入侵检测技术 课后答案
入侵检测复习题及答案
入侵检测复习题及答案一、填空【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击C.病毒攻击与主机攻击D.侵入攻击与植入攻击【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击C.完整性的攻击D.真实性的攻击【试题18】对网络的威胁包括:Ⅰ. 假冒Ⅱ. 特洛伊木马Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB. Ⅲ和ⅣC.Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击C.保密性攻击D.真实性攻击二、名词解释1、IP:网际协议ICMP:因特网控制报文协议ARP:地址解析协议RARP:反向地址解析协议TCP:传输控制协议UDP:用户数据报协议三、简答1、什么是P2DR模型?答:P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
intrusion detection method -回复
intrusion detection method -回复主题:入侵检测方法引言:随着网络的迅速发展和普及,网络安全问题变得越发突出。
入侵检测方法是保护计算机系统和网络免受未经授权访问的重要手段。
本文将详细介绍入侵检测的概念、分类和常用的入侵检测方法,并逐步回答相关问题。
第一部分:入侵检测概述1. 什么是入侵检测?入侵检测是一种用于发现和响应网络和计算机系统中潜在入侵行为的技术。
2. 入侵检测的重要性是什么?入侵检测是预防和提前发现黑客攻击、病毒传播和系统漏洞等安全问题的关键工具,有助于保护数据的机密性、完整性和可用性。
3. 入侵检测与防火墙的区别是什么?入侵检测侧重于检测和报告潜在入侵行为,而防火墙则通过过滤和阻断网络流量来预防入侵。
第二部分:入侵检测分类1. 入侵检测分为哪两类?入侵检测分为基于签名和基于行为的检测方法。
2. 什么是基于签名的入侵检测?基于签名的入侵检测使用已知攻击行为的特征(签名)来检测和识别入侵,常用于检测已知攻击和病毒。
3. 什么是基于行为的入侵检测?基于行为的入侵检测通过分析系统和网络的实际行为,检测和识别潜在的入侵,常用于检测未知攻击和零日漏洞。
第三部分:常用的入侵检测方法1. 基于签名的入侵检测方法有哪些?常见的基于签名的入侵检测方法包括:Snort、Suricata和OpenVAS 等。
2. 基于行为的入侵检测方法有哪些?常见的基于行为的入侵检测方法包括:异常检测和统计分析、机器学习和人工神经网络等。
3. 什么是异常检测和统计分析?异常检测和统计分析是通过分析系统和网络的正常行为,检测和识别与之不符的异常行为的方法,常用于检测未知攻击和新型威胁。
4. 什么是机器学习?机器学习是一种通过构建算法模型,使计算机能够从数据中学习和识别模式、进行预测和决策的方法,在入侵检测中可以用于建立模型并判断网络行为是否属于入侵。
5. 什么是人工神经网络?人工神经网络是一种模拟人脑神经元结构和功能的计算模型,可以用于学习和分类网络行为,常用于检测恶意代码和网络攻击。
入侵检测习题二
入侵检测习题二一、选择题(共20分,每题2分)1、按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS2、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元3、按照技术分类可将入侵检测分为__________。
A.基于标识和基于异常情况B.基于主机和基于域控制器C.服务器和基于域控制器D.基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击C.保密性的攻击D.真实性的攻击5、入侵检测的基础是(1),入侵检测的核心是(2)。
(1)(2)A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测B.防火墙C.漏洞扫描D.入侵防护9、下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击C.脚本语言错误D.信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击B.拒绝服务攻击C.被动攻击D.非服务攻击习题解析【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
国防《计算机信息安全技术》课后习题答案第9章
第9章入侵检测技术习题参考答案1.什么是入侵检测?什么是入侵检测系统?入侵检测系统的功能有哪些?答:入侵检测(Intrusion Detection,ID)就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略,为系统建立的安全辅助系统;是完成入侵检测功能的软件、硬件的集合。
总体来说其主要功能有:(1)用户和系统行为的检测和分析。
(2)重要的系统和数据文件的完整性评估。
(3)系统配置和漏洞的审计检查。
(4)异常行为模式的统计分析。
(5)已知的攻击行为模式的识别。
(6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。
2.根据CIDF模型,入侵检测系统一般由哪几部分组成?各部分的作用是什么?答:CIDF模型的4个组件和各自的作用如下:(1) 事件产生器(Event Generators),即信息获取子系统,用于收集来自主机和网络的事件信息,为检测信息提供原始数据,并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。
(2) 事件分析器(Event Analyzers),即分析子系统,是入侵检测系统的核心部分。
事件分析器分析从其他组件收到GIDO(统一入侵检测对象),并将产生的新GIDO(统一入侵检测对象)再传送给其他组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。
