网络安全实践与IDS优化策略

1、研究网络安全领域的一些主要出版物。其中有多少使用了‘网络安全’、‘计算机安全’、‘网络安全’、‘信息保障’这些术语，或者将它们一起使用？它们是区分这些术语，还是互换使用？如果它们进行了区分，所给出的含义差异是什么？

需对网络安全领域主要出版物进行研究统计，查看使用相关术语情况、判断是区分使用还是互换使用，若区分使用则需进一步分析各术语含义差异，因缺乏具体出版物研究，暂无法给出确切结果。

2、对于来自未知来源的邮件，你会如何处理？如何分析它们？

邮件安全注意事项

对于来自未知来源的邮件，不应点击邮件中的任何链接。

原因

许多垃圾邮件包含网址链接，点击后可能被用于验证用户地址。

防范措施

可以使用一次性邮箱地址接收此类邮件。 这些地址可手动停用或在一段时间后自动过期。

分析技巧

邮件来源未知或可疑

不要点击邮件中的任何链接。

邮件来源可信

若能确定邮件来自信誉良好的来源。 且之前有过交流并确认邮件和链接都来自该来源。 可使用邮件中的移除链接。

额外检测方法

可将邮件与蜜罐数据库中的哈希条目进行比对，若匹配则标记为垃圾邮件。 也可查看邮件是否具有之前识别出的垃圾邮件的指纹或特殊特征，若有则标记为垃圾邮件。

3、搭建一个由几个无线设备组成的网络，并在该网络中模拟一种攻击。

可以模拟拒绝服务（DoS）攻击中的“拒绝睡眠（Denial of Sleep）”攻击。步骤如下：

搭建网络：
将几个无线设备（如物联网传感器节点）连接成一个无线传感器网络（WSN），确保设备间能正常通信。

模拟攻击：
编写程序，让攻击设备模仿合法流量，向网络中的不同主机发送虚假消息。例如，生成新消息或伪造现有消息，使网络中的碰撞率增加。

观察效果：
观察网络中设备的资源使用情况，由于虚假消息的干扰，设备可能会不断处理这些消息，导致资源快速耗尽，通信受到干扰。

采取对策：
使用访问控制/认证和加密机制，防止攻击者轻易访问网络和获取网络信息，从而抵御这种攻击。

4、你会建议在你的防火墙中添加或移除哪些规则？

为清理防火墙规则库，建议添加或移除以下规则：

添加允许管理员访问防火墙的规则； 移除冗余或重复规则； 移除过时或不再使用的规则； 移除非必要规则； 移除冲突规则； 消除规则中的错误或不准确之处。

5、为特定应用的入侵检测系统（IDS）设计构建数据集。

编写工具进行数据格式化和预处理，如： 计算数据统计信息 数据转换 数据优化 创建神经网络输入等 对数据进行分析： 去除重复记录 将数据集拆分为多个文件 选择有更多代表性的攻击 去除记录数量少的攻击 构建训练集时，要使攻击均匀分布，确定每种攻击单独识别 可在线查找可用数据集用于IDS设计

6、请阐述使用遗传算法（GA）针对各种标准优化人工神经网络（ANN）模型及其参数选择的具体内容和优势

使用GA对神经网络拓扑进行优化，关注GA参数选择及其对适应度函数变化和收敛速度的影响。具体包括：

交叉算子类型和交叉率 变异算子类型和变异率 亲代和生存选择规则 使用精英主义和进化策略（ES）系统

这些措施可大幅降低资源消耗。

在多数具有最优性能的完美案例中，拓扑调整产生了 全连接神经网络 而非 稀疏连接网络 ，研究倾向于构建基于更紧凑、全连接神经网络的入侵检测系统（IDS），这种拓扑可减少资源消耗并实现接近完美的性能。

