网络安全复习

本文最后更新于 2025年5月17日晚上

第一部分：网络安全概述

第一章典型网络安全事件剖析

这部分主要是了解当前网络安全面临的威胁和挑战，通过具体案例加深理解。

引言
- 网络强国建设与国家安全
- 不良信息泛滥（色情、赌博、欺诈）及其危害
  - 典型案例：网络传播淫秽物品牟利案、特大网络赌博案、仿冒软件诈骗案
- AIGC服务带来的新型不良信息风险
- AI驱动的智慧城市网络安全治理
  - 网络犯罪侦查打击域：跨境网络犯罪、匿名身份追踪
  - 涉网行为风险预警域：重点人群和单位的涉网行为风险
  - 网络管理控制域：互联网站点备案、网络访问控制
- 创新技术域：大语言模型、检索增强生成（RAG）、海外情报问答系统
- 智慧城市网络安全韧性建设（三级联动体系、内生安全体系、人才培养与技术应用）
网络空间安全形势
- 中国面临的网络安全威胁：政治安全、社会安全、经济安全
- 国际网络犯罪技术发展及影响：SolarWinds攻击、美国医疗数据泄露、Colonial Pipeline攻击
- 网络渗透的危害
- 国际现行举措：美国、俄罗斯、韩国、欧盟的网络安全战略和法规
- 中国重要讲话精神及相关法律法规
网络空间典型特点及治理难点
- 特点：内容复杂性、结构复杂性、服务复杂性
- 难点与挑战：多元复杂的网络结构、海量动态的互联网内容服务、形式多样的传播方式与入口、动态海量的网络资源生态体系
  - 缺乏全局视角、治理被动
- 网络空间生态结构分析框架
国外情报系统及重大项目案例
- 美国星风监视计划（核子项目、主干道项目、棱镜项目、码头项目）
- 各国情报分析系统对比
- 剑桥分析公司事件
“HIT方案”：网络实体档案建设为基础，三大体系（内容监测治理、数据情报分析、信息安全防护）
典型网络安全事件剖析（2016年及以往）
- 热词：物联网、移动/工业互联网、社交网络、大数据、人工智能、区块链、大模型等
- 常见网络安全事件类型：网络欺诈、信息泄露、网络攻击、恶意代码、社会工程学
- 案例分析：
  - 淘宝9900万账户信息遭窃（隐私泄漏 - 撞库）
    - 【考点】撞库定义与防范 (对应自制答案中的名词解释，虽然原题型是选择，但原理重要)
  - OpenSSL水牢漏洞（网络攻击）
  - 国内部分网站存在Ramnit恶意代码攻击（恶意代码 - VBScript蠕虫）
  - 跨境冒充公检法电信诈骗案（网络欺诈）
  - 电信诈骗导致高中生徐玉玉身亡（网络欺诈、个人信息泄露）
  - 2.7亿Gmail、雅虎和Hotmail账号遭泄露（信息泄漏）
  - 全美互联网瘫痪（网络攻击 - DDoS攻击）
    - 【考点】DDoS攻击原理及危害
  - 5家俄罗斯银行遭遇DDoS攻击（网络攻击 - DDoS攻击）
  - 希拉里邮件门（社会工程学）
  - 黑客利用恶意软件Mirai导致德国90万台路由器瘫痪（恶意代码、物联网安全）
2024年十大网络安全事件（选摘部分与课程重点相关）
- 勒索之王LockBit遭11国清剿
- AI诈骗大爆发
- “伏特台风”组织溯源
- 美国电信巨头AT&T数据被窃
- 巴黎奥运会遭遇网络攻击，域名相关网络犯罪激增
- 微软蓝屏故障
- 黎巴嫩传呼机、对讲机爆炸（通信设备武器化）
- 仅凭车牌号远程控制汽车漏洞
- 银狐木马利用微信、网盘投毒
- 360曝光大模型相关安全漏洞
网络安全趋势分析
- 人工智能安全技术成为研究焦点
- 网络安全基础设施和公共安全服务属性将得到加强
- 生成式人工智能在网络安全领域应用效果初显
- 供应链安全管理的重要性日益凸显
- 隐私计算成为学术和产业界共同关注的焦点
- 勒索软件攻击依然是最普遍的网络威胁形式
- 高级持续性威胁（APT）攻击成为网络空间突出风险源
- 国产密码技术广泛应用
- 关键信息基础设施保护成为行业新的增长点
- 个人信息保护力度将持续加强

第二章网络与信息安全体系结构介绍

这部分内容将介绍网络安全的基本框架和不同国家/地区的安全战略。

网络与信息安全整体架构
- 美国网络安全的战略布局：爱因斯坦计划、藏宝图计划、斯诺登爆料（PRISM、Tempora、XKeyscore、MUSCULAR等）、量子DNS (QUANTUMDNS)
  - 爱因斯坦计划的三个阶段及技术手段
  - 藏宝图计划的核心功能与技术手段
- 俄罗斯网络安全的战略布局：主权互联网法案、独立自主的因特网系统
- 欧盟DNS4EU域名解析级网络安全计划
- 国内网络安全现状：态势感知平台的初级阶段，数据协同、系统协同、运行协同问题
- 网络安全领域的需求与难题：说不清、抓不着、追不到
- 信息安全概念
  - 国内的回答（沈昌祥院士、教科书、等级保护条例）
    - 【考点】信息安全保密内容（实体安全、运行安全、数据安全、管理安全） (对应你总结中的实体、运行、数据、内容安全，管理安全是一个补充)
  - 国外的回答（BS7799、教科书、信息安全重点实验室）
    - 【考点】信息安全属性（机密性、完整性、可用性、可控性） (对应你总结中的机密性、完整性/真实性、可用性)
  - 信息安全的发展渊源：通信保密阶段 (COMSEC)、计算机系统安全阶段 (INFOSEC)、网络信息系统安全阶段 (NETSEC)
  - 信息安全的两种主要论点
    - 国内：信息安全分层结构（实体安全、运行安全、数据安全、内容安全）
      - 实体安全：保护物理设备和基础设施。威胁：自然灾害、物理破坏、未授权访问。防护措施：门禁、监控、防火防灾。
      - 运行安全：确保系统、软件和应用安全运行。威胁：恶意软件、系统漏洞、未授权访问。防护措施：身份认证、补丁修复、安全防护软件。
      - 数据安全：保护数据完整性、机密性、可用性。威胁：数据泄露、篡改、丢失。防护措施：加密、访问控制、备份。
      - 内容安全：关注信息内容安全。威胁：不良信息、虚假信息。防护措施：AI智能检测、黑名单、用户举报。
    - 国外：信息安全金三角（机密性、完整性、可用性）
      - 机密性 (Confidentiality)：确保数据不被未授权访问。威胁：未授权访问、社会工程、传输泄露。防护措施：加密、访问控制、网络安全防护。
      - 完整性 (Integrity)：确保数据不被未授权篡改。威胁：数据篡改、恶意软件、误操作。防护措施：数据校验、访问控制、日志记录。
      - 可用性 (Availability)：确保信息系统可被授权用户访问。威胁：DDoS攻击、硬件故障、自然灾害。防护措施：负载均衡、DDoS防护、数据备份。
  - 网络与信息安全涵盖范围（将分层结构与金三角属性结合）
    - 【考点】信息安全金三角的详细解释（机密性、真实性/完整性、可用性）及其在不同安全层面的体现。 (这部分内容非常重要，结合PPT P30-P50的图示理解)
  - 【考点】信息安全技术的定义：指在信息系统的物理层、运行层，以及对信息自身的保护（数据层）及攻击（内容层）的层面上，所反映出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击的技术。 (对应你答案中对信息安全技术的描述)
网络安全
- 未来网络演变的假定：TCP/IP协议变化不大，带宽提高是量变，无线网是接入方式变化，防范对象仍是资源恶意消耗与业务盗用，万物互联，数据是基础。
- 新技术带来的困惑：IPv6（无法完全解决DoS/DDoS、SYN flood、口令攻击、缓冲区溢出），P2P与网格计算，三网融合。
- 网络犯罪类型与漏洞情况分析（2018-2022年数据）
- 计算机攻击技术对互联网安全的挑战：自动化、复杂化、漏洞暴露快、防火墙渗透、不对称威胁、基础设施攻击（DoS、蠕虫、域名/路由攻击）、APT、精准攻击。
- 未来互联网面临的威胁：超级蠕虫病毒、应用系统威胁、程序自动更新缺陷、路由/DNS攻击、网络攻击和恐怖袭击。
- 【考点】成熟的网络安全防护模型PPDRR
  
  (对应你总结和答案中的PPDR模型)
  - 策略/预防 (Policy)
    
    ：目标是降低攻击发生可能性。措施：安全策略制定、员工意识培训、系统硬化。
    - 风险分析、安全评估、漏洞扫描技术
    - 网络拓扑结构发现、态势预测与分析
  - 防护 (Protection)
    
    ：目标是限制攻击影响范围。措施：边界防护（防火墙、IDS/IPS）、数据加密、备份策略。
    - 病毒防护、隔离技术、拒绝服务攻击防护、访问控制技术。
  - 检测 (Detection)
    
    ：目标是及时发现安全事件。措施：实时监控（SIEM、日志分析）、异常行为检测（UEBA、机器学习）、漏洞扫描。
    - 基于IPv6的入侵检测、分布式入侵检测、特洛伊木马检测、预警技术。
  - 响应 (Response)
    
    ：目标是快速处置安全事件。措施：事件分类与优先级划分、应急响应流程、法律与公关应对。
    - 快速判定、事件隔离、证据保全、企业网内部应急处理、蜜罐技术、僚机技术。
  - 恢复 (Restore)
    
    ：目标是恢复正常运营并总结经验。措施：系统修复与重建、业务连续性计划、事后复盘与改进。
    - 基于structure-free的备份技术、容侵技术、生存技术。

第三章大型网络应用剖析

这部分会讲解大型网络应用的架构演进和设计要点。

百度搜索引擎分析
- 工作原理：抓取建库、检索排序、外部投票、结果展现
- 抓取建库：Spider抓取系统、URL库和页面库维护
  - 抓取友好性：带宽高效利用、抓取压力控制（基于IP、基于域名、站长平台反馈）
  - 常用抓取返回码：404 (Not Found)、503 (Service Unavailable)
  - 多种URL重定向识别：HTTP 30x (301, 302, 304, 305, 307)、meta refresh、JS重定向
  - 抓取优先级调配策略：深度优先、宽度优先、PR优先、反链策略、社会化分享指导等
  - 重复URL过滤：快速查找对比、URL归一化
  - 暗网数据获取：通过开放平台数据提交（如百度站长平台）
  - 抓取反作弊：分析URL特征、页面大小内容、站点规模等
  - 抓取频次原则：网站更新频率、更新质量、连通度、站点评价
- 检索排序：倒排索引、求交检索
- 外部投票：超链计算相关性和重要性（目前依赖度降低），软文处理策略
- 结果展示：结构化展现、摘要式展现
大型网络应用技术发展历程
- 第一代：应用程序、文件、数据库在单服务器
- 第二代：应用、数据、文件分离到不同服务器
  - 【考点】大型网站架构演进：应用、数据、文件分离 (对应你答案中的图片)
- 第三代：利用缓存改善网站性能（本地缓存、分布式缓存）
  - 【考点】大型网站架构演进：利用缓存改善网站性能 (对应你答案中的图片)
- 第四代：使用集群改善应用服务器性能（负载均衡服务器 LVS/Nginx/HAProxy）
- 第五代：数据库读写分离和分库分表
- 第六代：使用CDN和反向代理提高网站性能
  - 【考点】大型网站架构演进：使用CDN和反向代理提高网站性能 (对应你答案中的图片)
- 第七代：使用分布式文件系统
- 第八代：使用NoSQL和搜索引擎
  - 【考点】大型网站架构演进：使用NoSQL和搜索引擎 (对应你答案中的图片)
- 第九代：将应用服务器进行业务拆分（消息队列服务器）
- 第十代：搭建分布式服务（分布式服务调度服务器）
大型网络应用系统设计要点
- 系统能力：计算迁移、进程迁移、分布式内存共享、鲁棒性、数据获取/存储/分析/迁移
- 面临问题：数据传输与负载、数据整合方式、数据区域处理、计算与存储加速瓶颈、资源分配与管理
分布式系统的网络问题
- 关注点：性能、可伸缩性、可靠性、安全性、移动性、服务质量、异常处理、质量管理
- 性能：等待时间、数据传输率、系统总带宽
- 延迟
- 可扩展性（可伸缩性）、移动性
- 可靠性、安全性（防火墙、VPN、端到端认证/私密性/安全性）
分布式系统通信协议
- 定义：双方实体完成通信或服务所必须遵循的规则和约定
- 三要素：语法（如何讲）、语义（讲什么）、定时规则（何时交流）
- 例题：火车/航班/轮船信息查询系统通信协议设计
  
  (PPT P53-54, P56)
  - 注册（用户名、密码、手机号、Email），考虑重名、返回方式。
  - 登录（用户名、密码、时间），考虑密码错误、防攻击（猜测、重放）。
  - 查询（旅行方式、起点、终点、时间），考虑有无结果、返回方式内容。
  - 设计要求：过程说明、步骤传输方式内容分隔符及字段含义、异常处理（错误、超时重传）、安全加强（认证、加密）。

第四章负载均衡策略与算法剖析

【本章为重点内容】

为什么要负载均衡
- 需求：企业关键业务应用量加大，保证业务连续性
- 问题：链路繁忙 (Link Too Busy)、服务器繁忙 (Server Too Busy)
- 【考点】服务器负载均衡解决方案：多台服务器组成群组，通过负载均衡设备根据策略分发用户请求，并维护服务器可用性。
- 【考点】链路负载均衡解决方案：通过带宽或就近性等算法，在多条链路中选择最优链路，提高访问速度。
- 负载均衡基本原理
  - 调度算法：根据配置规则，将客户端请求智能地分发到后端应用服务器。
  - 健康性检查算法：实时监控服务器运行状态。
  - 【考点】负载均衡按功能分类
    
    (对应你答案中对负载均衡分类的描述)
    - 全局负载均衡 (Site to Site 流量重定向, Proximity 就近性)
    - 本地负载均衡 (健康检查, 流量重定向)
    - 链路负载均衡 (健康检查, 链路选择)
- 本地/全局负载均衡
  - 本地负载均衡
    