(3) 响应单元(Response Units),即响应控制子系统。
响应单元处理收到GIDO(统一入侵检测对象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。
(4) 事件数据库(Event Databases),即数据库子系统,用来存储系统运行的中间数据并进行规则匹配的安全知识库。
入侵检测技术-课后答案
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
入侵、渗透与加固学习通课后章节答案期末考试题库2023年
入侵、渗透与加固学习通课后章节答案期末考试题库2023年1.指纹识别技术是什么?参考答案:组件是网络空间最小单元,WEB应用程序、数据库、中间件等都属于组件。
指纹是组件上能标识对象类型的一段特征信息,用来在渗透测试信息收集环节中快速识别目标服务。
大部分应用组件有包含足以说明当前服务名称和版本的特征,漏洞处理者可以识别这些特征获取当前服务信息,从而进行一系列渗透测试工作。
2.简述IPsec vpn建立过程参考答案:安全协商,第一阶段协商身份认证算法,验证算法,加密算法,并协商隧道模式(主动模式或者野蛮模式)第二阶段协商通信保护协议(ESP或者AH),建立隧道连接。
网络联通,通过静态路由方式学习路由,不同数据网段可通信。
3.端口扫描扫描网络和扫描主机的区别参考答案:网络扫描主要是针对网段,连续或部分网络地址,主要扫描端口及IP、MAC地址信息,扫描主机是明确对方IP地址来精准扫描,主要是扫描漏洞、操作系统版本等。
4.防火墙管理员角色有那些分类参考答案:超级管理员(admin账户),具备所有权限。
系统操作员,具备除对管理员账户控制之外的所有权限,可以进行策略编辑,配置变更等权限。
系统日志管理权限,可以查看防火墙系统日志。
系统查看权限,可查看防火墙系统配置,不能更改配置。
5.会话是防火墙基本数据结构,用于防火墙能够快速地转发报文。
会话六元组是参考答案:1.源IP地址2.目的IP地址3.源端口4.目的端口5.协议6.安全区域6.简单谈谈入侵检测设备和入侵防御设备的区别参考答案:入侵检测重点在检测,不主动防御,一般适合安全级别要求不高的区域,入侵防御会主动阻断高危攻击,一般适合安全级别要求高的区域。
7.什么是反向代理技术参考答案:正向代理可以通过浏览器代理或者软件代理访问技术来获得WEB或者数据表单结果,而反向代理则将代理结果反馈给服务器,而终端用户通过访问代理服务器来获得访问结果。
8.如何防范MAC地址泛洪攻击参考答案:黑客利用发大量包使交换机找不到ARP表中信息而广播,造成性能损失和危害,可以通过限制交换机接口广播包数量来解决。
计算机网络安全技术习题答案
计算机网络安全技术习题答案1. 第一题答案:计算机网络安全技术主要包括加密技术、防火墙技术、入侵检测技术、访问控制技术等。
2. 第二题答案:加密技术是一种通过使用密码算法将信息转换成不可读的形式,以防止未经授权的访问者获取、修改或破坏信息的技术。
常见的加密算法有DES、AES和RSA等。
3. 第三题答案:防火墙技术是一种用于保护计算机网络免受未经授权的访问和恶意攻击的技术。
它通过监控和控制网络流量,筛选和阻止可能具有威胁的数据包和连接,确保网络安全。
4. 第四题答案:入侵检测技术是一种用于监测和识别网络中的恶意活动和攻击的技术。
它通过分析网络流量和系统日志,基于事先设定的规则或特征,发现并报告潜在的入侵事件。
5. 第五题答案:访问控制技术是一种用于限制和控制用户对计算机网络资源的访问权限的技术。
它通过认证、授权和审计等机制,确保只有经过授权的用户可以访问和使用网络资源。
6. 第六题答案:DMZ(Demilitarized Zone)是指位于两个网络之间的一个隔离区域,常用于保护内部网络资源免受外部网络和互联网的攻击。
在DMZ中部署防火墙和其他安全设备可以增加网络的安全性。
7. 第七题答案:VPN(Virtual Private Network)是一种通过公共网络(如互联网)建立私密连接的网络技术。
它使用加密和隧道技术,可以在不安全的公共网络上传输私密和敏感的数据。
8. 第八题答案:密码学是研究设计密码算法和保护信息安全的学科。
它包括对称加密、非对称加密、消息认证码、数字签名等基本密码技术,以及密码分析和密码攻击等相关技术。
9. 第九题答案:DDoS(Distributed Denial of Service)攻击是一种通过大量恶意流量淹没目标网络资源,使其无法正常运行的攻击方式。
常见的DDoS攻击包括UDP洪水攻击、SYN洪水攻击和HTTP攻击等。
10. 第十题答案:数字证书是用于认证和加密通信的一种数字凭证。
网络安全课后习题答案
第一章绪论1.1.1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
1.3.1计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精品文档. 第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理精品文档措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3)秘密扫描的原理是什么?答:秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。
秘密扫描技术使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。
否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4)分布式拒绝服务攻击的原理是什么?答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
理解了DoS 攻击的话,DDoS的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?.精品文档DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5)缓冲区溢出攻击的原理是什么?答:缓冲区是计算机内存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。
