入侵检测技术 课后答案

第1章入侵检测概述

思考题：

（1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？

答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。

DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。

（2）入侵检测作用体现在哪些方面？

答：一般来说，入侵检测系统的作用体现在以下几个方面：

●监控、分析用户和系统的活动；

●审计系统的配置和弱点；

●评估关键系统和数据文件的完整性；

●识别攻击的活动模式；

●对异常活动进行统计分析；

●对操作系统进行审计跟踪管理，识别违反政策的用户活动。

（3）为什么说研究入侵检测非常必要？

答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统受到入侵者的攻击。为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话，就要求所有的用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看，这根本是不可能的。

因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理

–– 1

措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其主要目的有：（1）识别入侵者；（2）识别入侵行为：（3）检测和监视已成功的安全突破；（4）为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。从这个角度看待安全问题，入侵检测非常必要，它可以有效弥补传统安全保护措施的不足。

第2章入侵方法与手段

选择题：

（1） B.

（2） B

思考题：

（1）一般来说，黑客攻击的原理是什么？

答：黑客之所以能够渗透主机系统和对网络实施攻击，从内因来讲，主要因为主机系统和网络协议存在着漏洞，而从外因来讲原因有很多，例如人类与生俱来的好奇心等等，而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。利益的驱动使得互联网中的黑客数量激增。

（2）拒绝服务攻击是如何实施的？

答：最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，象是无法满足需求。

（3）秘密扫描的原理是什么？

答：秘密扫描不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。

（4）分布式拒绝服务攻击的原理是什么？

答：DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。理解了DoS 攻击的话，DDoS的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？

–– 2

DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

（5）缓冲区溢出攻击的原理是什么？

答：缓冲区是计算机内存中的临时存储数据的区域，通常由需要使用缓冲区的程序按照指定的大小来创建的。一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据，或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。如果程序没有对缓冲区边界进行检查，即可以允许没有干扰地输入数据，而不考虑大小问题。这样多出的数据就会被写到缓冲区之外，这时就可能写入到其它的内存区域中。如果在这部分内存中已经存放了一些重要的内容（例如计算机操作系统的某一部分，或者更有可能是其它数据或应用程序自己的代码），那么它的内容就被覆盖了（发生数据丢失）。

（6）格式化字符串攻击的原理是什么？

答：所谓格式化串，就是在*printf()系列函数中按照一定的格式对数据进行输出，可以输出到标准输出，即printf()，也可以输出到文件句柄，字符串等，对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这一系列的*printf()函数中，*printf()系列函数有三条特殊的性质，这些特殊性质如果被黑客结合起来利用，就会形成漏洞。格式化串漏洞和普通的缓冲溢出有相似之处，但又有所不同，它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。

第3章入侵检测系统

选择题：

（1） D

（2） D

思考题：

（1）入侵检测系统有哪些基本模型？

答：在入侵检测系统的发展历程中，大致经历了三个阶段：集中式阶段、层次式阶段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型（Denning模型）、层次化入侵检测模型（IDM）和管理式入侵检测模型（SNMP-IDSM）。

（2）简述IDM模型的工作原理？

答：IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作，IDM构造了一台虚拟的机器环境，

–– 3