【正文】 物理方法如在工作場(chǎng)所，攻擊者站在受害者旁觀察別人輸入的口令，或者借口幫 別人維護(hù)系統(tǒng)而套取口令，或者在廢紙簍中收集有價(jià)值的信息等。 例如字典攻擊（又稱暴力攻擊）是指攻擊者通過窮舉方式來猜測(cè)口令， 如果系統(tǒng)管理員沒有設(shè)置最大登陸嘗試次數(shù)，就會(huì)被這種方式攻破而獲得口令。否則，只是簡(jiǎn)單丟棄而不回應(yīng) RST分組。該數(shù)據(jù)源同時(shí)包含正常和異常流量，用來測(cè)試不同入侵檢測(cè)產(chǎn)品的能力。這個(gè)標(biāo)準(zhǔn)是的不同安全產(chǎn)品之間的數(shù)據(jù)交換成為可能 ,并為評(píng)價(jià)入侵檢測(cè)系統(tǒng)與漏洞掃描評(píng)估等工具的覆蓋率提供了基準(zhǔn)參考點(diǎn)。 TCP SYN scan向目標(biāo)端口發(fā)送一個(gè) SYN分組 ,如果收到 SYN/ACK，目標(biāo)端口處于監(jiān)聽； 如果收到 RST/ACK，端口不在監(jiān)聽。 當(dāng)然緩沖區(qū)溢出即時(shí)沒有被攻擊者利用，也可能因?yàn)楦采w掉其他緩沖區(qū)的內(nèi)容而導(dǎo)致系統(tǒng)紊亂甚至奔潰，引起拒絕服務(wù)。強(qiáng)加密協(xié)議和端點(diǎn)驗(yàn)證機(jī)制能夠阻止這類攻擊，如用 SSH代替 tel，同時(shí)采用文件加密機(jī)制或者 Session checksums會(huì)話校驗(yàn)碼等技術(shù)。 社會(huì)工程攻擊難以檢測(cè)，因?yàn)槭抢昧巳巳菀灼垓_的原因，防止這種攻擊的最佳的辦法是持續(xù)的用戶安全培訓(xùn)，增強(qiáng)安全意識(shí)。該術(shù)語起源自于電信中兩個(gè)訊號(hào)試著彼此競(jìng)爭(zhēng)來影響誰先輸出。 UDP scan 向目標(biāo)主機(jī)發(fā)送一個(gè) UDP分組，如果目標(biāo)端口關(guān)閉，返回” ICMP port unreachable”否則，如果沒有收到上述信息， 可以判斷端口開放。基于 KDD cup 99的入侵檢測(cè)就是離線檢測(cè)，多用于學(xué)術(shù)研究，評(píng)價(jià)分類器效能。 攻擊的分類體系（方法） 攻擊的分類體系（方法） ? Hansman and Hunt “four dimensions for attack classification” (2022) ? 1st dimension the main behavior of the attack （ attack vector） ? 2nd dimemsion the attack targets ? 3rd dimension the vulnerabilities and exploits the attackers use ? 4th dimension the oute and effects for an attack ? Virus ? Worms ? Trojans ? Buffer overflows ? Denial of service(DoS) attacks ? Network attacks ? Physical attacks ? Password attacks ? Information gathering attacks ? Routing attacks 1st dimension the main behavior of the attack （ attack vector）攻擊手段 攻擊目標(biāo)角度分類具有多樣性： ? 可以是具體目標(biāo) ,如 IIS,也可以是一類目標(biāo)如操作系統(tǒng) (如 unix ,windows). ? 可以是硬件目標(biāo)或軟件目標(biāo)，其中硬件目標(biāo)備可以是計(jì)算機(jī)設(shè)備也可以是網(wǎng)絡(luò)設(shè)備。端口掃描器只單純用來掃描目標(biāo)系統(tǒng)開放的網(wǎng)絡(luò)服務(wù)端口及與端口相關(guān)的信息 .漏洞掃描器檢查目標(biāo)主機(jī)中可能包含的已知漏洞 . 主要的掃描工具有： IPSWeep and PortSweep 搜索哪些主機(jī)有哪些端口是打開的 NMap Ip地址和端口掃描 防火墻掃描及提取操作系統(tǒng)指紋的開源免費(fèi)軟件 MScan 通過蠻力掃描整個(gè)域的 Ip地址來發(fā)現(xiàn)在運(yùn)行的計(jì)算機(jī)并探測(cè)他們的漏洞 SAINT 收集各種網(wǎng)絡(luò)服務(wù)（如）的信息，也包括網(wǎng)絡(luò)服務(wù)的不適當(dāng)配置，已知的網(wǎng)絡(luò)和操作系統(tǒng)的漏洞。當(dāng)一個(gè)程序或者進(jìn)程試圖存儲(chǔ)超過緩沖區(qū)大小的數(shù)據(jù)時(shí)，就發(fā)生了緩沖區(qū)溢出。 一個(gè)安全的程序開發(fā)者應(yīng)該考慮到競(jìng)態(tài)問題，這樣可以避免競(jìng)態(tài)攻擊。這些中間主機(jī)成為 Zombie或者 Bot。在還沒有切換到普通用戶狀態(tài)時(shí)，會(huì)存在一個(gè)很短的時(shí)間間隙（ Gap），此時(shí)是處于 Root 狀態(tài)。 Satan是 SAINT的先前版本。 KDD cup 99數(shù)據(jù)集是入侵檢測(cè)領(lǐng)域的事實(shí) Benchmark，為基于計(jì)算智能的網(wǎng)絡(luò)入侵檢測(cè)研究奠定了基礎(chǔ) . IDS的分類 ? KDD cup 99數(shù)據(jù)集中每個(gè)連接用 41個(gè)特征來描述 ,下面是一個(gè)正常 TCP連接數(shù)據(jù)和一個(gè)異常連接數(shù)據(jù)： ? 2, tcp, smtp, SF, 1684, 363, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, , , , , , , , 104, 66, , , , , , , , , normal. ? 0, tcp, p