此外，还利用多个指标进行拓扑优化，包括：

误分类记录百分比 训练时间 达到0.1%误差所需的训练周期数 训练停止时最后一个周期的均方误差（MSE） 分类失败的位数

并通过 两个阶段 对ANN模型进行适应度评估。

7、在计算机上安装SNORT，并学习如何将其用于入侵检测系统（IDS）设计，说明包含哪些检测规则。

安装 SNORT 步骤如下：

安装所需库：


bash sudo apt install -y gcc libpcre3-dev zlib1g-dev libluajit-5.1-dev libpcap-dev openssl libssl-dev libnghttp2-dev libdumbnet-dev bison flex libdnet

创建临时文件夹：


bash mkdir ~/snort_src && cd ~/snort_src

下载 DAQ 源包：


bash wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

解压并进入目录：


bash tar -xvzf daq-2.0.6.tar.gz && cd daq-2.0.6

运行配置脚本并安装 DAQ：


bash ./configure && make && sudo make install

下载 SNORT 源代码：


bash cd ~/snort_src wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz

解压并进入 SNORT 目录：


bash tar -xvzf snort-2.9.12.tar.gz && cd snort-2.9.12

配置安装并启用 Sourcefire：


bash ./configure --enable-sourcefire && make && sudo make install

配置文件和下载规则：


bash sudo ln -s /usr/local/bin/snort /usr/sbin/snort

规则下载方式有两种：

（1）使用社区规则：


bash wget https://www.snort.org/downloads/rules/community - ~/community.tar.gz sudo tar -xvf ~/community.tar.gz -C ~/ sudo cp ~/community-rules/* /etc/snort/rules

（2）使用注册用户：


bash wget https://www.snort.org/downloads/rules/snortrules-snapshot-29120.tar.gz?oinkcode=oinkcode - ~/registered.tar.gz sudo tar -xvf ~/registered.tar.gz -C /etc/snort

检测规则示例如下：

alert icmp any any -> any any (msg:"Testing ICMP alert"; sid:1000001;)
alert udp any any -> any any (msg:"Testing UDP alert"; sid:1000002;)
alert tcp any any -> any any (msg:"Testing TCP alert"; sid:1000003;)
reject tcp any any -> any any (content:"www.youtube.com"; msg:"You are BLOCKED"; sid:9991112; rev:1;)
alert tcp any any -> any any (msg:"suicide content found"; content:"suicide"; nocase; sid:1000004;)
alert tcp any any -> any any (msg:"FACEBOOK login found"; content:"facebook.com"; nocase; sid:991999;)

8、分析多态引擎机制。在安全可靠的环境中进行模拟，并研究其在一些案例中的性能。

多态引擎的工作机制

多态引擎是多态病毒用于逃避杀毒软件检测的关键机制。多态病毒通过使用多态引擎在每次感染新程序时改变自身的加密方式，使得每次复制产生的新病毒副本具有不同的签名。

工作步骤

获得控制权 ：宿主应用程序启动后，多态引擎获得处理器的控制权。 执行转换函数 ：多态引擎利用受感染宿主文件中的多态密钥，将受感染宿主中的变异恶意软件代码解密为原生操作码。 加载可执行文件 ：引擎将原生操作码写入内存以进行执行。 运行 ：多态引擎完成解密后，跳转到已解密的恶意软件代码的起始位置，然后执行该代码。 执行恶意代码 ：恶意软件执行一些恶意操作，如为僵尸网络设置后门、设置键盘记录器或窃取个人信息。 生成新密钥 ：为了生成变异代码的新变体，多态引擎必须生成一个新密钥，并将其存储在新的恶意软件版本中。 执行逆转换函数 ：逆转换函数将操作码（可执行文件）转换回变异代码。

模拟与性能评估

在安全环境中模拟多态引擎机制，可以按照上述步骤进行编程实现。在每次模拟运行时，记录多态引擎的运行时间、资源占用等性能指标。通过对多个案例的模拟和分析，可以评估多态引擎的性能特点，例如其变异速度、对系统资源的影响等。

