播的可用信息。
5. 数据完整性破坏：有意或无意的修改或破坏信息系统，或者在非授权和不能监测的方式下对数据进行修改。
6. 拒绝服务。
7. 资源的非授权使用。
8. 陷门和特洛伊木马。
9. 病毒。
   10.诽谤。

2.3 网络攻击

注意：本小节经常为考点出现。

网络攻击分为以下几类：

1. 被动攻击：攻击者通过监视所有信息流以获得某些秘密，被动攻击时最难被监测到的，主要手段为预防和数据加密。点击攻击方式：监听。
2. 主动攻击：攻击者试图突破网络的安全防线，这种攻击设计数据流的修改和创建错误流，主要的攻击形式由：假冒、重复、欺骗、消息篡改和拒绝服务等。主要手段为：防火墙、入侵检测技术等。
3. 物理临近攻击：在物理临近攻击中未授权者可物理上接近网络、系统或设备，目的是修改、收集或拒绝访问信息。
4. 内部人员攻击。
5. 分发攻击：指软件或硬件开发出来之后和安装之前期间，或从一个地方传到另一个地方的时候，攻击者恶意修改软/硬件。

2.4 安全措施目标

1. 访问控制。
2. 认证。
3. 完整性。
4. 审计。
5. 保密。

2.4 基本安全技术

1. 数据机密。
2. 数字签名。
3. 身份认证。
4. 防火墙。
5. 内容检查。

2.5 现代加密技术

注意：本小节十分重要。

1. 对称加密算法：共享密钥算法，加密和解密使用的密钥是一样的。
   1. DES （Data Encryption Standard）：分组加密，加密前先对整个明文进行分组，每个分组为 64 位，之后进行16轮迭代，产生一组 64 位密文数据，使用的密钥是：56 位。
   2. 3DES （Triple-DES）：使用两个密钥，执行三次 DES 算法，密钥长度是：112 位。
   3. IDEA（国际数据加密算法）：使用 128 位密钥，把明文分成64位的块，进行 8 轮迭代。IDEA 可以使用硬件或者软件实现，比 EDS 快。
   4. AES（Advanced Encryption Standard）：支持128、192和256 位三种密钥长度，可通过硬件实现。
   5. 流加密算法和 RC4：加密速度快，可以达到EDS 10 倍。
2. 非对称算法：一组密钥，公钥公开、私钥自己保存。
   1. RSA （Rivest Shamir and Adleman）。

2.6 历年真题

1. 2013 下半年
下列网络攻击中，属于 DOS 攻击的是（B）。
A. 特洛伊木马攻击 B. SYN Flooding 攻击 C. 端口欺骗攻击 D. IP 欺骗攻击

常见的 DOS 攻击：MAC Flooding、ARP Flooding、SYN Flooding。

2. 2015 下半年
不属于主动攻击的是（A）。
A. 流量分析 B. 重放 C. IP 地址欺骗 D. 拒绝服务

3. 2014 上半年
高级加密标准 AES 支持3种密钥长度中不包括（A）。
A. 56 B.128 C.192 D. 256

4. 2018 上半年
DES是一种（A）加密算法，其密钥长度为56位，3DES是基于DES的加密式，对明文进行3次DES操作，以提高加密强度，其密钥长度是（B）位。
A. 共享密钥 B.公开密钥 C.报文摘要 D.访问控制
A. 56 B.112 C. 128 D. 168

5. 2019 下半年
非对称加密算法中，加密和解密使用不同的密钥，下面的加密算法中（B）属于非对称加密算法。若甲、乙采用非对称密钥体系进行保密通信，甲用乙的公钥加密数据文件，乙使用（D）来对数据文件进行解密。
A. AES B. RSA C. IDEA D. DES
A. 甲的公钥 B. 用的私钥 C. 乙的公钥 D.乙的私钥

