第7章 入侵检测技术2

《企业网安全高级技术》课程进程表总计学习课时为60 课时，其中理论课时为30 课时，实验课时为30 课时，适用专业：网络技术工程师TC专业，各章节课时分配如下：章节号章节名称理论课时分配实验课时分配说明第1章网络安全概述 1 1第2章网络协议分析 2 2第3章加密与认证技术33第4章PKI组件及其应用 3 3第5章VPN技术 3 3第6章防火墙技术 3 3第7章入侵检测技术 2 2第8章主机操作系统的安全 3 3第9章计算机病毒及防治 2 2第10章木马与后门 3 3第11章无线网络安全 2 2第12章企业网安全综合应用 3 3课时小计3030课时总计60《企业网安全高级技术》课程教学大纲适用专业：网络技术工程师专业（两年制系统方向）教材：企业网安全高级技术（XHJC-091-805）出版社：新华教育集团（北京）研究院教学环境：理实一体化教室考核方法：考试-课程实践执笔人:王海军审稿人:叶伟一、课程的性质与任务《企业网安全高级技术》课程属于网络工程应用专业必修课程。

通过本课程的学习，学生可以了解构建计算机网络及信息安全的安全策略，掌握建立有效的安全机制的方法。

在课程中学生可以了解不同类型的黑客活动、黑客的攻击范围及防止和控制黑客侵入的方法，同时掌握加密和身份验证方法及过程，保护Windows 2k和Linux 系统免于受到攻击、提高安全性能，以及防火墙的技术构成、体系结构及与Internet服务的结合，通过安全审核的不同阶段，掌握审计及日志分析的方法和基于主机及网络的入侵检测的方法及软件的使用。

本课程内容主要包括：网络安全的基本理论、加密技术与认证、VPN技术、防火墙技术与应用、操作系统安全等。

本课程遵循把所学理论应用于实际的原则。

应该把所有的安全技术从理论上为学生讲解清楚，其次每一种安全理论在实际的环境中的应用，每种安全技术的优缺点，以及每种安全技术的适用范围、能实现的安全目标，及在实际网络环境中的应用。

第7章病毒防护主讲：×××7.1 病毒的基本特征7.1.1 常见的计算机的病毒7.1.2 计算机病毒的基本结构7.1.3 计算机病毒的共同特征7.1.4 计算机病毒的新特点7.1.1 入侵检测方法1.木马病毒木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒程序还是木马。

木马病毒带有黑客性质，它有强大的控制和破坏能力，可窃取密码、控制系统、7.1.1 入侵检测方法2.宏病毒宏是一系列由用户编写或录制的命令和指令，用来实现任务执行的自动化。

的具有病毒特征的宏集合。

它的危害性大，以二进制文件加密压缩格式存入.doc或.dot文件中，所有打开的Word文档都会在自动保存时被传染。

7.1.1 入侵检测方法3.宏病毒蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，网络瘫痪。

蠕虫病毒的传染目标是互联网内的所有计算机，其传播方式分为两类：一类是利用系播。

7.1.1 入侵检测方法4.宏病毒PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。

PE病毒大多数采用Win 32文件）并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，PE病毒没本身没有什么危害，但被感染的文件可能被破坏。

7.1.1 入侵检测方法5.宏病毒脚本病毒通常是用JavaScript或者VBScript 通过网页进行传播，一旦用户运行了带有病毒的给用户使用计算机带来不便。

VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为典型代表。

VBS脚本病毒编写简单，破坏力大，感染力强。

这类病毒通传播范围大。

7.1.1 入侵检测方法5.恶意网页病毒网页病毒主要是利用软件或系统操作平台等本标记语言）内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件、格式化硬盘。

入侵检测习题答案第一章习题答案１.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答：计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个，它们分别是什么？答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征：太高，那么用户的合法行为就会经常性地被打断或者被禁止。

这样，不仅使得系统的可用性降低，而且也会使合法用户对系统失去信心。

1.3 描述并解释Anderson在１９７２年提出的计算机安全模型．答：Anderson在1972年提出了计算机安全模型，如图1.1所示。

图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。

授权数据库并不是安全参考监视器的一部分，但是安全参考监视器要完成控制功能需要授权数据库的帮助。

识别与认证系统识别主体和对象。

审计系统用来记录系统的活动信息。

该模型的实现采用访问控制机制来保证系统安全。

访问控制机制识别与认证主体身份，根据授权数据库的记录决定是否可以允许主体访问对象。

1.4 描述并解释P2DR模型.P2DR模型(Policy——策略，Protection—防护，Detection——检测，Response——响应)是一种动态的、安全性高的网络安全模型，如图1.3所示。

