1.黑客：早先对计算机的非授权访问称为“破解”，而hacking(俗称“黑”)则指那些熟练使用计算机的高手对计算机技术的运用，这些计算机高手称为“黑客”。

随着个人计算机及网络的出现，“黑客”变成一个贬义词，通常指那些非法侵入他人计算机的人。

2.入侵检测（intrusion detection）：就是对入侵行为的发觉，它通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

3.入侵检测系统的六个作用：1）、通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。

2）、检测其他安全措施未能阻止的攻击或安全违规行为。

3）、检测黑客在攻击前的探测行为，预先给管理员发出警报。

4）、报告计算机系统或网络中存在的安全威胁。

5）、提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。

6）、在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

4.t P>t D+t Rd的含义：t p:保护安全目标设置各种保护后的防护时间。

t D:从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。

t R：从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。

公式的含义：防护时间大于检测时间加上响应时间，那么在入侵危害安全目标之前就能检测到并及时采取防护措施。

5.入侵检测原理的四个阶段：数据收集、数据处理，数据分析，响应处理。

6.攻击产生的原因：信息系统的漏洞是产生攻击的根本原因。

7.诱发入侵攻击的主要原因：信息系统本身的漏洞或脆弱性。

8.漏洞的概念：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它是可以使攻击者能够在未授权的情况下访问或破坏系统。

漏洞会影响到很大范围内的软件及硬件设备，包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。

漏洞是与时间紧密相关的，，一般是程序员编程时的疏忽或者考虑不周导致的。

9.漏洞的具体表现：存储介质不安全，数据的可访问性，信息的聚生性，保密的困难性，介质的剩磁效应，电磁的泄漏性，通信网络的脆弱性，软件的漏洞。

10.漏洞iongde分类（按被利用的方式）：物理接触、主机模式、客户机模式、中间人模式。

11.入侵检测系统的基本原理主要分四个阶段：数据收集、数据处理、数据分析、响应处理。

12.常用的5种检测模型：操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列分析模型。

13.信息系统面临的三种威胁：非人为因素和自然力造成的数据丢失、设备失效、线路阻断；人为但属于操作人员无意的失误造成的数据丢失；来自外部和内部人员的恶意攻击和入侵。

14.攻击的四个步骤：攻击者都是先隐藏自己；再踩点或预攻击探测，检测目标机器的各种属性和具备的被攻击条件，然后采取相应的攻击行为，达到自己的目的，最后攻击者会清除痕迹删除自己的行为日志。

Ping扫描：ping是一个DOS命令，它的用途是检测网络的连通状况和分析网络速度。

端口扫描：端口扫描时一种用来查找网络主机开放端口的方法，正确的使用端口扫描，能够起到防止端口攻击的作用。

操作系统识别扫描：黑客入侵过程的关键环节是操作系统的识别与扫描。

漏洞扫描：主要是查找操作系统或网络当中存在什么样的漏洞，并给出详细漏洞报告，引导用户到相关站点下载最新系统漏洞补贴程序，确保系统永远处在最安全的状态下，以减少被攻击的可能性。

1.欺骗攻击的类型：IP、ARP、DNS、源路由、URL2.拒绝服务攻击：攻击者想办法让目标主机停止提供服务或资源访问，它是黑客常用的攻击手段之一。

3.拒绝服务攻击的原理：SYN洪流攻击，IP欺骗拒绝服务攻击，UDP洪流攻击，ping洪流攻击，泪滴攻击，Land攻击，Smurf攻击，Fraggle攻击。

4.数据库攻击：危害最大的属于SQL注入式攻击。

源于英文：SQL Injection Attack,就其本质而言，SQL注入式攻击利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。

当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入式攻击就发生了。

5.木马攻击：特洛伊木马本质上只是一种远程管理工具，而且本身不带伤害性，也没有感染力，所以原则上不能成为病毒。

特洛伊木马之所以被视为病毒是因为如果有人不正当的使用，其破坏力可以比病毒更强。

木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

“冰河”的开放端口是7626.6.入侵检测系统模型分为3个模块：信息收集模块、信息分析模块、报警与相应模块7.入侵检测利用的信息来源：系统和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵。

8.信息分析的四种方法：模式匹配；统计分析；完整性分析；数据流分析。

9.蜜罐技术：蜜罐是一个安全程序，设计用来观测入侵者如何探测并最终入侵系统，其中包含一些并不威胁公司机密的数据或应用程序，同时对于入侵者来说又具有很大诱惑力，它安装在网络上的一台专用的计算机上，同时通过一些特殊配置，使该计算机看起来像是一个“有价值”的目标，以引诱潜在的入侵者并捕获他们。

10.蜜网技术：蜜网是一种专门设计用来让人攻击的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析和学习，其想法和蜜罐相似，但两者之间还是有些不同。

11.误用入侵检测的思想是：如果所有的入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法就可以用匹配的方法来发现。

