今天离考试还有14天,今天复习的重点如下:
网络安全(二)
恶意软件的种类和特征
| 名称 | 描述 |
|---|---|
| 病毒 | 当执行时,向可执行代码传播自身副本的恶意代码:传播成功时,可执行程序被感染。当被感染代码执行时,病毒也执行 |
| 蠕虫 | 可独立执行的计算机程序,并可以向网络中的其他主机传播自身副本 |
| 逻辑炸弹 | 入侵者植入软件的程序,逻辑炸弹潜藏到触发条件满足为止,然后该程序激发一个未授权的动作 |
| 特洛伊木马 | 貌似有用的计算机程序,但也包含能够规避安全机制的潜藏恶意功能,有时利用系统的合法授权引发特洛伊木马程序 |
| 后门/陷门 | 能够绕过安全检查的任意机制;允许对未授权的功能访问 |
| 可移动代码 | 能够不变地植入各种不同平台,执行时有相同语义的程序 |
| 漏洞利用 | 针对某一个漏洞或者一组漏洞的代码 |
| 下载者 | 可以在遭受政击的机器上安装其他条款的程序。通常,下载者是通过电子邮件传播的 |
| 自动路由程序 | 用于远程入侵到未被感染的机器中的恶意攻击工具 |
| 病毒生成工具包 | 一组用于自动生成新病毒的工具 |
| 垃圾邮件程序 | 用于发送大量不必要的电子邮件 |
| 洪流 | 用于占用大量网络资源对网络计算机系统进行攻击从而实现Dos攻击 |
| 键盘日志 | 捕获被感染系统中的用户按键 |
| Rootkit | 当攻击者进入计算机系统并获得低层通路之后使用的攻击工具 |
| 僵尸 | 活跃在被感染的机器上并向其他机器发起攻击的程序 |
| 间谍软件 | 从一个计算机上收集信息并发送到其他系统的软件 |
| 广告软件 | 整合到软件中的广告。结果是弹出广告或者指向购物网站 |
入侵检测的概念和模型
<1> 入侵检测的概念:入侵检测技术是为保证计算机系统的安全,而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略的行为。
<2> 入侵检测系统类型:
- 基于网络的入侵检测
- 基于主机的入侵检测
- 混合入侵检测
- 文件完整性检查
<3> 审计记录。入侵检测的一个基本工具就是审计记录。一般有以下两种审计记录:
- 原始审计记录(不需要额外的收集软件,缺点是包含的信息不便于直接应用)
- 面向检测的审计记录(采用第三方的审计记录收集机制,只生成入侵检测系统所需信息的审计记录;缺点是需要额外的处理开销,同时运行两种账户统计工具包)
防火墙的概念和实施
<1> 防火墙的概念:网络防火墙是指在两个网络之间加强访问控制的一套装置,即构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这道保护层,并在此进行连接和安全检查,只有合法的流量才能通过此保护层。
<2> 防火墙的类型:包过滤型、代理服务器型、电路层网关、混合型防火墙、应用层网关和自适应代理技术。