一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。
如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。
这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的内存区域中。
如果在这部分内存中已经存放了一些重要的内容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的内容就被覆盖了(发生数据丢失)。
(6)格式化字符串攻击的原理是什么?答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。
能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章入侵检测系统选择题:(1) D(2) D思考题:(1)入侵检测系统有哪些基本模型?答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。
代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2)简述IDM模型的工作原理?答:IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。
也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。
通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,.精品文档这台机器由所有相连的主机和网络组成。
将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么?答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么?答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。
当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。
如果匹配,系统就会向管理员报警,以采取措施。
基于网络的入侵检测系统使用原始网络数据包作为数据源。
基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5)异常入侵检测系统的设计原理是什么?答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。
在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。
对于异常阈值与特征的选择是异常入侵检测的关键。
比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6)误用入侵检测系统的优缺点分别是什么?答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7)简述防火墙对部署入侵检测系统的影响。
答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。
通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。
但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。
如果黑客觉察到防火墙的存在并攻破防火墙的话,对内部网络来说是非常危险的。
因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。
这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。
.精品文档. 第4章入侵检测流程选择题:(1) C(2) A思考题:(1)入侵分析的目的是什么?答:入侵分析的主要目的是提高信息系统的安全性。
除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。
(2)入侵分析需要考虑哪些因素?答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平衡。
(3)告警与响应的作用是什么?答:在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。
这就是告警与响应要完成的任务。
(4)联动响应机制的含义是什么?答:入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。
而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。
因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防范效果。
这就需要采用入侵检测系统的联动响应机制。
目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。
但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章基于主机的入侵检测技术一、ABCD二、思考题1.基于主机的数据源主要有哪些?精品文档答:基于主机的数据源主要有系统日志、应用程序日志等。
2.获取审计数据后,为什么首先要对这些数据进行预处理?答:当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据,用户感兴趣的属性,并非总是可用的。
网络入侵检测系统分析数据的来源与数据结构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。