其难点在于如何设计模式，使其既表达入侵又不会将正常的活动包含起来。

12.误用入侵检测系统的类型：专家系统，模型推理系统，模式匹配系统，状态转换分析系统。

13.异常入侵检测：是与误用入侵检测技术相对应的另一种入侵检测技术。

基于异常入侵检测技术的入侵检测系统首先总结正常操作应该具有的特征，如CPU利用率、缓存剩余空间、用户使用计算机的习惯等，在后续的检测过程中对操作进行监视，一旦发现偏离正常统计学意义上的操作模式，进行报警。

14.典型的3种威胁模型：外部入侵、内部渗透、不当行为15.异常入侵检测方法：统计分析、模式预测、数据挖掘、神经网络、免疫系统、特征选择、贝叶斯推理、贝叶斯网络、贝叶斯聚类等9种方法。

16.当前模式匹配问题属于串处理（string processing）和模式组合匹配（combinatorial patternmatching）精确模式串匹配算法检测符号序列的方式主要分为3种模式：前缀模式、后缀模式、结合模式。

前缀匹配模式KMP(Knuth-Morris-Pratt)。

后缀模式主要算法：单串匹配的Boyer-Moore算法和多串匹配的Commentz-Walter算法、Wu-Manber算法。

结合模式：BDM（Backward DAWG Matching）、BOM(Bachward Oracle Matching)、SBDM(Set Backward DAWG Matching)、SBOM(Set Backward Oracle Matching)1.近似模式串匹配算法求解的四种途径：动态规划法、基于自动机的方法、位并行方法、过滤筛选法。

2.注意：从理论上讲，复杂度低的算法的实现性能可能会低于复杂度高的算法。

3.串匹配算法的四种改进方法：基于自动机算法的改进、基于跳跃算法的改进、基于数值型算法的改进、基于编码算法的改进。

4.基于主机的入侵检测系统如何检测入侵？通过监视和分析主机的审计日志检测入侵，审计和日志功能对于系统来说是非常重要的，可以把感兴趣的造作都记录下来，供分析和检查。

日志是使系统顺利运行的重要保障。

标准的日志功能不能自动过滤和检查日志记录，并提供系统管理员所需要的信息。

5.Windows NT的日志文件分为3类：系统日志、应用程序日志、安全日志。

6.在Windows XP 操作系统里有Ineternet连接防火墙（ICF），它的日志文件分为2类：ICF审核通过的IP数据包，ICF抛弃的IP数据包。

7.Windows XP日志文件存放在C:/WINDOWS目录下，均以.log为文件的扩展名，其中最重要的一个文件名就是pfirewall.log.8.UNIT采用Syslog工具实现日志功能。

9.入侵特征预处理：系统收集到的原始数据非常庞大，包含许多无用的信息，格式也各不相同，无法直接输入入侵检测系统。

可以采用如Perl脚本等格式化原始数据，并进一步将其归一化为服从均值为0、标准差为1的实数，形成一个18维的样本矢量，作为入侵检测的输入。

根据目的不同，这些样本数据可分为训练样本、校验样本、测试样本3种，其中训练样本和校验样本是用于确定最佳模式分类器，测试样本是在工作状态下的待检测数据。

10.基于主机的入侵系统的优点：基于主机的入侵系统对分析“可能性的攻击行为”非常有用；误报率通常低于基于网络的入侵检测系统，这是因为检测在主机上运行的命令序列比检测网络数据流更简单，系统的复杂性也降低的多；可部署在那些不需要广泛的入侵检测、传感器和控制台之间的通信宽带不足的场合。

11.基于主机的入侵系统的缺点：①需要安装在被保护的主机上②它依赖于服务器固定有的日志与监控能力③全面部署代价比较高④只监控本主机，根本不监控网络上的情况。

12.基于网络的入侵检测系统（NIDS）：也称硬件入侵检测系统，放置在比较重要的网络段，不停地监视网络段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。

基于网络的入侵检测系统是指监测整个网络流量的系统。

13.网卡的两种最常用的用途：1、普通模式：受数据包里面的MAC地址决定，数据被发送到目的主机2、混杂模式：所有可以被检测到的信息均被主机接收。

14.WinPcap是BPF模型LibPcap函数库在Windows平台下包捕获和网络状态分析的一种体系结构，这个体系结构是由一个核心的包过滤器、一个底层的动态链接库（Packet.dll）和一个高层的独立于系统的函数库（LibPcap）组成。

15.网卡的4种工作模式：广播模式、多播传送、直接模式、混杂模式。

16.基于网络的入侵检测系统的优点：成本低、检测基于主机的系统漏掉的攻击、攻击者不易转移数据、实时监测和响应、检测未成功的攻击和不良意图、操作系统无关性。

17.基于网络的入侵检测系统的缺点：①只检测它直接连接的网络短段得通信，不能检测其他网络段得包②为了性能目标通常采用特征检测方法，可以检测出普通的一些攻击，很难实现一些复杂的需要大量计算和分析时间的攻击检测③可能会将大量的数据传回分析系统中④处理加密的会话过程比较困难。

18.为了提高系统对新型变种攻击的适应性，用反向传播（Back Propagation ,BP）人工神经网络技术构造异常入侵分析器。