图1.3 P2DR模型它的基本思想是：以安全策略为核心，通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供了依据，当发现系统有异常时，根据系统安全策略快速作出响应，从而达到了保护系统安全的目的。

您的本次作业分数为：99分单选题1.【第11、12章】在目前的信息网络中，(____)病毒是最主要的病毒类型。

• A 引导型• B 文件型• C 网络蠕虫• D 木马型单选题2.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。

• A 网络带宽• B 数据包• C 防火墙• D LINUX单选题3.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同，(____)在内外网络边界处提供更加主动和积极的病毒保护。

• A 防火墙• B 病毒网关• C IPS• D IDS单选题4.【第11、12章】不能防止计算机感染病毒的措施是(____)。

• A 定时备份重要文件• B 经常更新操作系统• C 除非确切知道附件内容，否则不要打开电子邮件附件• D 重要部门的计算机尽量专机专用，与外界隔绝单选题5.【第11、12章】计算机病毒最重要的特征是(____)。

• A 隐蔽性• B 传染性• C 潜伏性• D 表现性单选题6.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。

• A 信息加密和解密• B 信息隐匿• C 数字签名和身份认证技术• D 数字水印单选题7.【第11、12章】安全扫描可以(____)。

• A 弥补由于认证机制薄弱带来的问题• B 弥补由于协议本身而产生的问题• C 弥补防火墙对内网安全威胁检测不足的问题• D 扫描检测所有的数据包攻击，分析所有的数据流单选题8.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。

• A 保护• B 检测• C 响应• D 恢复单选题9.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播，病毒运行后，在%System%文件夹下生成自身的拷贝nvchip4、exe，添加注册表项，使得自身能够在系统启动时自动运行。

第一章入侵检测系统概念当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。

传统上，公司一般采用防火墙作为安全的第一道防线。

而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。

与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。

在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。

本文中的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。

入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。

它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。

与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。

一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。

具体说来，入侵检测系统的主要功能有（[2]）：a.监测并分析用户和系统的活动；b.核查系统配置和漏洞；c.评估系统关键资源和数据文件的完整性；d.识别已知的攻击行为；e.统计分析异常行为；f.操作系统日志管理，并识别违反安全策略的用户活动。

由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中，属于主动攻击的是（）（分数：2分）A. 数据窃听B.数据流分析D.非法访问标准答案是：C。

2、数据完整性指的是（）（分数：2 分）A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是：D。

3、以下算法中属于非对称算法的是（）（分数：2分）A.DESD.三重DES标准答案是：B。

4、以下不属于代理服务技术优点的是（）（分数：2 分）A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是：D。

5、下列不属于主动攻击的是（）（分数：2 分）A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是：D。

6、下列不属于被动攻击的是（）（分数：2 分）A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是：D。

7、网络安全主要实用技术不包括（）（分数：2分）A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是：A。

8、网络安全不包括哪些重要组成部分（）（分数：2 分）A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是：D。

9、不是计算机网络安全的目标的是（）（分数：2分）A. 保密性D.不可否认性标准答案是：C。

10、计算机网络安全是一门涉及多学科的综合性学科，以下不属于此学科的是（）（分数：2 分）A. 网络技术D.信息论标准答案是：C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位，下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是：A。

C.5D.6标准答案是：A。

3、为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要措施有（）（分数：2 分）C.隔离D.接地标准答案是：B。

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中，属于主动攻击的是（）（分数：2 分）A. 数据窃听B. 数据流分析C. 数据篡改及破坏D. 非法访问标准答案是：C。

2、数据完整性指的是（）（分数：2 分）A. 保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B. 防止因数据被截获而造成泄密C. 确保数据是由合法实体发出的D. 防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是：D。

3、以下算法中属于非对称算法的是（）（分数：2 分）A. DESB. RSA算法C. IDEAD. 三重DES标准答案是：B。

4、以下不属于代理服务技术优点的是（）（分数：2 分）A. 可以实现身份认证B. 内部地址的屏蔽和转换功能C. 可以实现访问控制D. 可以防范数据驱动侵袭标准答案是：D。

