ISE

B站”杨冬信安”部分知识点整理

网络信息安全的基本属性

机密性：不泄露给非授权用户

完整性：未授权不能改

可用性：及时获取网络信息和服务

可控性：可管理、可支配

抗抵赖性：防止用户否认其活动行为

三要素：CIA ：机密性、可用性、完整性

网络信息安全的基本功能：

防御、检测、应急、恢复

国家密码分类：

绝密、机密、秘密

密码分类：

普通密码、核心密码、商用密码

等保测评的流程：

定级、备案。建设整改、等级测评。运营维护（监督管理）

三级等保每年都测评

网络攻击的一般过程：

1. 隐藏攻击源
2. 收集攻击目标的信息
3. 挖掘目标的漏洞信息
4. 获取目标的访问权限
5. 隐藏攻击行为
6. 实施攻击
7. 开辟后门
8. 清除攻击痕迹

分为进入前和进入后

常见的端口扫描技术：

DDOS常用的攻击手段

HTTP FLood攻击、SYN Flood攻击、DNS放大攻击

针对DDoS攻击的网络流量清洗基本原理：

1. 流量监测： 网络流量监测系统持续监视进入网络的流量，检测异常的流量模式，例如突然的大流量。
2. 流量分析： 监测系统分析流量的特征，例如数据包的大小、来源、目标等，以确定是否存在异常。基于先前的攻击数据和模式，系统可以识别新的DDoS攻击。
3. 攻击识别： 利用各种算法和规则，系统识别可能是DDoS攻击的流量。这些规则可以包括识别频繁请求、源IP地址的异常行为、特定协议使用异常等。
4. 分离恶意流量： 一旦识别出恶意流量，系统将其与合法流量分离。这通常涉及使用防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等设备进行分离和封锁。
5. 清洗和过滤： 恶意流量被清洗，即过滤掉DDoS攻击流量，确保只有合法的流量进入网络。这可以通过硬件设备、软件算法或云服务来完成。
6. 传输合法流量： 清洗后的合法流量被允许继续传输到目标服务器，确保合法用户的请求得以处理。
7. 实时调整和学习： 清洗系统通常具备实时调整策略的能力，可以根据攻击的演变调整防御策略。同时，系统也可能具备机器学习算法，能够学习新的攻击模式，提高自身的识别能力。

国产密码算法：

密码分析攻击的五种类型：

常见密码算法：

对称：DES，AES，IDEA

DES算法中S盒：

非对称：RSA，ECC

BLP机密性模型：

简单安全特性：下读（下毒）

*特性：上写

信息保障模型：

软件安全能力成熟度模型：

机房功能区域组成：

自主访问控制：

Linux访问控制：

防火墙功能：

防火墙防御体系结构类型：

基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。

VPN类型：

VPN实现技术：IPsec

VPN实现技术：SSL

入侵检测模型：

基于误用的入侵检测技术：

利用系统和软件的漏洞技术进行攻击

依赖：攻击模式库

基于异常的入侵检测技术：

依赖：异常模型

入侵检测系统

常见体系结构：基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。

入侵检测相关指标：可靠性，可用性，可扩展性，时效性，准确性，安全性。

入侵检测系统部署方法：

1. 根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段
2. 在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息
3. 针对监测对象或保护网段的安全需求，制定响应的检测策略
4. 依据检测策略，选用合适的IDS结构类型
5. 在IDS上，配置入侵检测规则
6. 测试验证IDS的安全策略时候正常执行
7. 运行和维护IDS

网络入侵检测系统Snort

网络物理隔离系统与类型：

网络安全审计系统：

网络安全漏洞威胁：

刷题知识点整理

法律法规

水印：

漏洞利用类蠕虫

远程控制木马：

CA和RA功能：

RA：注册机构，认证注册信息的合法性、批准证书的申请和批准撤销证书的申请

CA：证书机构，签发证书，证书废止和更新

后缀：

恶意代码类型前缀：

操作系统的安全机制：

安全审计机制、可信路径机制、标识与鉴别机制、客体重用机制、访问控制机制

Android平台数据存储方式：

• 文件存储数据

• 网络存储数据

• 使用SharedPreferences存储

  当你使用手机上的某个应用程序时，你可能会选择一些设置，比如主题颜色、字体大小、登录状态等。这些选择是应用程序使用 SharedPreferences 存储起来的。它是一个小抽屉，可以帮助应用程序保存你的个性化设置，以便你下次使用应用时可以保持你之前的选择。