三 认证

认证分为实体认证和消息认证两种。

实体认证是识别通信对方的身份，防止假冒，可以使用数字签名的方法。

消息认证是验证消息在传送或存储过程中没有被篡改，通常使用报文摘要的方式。

3.1 基于共享密钥的认证

通信双方有一个共享的密钥，则可以确认对方的真实身份。这种算法依赖一个双方都信赖的密钥分发中心（Key Distibution Center，KDC）。

如下图所示：
A 和 B 分别代表发送者和接受者，$K_A$ 、$K_B$ 分别表示A、B 与 KDC 之间共享密钥。

认证过程如下：
A 向 KDC 发出消息{A，$K_A$(B，$K_S$)}，说明自己要和 B通信，并指定了与 B 会话的密钥 $K_S$。

注意，（B, $K_{S}）是用 $K_A$ 加密了的，所以第三者不能了解消息的内容。

KDC 知道了A 的意图后就构造了一个消息{$K_B$(A, $K_S$)}发给B。B 用 $K_B$ 解密后就得到了 A 和 $K_s$，然后就可以与 A 用 $K_s$ 会话了。

然而，主动攻击者对这种认证方式可能进行重放攻击。

四 数字签名

注意：本小节很重要。

数字签名是用于 确认发送者身份和消息完整性 的一个加密信息摘要，具有以下特点：

1. 接受者能够核实发送者。
2. 发送者事后不能抵赖对报文的签名。
3. 接受者不能伪造对报文的签名。

4.1 基于私钥的数字签名

私钥签名，公钥验证

4.2 基于公钥的数字签名

公钥签名，私钥验证

如下图：
如果 A 否认了，B 可以拿出 $D_A$§，并用 A 的公钥 $E_A$ 解密得到 P，从而证明 P 是 A 发送的。

如果 B 把消息 P 篡改了， 当 A 要求 B 出示原来的 $D_A$§，B 拿不出来。

4.3 历年真题

1. 2018 上半年
在安全通信中，A将所发送的信息使用（B）进行数字签名，B收到该消息后可利用（A）验证该消息的真实性。
A. A 的公钥 B. A 的私钥 C. B的公钥 D. B的私钥
A. A 的公钥 B. A 的私钥 C. B的公钥 D. B的私钥

五 报文摘要

5.1 常用摘要算法

1. 报文摘要算法：使用最广泛的报文摘要算法是 MD5， 先把报文按 512 位分组，产生 128 位报文摘要。
2. 安全散列算法（Secure Hash Algoritm，SHA）：常用 SHA-1 版本。对 512 位长的数据块进行处理，产生 160 位报文摘要。

以上两种摘要算法都具有 不可逆性、无碰撞性、雪崩效应 等特点。

3. 散列式报文认证码（HMAC）：是利用对称密钥生成报文认证码的散列算法，可以提供数据完整性数据源身份认证。其实就是加多一个盐（salt），HMAC = Hash(摘要 + salt)。

5.2 历年真题

1. 2013 上半年
利用报文摘要算法生成报文摘要的目的是(D）。
A. 验证通信对方的身份，防止假冒
B. 对传输数据进行加密，防止数据被窃听
C. 防止发送方否认发送过的数据
D. 防止发送的报文被篡改

2. 2014 上半年
在报文摘要算法MD5 中，分组报文按（C）位分组。
A. 128 B. 256 C. 512 D. 1024

3. 2018 下半年
MD5 是（B）算法，对任意长度的输入计算得到结果为（B）位。
A. 路由选择 B. 摘要 C. 共享密钥 D. 公开密钥
A. 56 B. 128 C. 140 D. 160

六 数字证书与CA

数宇证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子
交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。

6.1 数宇证书

数宇证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。

每个用户自己设定一个特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名，同时设定一个公共密钥（公钥），并由本人公开，为一组用户所共享，用于加密和验证。

私钥签名，公钥验证；公钥加密，私钥解密。

公开密钥技术解决了密钥发布的管理问题。

一般情况下，证书中还包括密钥的有效时间、所有者公钥、发证机构（证书授权中心）的名称及该证书的序列号等信息。

数字证书的格式遵循 ITUT ×.509 国际标准。用户的数字证书由某个可信的证书发放机构 (Certification Authority， CA)建立，并由CA 或用户将其放入公共目录中，以供其他用户访问。

日录服务器本身并不负责为用户创建数字证书，其作用仅仅是为用户访问数宇证书提供方便。

在x.50 标准中，数宇证书的一般格式包含的数据域如下：

1. 版本号：用于区分 x.509 的不同版本。
2. 序列号：由同一发行者(CA）发放的每个证书的序列号是唯一的。
3. 签名算法：签署证书所用的算法及参数。
4. 发行者：指建立和签署证书的 CA 的x.509名字，
5. 有效期：包括证书有效期的起始时间和终止时间。
6. 主体名：指证书持有者的名称及有关信息。
7. 公钥：有效的公钥以及其使用方法。
8. 发行者ID：任选的名字唯一地标识证书的发行者．
9. 主体 ID：任选的名字唯一地标识证书的持有者。

