入侵检测技术-课后答案
入侵检测技术 课后答案
精品文档. 第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
国防《计算机信息安全技术》课后习题答案第9章
第9章入侵检测技术习题参考答案1.什么是入侵检测?什么是入侵检测系统?入侵检测系统的功能有哪些?答:入侵检测(Intrusion Detection,ID)就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略,为系统建立的安全辅助系统;是完成入侵检测功能的软件、硬件的集合。
总体来说其主要功能有:(1)用户和系统行为的检测和分析。
(2)重要的系统和数据文件的完整性评估。
(3)系统配置和漏洞的审计检查。
(4)异常行为模式的统计分析。
(5)已知的攻击行为模式的识别。
(6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。
2.根据CIDF模型,入侵检测系统一般由哪几部分组成?各部分的作用是什么?答:CIDF模型的4个组件和各自的作用如下:(1) 事件产生器(Event Generators),即信息获取子系统,用于收集来自主机和网络的事件信息,为检测信息提供原始数据,并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。
(2) 事件分析器(Event Analyzers),即分析子系统,是入侵检测系统的核心部分。
事件分析器分析从其他组件收到GIDO(统一入侵检测对象),并将产生的新GIDO(统一入侵检测对象)再传送给其他组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。
(3) 响应单元(Response Units),即响应控制子系统。
响应单元处理收到GIDO(统一入侵检测对象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。
(4) 事件数据库(Event Databases),即数据库子系统,用来存储系统运行的中间数据并进行规则匹配的安全知识库。
入侵检测技术-课后答案
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
入侵检测复习题及答案
入侵检测复习题及答案一、填空【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击C.病毒攻击与主机攻击D.侵入攻击与植入攻击【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击C.完整性的攻击D.真实性的攻击【试题18】对网络的威胁包括:Ⅰ. 假冒Ⅱ. 特洛伊木马Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB. Ⅲ和ⅣC.Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击C.保密性攻击D.真实性攻击二、名词解释1、IP:网际协议ICMP:因特网控制报文协议ARP:地址解析协议RARP:反向地址解析协议TCP:传输控制协议UDP:用户数据报协议三、简答1、什么是P2DR模型?答:P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
网络安全 第五到十一章课后答案
7、什么是强制访问控制方式?如何防止木马的非法访问?
强制访问控制是通过无法回避的访问限制来防止某些对系统的非法入侵。
强制访问控制一般与自主访问控制结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制访问控制检查后,才能访问某个客体。用户利用自主访问控制来防范其他用户对客体的攻击。强制访问控制则提供一个不可逾越的、更强的防护,以防止其他用户偶然或故意滥用自主访问控制。强制访问控制不可避免的对用户的客体十佳一些严格的限制,使得用户无意泄漏机密信息的可能性大大减少
8、为什么后来的木马制作者制作出反弹式木马?反弹式木马工作原理?画出其工作流程图
11嵌入式木马不同于主动性木马和反弹式木马的主要特点是什么?为什么这种木马更有破坏性,更难清除?
12、木马技术包含哪些?这些技术的特点?
(1)自动启动技术:
(2)隐藏技术:
(3)远程监控技术;
第九章
1、访问控制包含ቤተ መጻሕፍቲ ባይዱ内容?
8、简述bell-la padual 模型的安全策略,举例
BLP中,密级分为绝密、机密、秘密、公开。BLP模型给每个用户分配一个安全属性,它反映了对用户不将敏感信息泄漏给不持有相应安全属性用户的置信度。用户激活的进程也将授予此安全属性。BLP对系统中的每个客体也分配一个安全属性,它反映了客体信息的敏感度,也反映了未经授权向不允许访问该信息的用户泄漏这些信息所造成的签字威胁。
第五章:
1、什么是缓冲区?
