入侵检测技术课后答案
计算机网络安全课后题答案
第一章绪论1. 计算机网络面临的安全威胁有哪些?答:1.主要威胁:计算机网络实体面临威胁(实体为网络中的关键设备);计算机网络系统面临威胁(典型安全威胁);恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序);计算机网络威胁有潜在对手和动机(恶意攻击/非恶意) 2. 典型的网络安全威胁:窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2.分析计算机网络的脆弱性和安全缺陷答:偶发因素:如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误;自然灾害:各种自然灾害对计算机系统构成严重的威胁;人为因素:人为因素对计算机网络的破坏和威胁(包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击)。
3.分析计算机网络的安全需求答:互联网具有不安全性;操作系统存在的安全问题;数据的安全问题;传输路线的安全问题;网络安全管理问题。
4.分析计算机网络安全的内涵和外延是什么?答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性,完整性及可使用受到保护。
网络的安全问题包括两方面的内容,一是网络的系统安全;二是网络的信息安全。
从广义上说,网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。
5.论述OSI安全体系结构答:OSI安全系统结构定义了鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务;也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。
6.PPDR安全模型地结构答:PPDR模型是一种常用的网络安全模型,主包含四个主要部份:Policy(安全策略)、Protection(防护)、Detection (检测)和Response(响应)。
7.简述计算机网络安全技术答:网络安全技术:物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。
计算机信息安全技术课后习题答案
计算机信息安全技术课后习题答案计算机信息安全技术课后习题答案一、密码学基础1.1 对称加密和非对称加密的区别:对称加密使用同一个密钥进行加密和解密,加密速度快但密钥传输不安全;非对称加密使用公钥和私钥进行加密和解密,安全性高但速度较慢。
1.2 DES加密算法:DES(Data Encryption Standard)是一种对称加密算法,使用56位的密钥对64位的明文进行加密,分为初始置换、16轮迭代和最终置换三个步骤。
1.3 RSA非对称加密算法:RSA是一种非对称加密算法,使用公钥和私钥进行加密和解密,基于大数分解的复杂性原理,安全性较高。
二、网络安全2.1 网络安全基础概念:网络安全是指保护计算机网络系统的完整性、可用性和保密性的技术和管理措施。
2.2 防火墙技术:防火墙是一种网络安全设备,用于监控和控制网络流量,保护内部网络免受未经授权的访问和攻击。
2.3 VPN虚拟专用网络:VPN是一种通过公共网络建立安全的私密连接的技术,可用于远程访问、跨地域网连接等。
三、入侵检测与防护3.1 入侵检测系统(IDS):IDS是一种用于检测和响应网络中的恶意活动和攻击的系统,可分为主机IDS和网络IDS两种类型。
3.2 入侵防御系统(IPS):IPS是一种主动防御系统,用于检测和阻断攻击行为,具有自动响应和阻断功能。
四、网络安全管理4.1 安全策略与规划:网络安全策略和规划是指制定和实施保护网络安全的规则和标准,包括访问控制、身份验证、数据备份等。
4.2 安全管理体系:安全管理体系是指建立一套管理框架和流程,用于规范和监控网络安全管理工作,包括风险评估、漏洞管理、事件响应等。
4.3 安全意识教育与培训:安全意识教育和培训是指向员工传授网络安全知识和技能,提高其对网络安全的认知和防范能力。
附件:无法律名词及注释:1:《网络安全法》:中华人民共和国网络安全的基本法律法规,旨在保护国家网络安全和公民合法权益。
网络信息安全课后习题答案
第一章网络安全综述1.什么是网络安全答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
2.网络安全包括哪些内容答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面答:1)物理威胁(1)身份识别错误。
(2)偷窃。
(3)间谍行为。
(4)废物搜寻。
2)系统漏洞造成的威胁(1)不安全服务。
(2)乘虚而入。
(3)配置和初始化。
3)身份鉴别威胁(1)编辑口令。
(2)口令破解。
(3)口令圈套。
(4)算法考虑不周。
4)线缆连接威胁(1)拨号进入。
(2)窃听。
(3)冒名顶替。
5)有害程序(1)病毒。
(2)更新或下载。
(3)特洛伊木马。
(4)代码炸弹。
4.在网络安全中,什么是被动攻击什么是主动攻击答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。
被动攻击分为两种,分别是析出消息内容和通信量分析。
被动攻击非常难以检测,因为它们并不会导致数据有任何改变。
然而,防止这些攻击是可能的。
因此,对付被动攻击的重点是防止而不是检测。
攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。
这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。
5.简述访问控制策略的内容。
答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
入侵、渗透与加固学习通课后章节答案期末考试题库2023年
入侵、渗透与加固学习通课后章节答案期末考试题库2023年1.指纹识别技术是什么?参考答案:组件是网络空间最小单元,WEB应用程序、数据库、中间件等都属于组件。
指纹是组件上能标识对象类型的一段特征信息,用来在渗透测试信息收集环节中快速识别目标服务。
大部分应用组件有包含足以说明当前服务名称和版本的特征,漏洞处理者可以识别这些特征获取当前服务信息,从而进行一系列渗透测试工作。
2.简述IPsec vpn建立过程参考答案:安全协商,第一阶段协商身份认证算法,验证算法,加密算法,并协商隧道模式(主动模式或者野蛮模式)第二阶段协商通信保护协议(ESP或者AH),建立隧道连接。