6.2 证书链

如果用户数量很多 ，通常有多个 CA 存在，每个CA为一部分用户发行和签署证书。

如果有两个 CA，X1 和 X2，假设用户 A 从 CA 机构X1获得了证书，用户 B 从 X2 获得证书。

如果两个证书发放机构 X1 和 X2 彼此间安全交换了公钥，彼此信任，那么他们的证书可以形成证书链。

1. A 通过一个证书链来获取 B 的公钥，证书链表示为：X1《X2》X2《B》
2. B 通过相反的证书链来获取 A 的公钥：X2 《X1》 X1 《A》

6.3 历年真题

1. 2013 下半年
PKI体制中，保证数字证书不被篡改的方法是（A）
A. 用 CA 的私钥对数字证书签名。B. 用 CA 的公钥对数字证书签名。
C. A. 用证书主人的私钥对数字证书签名。 D. A. 用证书主人的公钥对数字证书签名。

2. 2016 上半年
用户 B 收到经 A 数字签名后的消息 M，为验证消息的真实性 ，首先需要从 CA 获取用户 A 的数字证书，该数字证书中包含(A），可利用（A）验证该证书的真伪，然后利用（C）验 M的真实性。
A. A的公钥 B. A的私钥 C.B的公钥 D. B的私钥
A. CA的公钥 B. B的私钥 C. A的公钥 D.B的私钥
A. CA的公钥 B. B的私钥 C. A的公钥 D. B的私钥

数字证书包含此证书持有者的公钥，通过 CA 的公钥验证证书的合法性，通过发送者的公钥验证消息的真实性。

3. 2017 上半年
假设有证书发放机构 I1，I2，用户 A 在 I1 获取证书，用户 B 在 I2获取证书，I1 和 I2 巳经交换了各自的公钥，如果I1《A》 表示 I1 领发给 A 的证书，A可以通过（A）证书链来表示获取 B 的公开密钥。
A. I1《I2》 I2 《B》 B. I2《B》 I1《12》 C. I1 《B)》I2 《I2》 D. I2 《I1)》I2 《B》

七 虚拟专网 VPN

虛拟专用网（Virtual Private Network, VPN)，就是建立在公用网上的、由某一组织或某一群用户专用的通信网络。

其虛拟性表现在任意一对 VPN 用户之间没有专用的物理连接，而是通过 ISP 提供的公用网络来实现通信，其专用性表现在 VPN 之外的用户无法访问 VPN 内部的网络资源，VPN 内部用户之间可以实现安全通信。

二层（数据链路层） VPN ：L2TP 和 PPTP (基于PPP)。
三层（网络层） VPN ：IPSec 和 GRE。
四层（传输层） VPN ：SSL。

7.1 关键技术

VPN 的关键技术主要有以下几种：

1. 隧道技术 (Tunneling)。隧道技术是一种通过使用因特网基础设施在网络之间传递数据的方式。隧道协议将其他协议的数据包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过因特网传递。在Internet 上建立隧道可以在不同的协议层实现，例如数据链路层、网络层或传输层，这是 VPN特有的技术。
2. 加解密技术 (Encryption & Decryption)。 VPN 可以利用已有的加解密技术实现保密通信，保证公司业务和个人通信的安全。
3. ）密钥管理技术 (Key Mamagement)。建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性等。
4. 身份认证技术 (Authentication）。加入 VPN 的用户都要通过身份认证，通常使用用户名和密码，或者智能卡来实现用户的身份认证。