    ：对本地服务器群做负载均衡。优点：解决数据流量过大、网络负荷过重，避免单点故障，扩充升级方便。
    - 流量导向分配方法：Cyclic, Least Users, Least Traffic, SNMP, Hashing, Response Time
    - 连接检测方式：Ping, TCP/UDP Port, HTTP Page, Page Content, Radius, RTSP
    - 可基于七层信息进行流量导向：URLs, HTTP header, File type, Browser Type, Session ID, Regular Expression, Cookies
  - 全局负载均衡：对不同地理位置、不同网络结构的服务器群间作负载均衡。特点：地理位置无关性、避免单点失效、解决网络拥塞、提高响应速度、服务就近提供。
- 【考点】负载均衡部署方式
  
  (对应你总结中的部署方式)
  - 路由模式：服务器网关设为负载均衡机LAN口，与WAN口不同逻辑网络，所有返回流量经负载均衡。优点：部署灵活，均衡任何下行流量。
  - 桥接模式：配置简单，不改变现有网络。WAN/LAN口分别连接上行设备和下行服务器，所有服务器与负载均衡在同一逻辑网络。缺点：容错性差，不推荐。
  - 服务直接返回模式 (DSR)：LAN口不用，WAN口与服务器在同网络。客户端访问VIP(对应WAN口)，负载均衡分发请求，服务器直接响应客户端（响应IP为服务器自身IP），返回流量不经负载均衡。适用：大流量高带宽服务。
【考点】负载均衡主要策略

(对应你总结和答案中的负载均衡策略)
- 1. 基于DNS的负载均衡
  - 原理：一个域名绑定多个IP，通过DNS服务中的随机域名解析来实现。
  - 优点：实现简单、实施容易、成本低、适用于大多数TCP/IP应用。
  - 问题/缺陷：故障切换慢（DNS刷新时间），无法感知服务器差异和当前状态，可能导致请求集中。
- 1. 基于反向代理的负载均衡
  - 原理：通过正则映射将请求重定向到内容服务器。
  - 优点：自带高速缓冲，减轻内容服务器压力，提速网络访问效率。
  - 问题/缺陷：代理服务器连接开销大，可能成为瓶颈；基于应用层，需为每种服务专门开发代理，限制应用范围（多用于Web）。
- 1. 基于特定服务器软件的负载均衡
  - 原理：利用网络协议的重定向功能（如HTTP重定向）。
  - 优点：服务可定制，可依据服务器性能实况调控负载。
  - 问题：需改动软件，成本较高。
- 1. 基于NAT的负载均衡
  - 原理：将一个外部IP地址映射为多个内部IP地址。
  - 优点：较完善，均衡算法灵活（随机、最少连接、响应时间）。
  - 问题：伸缩能力有限，调度器可能成新瓶颈。
- 1. 基于CDN的负载均衡
  - 原理：增加新的网络架构，将网站内容发布到最接近用户的网络“边缘”，使用户就近获取。
  - 优点：用户访问就近服务器，提高访问速度。
【考点】负载均衡主要算法

(对应你总结和答案中的负载均衡算法)
- 静态负载均衡算法
  - 轮询 (Round Robin)
    
    ：将请求依次顺序循环地连接每个服务器。故障服务器会移出队列。
    - 优点：简洁，无状态。
    - 缺点：假设服务器性能相同，不关心连接数和响应速度，请求间隔变化大时易负载不均。
    - 适用：服务器软硬件配置相同且平均服务请求相对均衡。
  - 比率 (Ratio)：给每个服务器分配加权值作为比例，按比例分配请求。故障服务器会移出队列。
  - 优先权 (Priority)：服务器分组并定义优先级，请求分配给优先级最高的组（组内用轮询或比率）；高优先级组全故障时才用次优先级组（热备份）。
- 动态负载均衡算法
  - 最少的连接方式 (Least Connection)
    
    ：将新连接传递给当前连接数最少的服务器。故障服务器会移出队列。
    - 优点：实现简洁，多数情况有效。
    - 缺点：服务器处理能力不同时不理想。
    - 适用：长时处理请求服务（如FTP）。
  - 最快模式 (Fastest)
    
    ：将连接传递给响应最快的服务器。故障服务器会移出队列。
    - 适用：基于拓扑结构重定向的高级均衡策略。
  - 观察模式 (Observed)：根据连接数目和响应时间的最佳平衡选择服务器。故障服务器会移出队列。
  - 预测模式 (Predictive)：利用收集的服务器当前性能指标，预测下一时间片性能最佳的服务器。
  - 动态性能分配 (Dynamic Ratio-APM)：根据应用和服务器性能参数动态调整流量分配。
  - 动态服务器补充 (Dynamic Server Act)：主服务器群故障数量减少时，动态补充备份服务器。
  - 服务质量 (QoS)：按不同优先级分配数据流。
  - 服务类型 (ToS)：按不同服务类型（ToS字段标识）分配数据流。
  - 规则模式：针对不同数据流设置导向规则。
- Hash散列算法：MD5、一致性Hash、各种经典Hash、自定义Hash。
- 加权算法 (可视为比率算法的一种具体实现或结合动态因素的扩展)
- 动态反馈算法 (可视为观察模式、预测模式、动态性能分配等的概括)
- 【考点】负载均衡产品中的关键指标：健康性检查算法
  - 目的：通过探针机制检查服务器健康情况，避免将请求分发给故障服务器，提高HA能力。
  - 常用算法：Ping (ICMP), TCP, HTTP, FTP, DNS (inbound链路负载均衡)。
  - FTP/HTTP检测会GET文件，失败则认为服务器不可用。
负载均衡应用实践（案例）
- 分布式系统（网站内容获取、解析、存储）
- DNS测绘与异常检测系统

第五章互联网发展热点剖析

这部分内容让你对互联网的最新发展趋势和重要事件有所了解。

影响中国互联网行业发展的十件大事（2023年及预测）
- 中方提出《全球人工智能治理倡议》
- 《数字中国建设整体布局规划》印发
- 大模型爆发式增长，人工智能产业入快车道
- 工业互联网进入规模化发展新阶段
- 国家数据局正式挂牌成立
- 算力基础设施部署有序推进
- 数据跨境流动新规发布
- 《未成年人网络保护条例》等法规发布
- 电商平台加速海外市场布局
- 开源操作系统生态快速成长
第55次中国互联网络发展状况统计报告（截止2024年12月）
- 核心数据-网民类：网民规模11.08亿，手机网民11.05亿，互联网普及率78.6%。
- 核心数据-资源类：IPv6地址数量，域名总数（.CN域名）。
- 核心数据-应用类：网络视频、即时通信、在线政务、网络支付、网络购物、搜索引擎、网络直播、网络音乐、网上外卖、网约车、网络文学、在线旅行预订、互联网医疗用户规模。
- 互联网基础资源发展状况：IPv4/IPv6地址、域名、宽带接入端口。
- 互联网应用发展状况：上网设备使用比例（手机、电脑、电视、平板、智能网联汽车、智能家居、可穿戴设备）。
2024年最火热的10大科技热点
- 算力芯片
- 卫星互联网
- 汽车智能化（L3自动驾驶）
- 创新药出海
- 多模态大模型与具身智能
- 量子计算
- 可穿戴设备升级
- 生物技术革新（基因编辑、细胞治疗）
- 区块链技术普及
- 智能家居与AI融合
影响2024年的十大科技应用
- 高性能计算的“四算聚变”（高算集群、量子计算、云计算、边缘计算）
- 多模态智能体加速AGI进程
- AI加速人形机器人“手、脑”进化
- AI+基因计算解读生命密码
- 数字交互引擎激发超级数字场景
- 沉浸式媒体催生3D在场
- 脑机接口从医疗突破迈向交互革命
- 星地直连通信推动泛在网络覆盖
- eVTOL加速空中出行奔赴新时代
- 多能流实时协同重塑虚拟电厂

第二部分：防火墙与入侵检测

第一章防火墙基础

【本章为重点内容】

防火墙概论
- 下一代防火墙颠覆传统安全理念：从简单合法/非法流量区分到安全使用应用。关注应用类型（业务依赖、部分员工依赖、无关应用等）及其风险。
- 下一代防火墙控制手段：阻塞/允许（黑白名单）、多种条件限制（用户、时间、功能）、安全扫描（入侵、病毒、URL过滤）、威胁主动防御（行为分析、基线对比、关联分析、蜜罐）、流量整形。
- 网络安全基本概念：机密性、完整性、可用性、真实性、实用性、占有性。
- 【考点】防火墙定义：设置在不同网络或网络安全域之间的一系列部件的组合，是信息的唯一出入口，根据安全策略控制信息流，本身具抗攻击能力，是实现网络和信息安全的基础设施。 (对应你答案中的描述)
- 【考点】防火墙的作用：网络安全屏障、隔离风险区与安全区、监控进出通信量、抵制威胁数据、防止未授权信息进出。逻辑上是分离器、限制器、分析器。 (对应你答案中的描述)
- 防火墙三大要素：安全、管理、速度。
- 【考点】防火墙优点：（1）网络安全屏障；（2）控制对主机系统访问；（3）监控和审计网络访问；（4）防止内部信息外泄；（5）部署NAT机制。 (对应你总结和答案中的描述)
- 【考点】防火墙弱点/不足
  
  ：（1）不能防范内部攻击；（2）不能防范不经由防火墙的攻击；（3）不能防范病毒文件传输；（4）不能防范数据驱动式攻击；（5）不能防范标准协议缺陷攻击；（6）不能防范服务器漏洞攻击；（7）不能防范新安全问题；（8）可能限制有用服务。 (对应你总结和答案中的描述)
  - 弥补防火墙不足的方法：零信任架构、IDS/IPS、内部流量审计与行为分析、端点安全防护、数据级防护。
【考点】防火墙的基本结构

(对应你总结和答案中的描述)
- 1. 屏蔽路由器（包过滤路由器）：防火墙最基本构件，基于IP层报文过滤（IP、端口、协议）。特点：成本低、部署简单；无状态检测，易被欺骗；无法应对高级威胁。适用：小型网络或补充。
- 2. 双重宿主主机防火墙（堡垒主机）：一台双网卡堡垒主机做防火墙，内外网通信完全阻止，可进行应用层过滤。弱点：单点故障，性能受限。适用：中小企业。
- 3. 屏蔽主机防火墙：一个分组过滤路由器连接外部，一个堡垒主机在内部。路由器初过滤，堡垒主机应用层过滤。特点：更安全，支持分层防护；堡垒主机仍是单点故障。适用：较高安全企业网。
- 4. 屏蔽子网防火墙：内外网间建隔离子网（DMZ），用两台分组过滤路由器分隔。最安全传统架构（外部路由过滤外到DMZ，内部路由过滤DMZ到内，DMZ放公共服务）。特点：多层防护，支持高可用；成本高，配置复杂。适用：大型企业、金融、政府。
- 5. 其他防火墙结构：一个堡垒主机+一个DMZ；两个堡垒主机+两个DMZ；两个堡垒主机+一个DMZ。
- 防火墙类型安全性、复杂度、适用场景对比表
防火墙的模型与分类
- OSI安全体系结构与防火墙设置层次
- 【考点】防火墙的分类
  
  (对应你总结和答案中的防火墙分类)
  - 1. 包过滤防火墙：第一代，根据规则检查每个包（丢弃或放行）。
  - 2. 状态/动态检测防火墙：跟踪网络连接和包的状态，使用附加标准允许或拒绝通信（如TCP响应已建立连接，UDP匹配传出请求）。
  - 3. 应用程序代理防火墙：不允许网络间直接通信，代理接受内部请求再建外部连接，外部服务器不见内部网。需为特定应用安装代理。
  - 4. 个人防火墙：保护个人计算机的软件，应用级，方式类似状态/动态检测防火墙。
攻击方式与防火墙防御
- 认识黑客 (Hacker) 与骇客 (Cracker)
- 攻击步骤：踩点信息收集（SNMP, TraceRoute, Whois, DNS, Finger, Ping） -> 扫描漏洞侦测（SATAN等工具） -> 攻击（建账户,装远控,发现信任关系,获特权）
- 【考点】网络攻击的基本手段
  
  (包括非法权限类、传染类、蠕虫类)
  - 非法权限类
    
    ：
    - 特洛伊木马：陷阱入口类（如Back Orifice）、功能欺骗类（如Emotet）、信息窃取类（如Keylogger）、逻辑炸弹类（如CIH病毒）。
    - 系统欺骗：外部欺骗类（IP欺骗、ARP欺骗、DNS欺骗、Email欺骗）、本机欺骗类（进程欺骗、DLL劫持、本地提权）。
    - 拒绝服务 (DoS)。
    - 入侵：诱骗式、缓冲区溢出、基于口令。扫描器是常规入侵工具。
    - 窃取：搭线窃听、电磁泄露、信息流分析。
  - 传染类（计算机病毒）：源码类、目标码类（操作系统类、文件类）。
  - 侵占资源类（蠕虫）：一对一式攻击（大量链接请求）、兑变式攻击（派生新攻击源）。
  - 网络攻击概览：口令攻击、拒绝服务攻击、利用型攻击、信息收集型攻击、假消息攻击。
- 攻击防火墙的主要手段
  
  ：IP地址欺骗、TCP序列号攻击、基于附加信息的攻击、基于堡垒主机web服务器的攻击、IP隧道攻击、计算机病毒攻击、特洛伊木马攻击、前缀扫描攻击、数据驱动攻击、报文攻击、电污染攻击、社会工程攻击。
  - 【考点】DNS隧道（DNS Tunneling）攻击：利用DNS协议绕过防火墙和IDS，进行数据外泄、命令控制或代理通信。
防火墙的发展
- 第一代：包过滤路由器（只有分组过滤，难抵地址欺骗，审计差）。
- 第二代：代理服务器（应用服务级控制，中间转接，需为每种服务设计代理模块，延迟大）。
- 第三代：通用操作系统上的商用防火墙产品（分组过滤/借用+专用代理+保护用户编程空间/内核参数，安全性速度提高）。
- 第四代：具有安全操作系统的防火墙（改进OS源码/编制专用OS，固化内核，应用新安全技术如身份鉴别、网络安全分析监测）。

第二章防火墙技术

【本章为重点内容】

【考点】包过滤技术
- 包过滤原理：检测网络数据包信息头（主要针对最有用的数据域）决定是否发往目的地址，以监测和限制流入流出数据。
- 包过滤模型：核心是包检查模块，深入OS核心，在OS或路由器转发包前拦截处理IP包（位于软件层次最底层）。不符规则的包报警/通知或返回ICMP消息。
- 包过滤技术实现
  