缓冲区是计算机内存中的一个连续块,保存了给定类型的数据。
3、简述缓冲区溢出攻击的基本原理:
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标cia指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。
2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。
4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
计算机网络安全技术习题答案
计算机网络安全技术习题答案1. 第一题答案:计算机网络安全技术主要包括加密技术、防火墙技术、入侵检测技术、访问控制技术等。
2. 第二题答案:加密技术是一种通过使用密码算法将信息转换成不可读的形式,以防止未经授权的访问者获取、修改或破坏信息的技术。
常见的加密算法有DES、AES和RSA等。
3. 第三题答案:防火墙技术是一种用于保护计算机网络免受未经授权的访问和恶意攻击的技术。
它通过监控和控制网络流量,筛选和阻止可能具有威胁的数据包和连接,确保网络安全。
4. 第四题答案:入侵检测技术是一种用于监测和识别网络中的恶意活动和攻击的技术。
它通过分析网络流量和系统日志,基于事先设定的规则或特征,发现并报告潜在的入侵事件。
5. 第五题答案:访问控制技术是一种用于限制和控制用户对计算机网络资源的访问权限的技术。
它通过认证、授权和审计等机制,确保只有经过授权的用户可以访问和使用网络资源。
6. 第六题答案:DMZ(Demilitarized Zone)是指位于两个网络之间的一个隔离区域,常用于保护内部网络资源免受外部网络和互联网的攻击。
在DMZ中部署防火墙和其他安全设备可以增加网络的安全性。
7. 第七题答案:VPN(Virtual Private Network)是一种通过公共网络(如互联网)建立私密连接的网络技术。
它使用加密和隧道技术,可以在不安全的公共网络上传输私密和敏感的数据。
8. 第八题答案:密码学是研究设计密码算法和保护信息安全的学科。
它包括对称加密、非对称加密、消息认证码、数字签名等基本密码技术,以及密码分析和密码攻击等相关技术。
9. 第九题答案:DDoS(Distributed Denial of Service)攻击是一种通过大量恶意流量淹没目标网络资源,使其无法正常运行的攻击方式。
常见的DDoS攻击包括UDP洪水攻击、SYN洪水攻击和HTTP攻击等。
10. 第十题答案:数字证书是用于认证和加密通信的一种数字凭证。
网络信息安全课后习题答案
网络信息安全课后习题答案网络信息安全课后习题答案1:网络信息安全基础知识1.1 网络概述答案:网络是指多个计算机通过通信链路互相连接,共享数据和资源的集合体。
它可以分为局域网(LAN)、广域网(WAN)和互联网等不同规模和范围的网络。
1.2 网络攻击与防御答案:网络攻击指未经授权的对计算机或网络系统进行的恶意行为,包括计算机、、钓鱼等。
网络防御包括加强安全意识、使用防火墙、更新安全补丁等方法。
1.3 加密与解密答案:加密是指将信息转化为密文以保护其机密性,解密则是将密文转化为明文。
常用的加密算法有对称加密算法(如DES、AES)和非对称加密算法(如RSA)。
2:网络信息安全威胁与防护2.1 网络威胁类型答案:网络威胁包括计算机、网络蠕虫、僵尸网络、DoS攻击等。
它们可以造成数据丢失、系统瘫痪和信息泄露等后果。
2.2 防护措施答案:防护措施包括安装杀毒软件、及时打补丁、禁用不必要的服务和端口、设置合理的密码和访问控制、定期备份数据等。
3:网络安全管理与风险评估3.1 安全策略与规划答案:安全策略是指针对网络信息安全问题所制定的一系列准则和目标,包括技术措施、组织措施和管理措施等。
3.2 风险评估答案:风险评估是指针对网络系统进行的潜在威胁和可能损失的评估,通过分析风险的概率和后果,采取相应的措施进行安全管理。
3.3 安全事件管理答案:安全事件管理是指对网络安全事件的预防、检测、响应和恢复等过程的管理,包括日志审计、事件响应和应急演练等。
4:网络安全技术与应用4.1 防火墙技术答案:防火墙是指一种位于内网和外网之间的安全设备,通过过滤数据包和控制网络流量来防止未经授权的访问和攻击。
4.2 入侵检测与防御答案:入侵检测是指对网络系统进行实时监测和检测,以便及时发现并阻止未经授权的访问和攻击。
防御措施包括修补漏洞、监控网络流量等。
4.3 VPN技术答案:VPN(Virtual Private Network)是指一种虚拟的、私密的网络通信方式,通过对数据进行加密和隧道技术,使得用户可以安全地进行远程访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
. ..页脚第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3)秘密扫描的原理是什么?答:秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。
秘密扫描技术使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。
否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4)分布式拒绝服务攻击的原理是什么?答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
理解了DoS 攻击的话,DDoS的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?–– 2. .DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5)缓冲区溢出攻击的原理是什么?答:缓冲区是计算机存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。
一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。
如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。
这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的存区域中。
如果在这部分存中已经存放了一些重要的容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的容就被覆盖了(发生数据丢失)。
(6)格式化字符串攻击的原理是什么?答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。
能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章入侵检测系统选择题:(1) D(2) D思考题:(1)入侵检测系统有哪些基本模型?答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。
代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2)简述IDM模型的工作原理?答:IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。
也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。
通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台.页脚机器由所有相连的主机和网络组成。
将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么?答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么?答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。
当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。
如果匹配,系统就会向管理员报警,以采取措施。
基于网络的入侵检测系统使用原始网络数据包作为数据源。
基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5)异常入侵检测系统的设计原理是什么?答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。
在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。
对于异常阈值与特征的选择是异常入侵检测的关键。
比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6)误用入侵检测系统的优缺点分别是什么?答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7)简述防火墙对部署入侵检测系统的影响。
答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。
通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。
但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。
如果黑客觉察到防火墙的存在并攻破防火墙的话,对部网络来说是非常危险的。
因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。
这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。
–– 4. ..页脚第4章入侵检测流程选择题:(1) C(2) A思考题:(1)入侵分析的目的是什么?答:入侵分析的主要目的是提高信息系统的安全性。
除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。
(2)入侵分析需要考虑哪些因素?答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平衡。
(3)告警与响应的作用是什么?答:在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。
这就是告警与响应要完成的任务。
(4)联动响应机制的含义是什么?答:入侵检测的主要作用是通过检查主机日志或网络传输容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。
而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。
因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防效果。
这就需要采用入侵检测系统的联动响应机制。
目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。
但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章基于主机的入侵检测技术一、ABCD二、思考题1.基于主机的数据源主要有哪些?答:基于主机的数据源主要有系统日志、应用程序日志等。
2.获取审计数据后,为什么首先要对这些数据进行预处理?答:当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据,用户感兴趣的属性,并非总是可用的。
网络入侵检测系统分析数据的来源与数据结构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。