7.2 解决方案

1. 内联网 VPN (Intranet VPN) ：企业内部虚拟专用网也叫内联网VPN，用于实现企业内部各个 LAN 之问的安全互联。
   

2. 外联网 VPN (Extranet VPN)：企业外部虛拟专用网也叫外联网 VPN，用于实现企业与客户、供应商和其他相关团体之间的互联互通。
   

3. 远程接入 VPN (Access VPN)：解决远程用户访问企业内部网络。
   

7.3 隧道协议

虛拟专用网可以通过第二层隧道协议实现，这些隧道协议（例如 PPTP 和L2TP）都是把数据封装在点对点协议（PPP）的帧中在因特网上传输的。

创建隧道的过程类似于在通信双方之间建立会话的过程，需要就地址分配，经加密、认证和压缩参数等进行协商，隧道建立后才能进行数据传输。

1. PPP 协议
Point-to-Point Protocol 点对点协议是数据链路层协议，可以在链路上传输多种上层协议的数据包。

PPP 是一组协议，包含下列成分：

1. 封装协议：用于封装各种上层协议的数据报。
   

2. 链路控制协议：Link Controller Protocol，LCP。

3. 网络控制协议：Network Controller Protocol，NCP。

4. 口令认证协议：Password Authentication Protocol，PAP。简单的明文认证方式。

PPP 认证功能

1. 口令认证协议（PAP）：两次握手验证协议，口令以明文传送，被验证方首先发起请求。此种方式是不安全的。

2. 挑战一握手验证协议（CHAP）：三次握手，认证过程中不传送认证口令，传送由用户密码生成的散列值。 验证放方发起验证

   首先由 NAS 向远端用户发送一个挑战口令，其中包括会话 ID 和一个任意的挑战字串（用
   于防止重放攻击)。客户端返回经过 MD5 加密的会话 ID、挑战宇符串和用户口令，用户名则以明文方式发送。

   如下图所示。NAS 根据认证服务器中的数据对收集到的用户数据进行有效性验证，如果证成功，NAS 返回肯定应答，连接建立；如果认证失败，连接终止。在后续的数据传送阶段，还可能随机地进行多次认证，以减少被攻击的时间。虽然这种认证只是由服务器端对客户端的向认证，但是也可以应用在双向认证中
   

7.4 IPSec

IPSec (IP Security）是IETF 定义的一组协议，用于增强 IP 网络的安全性。

1. 提供服务

1. 数据完整性（Data Integrity）：保持数据的一致性，防止未授权地生成、修改或删除
   数据。
2. 认证 （Authentication）：保证接收的数据与发送的相同，保证实际发送者就是声称的
   发送者。
3. 保密性（Confidentiality）：传输的数据是经过加密的，只有预定的接收者知道发送的
   内容。
4. 应用透明的安全性 (Application-transparent Security)。IPSec 的安全头插入在标准的IP
   头和上层协议（例如TCP）之间，任何网络服务和网络应用都可以不经修改地从标准 IP 转换为 IPSec。同时，IPSec 通信也可以透明地通过现有的I路由器。

2. 功能功能

1. 认证头 (Authentication Header, AH)：用于数据完整性认证和数据源认证。
2. 封装安全负荷 (Encapsullating Security Payload, ESP)：提供数据保密性和数据完整性认证，ESP 也包括了防止重放攻击的顺序号。
3. Internet 密钥交换协议 (Internet Key Exchange， IKE)：用于生成和分发在 ESP 和 AH 中使用的密钥，飞E也对远程系统进行初始认证。

3. 模式分类

1. 传输模式：IPSec 认证头插入原来的 IP 头之后，IP 数据和 IP 头用来计算 AH 认证值。
   
2. 隧道模式：IPSec 用新的 IP 头封装了原来的 IP 数据报（包括原来的 IP 头）。
   

7.5 SSL 安全套接层

安全套接层（Secure Socket Layer， SSL）是Netscape 于 1994 年开发的传输层安全协议，用于实现 Web 安全通信。

SSI 的基本目标是实现两个应用实体之间安全可靠的通信。SSL 协议分为两层：

1. 底层是 SSL 记录协议，运行在传输层协议 TCP 之上，用于封装各种上层协议。
2. 上层协议是SSL 握手协议，由服务器和客户端用来进行身份认证，并且协商通信中使用的加密算法和密钥。
   

7.6 历年真题

1. 2010 下半年
下列隧道协议中，工作在网络层的是（C）
A. SSL B. L2TP C. IPSec D. PPTP

2. 2013 下半年
CHAP协议是PPP链路上采用的一种身份认证协议，这种协议采用（B）握手方式周期性的验证通信对方的身份 ，当认证服务器发出一个挑战报文时，则终端就计算该报文的（D） ，把结果返回服务器。
A. 两次 B. 三次 C. 四次 D. 周期性
A. 密码 B. 补码 C. CHAPE D. HASHIE