  ：依赖包过滤规则（访问控制列表ACL），满足ACL才转发。常与边界路由器集成。
  - 【考点】配置访问控制列表 (ACL)
    - 组成：脏端口（连Internet）、净端口（连内部）、访问控制规则。
    - 配置方式：限制策略（白名单：接受信任IP，拒其他）、宽松策略（黑名单：拒不信任IP，受其他）。
    - 例题：访问控制列表实例
      - access-list 199 deny icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255
      - access-list 199 permit ip any any
      - interface E2
      - ip access-group 199 in
      - 注意：规则顺序至关重要。ICMP封装在IP包内，不需指定端口号。 (来自图片 )
  - 动态访问控制列表：指定用户IP数据流临时通过防火墙。触发后重配ACL允许访问，会话结束恢复。常结合身份认证（如Telnet认证后激活ACL）。
  - 状态包检查 (SPI) / 反射访问控制列表：动态建立ACL条目，含包过滤信息和会话状态。新会话创建，结束时删除。检查包是否属已建会话或能否过预设规则，拒其他连接。
- 包过滤技术优缺点
  - 优点：唯一途径低水平控制、检查IP包字段、识别欺骗源IP、常包含在路由器中无需额外系统。
  - 缺点：ACL配置维护困难、难详知会话关系易受骗、难实现应用层服务过滤。
【考点】网络地址翻译 (NAT) 技术
- 私有IP地址空间分配表（A、B、C类）
- NAT最初目的：增加私有组织可用地址空间，解决私有TCP/IP网络连接公网IP编号问题。
- NAT技术原理：通过地址映射保证私有IP内部主机/网络能连公网。NAT网关在内外网边界，转换数据包源/目的地址（内出转全局，外入转私有）。通信通常由内部发起。提供内部主机地址隐藏。
- 【考点】NAT相关术语
  - 内部局部地址 (Inside Local Address)：内部网络使用，标识内部主机（私用IP）。
  - 内部全局地址 (Inside Global Address)：外部网络使用，标识内部主机（ISP提供合法IP，代表虚拟主机对应一个或多个内部局部IP）。
  - 外部全局地址 (Outside Global Address)：外部网络使用，标识外部主机（ISP提供合法IP）。
  - 外部局部地址 (Outside Local Address)：内部网络使用，标识外部主机（内部可寻址地址，私有IP）。
- 【考点】静态网络地址翻译技术
  
  ：人工指定内部局部地址和内部全局地址的映射关系。防火墙手工建NAT表，按表转换。
  - 例题：静态NAT转换原理图 (见PPT P53)
- 【考点】动态网络地址翻译技术
  
  ：NAT映射表由防火墙动态建立，对管理员和用户透明。允许多个内部IP映射一个外部IP（网络套接字映射 IP+端口）。节省IP，隐藏内部拓扑。
  - 例题：动态NAT转换原理图 (见PPT P58)
- 【考点】网络地址翻译技术实现负载均衡
  
  ：外部访问内部服务器，可配置目的地址转换动态形式。NAT表匹配目的地址被内部局部地址集中一个代替（循环方式），仅新连接时执行。非TCP不转。
  - 例题：NAT实现TCP负载均衡原理图 (见PPT P63)
- NAT技术优缺点
  - 问题：部分应用层协议（含源/目IP在数据域）无法使用（如路由更新、DNS区传输、BOOTP等）。静态NAT对内主机无额外保护，非法包可被翻译。动态NAT外部无法主动连接内部，但无法阻止内部主动连接恶意外部主机或木马主机。
【考点】网络代理技术
- 代理只为单个或少数主机提供Internet访问，有访问能力主机作无权访问主机的代理。
- 应用层代理
  - 简介：针对特定应用实现，应用层保护数据流，具状态性，提供部分传输状态和完全应用状态信息。外部通过代理访问内部，内部只受代理请求。代理验证身份、转发请求、监控操作、记录日志、拒非法。
  - 实现：常通过双宿主机或堡垒主机。不允用户注册到代理主机。可形成多层代理。应用层控制，作中间转接、监控、限制、审计。
  - 代理服务程序：多数服务需合适代理服务器软件，针对不同服务开发不同代理程序。
  - 优缺点：优点（可靠用户认证、详细注册信息；过滤规则易配置测试；完全控制会话，详细日志审计；隐藏内部IP；解决合法IP不足）。缺点（连接性有限，需多种代理；难为RPC/Talk等提供代理；性能下降；每应用需代理，升级维护复杂；用户需改行为或装特殊软件；对OS/应用层漏洞脆弱，少透明）。
- 电路级代理 (电路级网关/回路级代理)
  - 概述：通用代理服务器，工作于会话层或TCP层。只建回路，转发数据包。
  - 工作原理：对外像代理，对内像过滤路由器。可为不同协议服务。简单电路级网关仅传TCP数据段，增强型有认证。数据包提交应用层处理，只转接包，简单字节复制。
  - SOCKS代理技术：电路级网关标准，通过中继TCP数据包实现，对应用层无改变。工作原理（客户连SOCKS代理，发请求含应用服务器地址/端口/认证，SOCKS验证后建目标连接，对用户透明）。优点（防火墙后主机充分访问Internet，管理员明确控制内外通信，特定主机特定服务，禁访某些主机，详细日志）。组成（SOCKS服务端程序、SOCKS客户端程序）。
  - SOCKS代理实现：客户程序替换套接字函数，连接时SOCKS库截获并连SOCKS代理服务器，发版本号/命令/端口/用户名。SOCKS服务进程检查ACL，接受则打开远程连接并传递信息，拒绝则断开。
- 例题：某公司申请到的网络地址为192.3.2.0，现要划分5个子公司，最大的一个子公司有28台计算机，每个子公司在一个子网中。(1) 子网掩码应为多少？ (2) 5个子公司的网络地址分别是什么？
  
  (来自图片 )
  - 分析：C类地址，划5个子网，需借主机位。2n≥5，所以n至少为3，即借3位主机位做子网号。
  - 1. C类默认掩码 255.255.255.0。借3位主机位后，掩码为 255.255.255.(11100000)
    2
    
    = 255.255.255.224。
    - 【考点标记：子网划分与子网掩码计算】
  - 1. 每个子网可用主机数
    2(8−3)−2=25−2=30
    
    台，满足最大子公司28台的需求。
    - 网络地址：
      - 子网1: 192.3.2.(001 00000)2 = 192.3.2.32
      - 子网2: 192.3.2.(010 00000)2 = 192.3.2.64
      - 子网3: 192.3.2.(011 00000)2 = 192.3.2.96
      - 子网4: 192.3.2.(100 00000)2 = 192.3.2.128
      - 子网5: 192.3.2.(101 00000)2 = 192.3.2.160
    - (图片中的答案给出的子网掩码是255.255.255.224，与计算一致。网络地址划分也一致。)

第三章防火墙安全策略

【本章为重点内容】

防火墙如何开发安全策略
- 【考点】什么是安全策略：一个列出必须满足的特定需求或规则的文档。相关名词：标准（必须满足的特殊需求集合）、方针（好的实践建议）。
- 【考点】安全策略的重要性
  
  ：防火墙设计依赖于被保护资源和面临危险（均在策略中）。策略指导入侵检测和审计系统建立。
  - 审计定义（经济角度）。
  - IT审计的必要性：应对信息系统脆弱性、错误操作、滥用、不正当使用及投资效益评估。
  - 网络审计主要内容：网络连接、协议、端口、拨号连接、个人账户、文件访问、数据、流量统计、数据库、WEB服务器、安全事件再现、键盘、屏幕、系统统计分析审计。
  - 审计产品部署方式：旁路部署、级联部署、分布式部署。
- 确定有效安全策略所需达到的目标：清晰描述安全网络计算环境、灵活适应公司结构改动、保证公司一致交流执行、明确雇员网络使用权限、明确隐私安全合理不合理表现。
- 构建安全策略的7步：组建团队、制定公司整体安全策略、确定被保护资产、决定安全策略审核内容、确定安全风险、定义可接受使用策略、提供远程访问。
- 【考点】考虑防火墙的不足：过量网络访问致崩溃、加密病毒邮件通过、远程访问号码泄露、雇员密码泄露、静态防护、难防内、难管理配置易漏洞、基于IP控制难一致策略、粗粒度访问控制、系统漏洞绕过。

第三部分：入侵检测

第一章入侵检测技术概述

【本章为重点内容】

入侵检测 (Intrusion Detection) 与入侵检测系统 (IDS)
IDS存在与发展的必然性：网络攻击破坏性严重、网络安全威胁增长、单纯防火墙无法防范复杂攻击。
IDS的作用：监控、检测、分析、报警、响应。
为什么需要IDS：单一防护产品弱点、防火墙局限性（无法处理内部攻击、对某些攻击保护弱、无法感知攻击行为）、入侵易得性（教程工具泛滥）。
网络安全工具特点与局限性对比（防火墙、IDS、Scanner、VPN、防病毒）
入侵检测技术的历史
- 主机审计：产生、记录、检查系统事件记录，用于计费管理及安全评估（TCSEC）。Anderson定义三类恶意用户（伪装者、违法者、秘密活动者）。
- 【考点】入侵检测基本模型的建立 (Dorothy Denning, 1987)
  - 组件：审计记录（网络数据包、应用日志）、事件生成器、规则库、活动档案、时钟。
- 技术发展历程：IDES, Haystack, Network Security Monitor, STAT (USTAT, NSTAT, NetSTAT), NADIR, CMDS, Stalker, NIDES, EMERALD, IDIOT, Bro, GrIDS, AAFID。
入侵检测的相关概念
- 【考点】入侵的定义：系统内部发生的任何违反安全策略的事件。NSTAC定义：对信息系统的非授权访问及/或未经许可在信息系统内进行的操作。
- 【考点】入侵检测的定义：检测对计算机系统的非授权访问；监视运行状态，发现攻击企图/行为/结果，保证机密性/完整性/可用性；识别非法攻击（外部、内部超越权限）。NSTAC定义：对企图入侵、正在进行或已发生入侵进行识别的过程。
- 【考点】通用入侵检测系统模型：数据收集器（探测器）、检测器（分析器/引擎）、知识库、控制器（配置信息、审计数据、控制动作、警报信息）。 (对应你答案的图片)
- 【考点】IDS基本结构/功能部件
  
  ：信息收集、分析引擎、响应部件。
  - 信息收集：来源（系统/网络日志、网络流量、目录文件异常变化、程序执行异常行为）。
  - 分析引擎：模式匹配、统计分析、完整性分析。
  - 响应动作：报警、切断连接、封锁用户、改文件属性、回击攻击者。
- 入侵检测与PPDR模型
【考点】入侵检测的信息源

(对应你答案中的描述)
- 操作系统的审计记录（如Sun Solaris BSM：审计日志、文件、记录、令牌）
- 操作系统日志（质量较审计记录差）
- 应用程序日志
- 基于网络数据的信息源（被动监听，对目标系统影响小，标准化程度高）
- 其他数据来源（其他安全产品、网络设备、“带外”信息源）
- 信息源选择原则：据检测目标选择，最少信息/数据源满足需求。
【考点】入侵检测技术的分类

(对应你答案中入侵检测分类的描述，非常重要)
- 1. 按照信息源分类
  - 基于主机的入侵检测 (HIDS)：以主机审计记录和日志为主要数据源。检测目标是主机或用户。优点：较准确监测主机高层复杂攻击。缺点：无法移植、影响性能、无法对网络大量攻击及时反应。
  - 基于网络的入侵检测 (NIDS)：监听网络数据包，通过协议分析、特征匹配、统计分析发现攻击。被动监听。优点：实时监控、可移植性好、不影响宿主机性能。缺点：准确率问题、无法完成应用进程级攻击检测。
  - 分布式入侵检测系统：中央控制器（通信管理、专家系统分析、用户接口）。
- 1. 按照检测方法分类
  - 滥用入侵检测 (Misuse Detection / Signature-based)：分析攻击手段，找“攻击特征”集合，定义规则判断行为是否入侵（基于已知攻击特征）。优点：确定解释能力好、检测率高、虚警率低、规则库易开发。缺点：只能检测已知攻击，需不断更新模式库。
  - 异常入侵检测 (Anomaly Detection)：建系统正常活动状态模型并更新，当前活动与模型对比，超阈值差异则为非法攻击。优点：可检测未知入侵。缺点：虚警率可能较高，正常行为变化可能误报。
  - 基于异常入侵检测的方法：白名单模式、概率统计、预测模型（马尔可夫过程、时间序列）、监督学习（KNN、决策树、SVM）、无监督学习（K-means、层次聚类）。
- 3. 其他分类标准：非实时处理系统（事后离线分析）、实时处理系统。
IDS规避策略（军备竞赛）：DDoS攻击淹没IDS、欺骗（伪造IP/DNS）、分解片段、加密、令操作员疲于应对。
IDS与其他安全解决方案的集成：SIEM（丰富告警、过滤误报、事件优先级）、IPS（实时拦截、自动响应，常整合为IDPS）、防火墙（互补，防火墙主外防，IDS捕漏网，下一代防火墙内置IDS/IPS）。

第二章基于主机的入侵检测技术

【本章为重点内容】

审计数据的获取
- 重要性：HIDS基石，决定检测有效性。
- 需考虑问题：确定来源类型、预处理（格式设计、过滤映射）、获取方式（模块结构、传输协议）。
- 审计数据类型和来源：据目标系统和检测要求不同。IDES案例（文件访问、系统访问、资源消耗、进程创建命令调用）。
- 审计数据的预处理：映射、过滤、格式转化（利于移植和单一格式处理）。
  - 标准审计记录格式设计：IDES案例（通用性高、机器高效表示、标准化）。STAT系统格式 <Subject, Action, Object>。BSM到STAT记录映射。
- 【考点】审计数据获取模块的设计：获取目标系统审计数据，预处理后提供单一审计记录流。考虑：处理负荷平衡、传输协议、多路复用、处理延时遗漏。
【考点】入侵检测的统计模型