9、回顾当前市场上其他有竞争力的反垃圾邮件工具。将你使用的工具与这些工具进行比较。

以下是调整为 Markdown 格式的文本内容：

---

市场上的反垃圾邮件工具有 SolarWinds MSP Mail Assure 、 SpamTitan 、 Mailwasher 、 CleanMail Home 。

SolarWinds MSP Mail Assure

是智能邮件保护和过滤引擎 利用超 180 万个域名信息 可查看隔离邮件和拉黑发件人 提供 30 天免费试用

SpamTitan

用于 Microsoft Office 365 账户 能发现多种攻击 使用机器学习和贝叶斯分析识别新威胁 提供免费试用

Mailwasher

在垃圾邮件到达收件箱前进行拦截 兼容多种桌面和移动设备的邮件提供商 使用贝叶斯过滤机制 提供可定制过滤器等功能 有单邮箱免费版

CleanMail Home

提供个人免费有限版本 为多种邮件服务提供垃圾邮件防护和杀毒功能 采用贝叶斯过滤机制 扫描附件

若要比较自己的工具，需从以下方面入手：
– 功能
– 适用账户类型
– 检测技术
– 免费试用情况

10、查看针对所在组织实施的最新攻击的日志。在这些日志中识别各个攻击阶段。

通常黑客攻击有五个阶段，可依据日志内容识别：

侦察阶段 ：黑客收集目标信息，包括通过公开来源（如互联网、报纸、新闻媒体、公共财务报告等）进行被动信息收集，获取目标的可访问 IP 地址、电子邮件地址、域名、高管和员工姓名等；也可能通过社交工程等主动与目标交互的方式获取信息，如伪装身份通过对话、邮件等获取信息。

扫描阶段 ：黑客扫描目标系统和网络，查找开放端口和正在运行的服务。

目标渗透阶段 ：黑客尝试获取目标系统的访问权限。

实施攻击阶段 ：黑客维持对目标系统的访问，收集信息并对目标造成损害。

清除痕迹和便利未来访问阶段 ：黑客清除攻击痕迹，以便为未来实施新的攻击做准备。

11、调查你可以在智能手机上记录哪些技术信号（例如内存消耗、CPU负载、电池电量和CPU频率），并说明如何进行记录。

可通过标准安卓 API 获取随机访问内存（RAM）消耗和中央处理器（CPU）核心时钟速度（即 CPU 频率），可开发一个监测系统技术信号的安卓应用来记录这些信号。

在不同应用场景下进行数据收集，如：

纯攻击场景 无攻击场景 无数据传输场景

对于电池电量和 CPU 负载，可通过安卓系统相关的 API 或者开发对应功能的应用来实现记录。

12、对记录的信号尝试一些数据预处理技术，请问有哪些常见的数据预处理技术及相应处理方法？

数据预处理技术

数据预处理技术包括以下几种方法：

降噪 ：可使用带通滤波器进行降噪。 稳定记录之间的时间间隔 ：通过线性插值生成缺失样本以稳定时间间隔。 数据归一化 ：按照公式将数据归一化到0到1的范围内。 数据标注 ：将攻击时间范围内的样本标记为“攻击”，其他样本标记为“无攻击”。 输入降维 ：可以应用主成分分析（PCA）进行输入降维。

13、为连续键盘使用认证系统设计收集数据。准备一篇约一页长的文本，然后将该文本多次输入到任何文字处理应用程序（如 Word、Excel 等）中。请几位朋友执行相同的操作。你必须先建立个人资料，然后将新会话中的数据与这些资料进行比较。

准备约一页长的文本。 使用文字处理应用程序多次输入该文本。 邀请朋友做同样的事。 建立用户特征资料（如通过创建特征直方图分布和其他统计技术）。 将新会话的数据与已建立的资料对比。

14、基于数据集总规模缩减设计并编写数据恢复程序，构建恢复后的数据集A。

当数据集未被广泛损坏时，缩减数据集规模是消除数据中损坏部分最常用的方法。该方法是将包含损坏数据的实例直接从数据集中剔除。此外，如果某个给定属性中的数据损坏严重，在不显著影响分类过程结果的前提下，可以直接去除整个属性。