3. 2014 下半年
PPP是连接广域网的一种封装协议，下面关于PPP描述错误的是（C）
A.能够控制数据链路的建立 B.能够分配额管理广域网的IP地址
C.只能采用 IP 作为网络层协议 D. 能够有效讲行错误检测

4. 2014 上半年
以下关于IPSec协议的描述中，正确的是（A）
A. IPSeC 认证头（AH）不提供数据加密服务。
B.IPSec封装安全负荷（ESP）用于数据完整性认证和数据源认证
C.IPSec的传输模式对原来的IP数据报进行了封装和加密，再加上新的IP头
D.IPSec通过应用层的web服务器建立安全连接

八 应用层安全协议

8.1 S-HTTP

安全的超文本传输协议 (Secure HTTP, S-HTTP）是一个面向报文的安全通信协议，是HTTP 协议的扩展，其设计目的是保证商业贸易信息的传输安全，促进电子商务的发展。

S-HTTP 可以与 HTTP 消息模型共存，也可以与 HTTP 应用集成。S-HITTP 为 HTTP 客户端
和服务器提供了各种安全机制，适用于潜在的各类Web 用户。

S-HTTP 对客户端和服务器是对称的，对于双方的请求和响应做同样的处理，但是保留了HTTP 的事务处理模型和实现特征。

S-HTTP 的语法与 HTTP 一样，由请求行（Request Line）和状态行 (Status Line）组成，
后跟报文头和报文体（Message Body)，然而报文头有所区别，报文体经过了加密。S-ETTP客户端发出的请求报文格式如下图所示：

8.2 PGP

PGP ( Pretty Good Privacy ) 是一个完整的电子邮件安全软件包，PGP提供数据加密和数字签名两种服务。

采用 RSA公钥证书进行身份验证，使用 IDEA 进行数据加密，使用MD5进行数据完整性验证，

8.3 Kerberos

Kerberos 是一项认证服务，它要解决的问题是：在公开的分布式环境中，工作站上的用户希望访问分布在网络上的服务器，希望服务器能限制授权用户的访问，并能对服务请求进行认证。

**支持AAA：认证、授权和审计（（

分布式环境三种威胁：

1. 用户可能假装成另一个用户在操作工作站。
2. 用户可能会更改工作站的网络地址，使从这个已更改的工作站发出的请求看似来自被伪装的工作站。
3. 用户可能窃听交换中的报文，并使用重放攻击进入服务器或打断正在进行中的操作。

8.4 其他

1. S/MIME ( Security/Multipurpose Internet Mail Extensions）提供电子邮件安全服务
2. SET ( Secure Electronic Transation）安全的电子交易，用于保障电子商务安全

8.5 历年真题

1. 2012 下半年
下列安全协议中，与 TLS 功能相似的协议是（B）。
A. PGP B. SSL C. HTTPS D. IPSec

2. 2014 下半年
以下关于S-HTTP描述中，正确的是（ D ）。
A. S-HTTP是一种面向报文的安全通信协议，使用TCP 443端口
B. S-HTTP使用的语法和报文格式与HTTP相同
C. S-HTTP可以写成HTTPS
D. S-HTTP的安全基础并非SSL

3. 2015 上半年
提供电子邮件安全服务的协议是（ A ）。
A. PGP B. SET C. S-HTTP D. Kerberos

4. 2017 下半年
与HTTP相比，HTTPS协议将传输的内容进行加密，更加安全。HTTPS基于（C）安全协议，其默认端口是(B）。
A. RSA B. DES C. SSL D. SSH
A. 1023 B. 443 C. 80 D. 8080

4. 2017 上半年
PGP是一种电子加密软件包，它提供数据加密和数字签名两种服务，采用(A）进行身份验证，使用（A）（128位密钥）进行数据加密，使用（B）进行数据完整性验证、
A. RSA 公钥证书 B. RSA私钥证书 C. Kerboros证书 D. DES私钥证书
A. IDEA B. RSA C. DES D. Diffie-Hellman
A. HASH B. MD5 C. 3DES D.SHA-1

6. 2018 上半年
PGP的功能中不包括（A）
A.邮件压缩 B.发送者身份认证 C.邮件加密 D.邮件完整性认证

7. 2010 上半年
在Kerberos人证系统中，用户首先向（B）申请初识票据，然后从（C）获得会话密钥。
A. 域名服务器DNS B. 认证服务器AS C. 票据授予服务器TGS D. 认证中心CA
A. 域名服务器DNS B.认证服务器AS C.票据授予服务器TGS D. iNEECA

