交大慧谷培训中心 内部资料,仅供参考
可能性。需要管理员人为进行判断,因此对管理员以前较高。能检测出low and slow的攻击。false positives and false negatives(漏报和误报) i. Protocol anomaly base协议异常:每个协议都有一个normal的描述,这个
normal是基于RFC的,协议理论上theoretical是基于RFC,但实际real-world不然。 ii. Traffic anomaly base流量异常:检测dos攻击,新流量。
3) Rule base规则:更复杂,expert system,有artificial intelligence人工智能。需
要更新,不能检测新的攻击。 iii. state matching状态匹配:检查攻击发生时状态state改变,State是一个
volatile, semipermanent(暂时的,不稳定的) iv. model base基于模型:一个duck,外形、声音、走路,即攻击发生时多种行
为activities。
28. Intrusion Prevention Systems(IPS):在线、bottleneck瓶颈、single point of failure单
点故障
29. Honeypot蜜罐:虚拟的有隐患的系统,enticement and entrapment诱惑和诱捕圈套之
间的界线。
30. sniffer:网卡模式promiscuous,white hats and black hats
2.9 A few threats to access control
Types of access control attacks include:denial of service, spoofing, dictionary,brute force, and wardialing
31. Dictionary attack字典攻击:已有的字典扫描
32. brute force attack暴力攻击:试用所有的组合,先用字典发现jeaf,然后暴力jeaf123 33. spoofing at logon登录欺骗:phishing
- 16 -
交大慧谷培训中心 内部资料,仅供参考
三. Chapter 5:Security Models and Architecture
安全模型:蓝图printblue
安全架构:如何执行蓝图fulfill
安全是在产品(OS、product)设计时就考虑的,这样能提供更好的CIA特性。
confidentialty:bell;integrity:biba(只能关心未授权的访问),clark(更全面,未授权的访问、授权但不适当的访问、内外同步)
confidentialty:TCSEC,只关注机密性,对通过授权用户的非法使用不关注。Red book(TNI)关注网络和CIA
3.1 Computer Architecture
3.1.1 CPU architecture
1. 2. 3.
4. 5.
CPU和OS相互配合的,OS有些能在Pentium上运行,但是不能在SPARC上运行。ALU就是CPU的brain。
CPU的时间被sliced up into individual units。
通用registers是用来存变量和临时结果;特别/指定register用来存program counter(存下一个指令的内存地址,相当于老板和秘书,秘书安排其工作), stack pointer(last in first off), and program status word (PSW).
Program Status Word(PSW)告诉cpu的工作mode,user mode(problem state) OR privileged mode(kernel or supervisor mode)
CPU处理东西时,根据address bus查询ram的地址,然后取数据放到data bus上,
- 17 -
交大慧谷培训中心 内部资料,仅供参考
执行结束后,在将经过更加address返回到ram。Data bus是cpu能处理64bit,P4能处理64bit数据,32bit寻址address bus。
6. 多个CPU是,有symmetric对称和asymmetric非对称两种工作方式:对称是两个都
处理一样的;非对称是一个固定处理一些time-sensitive,另外一个处理其他的。
3.1.2 Operating System Architecture
7. Process management(进程管理)
1) 在执行的程序才称为process,一个程序可有多个进程。进程:命令的集合和分配
资源。A process is the set of instructions actually running.
