网络安全总结
1、OSI模型关注：安全攻击、安全机制、安全服务。

2、安全攻击的方法：被动攻击、主动攻击。

3、被动攻击的本质是：窃听或监视数据传输。

4、被动攻击的两种形式：消息内容泄漏攻击、流量分析攻击。

5、主动攻击包含：数据流的改写和错误数据流的添加。

6、主动攻击划分为4类：假冒、重放、改写消息、拒绝服务。

7、安全服务划分为5类：认证、访问控制、数据机密性、数据完整性、不可抵赖性。

8、特定安全机制有：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、
路由控制、公证。

9、程序存在两种形式的威胁：信息访问威胁、服务威胁。

10、解决有害访问的安全机制主要有两大范畴：看门人功能、屏蔽逻辑。

11、NIST：国家标准与技术研究所
FIPS：联邦信息处理标准
ISOC：互联网协会
IETF：互联网工程任务组
IAB：互联网体系结构委员会
RFC：请求注解
S/MIME：安全/多用途网际邮件扩展
MIME：多用途网际邮件扩展
SMTP：简单邮件传输协议
ESP：封装安全载荷
AH：认证报头
SAD：安全关联数据库
SPD：安全策略数据库
12、一个对称加密方案由5部分组成：明文、加密算法、秘密密钥、密文、解密算法。

13、密码体制从三个方面进行分类：（1）明文转换成密文的操作类型
（2）使用的密钥数（3）明文的处理方式
14、Feistel结构是所有对称分组密码都使用的更通用结构的一个特例，一个对称分组密码包含一系列轮
迭代，每轮都进行由密钥值决定的替换和排列组合。

15、分组密码处理固定大小的分组明文输入，且对每个明文分组产生同等大小的密文分组，三个重要的对
称分组密码：数据加密标准、三重数据加密标准、高级加密标准。

16、DES数据加密标准算法描述：明文长度为64比特，密钥长度为56比特，更长的明文被分为64比特的
分组来处理。

采用16轮迭代，从原始56比特密钥产生16组子密钥，每一轮迭代使用一个子密钥。

17、分组密码工作模式：
（1）电子密码本模式
（2）密码分组链接模式
（3）密码反馈模式
（4）输出反馈模式
（5）计数器模式
18、消息认证方法：利用常规加密的消息认证、非加密的消息认证。

19、非加密的消息认证的两种认证技术：消息认证码、单向散列函数。

20、单向散列函数或安全散列函数之所以重要，不仅在于消息认证，还有数字签名。

21、有两种方法可以攻击一个安全散列函数：密码分析法、穷举攻击法。

22、Diffie和Hellman在1976年首次公开提出了公钥加密思想。

23、公钥加密方案由6个部分组成：明文、加密算法、公钥、私钥、密文、解密算法。

24、在广义上可以把公钥加密系统分为3类：加密/解密、数字签名、密钥交换。

25、RSA和Diffie-Hellman是使用最广泛的两种公钥算法。

26、RSA是分组密码，对于某个n，它的明文和密文是0~n−1之间的整数。

27、Diffie-Hellman算法的目的就是使得两个用户能够安全地交换密钥，供以后加密消息时使用，该算法
本身局限于密钥交换。

28、已被商业接受的两种其他的公钥算法：DSS、椭圆曲线密码。

DSS是数据加密标准。

29、PGP是一个用来提供电子邮件安全的开放源码软件包，它通过数字签名提供认证服务，通过对称加密
提供保密性，利用ZIP算法压缩数据，用基-64转换提供电子邮件兼容性。

30、S/MIME是一个互联网标准，它和PGP的功能相同，也提供电子邮件安全。

31、PGP使用4种类型的密钥：一次性会话密钥、公钥、私钥、基于对称密钥的口令。

32、RFC5322定义了一种邮件电子邮件传输的文本消息格式。

33、S/MIME提供的功能：封装数据、签名数据、透明签名数据、签名并封装数据。

34、IP安全（IPSec）是可以在当前的互联网协议（IPv4或IPv6）中增加的性能，它是通过增加额外的报
头来实现的。

35、IPSec包括三个应用领域：认证、保密、密钥管理。

36、IPSec提供了在LAN、专用和公用WLAN以及互联网中安全通信的性能，它的用途包括：（1）通过互
联网安全分支机构接入
（2）通过互联网进行远程访问
（3）与合作者建立企业间联网和企业内联网接入
（4）加强电子商务安全性
37、AH和ESP都支持两种使用模式：传输模式、隧道模式。

传输模式主要为上层协议提供保护，隧道模式
对整个IP包提供保护。

38、IPSec安全策略本质上由两个交互的数据库确定：安全关联数据库、安全策略数据库。

39、ESP可以提供：机密性、数据源认证、中断连接后的完整性、一次抗重放攻击服务、受
限的流量机密性。

所提供的服务集合依赖于建立安全关联时的选择和在一个网络拓扑中
的位置。

40、Anderson将入侵者分为3类：假冒用户、违法用户、隐秘用户。

41、入侵者行为模式：黑客、犯罪、内部攻击。

42、入侵的目标：获得系统的访问权限、提升系统的访问权限级别。

43、系统必须维护一个与每个授权用户相关的口令文件，口令文件可以用两种方法之一来加以保护：单向
函数、访问控制。

44、即使最好的入侵防护系统也难免失效，系统安全的第二道防线就是入侵检测。

45、[PORR92]给出了两种入侵检测方法：统计异常检测、基于规则的检测。

46、入侵检测的一个基本工具就是审计记录，有两种审计记录：原始审计记录、面向检测的审计记录。

47、统计异常检测技术可以分为两种主要的种类：阈值检测、基于行为曲线的检测。

48、阈值检测包括在一定时间间隔内对某种特定类型事件出现的次数进行统计，如果统计结果超出了预先
定义的阈值，则认为出现了入侵行为。

49、基于用户行为曲线的异常检测的焦点是建立单个用户或者相关用户群的行为模型，然后检测当前用户
模型和该模型是否有较大的偏离，行为曲线可能包含一组参数，因此仅仅单个参数发生偏离对其自身来说是不足以发出警报信号的。

50、基于规则的技术是通过观察系统内发生的事件或应用一组用于判断某个给定的行为模式是否可疑的规
则来检测入侵的，把基于规则的入侵检测分为两类：异常检测、渗透检测。

51、基于规则的异常检测从其采用的方法和所具有的能力来看，和统计异常检测很相似，在基于规则的方
法中，对历史审计记录的分析被用来识别使用模式，并自动生成描述这些模式的规则集，这些规则代表了用户以前的行为方式、程序、权限、时间槽和访问终端等实体的历史行为模式，然后将当前行为和这些规则进行匹配，并且根据匹配情况来判断当前行为是否和某条规则所代表的行为一致。

52、基于规则的渗透检测是一种基于专家系统技术的检测方法，和之前提到的入侵检测技术有很大的不同，
这种方法的关键特征是利用规则集识别已知的渗透模式和可能发生的对系统安全漏洞进行的渗透模式。

53、蜜罐是一个诱骗系统，用来把潜在的攻击者从重要系统中引诱开。