九 防火墙技术

防火墙可以实现内部网络（信任网络）与外部不可信任网络(Internet）之间或是内部网络不同区域隔离与访问控制。

防火墙技术与分类：包过滤、状态化防火墙、应用层网关、应用层检测DPI。

9.1 历年真题

1. 2009 上半年
包过滤防火墙对通过防火墙的数据包进行检查 ，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括（D）
A.源地址 B.目的地址 C.协议 D.有效载荷

2. 2014 上半年
防火墙的工作层次是决定防火墙效率及安全的主要因素，下面叙述中正确的是（D ）
A.防火墙工作层次越低，工作效率越高，安全性越高
B.防火墙工作层次越低，工作效率越低，安全性越低
C.防火墙工作层次越高，工作效率越高，安全性越低
D.防火墙工作层次越高，工作效率越低 ，安全性越高

十 计算机病毒与防护

10.1 病毒特征

病毒：指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒程序的一个拷贝。

病毒四个阶段：

1. 潜伏阶段（震网病毒）
2. 繁殖阶段（勒索病毒）
3. 触发阶段（震网病毒）
4. 执行阶段

10.2 分类和命名规则

病毒名称的一般格式为<病毒前缀＞.<病毒名＞.<病毒后缀＞。

病毒前缀是指病毒的种类，不同种类的病毒其前缀是不同的；病毒后缀是用来区别某个家族病毒的不同变种的，一般都采用英文字母来表示。

常见病毒种类：

10.3 历年真题

下面病毒中，厲于蠕虫病毒的是（A）
A. Worm.Sasser B. Trojan.QQPSW C. BackdoorIRCBot D. Macro.Melissa

杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断出病毒类型是（D），这类病毒主要感染目标是（B）
A. 文件型 B. 引导型 C.目录型 D.宏病毒
A.exe或COM可执行文件 B. Word或excel文件 C.DLL系统文件 D.磁盘引导区

十一 入侵检测防御

10.1 入侵检测 IDS

入侵检测系统 (Intrusion Detection System， IDS）作为防火墙之后的第二道安全屏障，通
过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析，从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象，入侵检测系统根据检测结果，自动做出响应。

分类

1. 按信息来源分：HIDS、NIDS、DIDS（主机/网络/分布式）
2. 按响应方式分：实时检测和非实时检测
3. 按数据分析技术和处理方式分：异常检测、误用检测和混合检测
   1. 异常检测：建立并不断更新和维护系统正常行为的轮廓，定义报警國值，超过阈值则报警能够检测从未出现的攻击，但误报率高。
   2. 误用检测：对已知的入侵行为特征进行提取，形成入侵模式库，匹配则进行报警已知入侵检测准确率高，对于末知入侵检测准确率低，高度依赖特征库专家系统和模式匹配。

10.2 入侵防御 IPS

定义：入侵防御系统是一种抢先的网络安全检测和防御系统，能检测出攻击并积极响应。

IPS不仅具有入侵检测系统检测攻击行为的能力，而且具有拦截攻击并阻断攻击的功能。IPS不是IDS和防火墙功能的简单组合 ，IPS在攻击响应上采取的是主动的全面深层次的御，

10.3 IDS 和 IPS 区别

1. 部署位置不同：IPS一般串行部署，1DS一般旁路部署。
2. 入侵响应能力不同：IPS能检测入侵，并能主动防御，IDS只能检测记录日志，发出警报。

10.4 历年真题

1. （D）不属于入侵检测技术。
   A 专家系统 B 模型检测 C 简单匹配 D 漏洞扫描

2. 以下关于入侵检测系统描述中，正确的是( B）
   A. 实现内外网隔离与访问控制
   B. 对进出网络的信息进行实时监测与比对，及时发现攻击行为
   C. 隐藏内部网络拓扑
   D. 预防、检测和消除网络病毒

3. 在入侵检测系统中，事件分析器接收事件信息并对其进行分析，判断是否为入侵或异常现象，其常用的三种分析方法中不包括 （B）。
   A. 匹配模式 B.密文分析 C.数据完整性分析 D.统计分析