可按以下步骤设计并编码：

遍历数据集，找出包含损坏数据的实例； 将这些实例从数据集中移除； 检查每个属性的数据损坏情况，若某个属性损坏严重且移除该属性不影响分类结果，则将该属性从数据集中移除； 完成上述操作后，得到恢复后的数据集A。

15、设计并编写基于均值替换算法替换损坏数据的数据恢复程序，构建恢复后的数据集B。

以下是均值替换算法的伪代码来实现数据恢复，可据此编写代码构建恢复后的数据集
B 。

设
D 为包含一些损坏数据的完整数据集，

D = {F₁, F₂, F₃, ..., Fₙ} ，其中
n 是属性的总数，
Fᵢ 是第
i 个包含多个损坏数据值的属性。

算法：SubstitutionByMean

对于每个属性 i 从 1 到 n
    找到损坏值 Cᵢₖ，其中 Cᵢ 是所选属性 Fᵢ 中的损坏数据集，并将其值从后续计算中移除
    计算属性 Fᵢ 的均值，并将其称为 μᵢ
    用 μᵢ 替换在属性 Fᵢ 中找到的所有损坏数据

16、对计算机安全专业人员群体进行研究。这个群体规模有多大？在过去几年里增长了多少？他们从事什么样的工作？需要什么样的教育背景？

计算机安全专业人员概述

计算机安全专业人员群体规模因地区和行业而异，近年来随着数字化发展规模呈增长趋势。

工作内容

保护系统免受攻击 防止数据泄露 进行安全评估等

教育要求

通常需要计算机科学、信息安全等相关专业的学位 还可能需要相关的认证

17、回顾计算机安全的历史。你认为它是何时开始的？有哪些主要的里程碑？你认为推动计算机安全发展的主要因素是什么？

计算机安全的起源与发展

计算机安全的起源可以追溯到20世纪60年代，当时计算机开始在军事和科研领域广泛应用，安全问题逐渐受到关注。

主要里程碑

1972年 ：第一个计算机病毒 Creeper 的出现，促使人们开始重视病毒防护。 1988年 ：莫里斯蠕虫事件，让人们意识到网络安全的重要性。 2001年 ：“9·11”事件后，网络恐怖主义成为新的安全挑战。

推动计算机安全发展的主要因素

技术进步 ：如互联网的普及、云计算和物联网的发展。 犯罪活动增加 ：如黑客攻击、数据泄露。 法律法规的要求 。

18、回顾你遭受过的任何社会工程攻击经历。你收到过网络钓鱼短信吗？这些短信的共同特征是什么？如果你有短信的发件电话号码，试着在谷歌上搜索一下是否有相关信息。你为什么认为这些短信属于社会工程攻击？

通常，网络钓鱼短信的共同特征可能包括：

可疑的发件人地址，可能模仿合法企业 使用通用问候语和签名 缺乏联系信息等

社会工程攻击是通过操纵人们来获取机密信息，网络钓鱼短信正是利用各种手段诱使收件人透露敏感信息，因此属于社会工程攻击。

19、回顾你遭受过的任何社会工程攻击经历。有一次社会工程攻击是攻击者以发现社会安全号码有可疑活动，将暂停该号码为由，诱导收件人回电。你会如何对这次攻击进行分类？这次攻击的哪些特征与你经历过的攻击相似？

这次攻击是利用电话进行的社会工程攻击，攻击者以发现社会安全号码有可疑活动，将暂停该号码为由，诱导收件人回电，这属于 vishing（语音钓鱼）攻击，是社会工程攻击的一种。