(对应你总结中的4种统计模型)
- 1. 操作模型：关心事件计数，与阈值比较。适用异常和滥用检测。例：暴力破解（登录失败次数）、DoS（单位时间请求量）。优点：简单高效、误报可控、对已知攻击响应快。缺点：无法检0day、规则维护成本高、静态阈值难适应。
- 2. 均值和标准偏差模型：假设系统状态特征可用均值和标准差刻画。当前行为超可信区间（均值±k*标准差）则异常。例：流量异常、CPU使用率。优点：无需预定义规则，适应周期行为。缺点：对缓慢漂移攻击不敏感。
- 3. 多元模型：均值标准差模型扩展，多参数间相关分析，摆脱单一度量限制。分析多相关变量联合分布。例：APT（异常进程+外联IP）、内部威胁（登录时间+访问文件）。优点：捕获复杂攻击。缺点：计算复杂，需大量训练数据。
- 4. 马尔可夫过程模型：系统行为建模为状态转移概率。审计记录中不同类型事件出现视为随机变量不同取值，用随机过程模型刻画输入事件流。状态转移矩阵表示不同事件序列出现概率，当前事件发生概率<阈值则异常。例：权限提升、网络协议分析。优点：适合时序相关攻击。缺点：需定义状态空间，对噪声敏感。
- IDES统计分析技术案例：观测活动行为，学习主体正常行为模式（用户、组、远程主机、系统）。当前活动与期望行为偏离显著则为潜在入侵。“入侵检测向量”表示活动状态。测量值分类（活动强度、审计记录分布、类别、序数）。
【考点】入侵检测的专家系统
- 原理：基于知识库，据事实和已知规则推导结论。入侵行为编成 IF 条件 THEN 动作 规则。条件为审计记录域上限制，动作为新事实判定或提高可疑度。
- 优缺点：自动解释审计记录；规则表示不直观，更新困难，分析效率低；难检测协同攻击。
【考点】基于状态转移分析的入侵检测技术 (STAT)
- 特点：分布式入侵检测框架。
- 工作原理：攻击行为描绘为一系列特征操作及引起的系统状态转换，使系统从初始态转到危害态。
- 优点：高层状态转移表示攻击，直观易更新；处理同攻击不同审计记录序列；检测协同攻击及跨进程攻击；危害前及时检测响应。属基于规则滥用检测，能检已知攻击变种。
- 状态转移图：结点（系统状态）、弧线（特征行为）。含初始态、最终态、若干攻击步骤和中间态。
- 创建状态转移图：例（CREATE文件 -> EXECUTE文件）。步骤（分析攻击机理 -> 定关键行为点 -> 定初末状态 -> 从末态逐步定中间态及状态断言组）。
- STAT系统组件：预处理器（标准化清洗、特征提取）、知识库（事实库-瞬时快照，规则库-IF-THEN规则/状态描述表/特征操作表）、推理引擎（判断状态断言真假，据断言组和审计记录）、决策引擎（据推理输出和决策表选响应动作）。
【考点】文件完整性检查

(对应你答案中的简答题)
- 目的：检查文件系统完整性，及时发现无意或恶意更改。
- 必要性：攻击者常装后门/木马，替换系统程序掩盖，删日志，改配置文件/数据库。
- 基本思想：为目标文件生成唯一标识符存数据库，检查时重生成新标识符与旧版比较，确定是否更改，检查条目数可发现文件增删。
- 检查列表技术：存目标文件属性（长度、修改时间、属主），比较属性信息。优点：快。缺点：无法确保内容不被改（高权限可改内容不改属性）。
- TripWire工具：用单向消息摘要算法计文件校验和特征信息存安全介质，定时重算比较，差异则报告。
- 归属：属事后HIDS，针对文件对象完整性。
【考点】系统配置分析技术（静态分析）
- 目标：检查系统是否已受侵害或存在被入侵危险。通过检查当前配置判断安全状况。
- 原理：成功入侵可能留痕迹（查状态发现）；管理员/用户错误配置给攻击者可乘之机。
- 归属：HIDS，可入侵前防范，也可入侵后发现痕迹。
- COPS系统检查范围：文件/目录/设备访问权限；脆弱口令；口令/组用户文件安全格式内容；/etc/rc*和cron中运行文件程序；root SUID文件（可写/脚本）；重要二进制文件CRC校验和；用户主目录文件可写；匿名FTP；TFTP/Sendmail别名/inetd.conf隐藏脚本；根权限检查；关键文件升级/补丁。

第三章基于网络的入侵检测技术

【本章为重点内容】

分层协议模型与TCP/IP协议
- TCP/IP协议模型与OSI参考模型对比。
【考点】网络数据包截获
- 方法：利用以太网广播特性；设置路由器监听口/镜像口；分光器复制；光交换机。
- 以太网环境下的数据包截获方法
  
  ：
  - 伯克利抓包过滤器 (BPF)：尽早丢弃不需包，避免内核到用户空间重复复制，节约CPU，提高截获能力。将网卡置于混杂模式，直接访问数据链路层。常用Libpcap库解决跨平台问题。
  - BPF工作原理图 (PPT P37-P40)
- 交换网络环境下的数据包截获方法：利用交换机/路由器监听口或镜像口。问题（非所有流量反映在镜像口，非所有设备提供镜像口）。IDS常挂接在流量最大上下行端口。
- Zero-copy (零拷贝技术) vs Libpcap
  - Libpcap：经典库，数据包从内核复制到用户空间。优点：跨平台、成熟稳定、有过滤。缺点：拷贝开销大、高流量丢包、延迟高。适用：调试、低吞吐量监控。
  - Zero-copy (如DPDK/AF_XDP)：网卡直接将数据包写入用户态内存，应用直接访问。优点：无拷贝、超高吞吐、低延迟。缺点：平台依赖强、配置复杂、不兼容传统网络栈。适用：高性能网络监控、低延迟系统。
【考点】检测引擎设计
- 分类：嵌入式规则检测引擎（代码对用户隐藏，用户配规则）、可编程检测引擎（用户用特定语言实现检测模块，灵活性强）。
- Snort案例
  
  (同时具备嵌入式规则和可编程特性)
  - 规则组成：规则头（动作、协议、源/目IP、源/目端口）、规则选项（警报信息、检查区域）。
  - 规则头：动作（alert, log, pass, activate, dynamic）、协议（TCP, UDP, ICMP）、IP地址、端口号、方向操作符。
  - 规则选项：msg, logto, ttl, id, dsize, flow, content等。
  - 系统结构：协议解析器、规则检测引擎、日志/警报系统。
    - 协议解析器：围绕协议栈各层协议，Packet数据结构（原始包信息、解析后信息、标识字段）。
    - 规则检测引擎：规则链表构造模块（读配置、解析规则、形成二维链表，Snort2.0引入快速规则匹配）、预处理器模块（包分片重组、流重组、协议规范化/解码）、规则匹配模块（遍历规则链表、调插件处理、匹配则触发动作）。
    - 日志/警报系统：通过插件实现规则动作。日志模式（关闭、可读格式、tcpdump二进制）。
- 可编程检测引擎设计要点：脚本语言定义及其与引擎架构接口设计。
- 【考点】特征分析与协议分析技术
  - 特征分析技术：基于字符串匹配。早期视输入包为无序无结构随机数据流。优点（小规则集快、规则易编写定制、新攻击快升级、对简单脚本攻击检测好、攻击解释确定）。缺点（大规则集慢、变种攻击致规则膨胀、易虚警、仅能检已知攻击）。
  - 协议分析技术：视输入包为严格定义格式数据流，层层解析，据协议定义分析。利用预定义协议字段期望值/合理值判断恶意流量。优点（大规则集性能扩展好、可发现未知漏洞、虚警少）。缺点（小规则集慢、规则复杂难编写、协议复杂性扩展及实现多样性致规则扩展难、攻击解释不明确）。
- 案例分享：大规模不良网站发现与治理
  
  (这部分内容与前面的域名和网站分析相关，可以作为入侵检测和防御策略的一个综合应用案例)
  - 发现难点：域名海量变化快、服务隐匿规避仿冒抢注引流。
  - 高价值挖掘难点：高曝光度开源渠道信息挖掘疏漏、真实高访问量不良网站挖掘不足（流量类型多跨层分散、广告信源形式类型多、视频数量类型多）。
  - 精准治理难点：资源类型多量大跨域关系复杂、运营实体多可控性不一服务协议差异大、主体类型多处置方法多实效代价不一。
  - 技术发明点：多信息融合与多属性联合的大规模不良网站发现；多端覆盖与多视角集成的高价值不良网站挖掘；资源运营主体联动的处置方法与精准治理策略推荐。

第四章先进的入侵检测技术

这部分介绍了一些更前沿的入侵检测算法和技术。

采用先进检测算法的原因：解决传统IDS问题（高虚警率、未知攻击检测不足、扩展性差、静态防御）。
神经网络与入侵检测技术
- 优势：概括抽象能力、容错处理、学习自适应、并行计算存储。
- 应用：MIT（关键词+神经网络，Telnet会话）。Lippmann算法流程（构建会话数据矢量 -> 关键词计数 -> 形成输入特征矢量 -> 预处理 -> 神经网络训练）。
- 缺陷：大容量入侵行为学习能力、解释能力不足、执行速度。
数据挖掘与入侵检测技术
- KDD（数据库知识发现）关键步骤，解决数据量增长与快速分析矛盾，发现有用可理解数据模式。
- KDD步骤：理解应用背景、数据准备、数据挖掘、结构解析、使用知识。
- 数据挖掘技术分类：预言（历史预测未来）、描述（了解潜在规律）。
- 数据挖掘算法：关联分析、序列模式、分类、聚集、异常检测。
- 异常检测（Outlier Detection）：发现数据集中显著不同于其他数据的对象。应用（欺诈检测、贷款审批、网络入侵检测等）。
- 数据预处理（清理）：处理不完整、含噪声、不一致数据。内容（格式标准化、异常数据清除、错误纠正、重复数据清除、恢复丢失数据）。
- 异常检测方法分类：基于统计、基于距离、基于偏差、基于密度、高维数据异常探测。
- 与入侵检测相关算法：分类算法（数据项归入预定义类别，生成分类器）、关联分析算法（确定字段间联系，建正常用户行为档案）、序列分析算法（发掘数据集中序列模式）。
- Lee等人数据挖掘技术框架。
数据融合与入侵检测技术
- 定义：多层次多方面处理过程，对多源数据检测、结合、相关、估计、组合以达精确状态/身份估计及完整及时态势/威胁估计。
- 入侵检测数据融合层次模型（低：入侵存在性 -> 中：入侵级别/身份/行为 -> 高：威胁分析）。
- 挑战：通用元语言描述、动态网络行为攻击检测、多传感器数据融合理论应用。
计算机免疫学与入侵检测技术
- 借鉴生物免疫系统机制（自我-非我识别、学习记忆、动态适应），构建自适应IDS。
- 生物免疫系统特征：多层次保护、高度分布式检测记忆、多样化个体检测、识别未知异体。
- 应用：基于阴性选择的异常检测（定义“自我”->生成检测器（剔除匹配“自我”）->检测攻击（非自体））；免疫启发的机器学习模型（免疫神经网络、免疫Agent）；动态免疫响应（短期-防火墙规则更新，长期-攻击特征存规则库）。
进化计算与入侵检测技术
- 模仿自然规律的全局优化算法（自然选择、适者生存）。维护对象群体，按规则和遗传算子进化。
- 遗传算法（GA）：个体是固定长度字符串/比特组。应用（特征选择、规则优化、模型调参）。
- 遗传规划 (GP)：个体是可执行程序。应用（APT攻击多阶段入侵行为关联分析，生成攻击链概率模型）。

DDoS攻击与防护 (独立PPT内容)

【本章为重点内容，对应你答案中的大量截图】

DDoS攻击的历史：探索期（Panic attack, Trinoo）、工具化（燕子行动）、武器化（爱沙尼亚/格鲁吉亚战争）、普及化（匿名者LOIC, 海康威视后门）。
"5·19"断网事件剖析

：背景（DNSPOD为暴风影音等提供解析服务）-> 前奏（DNSPOD遭10G拒绝服务攻击）-> 断网（DNSPOD遭更大流量攻击瘫痪，大量域名无法解析，ISP缓存服务器压力剧增）。
- 【考点】分析攻击权威服务提供商的后果、运营商处理方式、用户防护方法。
DDoS形势：智能设备发起的DDoS攻击增多。
DDoS攻击动机：技术炫耀/报复、商业利益（不正当竞争/敲诈）、政治因素。
DDoS攻击地下产业化。
DDoS基本常识：一直在治疗从未见疗效；只针对有意义目标；无效攻击持续不久；低调行事；能防住的通常简单；攻防动态调整；安全服务常在攻击后才被想起；讲天时地利人和；攻击成本降低致水平降低。
什么是DDoS：利用僵尸网络发出，目标（路由/交换/防火墙/服务器/数据中心），后果（CPU高/内存满/应用忙/系统瘫/带宽拥堵/转发困难/并发耗尽，应用/基础设施不可用）。
DDoS攻击分类（按流量特性）
- 流量型/流速型：以力取胜，拥塞链路（ICMP Flood, UDP Flood）。
- 慢速型/漏洞型：以巧取胜，利用协议/软件漏洞（Slowloris）。
- 并发型/请求型（混合）：利用缺陷+高速并发+海量流量（SYN Flood, HTTP Flood, DNS Query Flood - 主流）。
【考点】DDoS攻击分类（按攻击方式）
- 连接耗尽型
  
  ：SYN Flood, 连接数攻击。
  - SYN Flood：伪造源IP发SYN请求，服务器回应SYN/ACK后等待ACK超时，耗尽半连接队列资源。侦察：Netstat看大量SYN_RCVD。
  - Connection Flood：真实IP建大量TCP连接并长时间占用，耗尽服务器连接数。
- 带宽耗尽型
  
  ：Ack Flood, UDP Flood, ICMP Flood, 分片攻击。
  - ICMP Flood：大量ICMP包冲击目标，内容大小固定。
  - UDP Flood：大量UDP包冲击服务器，消耗带宽，阻塞链路，对需维持会话表的网络设备杀伤力大。
  - 反射攻击：源IP伪装成受害者IP，向正常网络发大量报文，利用回应报文攻击受害者（Smurf, DNS反射）。有流量放大效应。NTP（700倍）、SNMP（25倍）、DNS（10倍）。
- 应用层攻击
  
  ：HTTP Get Flood, CC攻击, HTTP Post慢速攻击, DNS Query Flood, 针对游戏/数据库攻击。
  - DNS Query Flood：随机生成域名使服务器递归查询，向上层连锁反应。Spoof IP。蠕虫扩散也带大量解析请求。
  - HTTP Flood / CC攻击：利用代理向受害者发大量HTTP Get请求（常请求动态页面涉数据库），耗尽数据库连接池。
DDoS防护思路及防护算法
- ADS流量清洗工作原理：流量限速 -> IP合法性检查 -> 源/目地址检查/验证 -> (特定应用防护、协议栈行为分析、用户行为模式分析、动态指纹识别、反欺骗) -> 交付已过滤内容。
- 【考点】SYN Flood防护方法
  - Random Drop：随机丢包（正常连接成功率降低）。
  - 特征匹配：统计攻击报文特征定义特征库（对完全随机生成包无效）。
  - SYN Cookie：避免TCB资源耗尽，有连接变无连接（校验耗性能）。
  - SYN Proxy：完美解决（耗设备性能，非对称网络不适用）。
- TCP Connection Flood攻击与防护：限制单IP连接数（对Botnet无效）。
- DDoS攻击防护思路：定期扫描加固；资源冗余提升耐打；服务最小化；选专业产品服务。
- 防护DDoS最佳实践（三层防护）：本地第一层（边界抗D设备处理非带宽占用型）；云端第二层（上游运营商/MSSP云清洗）；源端第三层（横向多方合作抑制本网发出攻击）。
- 常见DDoS防护方案特点分析：防火墙&IPS抗D（无法检应用层、受会话性能影响）；CDN防护DDoS（节点性能无法应对大流量、攻击透传回源）；云清洗抗D服务（省成本、弹性大，但费用高、策略不可控）；专有抗D设备（本地部署满足各类防护，需与云清洗配合解决带宽拥塞）。