网络联通,通过静态路由方式学习路由,不同数据网段可通信。
3.端口扫描扫描网络和扫描主机的区别参考答案:网络扫描主要是针对网段,连续或部分网络地址,主要扫描端口及IP、MAC地址信息,扫描主机是明确对方IP地址来精准扫描,主要是扫描漏洞、操作系统版本等。
4.防火墙管理员角色有那些分类参考答案:超级管理员(admin账户),具备所有权限。
系统操作员,具备除对管理员账户控制之外的所有权限,可以进行策略编辑,配置变更等权限。
系统日志管理权限,可以查看防火墙系统日志。
系统查看权限,可查看防火墙系统配置,不能更改配置。
5.会话是防火墙基本数据结构,用于防火墙能够快速地转发报文。
会话六元组是参考答案:1.源IP地址2.目的IP地址3.源端口4.目的端口5.协议6.安全区域6.简单谈谈入侵检测设备和入侵防御设备的区别参考答案:入侵检测重点在检测,不主动防御,一般适合安全级别要求不高的区域,入侵防御会主动阻断高危攻击,一般适合安全级别要求高的区域。
7.什么是反向代理技术参考答案:正向代理可以通过浏览器代理或者软件代理访问技术来获得WEB或者数据表单结果,而反向代理则将代理结果反馈给服务器,而终端用户通过访问代理服务器来获得访问结果。
8.如何防范MAC地址泛洪攻击参考答案:黑客利用发大量包使交换机找不到ARP表中信息而广播,造成性能损失和危害,可以通过限制交换机接口广播包数量来解决。
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标cia指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。
2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。
4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
网络信息安全课后习题答案
网络信息安全课后习题答案网络信息安全课后习题答案1:网络信息安全基础知识1.1 网络概述答案:网络是指多个计算机通过通信链路互相连接,共享数据和资源的集合体。
它可以分为局域网(LAN)、广域网(WAN)和互联网等不同规模和范围的网络。
1.2 网络攻击与防御答案:网络攻击指未经授权的对计算机或网络系统进行的恶意行为,包括计算机、、钓鱼等。
网络防御包括加强安全意识、使用防火墙、更新安全补丁等方法。
1.3 加密与解密答案:加密是指将信息转化为密文以保护其机密性,解密则是将密文转化为明文。
常用的加密算法有对称加密算法(如DES、AES)和非对称加密算法(如RSA)。
2:网络信息安全威胁与防护2.1 网络威胁类型答案:网络威胁包括计算机、网络蠕虫、僵尸网络、DoS攻击等。
它们可以造成数据丢失、系统瘫痪和信息泄露等后果。
2.2 防护措施答案:防护措施包括安装杀毒软件、及时打补丁、禁用不必要的服务和端口、设置合理的密码和访问控制、定期备份数据等。
3:网络安全管理与风险评估3.1 安全策略与规划答案:安全策略是指针对网络信息安全问题所制定的一系列准则和目标,包括技术措施、组织措施和管理措施等。
3.2 风险评估答案:风险评估是指针对网络系统进行的潜在威胁和可能损失的评估,通过分析风险的概率和后果,采取相应的措施进行安全管理。
3.3 安全事件管理答案:安全事件管理是指对网络安全事件的预防、检测、响应和恢复等过程的管理,包括日志审计、事件响应和应急演练等。
4:网络安全技术与应用4.1 防火墙技术答案:防火墙是指一种位于内网和外网之间的安全设备,通过过滤数据包和控制网络流量来防止未经授权的访问和攻击。
4.2 入侵检测与防御答案:入侵检测是指对网络系统进行实时监测和检测,以便及时发现并阻止未经授权的访问和攻击。
防御措施包括修补漏洞、监控网络流量等。
4.3 VPN技术答案:VPN(Virtual Private Network)是指一种虚拟的、私密的网络通信方式,通过对数据进行加密和隧道技术,使得用户可以安全地进行远程访问。
入侵检测考试
1.一般来说,网络入侵者入侵的步骤不包括下列哪个阶段(B)A信息收集B信息分析C漏洞挖掘D实施攻击2.Ip地址欺骗的素质是(B)A.Ip地质的隐藏 B.信任关系的破坏 C.TCP序列号的重置 D Ip地址的验证3.在通用入侵检测模型的活动简档中未定义的随机变量是(D)A事件计数器B间隔计时器C资源计量器D告警响应计时器4.异常入侵检测依靠的假定是(D)A一切网络入侵行为都是异常的D正常行为和异常行为可以根据一定的阀值来加以区分B用户表现为可预测的、一致的系统使用模式C只有异常行为才有可能是入侵攻击行为5.入侵检测的过程不包括下列哪个阶段(C)A信息收集B信息分析C消息融合D告警与响应6.在入侵分析模型中,第一阶段的任务是(A)A构造分析引擎B进行数据分析C反馈D提炼7.以下属于数据预处理功能的是(ABCD)A数据机成B数据清理C数据变换D数据简化8.IDF定义了IDS系统和应急系统之间的交换数据方式,CIDF互操作主要有下面3类(ABC)A配置互操作B语义互操作C语法互操作D通信互操作9 .在CIDF中,IDS各组件间通过(C)来进行入侵和告警等信息内容的通信。
A.IDF B. SID C.CISL D.Matchmaker10.在IDWG的标准中,目前已制定出来有关入侵检测消息的数据模型有哪两类(BD)A语义数据模型B面向对象数据模型C基于数据挖掘的数据模型D基于Xml的数据模型11.IDMEF使用(B)解决数据的传输问题A.XMLB.TLSC.IAPD.RFC251012.影响入侵检测性能的参数主要有(ABC)A.检测率 B. 信息可靠度C.虚警率D分析效率13.误用检测失效的原因有3方面(ABC)A.系统活动记录未能为IDS提供足够的信息用来检测入侵D入侵攻击签名不详细B.入侵签名数据库中没有某种入侵攻击签名C.模式匹配算法不能从系统中识别出入侵签名14.性能测试与功能有所不同,因而测试的网络环境以(B)为主,这样可以尽最大可能的产生大的网络流量,避免路由器等设备对网络流量的约束。
计算机网络安全课后习题答案(重点简答题)
网络安全问答题第一章:1.网络攻击和防御分别包括哪些内容?攻击技术主要包括:1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括;1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。
3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络安全协议:保证传输的数据不被截获和监听。