2) 协作多任务:可能不会进行资源释放,windows3.1:preemptive多任务:win9x
以后,由OS进行资源的释放;
3) UNIX和linux支持children process:cat file1 file2|grep(search) stuff; 4) CPU status:ready-running-blocking-done。
5) Process table,进程表,存储各种进程信息。方便CPU在进程、进程2之间切换;
interrupt,中断,process要申请CPU的时候就等待interrupt。
8. Thread management:一个word处理,需要打开文件、发送mail、print文档,这些
都是不同的功能,一个功能就成为一个thread。thread是按需动态创建和消除的。一个process的所有thread共享资源。
9. Processing management:为进程分配资源、优先级,但执行完毕后,如果资源没有被
释放,则成为死锁deadlock。处理deadlock,一种是获取所有资源才能执行;另外一种是holding on to(OS kill所有process)。
10. Process Activity进程活动。一个程序的运行不会影响其他的——process isolation:
1) encapsulation of objects,其他process不知道怎么与之communication,需要接
口。
2) Time multiplexing of share resource,根据时间分配资源。
- 18 -
交大慧谷培训中心 内部资料,仅供参考
3) Naming distinction,唯一的名字PID(process identification values,) 4) Virtual mapping,虚拟内存地址,每个process都有独立一段。
11. 内存管理:每个process有自己的一个分段,内存分级(cache、RAM、HD…),有5
个基本的职责:通过base register和limit register限制内存空间。
a) Relocation:RAM和HD交换数据;application的指令和data移到另外的地方提
供pointer。
b) Protectiong:限制交换,access control
c) Sharing:保证机密性和完整性进行共享时;不同等级用户访问。 d) Logical organization:DLL(dynamic link library) e) Physical organizaion:物理memory space管理。
3.1.3 内存分类
volatile 易失 Volate 违犯 Infractions 违犯
处理器,内存大小和速度,bus是决定性能的关键。
12. Random Access Memory(RAM),volatile易失、掉电。Dynamic RAM,需要刷新
recharge/refresh,EDO、DDR、SD;Static RAM不用刷新,快,贵(作为cache) 13. Read-Only Memory(ROM):nonvolatile非易失,不能改变;PROM,可编程的ROM,
但不能在修改;EPROM,可擦除、修改、升级ROM,擦除需要UV进行,需要拆下来,全部擦除;EEPROM类似于EPROM,但可以onboard,用电查出;Flash memory,数码相机、BIOS。。。 14. cache memory
15. memory mapping,每个进程有独立的memory镜像。CPU与内存是物理地址,而其
他软件是逻辑地址。为了安全和性能,程序不能直接访问memory。绝对地址是真实的physical地址,CPU使用;逻辑地址是程序使用0-3400;3400就是相对地址0。 16. memory leaks:不释放内存,一直占用,可能引起DOS攻击。解决方法:好好编程、
garbage collector,释放未使用的内存。
17. virtual memory虚拟内存,secondary storage
3.1.4 CPU mode and protection-rings提供CIA
Protection rings support the availability, integrity, and confidentiality 主体不能向上访问,可以从上向下访问,以及访问同一个ring Ring 0&1:supervisor mode or privileged mode. Ring 3:user mode
Many operating systems today do not use the second protection ring very often, if at all.
- 19 -
交大慧谷培训中心 内部资料,仅供参考
3.2 Operation System Architecture
18. OS工作的两个模式:privileged or user 19. Monolithic,一个大的mess,DOS;Layer,分层,THE、VAX/VMX、UNIX;Client/Server,
windows
20. 一个域(domain/resource)定义了一个主体能访问的客体的范围。thread与他的process
共享一个domain。与cpu ring相关就有个execution domain。layering在不同trust之间提供一个buffer。
21. protect domain=execution domain,与保护环有关。Layering and data hiding是与低
等级访问高等级有关。
22. virtual machine:虚拟机就是一个模拟环境,16bit的DOS老游戏在现在的32位的
windows下玩。JVM是java虚拟机,一些病毒就通过他进行传送。 23. WindowsNT/2000比Windows9x更安全,因为NT的application不能直接调用device 24. Interrupt I/O:
1) Programmable I/O:大量cpu time浪费,cpu一直等待到print结束。
2) interrupt-driven I/O,浪费一些CPU时间,发送请求,处理其他的,print ready以
后在继续print。send character—go do something else—interrupt—send another character
3) I/O using DMA,DMA controller,I/O设备和print之间直接通讯,不用cpu参与。 4) premapped I/O,I/O设备直接访问physical address,OS足够信任,但是危险。 5) fully mapped I/O,logical address,OS不信任设备和process直接通信。
3.3 System architecture
The TCB and security perimeter are not physical entities 25. 设计一个系统的时候,需要在功能和安全保险之间进行权衡;安全架构为产品的开发提
供的指导。
26. 安全性可以在三个方面:用户端、服务器端和中间的传输过程
27. TCB,trusted computing base可信计算基础,硬件、软件、firmware等等,只要在
TCB中的都是可信的。TCB来自于橘皮书the orange book,它并非声明了安全等级,而是可信级别。不仅仅是用在OS上,也用在硬件、软件等。dos、win3x、novell3都没有TCB,win95的32位模式有了TCB,NT是第一个整合了TCB的系统,称为可信计算Trustworthy Computing。
28. The Orange Book is one of these evaluation criteria.TCSEC
29. TCB,unix可以安装TCB,那么就可以提供trusted path(communication channel
between the user, or program,and the kernel.)和trusted shell(UNIX下面setuid、setguid)
30. TCB提供了一个extra protect层。一个好的TCB需要在开发的每个阶段进行:需求分
析、开发、测试、文档等。需求应该在planning阶段addressed。 31. TCB的四个基本功能:
1) Process activeation进程激活,进程被激活,被cpu处理。每个process的响应信
息需要与之对应。register
2) Execution domain switching执行域交换,发生在一个低级进程需要与高级进程通
- 20 -