20、回顾你过去一个月收到的电子邮件。你是否发现有代表社会工程学威胁的邮件？你是如何挑选出它们的？它们有哪些特征？

需自行回顾邮件进行判断。社会工程学威胁常见特征如下：

攻击者伪装成合法方 间接索要密码 诱导提供银行账户信息 创建仿冒网页等

21、制定你自己在访问网站和进行网络通信时的行为准则。尝试按照这个准则执行一个月。一个月后分析结果，然后决定是停止还是继续遵循该准则。

可按以下步骤完成：

制定准则，如不随意点击不明链接、不泄露个人敏感信息等； 按准则执行一个月； 分析期间网络安全情况、信息保护情况等； 根据分析结果决定是否继续遵循。

22、制定规则，并在设计环境（例如MATLAB）中构建和模拟模糊规则系统，以控制汽车的行驶，目标是与前方车辆保持安全距离。

制定该模糊规则系统可按以下步骤：

确定输入输出变量 ：输入为与前车的距离、两车的相对速度；输出为汽车的加速度或速度调整。

定义模糊集 ：对输入输出变量定义模糊集，如距离分为‘近’‘中’‘远’，相对速度分为‘快’‘中’‘慢’，加速度分为‘加速’‘匀速’‘减速’。

制定模糊规则 ：根据驾驶经验制定规则，如‘如果距离近且相对速度快，那么减速’。

模糊化 ：将精确的输入值转换为模糊隶属度。

规则推理 ：根据模糊规则和输入的模糊隶属度，得出输出的模糊结果。

去模糊化 ：将输出的模糊结果转换为精确的控制量。

在MATLAB中，可使用模糊逻辑工具箱按照上述步骤进行构建和模拟。

23、描述应进行时间序列向量预测的有监督机器学习算法。

常见用于时间序列向量预测的有监督机器学习算法有：

决策树 随机森林 朴素贝叶斯 k – 近邻 多层感知器神经网络（MLP NN）

24、打开你电脑中的防火墙。它是基于主机的还是基于网络的？

若该防火墙是位于主机上作为计算机程序运行，则为 基于主机的 ；若它是独立设备，用于保护整个网络，则为 基于网络的 。

25、调查你防火墙设置的规则。规则集中是否包含允许所有或拒绝所有流量的规则？这些规则在规则集中的位置在哪里？尝试更改规则顺序，流量会发生什么变化？请在实验完成后记住并恢复原始规则顺序。

需自行调查防火墙规则设置情况来确定是否有允许或拒绝所有流量的规则及其位置。 更改规则顺序后流量情况可能因防火墙具体规则和策略而异。 通常需结合实际情况判断，且要按要求恢复原始规则顺序。

26、查看你的防火墙规则集。尝试对它们进行模糊化处理并构建模糊防火墙。你是否能够减少规则数量？

应进一步操作防火墙规则集进行模糊化处理后确定是否能减少规则数量

27、使用诸如MATLAB之类的仿真软件，将机器学习规则调整引入到你的防火墙规则中，并模拟新系统的运行。

可按以下步骤操作：

准备数据，收集网络流量数据并进行预处理； 选择合适机器学习算法； 用MATLAB实现算法； 把机器学习算法与防火墙规则集成； 模拟新系统运行； 评估系统性能。

28、描述一个“完美”的入侵检测系统（IDS）。它应该具备哪些特性和功能？应达到怎样的性能？

一个完美的 IDS 应具备以下特性与功能：

实时监测 准确检测 低误报率 高可扩展性 多模式检测 自我保护 智能分析 响应等特性与功能

性能上应达到：

高检测率 低误报率 快速响应 低资源消耗

29、了解迈克菲全球威胁情报（McAfee GTI）。该产品的设计和功能是什么？与其他产品相比，它有哪些优势？

产品设计和功能

迈克菲实验室会快速处理全球大量数据，为文件、IP地址和网址打分，以判断其是否为恶意软件。

迈克菲收集数十亿个IP和网络端口的数据并打分，若发现IP地址持续进行恶意活动则标记为恶意，产品利用这些信息保护系统免受已知攻击者的侵害。

此外，它作为威胁检测系统，支持迈克菲主机入侵防御系统（McAfee HIPS），帮助及时识别基于预测和信誉的攻击，也用于识别已知威胁。

优势

将威胁防护时间从数天压缩至毫秒； 提高恶意软件和零日攻击的检测率； 减少与恶意软件攻击和网络攻击相关的停机时间和修复成本； 保护端点免受僵尸网络、分布式拒绝服务（DDoS）攻击、命令与控制活动、高级持续威胁（APTs）和危险网络连接的侵害； 通过在网络边缘阻止威胁，减轻系统和网络负担。