好的，这很有挑战性！我会尽力根据你提供的两份自制答案（尽管它们主要是选择题答案和一些图片/PPT页码的标记）以及你强调的重点（负载均衡、防火墙、入侵检测），来推断出两套结构相对完整的试卷，并给出答案和简要解析。

重要说明：

由于原始题目缺失，以下题目主要依据答案中涉及的知识点进行推断和设计。
选择题部分，我会参考你答案文件中给出的选项（如有），但题目本身需要重新构建。
简答题和论述题，我会根据你答案中标注的PPT页码和图片内容来设计。
我会尽量覆盖你答案中提到的所有考点。
重点内容（负载均衡、防火墙、入侵检测）会给予更多关注。

网络安全模拟试卷（一）

(根据“网络安全2019-2020自制答案.docx”推断)

一、选择题 (每题只有一个正确答案，共15题)

以下哪项不属于NAT技术设计的主要目的？ A. 为局域网内的主机分配私有地址 B. 解决公网IP地址短缺问题 C. 增强数据传输的加密强度 D. 隐藏内部网络结构

答案：C 解析： NAT（网络地址转换）主要用于实现私有IP地址与公网IP地址的转换，以解决IP地址短缺和隐藏内部网络结构的问题，它本身不提供数据加密功能。
在大型网站架构演进中，将应用服务器、数据库服务器、文件服务器分离部署属于哪个阶段的特征？ A. 第一代 B. 第二代 C. 第三代 D. 第四代

答案：B 解析： 根据PPT内容，第二代大型网络应用架构的特点是应用、数据、文件分离。
下列哪个不是常见的负载均衡算法？ A. 轮询算法 B. 随机算法 C. 最少连接算法 D. 最大延迟算法

答案：D 解析： 常见的负载均衡算法包括轮询、Hash散列、最少连接、最快连接、加权、动态反馈等。“最大延迟算法”不是一个标准的负载均衡算法，通常我们追求的是最小延迟。
信息安全的基本属性通常不包括以下哪个？ A. 机密性 B. 完整性 C. 可用性 D. 经济性

答案：D 解析： 信息安全的核心属性是机密性、完整性和可用性（CIA三元组）。有时也会扩展到真实性、可控性等，但经济性通常不是其基本属性，而是实施安全措施时需要考虑的因素。
以下哪项技术主要用于防御DDoS攻击中的SYN Flood攻击？ A. SYN Cookies B. IP Spoofing C. ARP Spoofing D. DNS Amplification

答案：A 解析： SYN Cookies是一种有效的防御SYN Flood攻击的技术，它通过特殊的方式处理SYN请求，避免耗尽服务器的半连接队列。
下列哪项不属于防火墙的基本类型？ A. 包过滤防火墙 B. 状态检测防火墙 C. 流量整形防火墙 D. 应用代理防火墙

答案：C 解析： 防火墙的基本分类包括包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙和个人防火墙。流量整形是下一代防火墙的功能之一，但不是基本分类。
入侵检测系统（IDS）的信息来源不包括以下哪个？ A. 操作系统的审计记录 B. 网络流量数据 C. 应用程序日志 D. 物理门禁系统的刷卡记录

答案：D 解析： IDS的信息来源主要包括系统审计记录、操作系统日志、应用程序日志、网络数据包等。物理门禁记录属于物理安全范畴，通常不直接作为IDS的信息源。
PPDR模型代表了网络安全防护的动态过程，其中的“P”可以代表？ A. Protocol (协议) B. Prevention (预防) C. Protection (防护) D. Process (过程)

答案：C 解析： PPDR模型通常指Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）。在一些扩展模型中，第一个P也可能指Prediction（预测）或Prevention（预防），但Protection（防护）是核心概念之一。根据你提供的PPT内容，这里P指Protection。
下列哪项是基于NAT技术实现负载均衡的主要原理？ A. 将多个域名解析到同一个IP地址 B. 将一个外部IP地址映射为多个内部IP地址，并按策略分发 C. 利用HTTP重定向将用户请求导向不同服务器 D. 在网络边缘缓存静态内容

答案：B 解析： 基于NAT的负载均衡通过将一个外部（虚拟）IP地址映射到后端服务器集群中的多个内部真实IP地址，并根据一定的负载均衡算法（如轮询）来分发外部请求。
大型网络应用技术发展历程中，为了提高网站性能和减轻服务器压力，常采用的技术手段有哪些？ A. 应用、数据、文件分离 B. 利用缓存（本地缓存、分布式缓存） C. 使用CDN和反向代理 D. 使用NoSQL和搜索引擎

答案：ABCD (根据题目推断，此处应为多选或考察综合理解) 解析： 这些都是大型网络应用架构演进中用于提升性能和可扩展性的重要技术手段。
在TCP/IP协议模型中，负责端到端可靠数据传输的是哪一层？ A. 应用层 B. 网络互联层 C. 传输层 D. 主机-网络层

答案：C 解析： 传输层（如TCP协议）提供端到端的可靠数据传输服务。
防火墙的优点包括： A. 作为网络安全的屏障 B. 不能防范来自内部网络的攻击 C. 监控和审计网络访问 D. 防止内部信息外泄

答案：ACD (根据答案文件推断为多选) 解析： B是防火墙的弱点。A、C、D是防火墙的优点。
以下哪项是信息安全技术在“数据层”和“内容层”所要保护的信息自身与信息系统属性？ A. 物理安全 B. 运行安全 C. 性能指标 D. 可用性、机密性与真实性

答案：D 解析： 信息安全技术的核心目标是保护信息的机密性、完整性（真实性）和可用性。物理安全和运行安全是保护的层面，性能指标是系统表现。
成熟的网络安全防护模型PPDRR中，R可以代表： A. Response (响应) B. Restore (恢复) C. Rule (规则) D. Report (报告)

答案：AB (根据答案文件推断为多选，PPDRR模型比PPDR多一个R，通常指恢复) 解析： 在PPDR模型中R代表Response（响应）。在PPDRR模型中，通常增加一个R代表Restore（恢复）。
信息安全的国内分层结构不包括： A. 实体安全 B. 运行安全 C. 策略安全 D. 内容安全

答案：C 解析： 国内信息安全分层结构通常包括实体安全、运行安全、数据安全和内容安全。策略是指导这些层面安全的总纲，但本身不作为其中一个层面。

二、填空题 (共4题)

常见的负载均衡算法有轮询算法、Hash散列算法、最少连接算法、最快连接算法、________算法和动态反馈算法。 答案：加权 解析： 这是负载均衡的几种主要算法。
防火墙按技术实现可以分为包过滤防火墙、状态/动态检测防火墙、________防火墙和个人防火墙。 答案：应用程序代理 解析： 这是防火墙的几种主要分类。
入侵检测的信息来源主要包括操作系统的审计记录、操作系统日志、应用程序日志、基于________的信息源以及其他数据来源。 答案：网络数据 解析： 这些是IDS获取分析数据的主要途径。
PPDR网络安全防护模型中的四个字母分别代表________、________、________和________。 答案：策略 (Policy)、防护 (Protection)、检测 (Detection)、响应 (Response) 解析： 这是PPDR模型的核心组成部分。

三、简答题 (共3题)

简述基于网络的入侵检测（NIDS）的优缺点。 答案：
- 优点：
  - 能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅速的响应。
  - 可移植性好，通常不依赖于特定操作系统或主机配置。
  - 不影响宿主机的性能，因为它是旁路监听。
- 缺点：
  - 准确率问题：可能存在误报（将正常流量误判为攻击）和漏报（未能检测到真实攻击）。
  - 无法检测加密流量中的攻击内容（除非有解密能力）。
  - 发生在应用进程级别的攻击行为（如主机内部的恶意操作）无法依靠基于网络的入侵检测来完成。
  - 在高速网络环境下可能会因为性能瓶颈导致丢包，影响检测的全面性。
防火墙有哪些主要作用？其主要的弱点或局限性是什么？ 答案：
- 主要作用：
  - 作为网络安全的屏障，隔离风险区域与安全区域。
  - 控制对内部主机系统的访问，执行访问控制策略。
  - 监控和审计网络访问，记录通过防火墙的流量和事件。
  - 防止内部敏感信息的未授权外泄。
  - 可以部署网络地址转换（NAT）机制，隐藏内部网络结构，缓解IP地址短缺。
- 主要弱点/局限性：
  - 不能防范来自内部网络的攻击。
  - 不能防范不经过防火墙的攻击（例如通过拨号或其他物理方式接入）。
  - 不能防范携带病毒的软件或文件的传输（除非集成了防病毒功能）。
  - 不能防范数据驱动式攻击。
  - 不能防范利用其允许通过的标准网络协议自身缺陷进行的攻击。
  - 不能防范利用其允许访问的服务器上的漏洞进行的攻击。
  - 对于新的、未知的网络安全问题，防御能力有限。
  - 为了安全可能会限制或关闭一些有用的网络服务。
(根据“网络安全2019-2020自制答案.docx”中问题三的页码提示 new-7网络安全_3-1_入侵检测技术概述.pdf（55~61）推断题目) 请阐述通用入侵检测系统（IDS）的基本结构（或包含的功能部件）及其各自的作用。 答案： 通用入侵检测系统（IDS）通常包含以下几个核心功能部件：
- 数据收集器（探测器/信息收集部件）：
  - 作用： 负责从目标系统（如网络、主机）收集原始数据，这些数据是入侵检测分析的基础。信息来源可以包括网络数据包、系统日志、应用程序日志、审计记录等。
- 检测器（分析器/分析引擎/检测引擎）：
  - 作用： 负责分析由数据收集器提供的数据，并根据预设的规则、模式或模型来判断是否存在入侵行为或异常活动。它可以采用模式匹配、统计分析、完整性分析等方法。检测到可疑活动时，会生成警报信息。
- 知识库：
  - 作用： 存储入侵检测所需的知识和规则。这可以包括已知的攻击特征库（用于滥用检测）、正常行为的基线模型（用于异常检测）、安全策略配置等。
- 控制器（响应部件）：
  - 作用： 根据检测器发出的警报信息，执行相应的响应动作。响应动作可以是自动的（如阻断连接、隔离主机）或手动的（如通知管理员、记录详细日志）。
- (通常还包含) 用户接口组件：
  - 作用： 提供人机交互界面，允许管理员配置IDS、查看系统运行状态、分析警报信息、调整安全策略等。

四、论述与分析题 (共2题)