• SQLite数据库存储

• 使用ContentProvider存储

  在Android应用程序中，ContentProvider 提供了一种数据共享的机制。它允许一个应用程序（或组件）共享它的数据给其他应用程序使用，而不需要暴露数据的具体存储方式。其他应用程序可以通过 ContentProvider 查询、插入、更新和删除数据，就像向图书管理员借书一样。这种机制确保了数据的安全性和隐私性，同时也方便了不同应用程序之间的数据交换。

网卡接收数据帧状态：

衡量密码体制安全性的基本准则：

恶意代码：

病毒：能够自我复制和传播，通常无法远程控制

蠕虫：不断自我复制导致电脑变慢，可以远程控制

特洛伊木马：具备很好的隐藏能力，悄悄的窃取用户信息

Android:

Android系统是一个开源的移动终端操作系统，分为：

Linux内核层、系统运行库层、应用程序框架层、应用程序层

系统安全机制：

应用程序权限信息声明在：AndroidMainifest.xml

Android 开发主要组件：

Activities（活动）、Broadcast Receivers（广播接收器）、Services（服务）、Content Providers（内容提供者）

域名：

域名”www.humen.com"在DNS查询包中的表示形式为

037777770568756d656e03636f6d00

解释：

• 03表示接下来的标签长度为3个字节。
• 777777表示”www”，每个字母对应一个ASCII码。
• 05表示接下来的标签长度为5个字节。
• 68756d656e表示”humen”，每个字母对应一个ASCII码。
• 03表示接下来的标签长度为3个字节。
• 636f6d表示”com”，每个字母对应一个ASCII码。
• 00表示域名的结束。

防火墙：

防火墙是层层过滤的，实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

如果匹配成功规则，即明确表示是拒绝(DROP)还是接收(ACCEPT)，数据包就不再向下匹配新的规则。

如果规则中没有明确表明是阻止还是通过的，也就是没有匹配规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

防火墙的默认规则是所有规则都匹配完才会匹配的。

对于表的顺序是：

raw–>mangle–>nat–>filter

数据包进来还是先PREROUTING链，然后按照上面的那个表的顺序匹配规则。就如下图所示，会先进行raw表里的PREROUTING链匹配，然后mangle、nat表。

基本语法：

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]
iptables -t filter -A INPUT -s 192.168.0.1 -j DROP
命令      指定表      指定链    -s            -j DROP已读不回

选项	说明
-A	在指定链末尾追加一条
-P	指定默认规则
-D	删除
-L	查看
-n	查看时显示更详细信息，常跟-L一起使用
-t	指定表，不指定默认是filter
-i	insert拒绝类规则放在所有规则最上面

指定匹配	说明
-p	指定要匹配的协议类型，如TCP,UDP
-s	指定源IP地址或地址范围
-d	指定目标IP或地址范围
-sport	指定源端口号
-dport	指定目标端口号
-j	满足条件之后执行的动作

动作	说明
ACCEPT	允许数据包通过
DROP	丢弃数据包，不给出回应
REJECT	拒绝数据包通过，会返回一个响应信息

白名单安全机制和黑名单安全机制：默认允许的就是黑名单安全机制

四表五链+规则：

表：相同功能的集合

传统防火墙是否能够有效地保护虚拟主机安全：

​ 传统防火墙通常被设计用来保护企业网络边界，监控和过滤进入和离开网络的数据流量。然而，在虚拟化环境中，虚拟主机（VMs）的网络通信通常在内部网络中进行，而不是通过企业网络的边界。因此，传统防火墙可能无法提供足够的保护虚拟主机安全所需的细粒度控制和安全性。