30、编写朴素（暴力）算法、克努斯 – 普拉特 – 莫里斯算法、博耶 – 摩尔算法和拉宾 – 卡普算法的代码。执行这些算法，记录执行时间和资源（内存）消耗。在各种条件下的不同情况中比较它们的性能，包括：A. 短模式和长搜索空间。B. 长模式和相对短的搜索空间。C. 同时搜索多个模式。

可根据伪代码编写代码并通过相应的编程工具来执行、记录执行时间和资源消耗，以比较性能。 对于同时搜索多个模式，可采用 Aho – Corasick 算法。

31、基于用户配置文件设计并实现一个异常入侵检测系统（IDS）。首先积累关于某个用户（你自己）行为的必要知识，并将其用于 IDS 设计。这一步在这种类型的 IDS 设计中是否必要？

这一步通常是必要的。基于用户配置文件的异常 IDS 需要以用户的正常行为模式作为基线来监测异常活动，积累用户行为知识有助于创建准确的用户配置文件，从而提高系统检测异常的能力。

32、设计并实现一个无需事先积累用户行为知识的异常入侵检测系统（IDS）。你会采用哪些技术？

可采用的技术有统计技术（如 朴素贝叶斯分类 ）、机器学习方法（如 神经网络 ）等，还可以利用无监督学习算法，如聚类分析（如 DBSCAN算法 ），通过对数据的特征分析，将数据点划分为不同的簇，将离群点视为异常；也可使用 孤立森林算法 ，通过构建随机树来识别数据中的异常点。

33、构建评估入侵检测系统（IDS）性能所需的数据集。

编写工具进行数据格式化和预处理，包括： 计算数据统计信息 数据转换 数据优化 创建神经网络输入等操作 同时对数据进行分析，包括： 去除重复记录 拆分数据集 选择有代表性的攻击等 此外，相关评估数据集面临一些挑战： 缺乏可作为IDS设计和测试各种技术基准的大数据集 缺乏足够数量的高质量训练数据 可用数据集中常出现的类别不平衡问题等

34、在网上查找可用于入侵检测系统（IDS）设计的可用数据集。

可通过常见的公开数据集平台如 Kaggle 、 UCI Machine Learning Repository 等查找。 也可在相关学术数据库、网络安全研究网站搜索相关数据集。

35、使用创建的数据集对基于k – 均值算法的异常检测入侵检测系统（IDS）设计进行编码。

一般而言，基于k-均值算法的异常检测IDS设计编码步骤如下：

收集正常数据集，可从数据包字段获取数据，或进行抽象转换以降低维度，构建定义正常网络流量模型的数据集。

确定k-均值算法的参数：
– 簇的数量k：通常k = A + 1，A为IDS应识别的不同攻击类型的数量。
– 维度d：代表数据集中可用的属性数量，如从数据包获取的地址、端口号、协议类型等参数。

运行k-均值算法，构建受监控系统的标准网络流量模型。对于异常检测，通常构建两个簇，一个代表正常流量，另一个代表异常流量。

确定每个簇的成员与质心位置的接近程度，从而找到簇的边界，以区分数据点是属于某个簇还是异常值。

向构建好的模型输入代表流量特征的新数据，将每个数据记录与所有已知质心进行比较，根据最短距离确定该记录所属的簇。

检查记录是否在该质心的边界内，并相应地进行分类。如果记录离每个质心都太远，则将其视为异常值。