(根据“网络安全2019-2020自制答案.docx”中问题四的1推断题目) 请详细描述通用入侵检测系统模型中各个组件的功能和它们之间的协作关系。 答案： 通用入侵检测系统模型通常由以下几个核心组件构成，它们协同工作以实现对潜在入侵行为的检测和响应：
- 1. 数据收集器 (Data Collector / Sensor / 探测器):
  - 功能: 这是IDS获取分析素材的第一步。它负责从被监控的目标系统（可以是单个主机、网络段或整个网络）中收集各种原始数据。这些数据源可能包括：
    - 网络流量数据包 (通过网络监听捕获)
    - 操作系统审计记录 (如登录尝试、文件访问、进程创建)
    - 系统日志 (如syslog, event log)
    - 应用程序日志 (如Web服务器日志、数据库日志)
    - 其他安全设备产生的告警或日志 (如防火墙日志)
  - 数据收集器需要将收集到的原始数据进行初步处理，如格式化、规范化，以便后续分析。
- 2. 检测器 (Detector / Analyzer / 检测引擎):
  - 功能: 这是IDS的核心分析部件。它接收来自数据收集器处理后的数据，并应用各种检测算法和逻辑来识别潜在的入侵行为或异常活动。其检测方法主要有：
    - 滥用检测 (Misuse Detection): 将输入数据与已知的攻击模式或特征（存储在知识库中）进行匹配。如果匹配成功，则认为发生了入侵。
    - 异常检测 (Anomaly Detection): 建立一个“正常”行为的基线模型（也存储在知识库中），然后将当前的活动与这个基线进行比较。如果当前活动显著偏离正常基线，则被认为是可疑的。
  - 当检测器识别到可疑活动时，它会生成警报信息。
- 3. 知识库 (Knowledge Base):
  - 功能: 为检测器提供分析和判断所需的依据。它存储了：
    - 已知的攻击特征、签名或规则 (用于滥用检测)。
    - 正常行为的统计模型、配置文件或基线数据 (用于异常检测)。
    - 系统的安全策略和配置信息。
    - 响应策略和规则。
  - 知识库需要定期更新，以应对新出现的威胁和系统变化。
- 4. 控制器 (Controller / Response Unit):
  - 功能: 根据检测器产生的警报信息以及知识库中定义的响应策略，采取相应的措施。响应动作可以包括：
    - 被动响应: 记录事件日志、向管理员发送警报通知 (邮件、短信等)。
    - 主动响应: 终止恶意连接、阻断来自可疑IP的流量、隔离受感染的主机、修改防火墙规则等。
  - 控制器的响应旨在减轻攻击造成的影响、阻止攻击的进一步发展或为后续的调查取证提供支持。
- 5. 配置信息 (Configuration Information):
  - 功能: 这是管理员用来定义和调整IDS行为的接口。通过配置信息，管理员可以设定：
    - 监控的目标范围和数据源。
    - 检测规则的启用/禁用和参数调整。
    - 警报的阈值和优先级。
    - 响应动作的类型和触发条件。
- 协作关系:
  - 数据收集器持续不断地从目标系统收集审计数据等信息，并将其传送给检测器。
  - 检测器利用知识库中存储的攻击特征和正常行为模型，对收集到的数据进行分析。同时，配置信息也会指导检测器的检测范围和敏感度。
  - 如果检测器识别出可疑活动，它会生成警报信息，并将这些信息传递给控制器。
  - 控制器根据警报信息和知识库中预设的响应策略（也可能受配置信息影响），执行相应的控制动作，这些动作可能直接作用于目标系统或通知管理员。
  - 整个过程是一个动态循环，IDS会持续监控、分析并根据需要进行响应。
(根据“网络安全2019-2020自制答案.docx”中问题四的2推断题目，涉及PPT页码 "2-张-网络安全_1-2_网络与信息安全体系结构介绍.pdf（42~58）") 请结合信息安全的国内分层结构和国外信息安全金三角模型，阐述你对网络与信息安全涵盖范围的理解。 答案： 网络与信息安全的涵盖范围是一个多维度、多层次的复杂体系，可以从国内的信息安全分层结构和国外经典的信息安全金三角（CIA）模型两个角度来理解其核心内涵和具体体现。这两个模型虽然视角不同，但最终目标都是确保信息和信息系统的安全。
- 1. 国内信息安全分层结构 (面向应用/保护对象)：
  - 这种模型通常将信息安全划分为由内到外的多个保护层面，每一层都针对特定的安全对象和威胁。根据PPT P53的内容以及通常的理解，这些层面可以概括为：
    - 物理安全 (Physical Security)： 这是最基础的层面，关注保护信息系统赖以存在的物理环境和设备。
      - 机密性体现： 防止设备被盗窃或未经授权的物理接触导致信息泄漏（如通过电磁泄漏）。
      - 可用性体现： 保证系统设备在恶劣物理环境（如火灾、水灾、断电）下仍能基本运行，或快速恢复。
    - 运行安全 (Running Security / Operational Security)： 关注信息系统在运行过程中的安全，确保系统按照预期、安全地提供服务。
      - 可控性/机密性体现： 防止系统被非授权用户恶意利用，如通过操作系统漏洞、恶意软件获得超权限访问。
      - 可用性体现： 保障网络和系统的正常运行，确保授权用户在需要时可以获得基本服务，抵御如DoS攻击等导致的服务中断。
    - 数据安全 (Data Security)： 核心是保护信息内容本身在存储、传输和处理过程中的安全。
      - 真实性/完整性体现： 保证数据的发送源头不被伪造（真实性），数据在传输、存储等过程中不被非法修改（完整性）。
      - 机密性体现： 保证数据在传输、存储过程中不被非授权者获取并解析。
      - 可用性/抗否认性体现： 保证系统的可用性，使得发布者无法否认所发布的信息内容（抗否认性）。
    - 内容安全 (Content Security)： 关注通过网络传播的信息内容的合法性、合规性和适宜性。
      - 真实性体现： 防范路由欺骗、域名欺骗等导致用户访问到虚假或恶意内容。
      - 机密性体现： 防止对传递信息进行捕获并解析，即使信息本身不敏感，但其元数据或上下文也可能泄露信息。
      - 完整性体现： 防止信息内容被删除局部或附加特定恶意内容。
      - 可用性体现： 防止信息传输系统被阻断，使得内容不能送达目的地。
  - PPT P45-P50通过图示将这些层面的安全属性（机密性、真实性/完整性、可用性、可控性、抗否认性）进行了归纳和统一，最终落脚到信息安全金三角的三个核心属性。
- 2. 国外信息安全金三角 (CIA Triad - 面向属性)：
  - 这个模型是国际上广泛认可的信息安全核心目标，它强调信息安全的三个基本属性：
    - 机密性 (Confidentiality)： 确保信息不被泄露给未授权的个人、实体或过程。即信息只被授权的人访问。
      - 技术手段： 加密、访问控制、身份认证。
    - 完整性 (Integrity) / 真实性 (Authenticity)： 确保信息在存储、传输或处理过程中不被未授权地篡改或破坏，保持其准确性和一致性。真实性则强调信息的来源是可靠的，信息是真实的。
      - 技术手段： 数据校验（如哈希、数字签名）、访问控制、日志审计。
    - 可用性 (Availability)： 确保授权用户在需要时能够访问到信息和信息系统，系统能够正常提供服务。
      - 技术手段： 冗余备份、负载均衡、灾难恢复、DDoS防护。
- 综合理解：
  - 网络与信息安全的涵盖范围是上述两个模型的综合体现。国内的分层结构更侧重于从保护对象的角度出发，明确了不同层面需要关注的安全问题。而国外的信息安全金三角则从信息本身应具备的安全属性出发，定义了安全工作的核心目标。
  - 实际上，CIA三个核心属性（机密性、完整性/真实性、可用性）贯穿于物理安全、运行安全、数据安全和内容安全的各个层面。例如，在物理层面，我们需要保证设备的可用性（防灾备灾）和机密性（防止物理窃取）；在数据层面，我们需要保证数据的机密性（加密）、完整性（防篡改）和可用性（数据备份与恢复）。
  - 因此，网络与信息安全的工作就是要综合运用各种技术、管理和策略手段，在信息系统的整个生命周期中，从物理环境到应用内容，全面保障信息的机密性、完整性/真实性和可用性，抵御各种内外部威胁，确保信息系统的稳定、可靠和安全运行。

网络安全模拟试卷（二）

(根据“网络安全第二套自制答案.docx”推断)

一、单项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

由于原始答案文件只给出了1-6题的字母选项 (adbdab)，没有具体题目，这里我会根据课程重点和常见考点来构建可能的题目，并使答案与你给出的相符。

在各种负载均衡策略中，实现简单、成本低，但可能因DNS缓存导致故障切换延迟的是哪一种？ A. 基于DNS的负载均衡 B. 基于反向代理的负载均衡 C. 基于NAT的负载均衡 D. 基于CDN的负载均衡

答案：A 解析： 基于DNS的负载均衡通过为一个域名配置多个IP地址实现，简单易行，但DNS记录的缓存会导致在某个服务器故障时，客户端仍然可能在一段时间内尝试连接故障服务器。
以下哪种防火墙结构通过在内外网之间设立一个或多个隔离的“非军事区”（DMZ）来放置公共服务器，从而提供更高级别的安全防护？ A. 屏蔽路由器 B. 双重宿主主机防火墙 C. 屏蔽主机防火墙 D. 屏蔽子网防火墙

答案：D 解析： 屏蔽子网防火墙通过使用两个（或更多）路由器在内部网络和外部网络之间创建一个或多个DMZ，用于放置需要从外部访问的服务器（如Web服务器、邮件服务器），从而隔离内部网络，提供更高的安全性。
“检测对计算机系统的非授权访问，监视系统运行状态，发现各种攻击企图、攻击行为或结果，以保证系统资源的机密性、完整性和可用性”，这是对以下哪个概念的描述？ A. 防火墙 B. 入侵检测系统 (IDS) C. 虚拟专用网络 (VPN) D. 路由器

答案：B 解析： 这是入侵检测系统（IDS）的核心功能和目标。
下列哪项不属于成熟的网络安全防护模型PPDRR中的一个环节？ A. Policy (策略) B. Protection (防护) C. Prediction (预测) D. Detection (检测)

答案：C 解析： PPDRR模型通常包括Policy（策略）、Protection（防护）、Detection（检测）、Response（响应）和Restore（恢复）。Prediction（预测）虽然也是安全领域的重要方向，但不是PPDRR模型的核心环节。
在大型网络应用架构中，为了应对高并发访问和提升用户体验，常将静态内容分发到离用户最近的节点，这种技术被称为？ A. CDN (内容分发网络) B. NAT (网络地址转换) C. VPN (虚拟专用网络) D. DNS (域名系统)

答案：A 解析： CDN通过在全球部署边缘节点服务器，将网站内容缓存到离用户最近的地方，从而加速用户访问速度，减轻源站压力。
以下哪种攻击方式属于应用层DDoS攻击？ A. SYN Flood B. HTTP Flood C. ICMP Flood D. UDP Flood

答案：B 解析： HTTP Flood是针对Web应用服务器的攻击，通过发送大量合法的HTTP请求，耗尽服务器的应用处理资源，属于应用层DDoS攻击。SYN Flood、ICMP Flood和UDP Flood通常被认为是网络层或传输层的DDoS攻击。

二、多项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

同样，由于原始题目缺失，以下题目根据课程重点和常见考点构建。

负载均衡的主要目标包括哪些？ A. 提高系统的可用性 B. 增加系统的吞吐量 C. 减少用户的平均响应时间 D. 简化网络拓扑结构

答案：ABC 解析： 负载均衡通过分发流量到多个服务器，可以避免单点故障（提高可用性），处理更多并发请求（增加吞吐量），并可能通过将用户导向性能更好或负载更轻的服务器来减少响应时间。简化网络拓扑不是其主要目标。
防火墙可以实现以下哪些功能？ A. 隔离不同安全级别的网络 B. 记录通过防火墙的网络流量 C. 对传输的数据进行加密 D. 根据安全策略允许或拒绝特定服务

答案：ABD 解析： 防火墙的核心功能是访问控制和网络隔离，并能进行日志审计。虽然有些防火墙可能集成VPN功能实现加密，但数据加密本身不是防火墙的基本功能。
入侵检测系统（IDS）的检测方法主要可以分为哪几类？ A. 滥用检测 (Misuse Detection) B. 异常检测 (Anomaly Detection) C. 流量加密 (Traffic Encryption) D. 协议分析 (Protocol Analysis)

答案：AD (答案文件中为ACD，但流量加密不是IDS的检测方法，协议分析是NIDS常用手段，有时也作为滥用检测的一部分或辅助手段，这里根据你给的ACD，将D视为一个主要方法) 解析： IDS的主要检测方法是滥用检测（基于已知攻击特征）和异常检测（基于正常行为基线）。协议分析是网络入侵检测中常用的一种技术，用于理解数据包内容并识别不规范或恶意的协议使用，它可以辅助滥用检测或异常检测。
以下哪些属于DDoS攻击中的带宽耗尽型攻击？ A. SYN Flood B. ICMP Flood C. UDP Flood D. HTTP Get Flood

答案：BC (答案文件中为ABCD，但SYN Flood是连接耗尽型，HTTP Get Flood是应用资源耗尽型，这里根据你给的ABCD，可能题目问的是广义的“消耗资源”型) 解析： ICMP Flood和UDP Flood通过发送大量数据包来消耗目标网络的带宽资源。SYN Flood主要消耗连接资源，HTTP Get Flood主要消耗应用服务器资源。若题目广义理解为消耗某种类型的资源，则都可选，但严格按带宽耗尽分类，B和C最典型。
大型网络应用为了提高性能和可扩展性，常用的架构技术包括？ (此题答案文件标记为“好像没找到”，我将根据课程内容出题) A. 数据库读写分离 B. 使用分布式缓存 C. 应用服务器集群化 D. 单体架构集中部署

答案：ABC 解析： A、B、C都是提升大型应用性能和扩展性的常用技术。单体架构集中部署通常是早期小型应用的模式，难以应对高并发。
防火墙的基本结构类型有哪些？ A. 屏蔽路由器 B. 双重宿主主机防火墙 C. 屏蔽主机防火墙 D. 屏蔽子网防火墙

答案：ABCD (答案文件中为BCD，但屏蔽路由器也是最基础的防火墙结构) 解析： 这些都是防火墙的经典基本结构类型。

三、简答题 (共5题)

(根据“网络安全第二套自制答案.docx”中问题三的1的图片推断) 请列举至少四种典型的网络安全事件，并简要说明其攻击类型。 答案： 根据PPT截图，典型的网络安全事件及其攻击类型包括：
- 电信诈骗导致高中生徐玉玉身亡： 属于社会工程学、网络欺诈、个人信息泄露。
- OpenSSL水牢漏洞： 属于网络攻击（利用软件漏洞）。
- 惊曝淘宝9900万账户信息遭窃： 属于隐私泄漏（撞库攻击）。
- 跨境冒充公检法1.17亿电信诈骗案： 属于网络欺诈、社会工程学。
- （其他可补充如：全美互联网瘫痪 - DDoS网络攻击；黑客利用恶意软件Mirai攻击 - 恶意代码、物联网安全）。
(根据“网络安全第二套自制答案.docx”中问题三的2的图片推断) 下图展示了信息安全技术在不同层面的应用，请简要说明在“网关/代理”和“路由器/交换机”层面通常会部署哪些网络安全技术或措施？ (注：此处假设有一张图片展示了不同网络节点和安全措施，根据答案图片推断) 答案： 根据答案图片中高亮的文字推断：
- 网关/代理层面（通常指防火墙、应用代理服务器等边界设备）：
  - 基于主机的入侵检测（若网关本身作为主机形态）
  - 弱点评估、风险评估
  - 访问控制
  - 配置日志
  - 防病毒软件
  - 防火墙功能
  - 异常检测
- 路由器/交换机层面（网络基础设施）：
  - 黑洞路由（用于流量牵引或丢弃恶意流量）
  - 访问控制列表（ACL，用于包过滤）
  - 负载均衡（部分高级交换机或路由器具备此功能）
  - 数据分流
  - 数据清洗（通常由专门清洗设备完成，但路由器可配合引流）
  - 应急响应（如通过路由策略调整流量）
  - 预警通报（通过日志或SNMP上报异常）
  - 基于网络的入侵检测（通过端口镜像或TAP获取流量）
  - 数据流分析、异常检测
  - 网络状态分析、连通性评估、性能测量
  - 蜜网（流量引导至蜜网）
  - 抗DDoS（部分高级网络设备具备一定的抗DDoS能力或策略）
  - 恶意代码检测（NIDS功能）
  - 网络服务质量分析
(根据“网络安全第二套自制答案.docx”中问题三的3的图片推断) 请简述OSI七层模型中应用层、传输层、网络层、数据链路层和物理层的主要功能。 答案：
- 应用层： 为应用程序提供网络服务的接口，例如文件传输（FTP）、电子邮件（SMTP）、网页浏览（HTTP）等。
- 传输层： 提供端到端的可靠或不可靠的数据传输服务。主要协议有TCP（可靠的、面向连接的）和UDP（不可靠的、无连接的）。负责数据分段、流量控制、差错控制等。
- 网络层： 负责将数据包从源主机路由到目标主机，实现网络间的互连。主要功能包括逻辑寻址（IP地址）、路由选择、拥塞控制。
- 数据链路层： 在物理链路上提供可靠的数据传输，将网络层的数据包装成帧。负责物理寻址（MAC地址）、帧同步、流量控制、差错检测（通常不纠错，而是重传）。
- 物理层： 定义了网络的物理和电气特性，负责在物理媒介上传输原始的比特流。例如电压、接口标准、传输速率等。
(根据“网络安全第二套自制答案.docx”中问题三的4的图片推断) 简述进行文件完整性检查的目的和必要性。 答案：
- 目的： 检查主机系统中文件系统的完整性，及时发现潜在的针对文件系统的无意或恶意的更改。
- 必要性：
  1. 攻击者在入侵成功后，经常在文件系统中安装后门或木马程序，以方便后续的攻击活动。
  2. 攻击者还可能安装非授权的特定程序，并且替换掉特定的系统程序（如系统命令），以掩盖非授权程序的存在或实现持久化控制。
  3. 为了防止攻击活动痕迹的暴露，攻击者可能会删除或修改若干重要的系统日志文件中的审计记录。
  4. 入侵者还可能为了达成拒绝服务攻击目的或破坏目的，恶意修改若干重要服务程序的配置文件或者数据库数据，包括系统安全策略的配置信息等。
(根据“网络安全第二套自制答案.docx”中问题三的5的图片推断) 网络审计的主要内容有哪些？请至少列举八项。 答案： 网络审计的主要内容包括：
1. 网络连接审计
2. 协议审计
3. 端口审计
4. 拨号连接审计
5. 个人账户审计
6. 文件访问审计
7. 数据审计
8. 流量统计审计
9. 数据库审计
10. WEB服务器审计
11. 安全事件再现审计
12. 键盘审计
13. 屏幕审计
14. 系统统计分析审计