设备安全：

网络设备之间的远程运维采用的安全通信方式：SSH,VPN

Ubuntu系统中的日志文件都位于/var/log目录，其中的登录认证日志都在auth.log文件中

Ubuntu系统的配置基本在/etc目录下，

“>”：是改写原有文件的内容

“>>”：在原有文件内容的后面进行追加

Linux系统服务管理程序是systemctl，其语法就是命令+动作+服务命令：systemctl restart ssh

命令历史记录都在每个用户home目录下的.bash_history文件中，home目录可以用~表示，组合就是：

rm ~/.bash_history

Windows系统

查看系统端口开放情况：netstat

Linux系统

查看系统端口开放情况：netstat

端口号

1. 80/TCP： HTTP通信（用于常规的网页浏览）

2. 443/TCP： HTTPS通信（加密的网页浏览）

3. 21/TCP： FTP控制端口（用于文件传输协议）

4. 22/TCP： SSH（用于安全的远程命令行访问）

   Secure Shell 安全外壳 基于公钥

5. 23/TCP： Telnet（用于远程命令行访问，不安全，不推荐使用）

数据库系统安全

国外主流的数据库系统有 MS SQL、MySQL、Oracle、DB2 等

数据库脱敏是指利用数据脱敏技术将数据库中的数据进行变换处理，在保待数据按需使用 目标的同时，又能避免敏感数据外泄

Snort规则

Snort 是一个开源入侵防御系统（IPS）。Snort IPS 使用一系列规则来帮助定义恶意网络活动，并利用这些规则来查找与之匹配的数据包，并为用户生成警报。

alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)

snort 每条规则都可以分成逻辑上的两个部分：规则头（header）和规则选项（General Option）

从开头到括号前属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起，它们之间是逻辑与的关系

规则头：

• 规则行为

  Alert

  Log

  Pass

• 协议

  tcp udp icmp

• IP地址

• 端口

• 方向操作符

  方向操作符->表示数据包的流向。它左边是数据包的源地址和源端口，右边是目的地址和端口。

规则选项:

Kerberos认证

云计算

云计算安全防护：

APT防护

APT（Advanced Persistent Threat）检测系统主要依赖于多种技术方法，这些方法通常结合使用，以提高检测的准确性和及时性。以下是一些常见的APT检测技术方法：

1. 行为分析（Behavioral Analysis）： APT检测系统会分析系统和网络上的各种行为，例如文件操作、注册表修改、网络活动等。异常的行为可能表明系统受到了攻击。

2. 异常检测（Anomaly Detection）： 基于机器学习和统计分析的方法，监视系统和网络的正常活动，当出现异常模式时，系统会发出警报。这种方法侧重于检测与正常行为相悖的活动。

3. 签名检测（Signature-based Detection）： 使用已知的攻击签名（malware的特定标志或特征）来匹配网络流量、文件或系统行为。这种方法可以快速检测到已知的攻击，但无法检测未知的APT攻击。

4. 沙盒分析（Sandbox Analysis）： 将潜在恶意文件或链接放入隔离环境（沙盒）中运行，观察其行为。沙盒可以模拟真实环境，帮助分析人员确定文件的恶意性。

5. 威胁情报（Threat Intelligence）： 使用来自各种源头（安全厂商、开源社区、政府组织等）的威胁情报数据，进行分析和匹配，以便及时识别新的威胁。

6. 流量分析（Traffic Analysis）： 监视网络流量，检测异常的数据包、连接或传输模式。流量分析可以揭示攻击者与受感染系统之间的通信。

7. 终端安全性（Endpoint Security）： 在终端设备上部署安全软件，监控并阻止恶意活动。终端安全性可以防止恶意软件的传播和执行。

8. 用户行为分析（User Behavior Analytics）： 监控用户的行为模式，识别与正常行为不符的活动。例如，员工在非常规时间登录或访问敏感文件。

9. 虚拟化和容器安全性（Virtualization and Container Security）： 对虚拟化环境和容器进行监控，防止APT攻击通过虚拟环境传播。

10. 日志分析（Log Analysis）： 分析各种日志，包括操作系统日志、应用程序日志、防火墙日志等，以发现异常活动和潜在的威胁。

网络路由认证应用

整理