2.从层次上,网络安全可以分成哪几层?每层有什么特点?4个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
物理安全:防盗、防火、防静电、防雷击和防电磁泄漏。
逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全:操作系统是计算机中最基本、最重要的软件。
联网安全通过以下两方面的安全服务来达到:a:访问控制服务:用来保护计算机和联网资源不被非授权使用。
b:通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第四章:2、黑客在进攻的过程中需要经过哪些步骤?目的是什么?隐藏IP:通常有两种方式实现IP的隐藏:第一种方法是首先入侵互联网上的一台计算机(俗称“肉鸡”),利用这台计算进行攻击,这样即使被发现了,也是“肉鸡”的IP地址;第二种方式是做多级跳板“Sock代理”,这样在入侵的计算机上留下的是代理计算机的IP地址。
踩点扫描:通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章 入侵检测概述 思考题: (1) 分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2) 入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: 监控、分析用户和系统的活动; 审计系统的配置和弱点; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析; 对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3) 为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。 如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章 入侵方法与手段 选择题: (1) B. (2) B
思考题: (1) 一般来说,黑客攻击的原理是什么? 答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。利益的驱动使得互联网中的黑客数量激增。
(2) 拒绝服务攻击是如何实施的? 答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3) 秘密扫描的原理是什么? 答:秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4) 分布式拒绝服务攻击的原理是什么? 答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。理解了 DoS攻击的话,DDoS的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5) 缓冲区溢出攻击的原理是什么? 答:缓冲区是计算机内存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的内存区域中。如果在这部分内存中已经存放了一些重要的内容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的内容就被覆盖了(发生数据丢失)。
(6) 格式化字符串攻击的原理是什么? 答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章 入侵检测系统 选择题: (1) D (2) D
思考题: (1) 入侵检测系统有哪些基本模型? 答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2) 简述IDM模型的工作原理? 答:IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台机器由所有相连的主机和网络组成。将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3) 入侵检测系统的工作模式可以分为几个步骤,分别是什么? 答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4) 基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么? 答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警,以采取措施。基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5) 异常入侵检测系统的设计原理是什么? 答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6) 误用入侵检测系统的优缺点分别是什么? 答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7) 简述防火墙对部署入侵检测系统的影响。 答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。如果黑客觉察到防火墙的存在并攻破防火墙的话,对内部网络来说是非常危险的。因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。 第4章 入侵检测流程 选择题: (1) C (2) A
思考题: (1) 入侵分析的目的是什么? 答:入侵分析的主要目的是提高信息系统的安全性。除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。
(2) 入侵分析需要考虑哪些因素? 答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平衡。
(3) 告警与响应的作用是什么? 答:在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。这就是告警与响应要完成的任务。
(4) 联动响应机制的含义是什么? 答:入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防范效果。这就需要采用入侵检测系统的联动响应机制。目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章 基于主机的入侵检测技术 一、ABCD