四、论述与分析题 (共6题)

(根据“网络安全第二套自制答案.docx”中问题四的1的图片推断) 请论述基于网络的入侵检测（NIDS）相较于基于主机的入侵检测（HIDS）的优缺点。 答案： 与上一套试卷的简答题1类似，但这里要求论述，可以更展开。
- NIDS的优点：
  - 广泛的监控范围与实时性： NIDS通过监听网络流量，可以监控整个网段或多个主机的通信情况，能够实时发现正在发生的网络攻击行为，并做出快速响应。
  - 对主机性能影响小： NIDS通常部署在专用的硬件上或以旁路方式监听流量，不直接在被保护主机上运行，因此对主机的性能开销极小。
  - 操作系统和应用无关性（可移植性好）： NIDS主要分析网络协议和数据包内容，其工作不依赖于特定主机的操作系统或应用程序，因此具有较好的可移植性和通用性。
  - 早期预警能力： NIDS可以在攻击到达目标主机之前就检测到某些攻击企图，如网络扫描、端口探测等，从而提供早期预警。
  - 难以被攻击者直接攻击和篡改： 由于NIDS通常是独立设备且被动监听，攻击者难以直接定位和攻击NIDS本身，其日志和配置也相对安全。
- NIDS的缺点：
  - 加密流量的盲区： 随着加密流量（如HTTPS、SSH）的普及，NIDS在无法解密这些流量的情况下，难以检测其中隐藏的恶意内容，大大降低了其有效性。
  - 高负载下的性能瓶颈与丢包： 在高速网络（如千兆、万兆）环境下，NIDS可能因处理能力不足而发生丢包，导致部分攻击流量未被检测。
  - 无法检测主机内部的攻击： NIDS只关注网络流量，对于不产生网络流量的主机内部攻击（如恶意软件的本地执行、内部用户的权限滥用、物理接触攻击）无能为力。
  - 对细粒度应用层攻击的分析能力有限： 虽然NIDS可以进行协议分析，但对于复杂的、经过精心构造的应用层攻击，其分析深度和准确性可能不如HIDS。
  - 网络分段和拓扑复杂性带来的挑战： 在复杂的、分段的网络环境中，需要部署多个NIDS传感器，并进行有效的管理和数据关联，增加了部署和维护的复杂度。
  - 误报和漏报问题（准确率）： NIDS的规则库更新速度、异常检测模型的准确性等因素都会影响其误报（将正常行为误判为攻击）和漏报（未能检测到真实攻击）的概率。
  - 无法确定攻击是否成功： NIDS检测到攻击流量，但通常无法判断该攻击是否对目标主机造成了实际损害。
(根据“网络安全第二套自制答案.docx”中问题四的2的图片推断) 审计数据获取对于基于主机的入侵检测至关重要。请论述在进行审计数据获取时需要重点考虑哪些问题？ 答案： 审计数据的获取是基于主机的入侵检测系统（HIDS）有效运作的基石，其质量和全面性直接影响检测的准确性和及时性。在进行审计数据获取时，需要重点考虑以下几个问题：
- 1. 确定审计数据的来源和类型：
  - 全面性与相关性： 需要明确哪些数据源能够最有效地反映潜在的入侵行为。常见的来源包括操作系统的审计日志（如Windows事件日志、Linux的auditd日志、Solaris BSM）、系统调用记录、进程活动、文件系统访问记录、用户登录/注销信息、网络连接信息（主机层面）、应用程序日志（如数据库日志、Web服务器日志）等。
  - 数据粒度： 需要决定审计的详细程度。过于详细的日志量巨大，处理困难；过于粗略则可能遗漏关键信息。应根据检测目标和系统资源进行权衡。
  - 多源融合： 考虑是否需要整合来自不同来源的审计数据，以获得更全面的视图。
- 2. 审计数据的预处理工作：
  - 格式标准化与解析： 不同操作系统、不同应用程序产生的日志格式各异。需要将这些异构的日志数据转换为统一的、结构化的格式，方便后续分析。这通常涉及到日志解析规则的定义和应用。
  - 数据过滤与筛选： 原始审计数据中可能包含大量与安全无关的“噪音”信息。需要通过过滤规则筛选出与安全事件相关的、有价值的数据，减少数据量，提高分析效率。
  - 数据映射与丰富： 有时原始日志中的信息不够直观（如仅有用户ID），需要将其映射为更易理解的信息（如用户名、部门），或者通过关联其他信息源来丰富审计事件的上下文。
  - 时间同步与校准： 确保来自不同主机的审计数据具有统一和准确的时间戳，这对于事件的顺序分析和关联至关重要。
- 3. 审计数据的获取方式与模块设计：
  - 部署方式： 考虑审计数据收集代理（Agent）的部署方式，是轻量级还是重量级，是否会显著影响主机性能。
  - 数据传输协议与安全性： 收集到的审计数据如何安全、可靠地传输到中央分析引擎或日志管理系统。需要考虑数据传输的加密、完整性校验，以及传输协议的选择（如Syslog-ng, Kafka, Beats等）。
  - 实时性与批量性： 根据检测需求，决定审计数据是实时流式传输还是定期批量上传。实时性要求高，但对网络和主机资源消耗也大。
  - 资源消耗与性能影响： 审计数据收集过程本身不应成为系统性能的瓶颈，或引入新的安全风险。需要优化收集代理的资源占用。
  - 容错与可靠性： 考虑当网络中断或中央分析服务器不可用时，审计数据能否在本地缓存，并在恢复后补传，确保数据不丢失。
  - 可扩展性： 审计数据获取模块应具备良好的可扩展性，以适应未来主机数量增加或审计数据量增长的需求。
(根据“网络安全第二套自制答案.docx”中问题四的3的图片推断) 论述基于DNS的负载均衡策略的原理、优点、存在的问题及缺陷。 答案： 与上一套试卷的对应题目类似，但这里要求论述，可以更深入。基于DNS的负载均衡是一种简单且广泛应用的负载均衡技术，它通过域名系统将用户的请求分发到不同的服务器IP地址。
- 原理：
  - 核心在于为一个域名配置多个A记录（或其他类型的记录，如AAAA记录用于IPv6），每个A记录指向一个不同的服务器IP地址。
  - 当客户端发起对该域名的DNS查询时，DNS服务器（通常是权威DNS服务器或本地DNS缓存服务器）会根据一定的策略（如轮询、随机或基于地理位置的智能DNS）从这些IP地址中选择一个返回给客户端。
  - 客户端随后使用获取到的IP地址与相应的服务器建立连接。
  - 通过这种方式，不同的客户端请求会被导向到不同的服务器，从而实现负载的分担。
- 优点：
  - 实现简单、成本低： 无需购买昂贵的硬件负载均衡设备，只需在DNS服务器上进行配置即可。
  - 实施容易： 对于已有的网络架构改动小，易于部署和管理。
  - 适用性广： 适用于大多数基于TCP/IP的应用，如Web服务、FTP服务等。
  - 全局负载均衡能力： 可以将用户导向地理位置上最近或响应最快的服务器（如果DNS服务器支持智能解析），实现初步的全局负载均衡。
- 存在的问题及缺陷：
  - 故障切换延迟（DNS缓存问题）： 这是基于DNS负载均衡最主要的问题。当一台服务器发生故障时，即使管理员及时修改了DNS记录，指向故障服务器的旧DNS记录仍然可能在各级DNS服务器（包括ISP的DNS缓存和客户端本地DNS缓存）中缓存一段时间（TTL值决定）。在此期间，部分用户仍会被解析到故障服务器，导致访问失败。这种故障切换不是实时的。
  - 无法感知服务器的真实负载和健康状况： DNS服务器在进行解析时，通常不了解后端各台服务器的当前实际负载（如CPU使用率、内存占用、连接数）和健康状况（如服务是否正常响应）。它只是机械地按策略分配IP地址，可能导致负载分配不均，例如将过多请求导向已经繁忙或即将故障的服务器。
  - 缺乏细粒度的控制和会话保持能力： DNS负载均衡工作在域名解析层面，无法进行基于应用内容的复杂分发，也难以实现基于用户会话的持久性连接（即同一用户的多次请求可能被分配到不同服务器）。
  - 可能导致请求集中： 虽然有轮询等策略，但在某些情况下（如大量用户通过同一个ISP的DNS缓存访问），仍可能出现大量请求集中到少数几台服务器的情况。
  - 配置更新的全局生效时间不确定： 修改DNS记录后，由于DNS的层级结构和缓存机制，更新在全球范围内完全生效需要一定时间。
(根据“网络安全第二套自制答案.docx”中问题四的4的图片推断) 请结合通用入侵检测系统模型，论述其各个组件是如何协同工作以完成入侵检测任务的。 答案： 与上一套试卷论述题1基本一致，这里不再赘述。请参考上一套试卷的答案。
(根据“网络安全第二套自制答案.docx”中问题四的5的图片推断) 操作系统日志与操作系统的审计记录都可以作为入侵检测的信息源，请论述两者在作为信息源时的主要区别和优劣。 答案： 操作系统日志和操作系统的审计记录都是基于主机的入侵检测系统（HIDS）的重要信息来源，但它们在生成机制、内容详细程度、可靠性和安全性等方面存在显著区别，这决定了它们在入侵检测中的不同价值和使用方式。
- 1. 操作系统的审计记录 (如 Solaris BSM, Windows Security Auditing, Linux auditd)：
  - 生成机制： 通常由操作系统内核级模块生成，或者由经过特殊设计、具有较高权限和安全性的系统服务生成。审计功能往往需要显式开启和配置审计策略。
  - 内容与详细程度： 审计记录通常设计得非常详细和结构化，能够记录到系统内核级别的事件，如系统调用、安全相关事件（登录成功/失败、权限变更、对象访问等）、进程创建与终止等。记录的信息字段明确，便于精确分析。例如，Solaris BSM的审计记录包含详细的审计令牌。
  - 可靠性与安全性： 由于其生成机制接近底层且通常有较强的保护措施（如二进制格式存储、严格的访问控制、可能存在防篡改机制），审计记录的可靠性和抗篡改能力相对较高。攻击者即使获得较高权限，也较难在不留下痕迹的情况下完全清除或修改审计记录。
  - 优点作为信息源：
    - 信息丰富且精确： 提供细粒度的、底层的系统活动信息，有助于精确识别复杂的攻击行为和内部威胁。
    - 可靠性高： 更难被攻击者篡改或绕过，为入侵分析提供更可信的证据。
    - 标准化程度相对较高（在特定OS内）： 如BSM有其标准格式，便于开发针对性的解析和分析工具。
  - 缺点作为信息源：
    - 配置复杂： 开启和配置详细的审计功能可能比较复杂，需要专业知识。
    - 性能开销： 记录非常详细的内核级事件可能会对系统性能产生一定影响。
    - 数据量大： 产生的审计数据量可能非常庞大，对存储和分析能力提出较高要求。
- 2. 操作系统日志 (如 /var/log/messages, Windows Event Logs中的System/Application Logs)：
  - 生成机制： 通常由操作系统内的各种应用程序、服务或守护进程生成，记录它们运行过程中的事件、错误和状态信息。这些日志的生成不一定在内核层面。
  - 内容与详细程度： 日志的内容和格式因产生日志的程序而异，标准化程度较低。可能包含系统启动信息、服务启停、硬件错误、一般应用错误等。其详细程度和对安全事件的直接反映不如专门的审计记录。
  - 可靠性与安全性： 操作系统日志通常以文本文件格式存储在普通文件系统中，其保护级别可能不如审计记录。攻击者在获得一定权限后，相对更容易篡改或删除这些日志文件。
  - 优点作为信息源：
    - 易于获取和理解： 许多系统默认开启了基本的日志记录，日志内容（部分）相对易于人类阅读。
    - 覆盖面广： 记录了多种系统组件和应用程序的运行情况。
  - 缺点作为信息源：
    - 可靠性较低： 更容易被攻击者修改或删除。
    - 信息不统一、不精确： 日志格式多样，信息粒度不一，对安全事件的描述可能不够直接和详细，需要更复杂的解析和关联分析。
    - 可能缺乏关键安全信息： 相比审计记录，可能缺失对底层安全关键操作的记录。
- 总结区别与优劣：
  - 生成层面： 审计记录更底层（内核级），日志偏应用/服务级。
  - 详细与精确度： 审计记录通常更详细、结构化，针对安全事件。日志内容宽泛，安全相关性不一。
  - 安全性与可靠性： 审计记录通常有更强的保护，更难篡改。日志相对脆弱。
  - 在入侵检测中的应用： HIDS更倾向于依赖审计记录作为主要的高质量信息源，进行深度分析；操作系统日志可以作为补充信息源，用于关联分析或检测某些特定应用层面的异常。理想的HIDS会尝试整合这两种（甚至更多）信息源，以达到更全面和准确的检测效果。
(根据“网络安全第二套自制答案.docx”中问题四的6的图片推断) 论述基于网络的入侵检测（NIDS）的优缺点。 答案： 与本套试卷论述题1基本一致，这里不再赘述。请参考本套试卷论述题1的答案。

五、计算与配置题 (共2题)