5、下列不属于主动攻击的是（）（分数：2 分）A. 修改传输中的数据B. 重放C. 会话拦截D. 利用病毒标准答案是：D。

6、下列不属于被动攻击的是（）（分数：2 分）A. 监视明文B. 解密通信数据C. 口令嗅探D. 利用恶意代码标准答案是：D。

7、网络安全主要实用技术不包括（）（分数：2 分）A. 数字认证B. 身份认证C. 物理隔离D. 逻辑隔离标准答案是：A。

8、网络安全不包括哪些重要组成部分（）（分数：2 分）A. 先进的技术B. 严格的管理C. 威严的法律D. 以上都不是标准答案是：D。

9、不是计算机网络安全的目标的是（）（分数：2 分）A. 保密性B. 完整性C. 不可用性D. 不可否认性标准答案是：C。

10、计算机网络安全是一门涉及多学科的综合性学科，以下不属于此学科的是（）（分数：2 分）A. 网络技术B. 通信技术C. 操作系统D. 信息论标准答案是：C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位，下列不属于物理安全的是（）（分数：2 分）A. 安全管理B. 机房环境安全C. 通信线路安全D. 设备安全标准答案是：A。

入侵检测习题答案————————————————————————————————作者：————————————————————————————————日期：2第一章习题答案１.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答：计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个，它们分别是什么？答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征：●机密性（confidentiality）：机密性是指数据不会泄漏给非授权的用户、实体，也不会被非授权用户使用，只有合法的授权用户才能对机密的或受限的数据进行存取。

●完整性（Integrity）：完整性是指数据未经授权不能被改变。

也就是说，完整性要求保持系统中数据的正确性和一致性。

不管在什么情况下，都要保护数据不受破坏或者被篡改。

●可用性（Availability）：计算机资源和系统中的数据信息在系统合法用户需要使用时，必须是可用的。

即对授权用户，系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。

●可控性（Controliability）：可控性是指可以控制授权范围内的信息流向及行为方式，对信息的访问、传播以及具体内容具有控制能力。

同时它还要求系统审计针对信息的访问，当计算机中的泄密现象被检测出后，计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者，入侵者对此不能够抵赖。

信息安全问答信息安全问答题第1章概述1解释计算机信息的完整性、可⽤性、保密性等属性。

1．完整性技术是保护计算机系统内软件和数据不被偶然或⼈为蓄意地破坏、篡改、伪造等。

2．可⽤性技术是在⽤户授权的条件下，信息必须是可⽤的。

3．保密性技术是防⽌信息失窃和泄露的技术，信息必须按照信息拥有者的要求保持⼀定的秘密性。

2计算机系统的安全策略包含哪些内容？计算机系统的安全策略是指在特定的环境下，为保证⼀定级别的安全要求所提出的⼀系列条例、规则和⽅法。

安全策略可分为政策法规层、安全管理层、安全技术层三个层次。

1．政策法规层是为建⽴安全规章制度和合理使⽤安全技术提供的法律保护，同时通过⽴法和政策导向来提⾼⼈的职业道德，对⼈进⾏伦理教育，净化社会环境。

2．安全管理层将涉及到具体单位和个⼈，为实施安全技术提供具体保护。

包括组织管理机构、⼈事管理和计算机系统管理。

3．安全技术层可以通过物理⽅法和逻辑⽅法（或软件⽅法）来实现。

（1）物理安全策略是保护计算机等硬件实体免受破坏和攻击；（2）逻辑⽅法是通过访问控制、加密、防⽕墙等⽅法以阻挡⾮法侵⼊。

3 什么是避错和容错？避错是由产品的⽣产商通过元器件的精选、严格的⼯艺和精⼼的设计来提⾼产品的硬件的质量，减少故障的发⽣。

容错是指在计算机系统内部出现故障的情况下，利⽤冗余的资源，使计算机系统仍能正确地运⾏，提供可靠的服务。

容错系统⼯作过程包括⾃动检测、⾃动切换和⾃动恢复部分。

4 威胁计算机信息安全的因素1．直接对计算机系统的硬件设备进⾏破坏；2．对存放在系统存储介质上的信息进⾏⾮法获取、篡改和破坏等；3．在信息传输过程中对信息⾮法获取、篡改和破坏等。

第2章密码学1 什么是代替密码和换位密码代替密码⼜称替换密码，就是按照⼀定要求，将明⽂中的每个字符替换成另⼀个字符，明⽂中字符的位置保持不变，但其本⾝改变了。

如移位密码。

换位密码也可称为置换密码，它是改变明⽂中字母的位置，明⽂中的字母不变。