(根据“网络安全第二套自制答案.docx”中问题五的1的图片内容推断) 某公司申请到的网络地址为192.16.1.0，现要将其划分为至少5个子网，最大的一个子公司有31台计算机，每个子公司在一个子网中。
1. 请计算子网掩码。
2. 列出至少5个可用的子网的网络地址、可用主机地址范围和广播地址。 答案：
3. 计算子网掩码：
- 网络地址192.16.1.0是C类地址，默认子网掩码是255.255.255.0。
- 需要划分至少5个子网，根据公式 \(2^n \\ge 5\) （n为借用的主机位数），则n最小为3。即需要从主机位借用3位作为子网位。
- 原来的主机位有8位，借用3位后，新的子网掩码的最后八位是 11100000 (二进制)。
- 所以子网掩码为 255.255.255.(128+64+32) = 255.255.255.224。
1. 列出子网信息：
- 借用3位后，主机位还剩下 \(8 - 3 = 5\) 位。
- 每个子网的可用主机数为 \(2^5 - 2 = 32 - 2 = 30\) 台。这不满足最大子公司31台计算机的需求。
- 因此，原题设条件“最大的一个子公司有31台计算机”与“每个子网可用主机数30台”存在矛盾。
- 假设题目条件改为“最大的一个子公司有不超过30台计算机”或者调整为需要划分能容纳31台主机的子网。
  - 如果按借3位划分子网（每个子网30个可用主机）：
    - 子网增量为 \(2^{(8-3)} = 2^5 = 32\)。
    - 子网1:
      - 网络地址: 192.16.1.32 (.00100000)
      - 可用主机范围: 192.16.1.33 ~ 192.16.1.62
      - 广播地址: 192.16.1.63
    - 子网2:
      - 网络地址: 192.16.1.64 (.01000000)
      - 可用主机范围: 192.16.1.65 ~ 192.16.1.94
      - 广播地址: 192.16.1.95
    - 子网3:
      - 网络地址: 192.16.1.96 (.01100000)
      - 可用主机范围: 192.16.1.97 ~ 192.16.1.126
      - 广播地址: 192.16.1.127
    - 子网4:
      - 网络地址: 192.16.1.128 (.10000000)
      - 可用主机范围: 192.16.1.129 ~ 192.16.1.158
      - 广播地址: 192.16.1.159
    - 子网5:
      - 网络地址: 192.16.1.160 (.10100000)
      - 可用主机范围: 192.16.1.161 ~ 192.16.1.190
      - 广播地址: 192.16.1.191
    - (注意：192.16.1.0 和 192.16.1.224 通常不作为可用子网网络地址，除非开启了 ip subnet-zero 等特性，但按标准划分，从第一个有效子网开始。)
  - 如果必须满足31台主机的需求：
    - 则每个子网至少需要 \(31 + 2 = 33\) 个地址。
    - \(2^h \\ge 33\) (h为主机位数)，则h最小为6。即主机位需要6位。
    - 那么子网位只能借用 \(8 - 6 = 2\) 位。
    - 这样只能划分 \(2^2 = 4\) 个子网，不满足“至少5个子网”的要求。
    - 结论：题目给出的条件“至少5个子网”和“最大子公司31台计算机”对于C类地址192.16.1.0是无法同时满足的。
    - 此处按题目中给出的手写答案图例的思路（借3位）进行回答，并指出主机数量限制的问题。 图片中也写的是31个子网，2^{5=32个，这应该是笔误，应该是31台主机。借3位给网络号，主机号剩5位，2}5-2=30个可用主机。

(根据“网络安全第二套自制答案.docx”中问题五的2的图片内容推断，这是一道ACL配置题) 任务： 禁止网络172.16.1.0/24 主机ping通网络172.16.0.0/24，但允许其访问172.16.0.0/24网络上的其他所有IP服务。同时，允许其他任何IP地址ping通172.16.0.0/24网络。假设防火墙/路由器接口E1连接172.16.1.0/24网络，接口E0连接172.16.0.0/24网络。请写出在接口E1上配置的扩展访问控制列表（ACL）命令。 (注：答案图片中ACL编号为100，且为出方向，但题目要求和常见做法更倾向于入方向限制。这里按题目意图和常见配置方式给出入方向配置，并解释为何不完全按图片。) 答案：

! 步骤一：创建扩展访问控制列表
Router(config)# access-list 101 deny icmp 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255 echo
Router(config)# access-list 101 deny icmp 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255 echo-reply 
! (更精确地禁止ping，echo是请求，echo-reply是回应，都禁止更彻底，或者只禁止echo)
! 或者简单禁止所有icmp：
! Router(config)# access-list 101 deny icmp 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255

Router(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Router(config)# access-list 101 permit icmp any 172.16.0.0 0.0.0.255 echo
Router(config)# access-list 101 permit icmp any 172.16.0.0 0.0.0.255 echo-reply
! (允许其他IP ping通目标网络)
! 或者简单允许其他所有icmp到目标网络：
! Router(config)# access-list 101 permit icmp any 172.16.0.0 0.0.0.255

! 确保其他必要的流量可以通过，最后通常会有一个隐含的deny any any，或者显式允许其他
! Router(config)# access-list 101 permit ip any any (如果需要允许所有其他流量)

! 步骤二：将访问控制列表应用到接口E1的入方向
Router(config)# interface E1
Router(config-if)# ip access-group 101 in

简要解析：

access-list 101 deny icmp 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255 echo：禁止源网络172.16.1.0/24向目标网络172.16.0.0/24发送ICMP echo请求（ping请求）。
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255：允许源网络172.16.1.0/24访问目标网络172.16.0.0/24的其他所有IP服务。这条规则应放在deny icmp之后，确保先禁止ping再允许其他。
access-list 101 permit icmp any 172.16.0.0 0.0.0.255 echo：允许任何其他源IP地址向目标网络172.16.0.0/24发送ICMP echo请求。
ip access-group 101 in：将ACL 101应用到接口E1的入方向，即从172.16.1.0/24网络进入路由器接口E1的流量会受到此ACL的检查。
与答案图片的差异说明： 答案图片中ACL应用在出方向 (out)，并且规则逻辑略有不同。通常对于源自某个网络的限制，在进入该网络流量的路由器接口的in方向应用ACL更为常见和直观。禁止ping通常是禁止ICMP的echo请求。允许其他IP的ping则需要单独的permit语句。题目要求“允许其访问172.16.0.0/24网络上的其他所有IP服务”，所以需要一条permit ip语句。

网络安全自我总结

第1部分概述

信息安全的分类：

（国内：面向应用）实体安全、运行安全、数据安全、内容安全

（国外：面向属性）机密性、完整性/真实性、可用性

网络安全防护模型（ PPDR ）：

策略 (Policy)：规定系统所要达到的安全目标和为达到安全目标所采取的各种安全措施及其实施强度。
防护 (Protection)：制定安全管理规则、进行系统安全配置、安装安全防护设备。
检测 (Detection)：根据系统运行情况的变化，对系统安全状态进行实时动态监控。
响应 (Response)：发现入侵活动或入侵结果后，及时做出反应采取措施。（PPDRR模型还有——恢复 (Restore)：备份技术、容侵技术、生存技术）

ISO 七层模型：

应用层、表示层、会话层、传输层、网络层、数据链路层、物理层

大型网络应用的重要技术：

应用/数据/文件分离、缓存技术、服务器集群、数据库读写分离与分库分表、CDN、反向代理、分布式文件系统、NoSQL与搜索引擎、业务拆分、分布式服务

第2部分负载均衡

负载均衡

分类：服务器负载均衡（本地负载均衡、全局负载均衡）、链路负载均衡

部署方式：路由模式、桥接模式、服务直接返回模式

负载均衡策略（5个）

基于DNS 的负载均衡
- 原理：一个域名绑定多个 IP ，通过 DNS 服务中的随机域名解析来实现。
基于反向代理的负载均衡
- 原理：利用反向代理服务器的高速缓存。
基于特定服务器软件的负载均衡
- 原理：利用HTTP协议的重定向功能。
基于NAT 的负载均衡
- 原理：将一个外部 IP 地址映射为多个内部 IP 地址。
基于CDN 的负载均衡
- 原理：通过在现有互联网中增加一层新的网络架构，将网站的内容发布到最接近用户的网络“边缘”，使用户可以就近取得所需的内容。

负载均衡算法（最常用的6个）

轮询算法、Hash散列算法、加权算法、最少连接算法、最快连接算法、动态反馈算法

一、静态负载均衡算法

轮询：将请求依次顺序循环地连接每个服务器
比率：给每个服务器分配一个加权值作为比例，根椐这个比例把用户的请求分配到每个服务器。
优先权：给所有服务器分组，给每个组定义优先权，用户的请求分配给优先级最高的服务器组（在同一组内采用轮询或比率算法分配用户的请求）。当最高优先级组中所有服务器出现故障才将请求送给次优先级的服务器组。

二、动态负载均衡算法

最少连接模式：将新的连接传递给处理连接最少的服务器。
最快模式：将连接传递给响应最快的服务器。
观察模式：以连接数目和响应时间两项参数的最佳平衡为依据为新的请求选择服务器。
预测模式：利用收集到的服务器当前性能指标进行预测分析，选择一台在下一个时间片内性能将达到最佳的服务器相应用户的请求。

第3部分防火墙

防火墙在逻辑上分为：

分离器、限制器、分析器

防火墙的基本结构

屏蔽路由器（包过滤路由器）
双重宿主主机防火墙（堡垒主机）
屏蔽主机防火墙（包过滤路由器+堡垒主机）
屏蔽子网防火墙（2个包过滤路由器+1个堡垒主机）
其它防火墙：
- （1）一个堡垒主机和一个非军事区
- （2）两个堡垒主机和两个非军事区
- （3）两个堡垒主机和一个非军事区

防火墙的分类（5 种）

包过滤防火墙
状态/动态检测防火墙
应用程序代理防火墙
个人防火墙

防火墙的优点：（5 点）

作为网络安全的屏障；
控制对主机系统的访问；
监控和审计网络访问；
防止内部信息外泄；
具有网络地址转换（NAT）功能。

防火墙的缺点：（8 点）

不能防范来自内部网络的攻击；
不能防范不经由防火墙的攻击；
不能防范染毒文件的传播；
不能防范数据驱动式攻击；
不能防范利用标准网络协议中的缺陷进行的攻击；
不能防范利用服务器漏洞进行的攻击；
不能防范新的网络安全问题；
可能限制有用的网络服务。

第4部分入侵检测系统

Anderson定义的三种恶意用户：

伪装者、违法者、秘密活动者

“入侵”的定义：

系统内部发生的任何违反安全策略的事件。

通用入侵检测系统模型：（4个核心部分）

（请注意：图片无法直接从文本转换，此处为占位符，您需要手动替换为图片的Markdown链接）

数据收集器：收集数据；
检测器：分析和检测入侵，发出警报信息；
知识库：提供数据信息支持；
控制器：根据警报信息人工或自动做出响应动作。

入侵检测系统的三个功能部件：

信息收集、分析引擎、响应部件

入侵检测的信息源：（5个）

操作系统的审计记录
系统日志
应用程序日志
基于网络数据的信息源
其它信息源

入侵检测技术的分类

按照信息源分类：基于主机的入侵检测、基于网络的入侵检测
按照检测方法分类：滥用入侵检测、异常入侵检测
其它分类标准：实时处理系统、非实时处理系统

用于入侵检测的统计模型：（4个）

操作模型、均值和标准偏差模型、多元模型、马尔可夫过程模型

测量值的分类：（4个）

活动强度测量值、审计记录分布测量值、类别测量值、序数测量值

入侵检测技术有哪些？

入侵检测专家系统、基于状态转移的入侵检测技术、文件完整性检查技术、系统配置分析技术

理想的入侵检测系统的功能主要有：

用户和系统活动的监视与分析；
系统配置及其脆弱性分析和审计；
异常行为模式的统计分析；
重要系统和数据文件的完整性监测和评估；
操作系统的安全审计和管理；
入侵模式的识别与响应，包括切断网络连接、记录事件和报警等。

原始事件标准化分类：

格式标准化、过滤标准化、归并标准化

基于主机的入侵检测

优点：能较为准确地检测到发生在主机系统高层的复杂入侵行为
缺点：无法移植、影响主机性能、无法对网络环境的大量攻击行为做出响应

基于网络的入侵检测

优点：能实时监控网络流量，及时发现潜在入侵行为并做出响应；可移植性强；不影响宿主机性能
缺点：准确率低、无法检测应用进程级别的入侵行为

notes > CS

#网络安全

网络安全复习

https://cdro.tech/notes/CS/cyber-security-review/

作者

k9Q6CK42

发布于

2025年5月15日

更新于

2025年5月17日

许可协议

软件工程导论复习下一篇

网络安全复习

第一部分：网络安全概述

第一章 典型网络安全事件剖析

第二章 网络与信息安全体系结构介绍

第三章 大型网络应用剖析

第四章 负载均衡策略与算法剖析

第五章 互联网发展热点剖析

第二部分：防火墙与入侵检测

第一章 防火墙基础

第二章 防火墙技术

第三章 防火墙安全策略

第三部分：入侵检测

第一章 入侵检测技术概述

第二章 基于主机的入侵检测技术

第三章 基于网络的入侵检测技术

第四章 先进的入侵检测技术

DDoS攻击与防护 (独立PPT内容)

网络安全模拟试卷（一）

一、 选择题 (每题只有一个正确答案，共15题)

二、 填空题 (共4题)

三、 简答题 (共3题)

四、 论述与分析题 (共2题)

网络安全模拟试卷（二）

一、 单项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

二、 多项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

三、 简答题 (共5题)

四、 论述与分析题 (共6题)

五、 计算与配置题 (共2题)

网络安全自我总结

第1部分 概述

信息安全的分类：

网络安全防护模型（ PPDR ）：

ISO 七层模型 ：

大型网络应用的重要技术：

第2部分 负载均衡

负载均衡

负载均衡策略（5个）

负载均衡算法（最常用的6个）

一、静态负载均衡算法

二、动态负载均衡算法

第3部分 防火墙

防火墙在逻辑上分为：

防火墙的基本结构

防火墙的分类（5 种）

防火墙的优点：（5 点）

防火墙的缺点：（8 点）

第4部分 入侵检测系统

Anderson定义的三种恶意用户：

“入侵”的定义：

通用入侵检测系统模型：（4个核心部分）

入侵检测系统的三个功能部件 ：

入侵检测的信息源：（5个）

入侵检测技术的分类

用于入侵检测的统计模型：（4个）

测量值的分类：（4个）

入侵检测技术有哪些？

理想的入侵检测系统的功能主要有：

原始事件标准化分类：

基于主机的入侵检测

基于网络的入侵检测

第一章典型网络安全事件剖析

第二章网络与信息安全体系结构介绍

第三章大型网络应用剖析

第四章负载均衡策略与算法剖析

第五章互联网发展热点剖析

第一章防火墙基础

第二章防火墙技术

第三章防火墙安全策略

第一章入侵检测技术概述

第二章基于主机的入侵检测技术

第三章基于网络的入侵检测技术

第四章先进的入侵检测技术

一、选择题 (每题只有一个正确答案，共15题)

二、填空题 (共4题)

三、简答题 (共3题)

四、论述与分析题 (共2题)

一、单项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

二、多项选择题 (共6题，题目内容根据答案文件中的字母答案推断，具体题目缺失)

三、简答题 (共5题)

四、论述与分析题 (共6题)

五、计算与配置题 (共2题)

第1部分概述

ISO 七层模型：

第2部分负载均衡

第3部分防火墙

第4部分入侵检测系统

入侵检测系统的三个功能部件：